第50章 帯域幅管理の設定
ファイアウォール設定 > 帯域幅管理
帯域幅管理 (BWM) は、ネットワーク上の重要なアプリケーションに帯域幅資源を割り当てる手法です。
SonicOSは、発信 (送信) および着信 (受信) 帯域幅管理インターフェースを通して統合されたトラフィック調節機構を提供します。 帯域幅管理は、受信および送信帯域幅管理が有効なインターフェースから/へのトラフィックに適用できます。 受信帯域幅管理は、非保護または暗号化ゾーンから開始され保護または公開ゾーンへ進むトラフィックに適用できます。
この章は、次のセクションから構成されています。
補足 帯域幅管理はサービス品質 (QoS) システムに完全に統合されますが、1 台の SonicWALL 装置で等級分けと調節を実行する点で、事実上外部システムへの依存性を除去し、したがってマーキングの必要性を除去し、単一のアクセス ルール上で同時に帯域幅管理と QoS (レイヤ 2 および/または レイヤ 3 マーキング) を設定できます。 これにより、それらの外部システムは、既にトラフィックを調整した後でさえ、SonicWALL で実行された等級分けから利益を得ることができます。 帯域幅管理の QoS 詳細については、「ファイアウォール設定>QoS割付」セクション を参照してください。
帯域幅管理とは
帯域幅管理は、SonicWALL セキュリティ装置によって受信および送信トラフィックに対して制御されます。 これにより、ネットワーク管理者は最小帯域幅を保証することと、SonicWALL 管理インターフェースの 「ファイアウォール > アクセス ルール」 ページで作成したアクセス ルールに基づいてトラフィックの優先順位付けが可能です。 アプリケーションまたはユーザの帯域幅の量を制御することにより、ネットワーク管理者は少数のアプリケーションやユーザが利用可能な帯域幅すべてを消費することを防げます。 異なるネットワーク トラフィックに割り当てられた帯域幅のバランスをとり、そしてトラフィックに優先順位を付けることで、ネットワークのパフォーマンスを向上できます。 UTM の帯域幅管理は、 8 つの優先順位キュー (0 から 7 または、リアルタイムから最低) を提供します。
3 種類の帯域幅管理が利用可能です。
帯域幅管理があるインターフェースで有効になっている場合、そのインターフェースの双方向トラフィックのすべてが管理されます。 リンク速度が 100 Mbps のインターフェースに対するこれら 3 つの帯域幅管理種別それぞれの 3 つの例を考えてみます。
1.・ 既定では、それらのトラフィック種別は、中 (4) 優先順位キューに送信されます。 このキューは既定では保証が 50% で、最大が 100% です。
・ これらの値は、グローバル帯域幅管理が有効に設定されているポリシーが無しで、累積的なリンク能力が 10 Mbps であることを意味します。
補足 各帯域幅管理ルールは、パケットのキューイングにメモリを消費するため、装置上で許可される帯域幅管理ルールは合計 100 個に制限されています。
ファイアウォール設定 > 帯域幅管理 の設定
帯域幅管理は、まず最初に 「ファイアウォール設定 > 帯域幅管理」 ページで帯域幅管理種別を設定してから、インターフェース上で帯域幅管理を有効にして、そのインターフェースの受信および送信トラフィックに対して利用可能な帯域幅を割り当てることにより動作します。
それから、ネットワーク トラフィックの各クラスに対して、ファイアウォール アクセス ルールまたはアプリケーション ポリシーを追加して、特定のトラフィックに対して必要な保証および最大帯域幅を設定することで、個別の制限を割り当てます。 ネットワーク トラフィックにより高い優先順位を割り当てることで、Telnet のような短い応答時間が必要なアプリケーションを、FTP のような短い応答時間があまり必要とされないトラフィックより優先させることができます。
帯域幅管理の設定を見るには、「ファイアウォール設定 > 帯域幅管理」 ページに移動します。
このページは、以下の内容で構成されます。
補足 帯域幅管理が使いやすいように、SonicWALL によって既定値が設定されています。 特定の帯域幅のニーズを調査して、状況に応じてこのページに値を入力することを推奨します。
・ 帯域幅管理種別 オプション
・ WAN - WAN ゾーンのみがサービスに対する保証および最大帯域幅の割り当てと、トラフィックの優先順位付けが可能です。
・ グローバル - すべてのゾーンでサービスに対する保証および最大帯域幅の割り当てと、トラフィックの優先順位付けが可能です。
・ なし - (既定) 帯域幅管理は無効です
補足 帯域幅管理種別をグローバルから WAN に変更すると、すべてのアプリケーション ルール ポリシーで使われている既定の帯域幅管理動作は、変更前に設定されていた優先順位に関係なく自動的に「WAN帯域幅管理 - 中」に変換されます。種別をWANからグローバルに変更すると、既定の帯域幅管理動作は 「帯域幅管理グローバル - 中」 に変換されます。 種別を往復して変更した場合は、ファイアウォールは以前の動作優先種別を記憶していません。 「ファイアウォール > アプリケーション ルール」 ページでこの変換を参照できます。
・ 優先順位 列 - 優先順位番号と名前を表示します。
・ 有効 チェックボックス - チェックすると、その優先順位キューが有効になります。
・ 保証および最大/バースト テキスト フィールド - 保証および最大/バースト速度を有効にします。 この速度を反映するには、対応する 「有効」 チェックボックスがチェックされている必要があります。 これらの速度はパーセンテージで認識されます。 インターフェースに設定された帯域幅は、最終的な値の計算に使われます。 すべての保証帯域の合計は、100% を超えられず、保証帯域は、キュー毎の最大帯域幅より大きくできません。
補足 このページの既定の設定は、事前定義された保証帯域と最大帯域と 3 つの優先順位で構成されています。 中優先順位は、この優先順位キューが帯域幅管理が有効なポリシーによって管理されていないすべてのトラフィックに対して既定で使われるために、最高の保証値を持ちます。
帯域幅管理の設定方法
帯域幅管理は以下の方法を使って設定できます。
補足 このセクションでは、帯域幅管理種別としてグローバル帯域幅管理を使用します (「ファイアウォール設定 > 帯域幅管理」)。
インターフェースの設定
インターフェース毎の帯域幅管理を設定するには、以下の手順に従います。
「インターフェースの設定」 ダイアログが表示されます。
補足 帯域幅管理種別 WAN を使っている場合、WAN インターフェースの帯域幅管理しか有効にできません。 種別:なしを使っている場合は、受信および送信帯域幅を設定できません。
ファイアウォール アクセス ルールの設定
それぞれのファイアウォール ルールに対して帯域幅管理を設定できます。この方法は、帯域幅管理を適用する方向を設定して、優先順位キューを設定します。
ファイアウォール ルールに対して帯域幅管理を設定するには、以下の手順に従います。
「ルールの編集」 ダイアログの 「一般」 タブが表示されます。
補足 すべての優先順位 (リアルタイム - 最低) が、すべてが設定されているかどうかに関わらず表示されます。 どの優先順位が有効かを確認するには、「ファイアウォール設定 > 帯域幅管理」 ページを参照します。 帯域幅管理種別がグローバルに設定されていて、有効になっていない帯域幅優先順位を選択した場合は、トラフィックは自動的に優先順位 4 (中) にマップされます。 帯域幅管理種別がWANの場合は、既定の優先順位は 7 (低) です。
アプリケーション ルールの設定
アプリケーション層帯域幅管理を利用すると、プロトコル内の特定のファイル タイプに対しては帯域幅の消費を制限する一方で、それ以外のファイル タイプに対しては帯域幅を無制限に使用するポリシーを作成できます。 これにより、同じプロトコル内で好ましいトラフィックと好ましくないトラフィックを区別できます。 アプリケーション層帯域幅管理は、すべてのアプリケーション一致や、HTTPクライアント、HTTPサーバ、個別、およびFTPファイル転送の種別を使用する個別アプリケーション ルール ポリシーでサポートされます。 アプリケーション ルールの詳細については、「アプリケーション ルール ポリシーの設定」 を参照してください。
補足 帯域幅管理を使うアプリケーション制御ポリシーを設定する前に、帯域幅管理設定を構成するのが最良の方法です。
インターフェース上で帯域幅管理を有効にした後で、「ファイアウォール > アプリケーション ルール」 ページ上の特定のアプリケーションに対して帯域幅管理を設定できます。
特定のアプリケーションに対して帯域幅管理を設定するには、以下の手順に従います。
補足 すべての優先順位 (リアルタイム - 最低) が、すべてが設定されているかどうかに関わらず表示されます。 どの優先順位が有効かを確認するには、「ファイアウォール設定 > 帯域幅管理」 ページを参照します。 帯域幅管理種別がグローバルに設定されていて、有効になっていない帯域幅優先順位を選択した場合は、トラフィックは自動的に中優先順位 (既定) にマップされます。
アプリケーション ルール ページに戻ったときに、変更が反映されます。
帯域幅管理動作オブジェクトとは
動作オブジェクトは、一致イベントに対するアプリケーション ルール ポリシーの動作を定義します。 動作をカスタマイズするか、あらかじめ定義されている既定の動作のうちの1つを選択できます。 あらかじめ定義されている動作は、アプリケーション ルール ページでポリシーを追加または編集する際にアプリケーション制御ポリシー設定ページに表示されます。
個別帯域幅管理動作は既定の帯域幅管理動作と異なる振舞いをします。 個別帯域幅管理動作は、「ファイアウォール > 動作オブジェクト」 ページで新しい動作オブジェクトを追加して、帯域幅管理動作種別を選択することによって設定されます。 それらを使う個別帯域幅管理動作とポリシーは、帯域幅管理種別がグローバルから WAN に、また WAN からグローバルに変更された際に優先順位を維持します。
多くの帯域幅管理動作オプションも、あらかじめ定義された既定の動作リストで利用可能です。 この帯域幅管理動作オプションは、「ファイアウォール > 帯域幅管理」 ページの 「帯域幅管理種別」 設定に応じて変化します。 「帯域幅管理種別」 が 「グローバル」 に設定されている場合は、帯域幅管理の8つの優先順位すべてが利用可能です。 「帯域幅管理種別」 が 「WAN」 に設定されている場合は、あらかじめ定義されている動作リストは、WAN帯域幅管理の3つの優先順位を含みます。 帯域幅管理動作の詳細については、「帯域幅管理を用いた動作」セクション を参照してください。
以下の表は、ポリシー追加時に利用可能なあらかじめ定義されている既定の動作を示します。
新しい帯域幅管理動作またはポリシーの作成
あらかじめ定義されている帯域幅管理動作やポリシーを使いたくない場合は、要求に合致する新しいものを作成するオプションがあります。
新しい帯域幅管理動作またはポリシーを作成するには、以下の手順に従います。
「動作オブジェクトの追加/編集」 画面が表示されます。
・ 動作名フィールド: ポリシーの名前を入力します。
・ 動作ドロップダウン: 「帯域幅管理」 を選択します。
・ 「送信帯域幅管理を有効にする」チェックボックスを選択して、帯域幅優先順位を選択します。
・ 「受信帯域幅管理を有効にする」チェックボックスを選択して、帯域幅優先順位を選択します。
「ファイアウォール > 帯域幅管理」 ページで帯域幅管理種別を 「WAN」 に設定している場合、画面には 帯域幅管理種別を 「グローバル」 に設定されている場合には表示されない、以下のオプションが表示されます。
・ 帯域幅統合方式
・ 保証された帯域幅
・ 最大帯域幅
・ 帯域幅使用状況のトラッキングを有効にする
帯域幅管理種別が WAN の場合、これらのオプションの設定は、以下の手順に含まれます。
補足 すべての優先順位 (0 - 7) が、すべてが設定されているかどうかに関わらず表示されます。 どの優先順位が有効かを確認するには、「ファイアウォール設定 > 帯域幅管理」 ページを参照します。 有効になっていない帯域幅優先順位を選択した場合は、トラフィックは自動的に中優先順位 (既定) にマップされます。
・ ポリシーごと - 複数のポリシーが同じ帯域幅管理動作を使用している場合、それぞれのポリシーが同時にアクティブになっていても設定された帯域幅を各ポリシーで使用できます。
・ 動作ごと - 複数のポリシーが同じ帯域幅管理動作を使用していて、それぞれのポリシーが同時にアクティブになっている場合、すべてのポリシーの合計帯域幅が設定値に制限されます。
・ 送信帯域幅を管理するには、「送信帯域幅管理を有効にする」チェックボックスをオンにします。
・ 受信帯域幅を管理するには、「受信帯域幅管理を有効にする」チェックボックスをオンにします。
帯域幅を保証するのではなく速度制限を行うためにこの個別動作を使用する場合は、「保証された帯域幅」フィールドを変更する必要はありません。
速度制限を行うのではなく帯域幅を保証するためにこの個別動作を使用する場合は、「最大帯域幅」フィールドを変更する必要はありません。
最終的な動作は、「動作オブジェクト」画面で確認できます。
アプリケーション フロー監視の設定
帯域幅管理は、「アプリケーション フロー監視」 ページからも、サービス種別アプリケーションかシグネチャ種別アプリケーションを選択してから 「ルールの作成」 ボタンを選択することで設定できます。 利用可能な帯域幅管理オプションは、「ファイアウォール設定 > 帯域幅管理」 ページのグローバル優先順位キュー テーブル内の有効な優先順位に依存します。 この有効な優先順位は既定では、高、中、低です。
補足 進める前に、SonicWALL アプリケーション可視化を有効にしておく必要があります。
アプリケーション フロー監視を使って帯域幅管理を設定するには、以下の手順に従います。
補足 標準アプリケーションは選択できません。 サービス種別アプリケーションとシグネチャ種別アプリケーションは、単一ルール内に混在できません。
補足 サービス ベースのアプリケーションに対してルールを作成すると、ファイアウォール アクセス ルールが作成され、シグネチャ ベースのアプリケーションに対してルールを作成すると、アプリケーション制御ポリシーが作成されます。
「ルールの作成」 ポップアップが表示されます。
確認のポップアップが表示されます。
補足 サービス ベースのアプリケーションに対しては、新しいルールはコメント列のピンと、サービス列の接頭辞 ‾services=<サービス名> で識別されます。 例えば、‾services=NTP&t=1306361297 です。
補足 シグネチャ ベースのアプリケーションに対しては、新しいルールは名前列の接頭辞 ‾BWM_グローバル-<優先順位>=‾catname=<アプリケーション名> とオブジェクト列の接頭辞 ‾catname=<アプリケーション名>で識別されます。
用語集
・ 帯域幅管理 (BWM) - トラフィックのシェイピングやポリシングを行うために使用されるさまざまなアルゴリズムあるいは手法を指します。シェイピングは、送信トラフィックを管理することを表します。ポリシングとは、受信トラフィックを管理することを表します (受付制御とも呼ばれます)。帯域幅管理には、さまざまなキューイングおよび破棄手法を含め、それぞれ独自の設計上の長所を持つ多くの異なる方式があります。SonicWALLでは、特定のタイプの受信トラフィックに対する破棄手法に加え、受信および送信BWM用にトークン ベース、等級ベースのキューイング方式を採用しています。
・ 保証された帯域幅 - ある等級のトラフィックに常に与えられる、インターフェース上で利用可能な合計帯域幅に対して宣言された割合です。受信BWMと送信BWMの両方に適用されます。すべてのBWMルールにおける保証された帯域幅の合計は、利用可能な帯域幅の合計の100%を超過することはできません。SonicOS5.0以降では、帯域幅管理機能を拡張して速度制限機能が提供されます。第2層、3層、または4層ネットワーク トラフィックの最大速度を指定するトラフィック ポリシーを作成できます。これにより、プライマリWANリンクが大量のトラフィックを処理できないバックアップ接続にフェイルオーバーする場合の帯域幅管理が可能になります。「保証された帯域幅」は0%に設定することもできます。
・ 受信 (イングレス) - 特定のインターフェースに入るトラフィックの速度のシェイピングを行う機能です。TCPトラフィックに対しては、送信の承認 (ACK) を遅らせ、送信元での速度を遅くさせることで、受信フローの速度を調整可能にして、実際のシェイピングを行うことができます。UDPトラフィックの場合、UDPにはネイティブなフィードバック制御がないので、破棄手法が使用されます。
・ 最大帯域幅 - ある等級のトラフィックに許可される最大帯域幅を定義する、インターフェース上で利用可能な合計帯域幅に対して宣言された割合です。受信BWMと送信BWMの両方に適用されます。帯域幅の速度制限を指定する調整メカニズムとして使用されます。帯域幅管理機能が拡張され、速度制限機能が使用できます。第2層、3層、または4層ネットワーク トラフィックの最大速度を指定するトラフィック ポリシーを作成できます。これにより、プライマリWANリンクが大量のトラフィックを処理できないバックアップ接続にフェイルオーバーする場合の帯域幅管理が可能になります。「最大帯域幅」は0%に設定することもできます。その場合、すべてのトラフィックが遮断されます。
・ 送信 (イーグレス) - インターフェースからトラフィックを送出する速度を制限することです。送信BWMでは、8つの優先順位キューを持つクレジット (またはトークン) ベースのキューイング システムを使用して、アクセス ルールによって分類される異なるタイプのトラフィックを処理します。
・ 優先順位 - トラフィックの分類で使用される追加要素です。SonicOSでは、8つの優先順位 (0=リアルタイム、7=最低) を使用して、BWMに使用されるキュー構造を構成しています。キューは、優先順位の順序で処理されます。
・ キューイング - リンク上の利用可能な帯域幅を効果的に使用できるようにします。キューは一般的に、トラフィックを分類した後に、並べ替えのため、および個別に管理するために使われます。