Firewall_qosSettings
QoS (Quality of Service: サービス品質) とは、予測可能なネットワークの動作と性能を提供することを目的とした多様な方式を指します。この予測可能な性質は、VoIP (Voice over IP)、マルチメディア コンテンツ、発注システムやクレジット カード決済システムなどの重要な商用アプリケーションなどの特定の種類のアプリケーションにとって、きわめて重要です。この種類の予測可能性は、帯域幅量の調整では実現されません。 なぜなら、ネットワークにおいては帯域幅をどんなに増やしても任意の時点でその容量まで使い果たされる結果になるためです。QoS を正しく設定し実装することによってのみ、トラフィックを適切に管理し、望ましいレベルのネットワーク サービスを保証することが可能になります。
このセクションは、次のサブセクションから構成されています。
• 分類
• 級割
• 制限
分類は、管理の必要なトラフィックを識別するための最初の手順として必要です。SonicOS では、トラフィックを分類するためのインターフェースとして、アクセス ルールを使用します。これにより、アドレス オブジェクト、サービス オブジェクト、スケジュール オブジェクトの要素の組み合わせを使用した、きめの細かい制御が提供されます。分類基準は、"すべての HTTP トラフィック" のように大まかに設定することも、"毎週水曜日午前 2:12 のホスト A からサーバ B への SSH トラフィック" のように詳細に設定することもできます。
Dell SonicWALL ネットワーク セキュリティ装置では、業界標準の外部の CoS 識別子、DSCP、802.1p を認識、割付、編集、生成することができます (802.1p と DSCP QoSを参照してください)。
一旦識別または分類されると、管理可能になります。管理は、ネットワークが完全な自律システムである限り、完璧に効果的な SonicOS の帯域幅管理 (BWM) により内部的に実行されます。未知の構成の外部ネットワーク基盤、または、帯域幅を争う他のホスト (例えば、インターネット) などのような、外部または中間の要素と一旦遭遇すると、保証と予測を提供する能力は低下します。言い換えれば、ネットワークのエンドポイントとその間にあるものがすべて管理内にある限りは、BWM は設定した通りに動作します。一旦外部の要素が持ち込まれると、BWM の精度と有効性は低下し始めます。
しかし、すべてが失われるわけではありません。SonicOS でトラフィックを分類する場合、トラフィックにタグを付けることができます。この分類を CoS タグによって保持することができる特定の外部システムに通知することで、これらの外部システムも QoS の提供に関与することができます。
補足 多くのサービス プロバイダは、802.1p や DSCP などの CoS タグをサポートしていません。また、標準的な設定のほとんどのネットワーク機器は、802.1p タグを認識できずに、タグ付けされたトラフィックを破棄します。
DSCP は互換性の問題を発生しませんが、多くのサービス プロバイダは、コード ポイントに関係なく、DSCP タグを単に取り除くか、無視します。
会社のネットワークまたはサービス プロバイダのネットワーク上で 802.1p または DSCP 級割を使用する場合は、これらの方式がサポートされていることを最初に確認する必要があります。内部ネットワーク機器が CoS 優先級割をサポートできること、およびこのサポートを提供するために正しく設定されていることを確認します。サービス プロバイダに確認します (CoS 方式を使用したQoS サポートを有償で提供しているところもあります)。
トラフィックを分類した後、QoS 対応外部システム (例えば、プレミアム サービス プロバイダの基盤かプライベート WAN 上で利用可能な、CoS 対応のスイッチやルータ) により処理されることになっている場合、トラフィックにタグを付けて、外部システムが分類を利用して適切な処理とホップ単位動作 (PHB) を提供できるようにする必要があります。
元々、これは RFC791 の 3 つの優先順位ビットと RFC1394 の ToS (サービス タイプ) フィールドとともに IP 層 (第 3 層) で試みられました。 これは、歴史を通じて、総勢 17 名が使用しました。後継の RFC2474 では、より実用的で広範囲にわたって使用することのできる、64 個までの分類とユーザ定義等級を提供する DSCP (Differentiated Services Code Point) が採用されています。DSCP は、RFC2598 (専用線の動作を提供するための緊急転送) と RFC2697 (等級内部での保証転送レベル。 金、銀、銅レベルとしても知られている) によりさらに拡張されました。
DSCP は、非互換の危険性がないので、パブリック ネットワークを通過するトラフィックのための安全な級割方式です。最悪の場合、パスに沿ったホップでは、DSCP タグが無視されるか除去される可柏ォがありますが、パケットの誤処理や破棄はほとんど発生しません。
CoS 級割のもう 1 つの一般的な方式は、IEEE802.1p です。802.1p は、MAC 層 (第 2 層) で動作し、実際には IEEE 802.1D 標準で定義されていますが、(同じ 16 ビット フィールドを共有して) IEEE 802.1Q VLAN 級割と密接に関連しています。DSCP とは異なり、802.1p は、802.1p 対応機器でのみ動作し、広く相互利用が可能であるわけではありません。さらに、802.1p は異なるパケット構造を持つので、広域ネットワークや、プライベート WAN をほとんど通過できません。それでもなお、802.1p は、ボイスやビデオ オーバー IP ベンダーの間で、幅広い支持を得ています。そこで、ネットワークの境界 (例えば、WAN リンク) を横断する 802.1p をサポートするためのソリューションが、802.1p を DSCP へ割り付ける形で導入されました。
802.1p の DSCP への割付では、パケットが安全に WAN リンクを通過できるようにするために、ある LAN からの 802.1p タグが SonicOS によって DSCP の値に割り付けられます。パケットがWAN または VPN の反対側に到着すると、受信側 SonicOS 装置により、DSCP タグが LAN で使用するために 802.1p タグに戻されます。詳細については、802.1p と DSCP QoSを参照してください。
トラフィックは、利用可能な多くのポリシング、キューイング、シェイピングのどれかを使用して、制限 (管理) することができます。SonicOS は、帯域幅管理に詳しく説明されている、送信および受信帯域幅管理 (BWM) による内部的な制限機能を提供します。SonicOSの BWM は、十分な帯域幅を持つ完全な自律プライベート ネットワークにとって完璧に効果的なソリューションですが、より未知の外部ネットワーク要素や、帯域幅の競合に遭遇した場合に、効果的でなくなることがあります。競合の問題についての詳細は、サンプル シナリオの「サンプル シナリオ」を参照してください。
QoS 対応ネットワークでのサイト間 VPN
2 つのエンド ポイント間のネットワーク パスが QoS に対応している場合、SonicOS は、内部カプセル化パケットがトンネルの反対側で正常に解釈されるように DSCP タグを付けてることができます。 さらに、外部 ESP カプセル化パケットに DSCP タグを付けて、通過ネットワークの各ホップでその等級が解釈および適用されるようにできるようにすることもできます。SonicOS は、通過ネットワークを安全に通過できるように、内部ネットワークで作成された 802.1p タグを DSCP タグに割り当てることができます。パケットが反対側に到着すると、受信側 SonicWALL 装置は、DSCP タグを内部ネットワークで解釈および適用できるように 802.1p タグに逆変換できます。
パブリック ネットワークでのサイト間 VPN
SonicOS 統合 BWM は、両方のエンド ポイントで受信トラフィックと送信トラフィックを分類および制御できるので、VPN 接続ネットワーク間のトラフィックを管理するのに非常に効果的です。エンド ポイント間のネットワークが QoS に対応していない場合、すべての VPN ESP は等しく認識および処理されます。通常、これらの中間ネットワークまたはそのパスに対する制御は行われないため、QoS を完全に保証することは困難ですが、より予測可能な動作を提供するのに役立ちます。
エンド ツー エンド QoS を提供するために、ビジネス クラスのサービス プロバイダは、彼らの IP ネットワーク上でトラフィックの制限サービスを提供するようになりました。通常、これらのサービスは、トラフィックの分類およびタグ付けに関して顧客の設備に依存します (一般に、DSCP などの標準の級割方式を使用します)。SonicOS は、分類後にトラフィックを DSCP 級割する機能に加え、外部ネットワークの横断と CoS の維持を可能にするための、802.1p タグを DSCP タグに割り付ける機能を備えています。VPN トラフィックの場合、SonicOS は、内部 (ペイロード) パケットだけでなく、外部 (カプセル化) パケットも同様に DSCP 級割できます。 これにより、QoS 対応サービス プロバイダは、暗号化された VPN トラフィックに対しても QoS を提供できます。
サービス プロバイダによって採用されている実際の制限方式は各種ありますが、一般的に、トラフィックに優先順位を付けるための重み付け公平キューイング (WFQ) のような等級をベースとしたキューイング方式や、テール ドロップやランダム初期検知などの輻輳を回避する方式が使用されています。
以下のセクションでは、802.1p 標準と DSCP QoS について詳しく説明します。
SonicOS では、QoS に対応する環境に参加している外部システムとの広い範囲での相互運用性を実現するために、第 2 層と第 3 層 CoS 方式をサポートしています。第 2 層の方式は、下図に示すように、フレームの優先順位を指定するために、イーサネット フレームのヘッダーに挿入された追加の 16 ビットのうちの 3 ビットを用いることのできる、IEEE 802.1p 標準です。
.
• TPID:TPID (Tag Protocol Identifier) は、バイト 12 から始まります (6 バイトの宛先アドレスと送信元アドレスの後)。2 バイトの長さで、タグ付けされたトラフィックは 0x8100 の Ethertype を持ちます。
• 802.1p:TCI (タグ制御情報 - バイト 14 から始まり、2 バイトの長さ) の最初の 3 ビットは、ユーザ優先順位を定義します (8 つ (2 の 3 乗) の優先順位レベルを与えます)。IEEE 802.1p では、これらの 3 ビットのユーザ優先順位の処理を定義しています。
• CFI:CFI (Canonical Format Indicator) は、単一ビットフラグで、イーサネット スイッチの場合は常に 0 に設定されます。CFI は、イーサネット ネットワークとトークン リング ネットワークの間の互換性のために使用されます。イーサネット ポートで受信されたフレームの CFI が 1 に設定されている場合、そのフレームは、タグ付けされていないポート用なので転送してはいけません。
• VLAN ID:VLAN ID (バイト 14 のビット 5 から始まる) は、VLAN の ID です。12 ビットあり、4,096 (2 の 12 乗) の VLAN ID を表現することができます。4,096 の ID のうち、ID 0 が優先順位フレームの識別に使用され、ID4,095 (FFF) が予約されているので、最大 4,094 の VLAN を設定できます。
802.1p のサポートは、802.1p タグを処理するインターフェース上で 802.1p 級割を有効にすることにより開始されます。802.1p は、SonicWALL 装置の任意のイーサネット インターフェースで有効にすることができます。
これらのタグの内部の 802.1p フィールドの動作は、アクセス ルールで制御することができます。既定の 802.1p アクセス ルールの「なし」は、特に指定しない限り、既存の 802.1p タグを 0 にリセットします (詳細は、QoS 級割の管理を参照)。
802.1p 級割を有効化すると、802.1p 対応ネットワーク機器により生成された着信 802.1p タグをターゲット インターフェースが認識できるようになり、また、アクセス ルールによる制御としてターゲット インターフェースが 802.1p タグを生成することが可能になります。SonicOS により挿入された802.1p タグを持つフレームは、VLAN ID 0 を運びます。
802.1p タグは、アクセス ルールに従って挿入されるだけなので、インターフェース上で既定の設定で802.1p 級割を有効にしても、802.1p 非対応機器との通信は中断されません。
802.1p の場合、この優先順位付け方式を使用したいネットワーク機器による特定のサポートを必要とします。多くのボイスおよびビデオ オーバー IP 機器は、802.1p のサポートを提供していますが、機能‧L効化する必要があります。不確かな場合には、802.1p のサポートについて、装置の説明書を確認してください。同様に、多くのサーバとホストのネットワーク カード (NIC) は 802.1p をサポートする機能を持ちますが、通常この機能は既定で無効になっています。Win32 オペレーティング システムの場合、ネットワーク カードの「プロパティ」ページの「詳細設定」タブで 802.1p の設定を確認および設定することができます。カードが 802.1p をサポートしている場合、「802.1p QoS」、「802.1p Support」、「802.1p QoS Packet Tagging」のような項目が表示されます。
802.1p タグを処理するためには、ネットワーク インターフェースで機能が存在し有効にされている必要があります。これにより、ネットワーク インターフェースは、QoS 対応アプリケーションにより制御され、802.1p タグ付きのパケットを生成できます。既定では、一般的なネットワーク通信では、802.1p 非対応機器との互換性を維持するためにタグは挿入されません。
補足 802.1p をサポートしていないネットワーク インターフェースは、802.1p のタグ付けされたトラフィックを処理できず、無視します。802.1p 級割を有効にするためのアクセス ルールを定義する場合は、ターゲット機器が 802.1p に対応することを確認してください。
また、(Ethereal 診断ツールを使用して) 802.1p 対応機器上でパケット キャプチャを行う場合は、いくつかの 802.1p 対応機器でパケット キャプチャ内で 802.1p ヘッダーが表示されないことがある点にも注意してください。逆に言えば、802.1p 非対応機器上でパケット キャプチャを行うと、ほとんど例外なくヘッダーが表示されますが、ホストはパケットを処理することができなくなります。
QoS 級割方式と DSCP 級割方式の間には潜在的な相互依存があるので、QoS 級割の管理に進む前に、'DSCP 級割' について紹介し、相互依存が存在する理由について説明します。
上記シナリオには、IPSec VPN により 'メイン サイト' に接続されたリモート サイト 1 があります。この企業は、プライベート VoIP シグナリング サーバをメイン サイトに配置して、内部で 802.1p/DSCP 対応 VoIP 電話システムを使用しています。メイン サイトでは、ギガビットとファースト イーサネットの混合した基盤を使用しています。 一方、リモート サイト 1 では、すべてファースト イーサネットを使用しています。内部トラフィックの優先順位付けのために、両方のサイトで 802.1p 対応スイッチが使用されています。
1. リモート サイト 1 の PC-1 は、23 テラバイトのパワーポイント プレゼンテーションをファイル サーバ 1 へ送信しており、ワークグループ スイッチと上流スイッチとの間の 100 Mbps のリンクは完全に飽和状態になっています。
2. : メイン サイトで、802.1p/DSCP 対応 VoIP 電話 (10.50.165.200) のユーザが、VoIP 電話 (192.168.168.200) のユーザに電話をかけます。呼び出し元の VoIP 電話の 802.1p によりトラフィックに優先順位タグ 6 (音声) が付けられ、また、DSCP によりトラフィックに 48 のタグが付けられます。
a. コア スイッチとファイアウォールの間のリンクが VLAN の場合、スイッチによっては、ファイアウォールへ送信されるパケット内に、受信した 802.1p 優先順位タグを DSCP タグに加えて含めるものがあります (この動作はスイッチによって異なり、設定が可能な場合もあります)。
b. コア スイッチとファイアウォールの間のリンクが VLAN でない場合、スイッチが 802.1p 優先順位タグを含める方法はありません。802.1p 優先順位は削除され、(DSCP タグのみを含む) パケットがファイアウォールに転送されます。
VPN/WAN リンクを経由してパケットを送信する場合、ファイアウォールでパケット内に DSCPタグを含めることができますが、802.1p タグを含めることはできません。これは、VoIP トラフィックのすべての優先順位情報を失う結果となります。 なぜならば、パケットがリモート サイトに到着した際に、トラフィックの優先順位付けを行うための 802.1p MAC 層情報をスイッチが持たないからです。リモート サイト スイッチは、VoIP トラフィックを低優先順位のファイル転送と同じと見なします。 リンクが飽和状態のため、VoIP フローは遅延し (パケットが破棄される場合もあります)、音質の低下を招く結果となります。
では、メイン サイト LAN からの重要な 802.1p 優先順位情報を VPN/WAN リンクを横断してリモート サイト LAN へと引き継ぐにはどうしたらよいのでしょうか。それには、QoS 割付を使用します。
QoS 割付は、第 2 層の 802.1p タグを第 3 層の DSCP タグに変換して、(割り付けられた形式で) 802.1p タグが 802.1p 非対応リンクを安全に横断できるようにする機能です。 パケットが配送のために次の 802.1p 対応セグメントに到着すると、QoS 割付機能により、DSCP が元の802.1p タグに変換され、第 2 層 QoS が利用できるようになります。
上記のシナリオでは、メイン サイトのファイアウォールで DSCP タグ (例えば、値 48) を VoIP パケットとカプセル化 ESP パケットに割り当てて、WAN にわたって第 3 層 QoS を適用します。この割り当ては、既存の DSCP タグを維持すること、または、802.1p タグから値を割り付けることにより発生します。VoIP パケットがリンクの反対側に到着すると、受信側 SonicWALL によって逆の割付処理が行われます。 すなわち、DSCP タグが元の 802.1p タグに割り付けられます。
3. リモート サイトの受信側 SonicWALL は、DSCP タグ範囲 48~55 を 802.1p タグ 6 に割り付けるように設定されています。SonicWALL から発信されるパケットは、802.1p タグ 6 を運びます。スイッチは、それが音声トラフィックであると認識し、ファイル転送よりも優先して、リンクが飽和した場合でも QoS を保証します。
DSCP (Differentiated Services Code Point) 級割では、IP ヘッダー内の 8 ビットの ToS フィールドのうちの 6 ビットを使用して、最大 64 のトラフィックの等級 (またはコード ポイント) を提供します。DSCP は第 3 層の級割方式なので、802.1p の級割であったような互換性についての心配はありません。DSCP をサポートしていない機器では単にタグが無視されます。 最悪の場合でも、タグの値が 0 にリセットされるだけです。
上図は、IP パケットと、ヘッダーの ToS 部分を拡大した図です。ToS ビットは、元々は優先順位とToS (遅延、スループット、信頼性、コスト) 設定のために使用されていましたが、その後、より多用途の DSCP 設定用に RFC2474 で再定義されました。
以下の表に、一般的に使用されているコード ポイントと、従来の優先順位および ToS 設定に対する割り当てを示します。
|
DSCP 級割は、すべてのインターフェースの発着信トラフィックに対して、ゾーンのタイプを問わず、例外なく実行することができます。DSCP 級割は、「QoS」タブのアクセス ルールで制御され、802.1p 級割と併用して使用できます。 また、SonicOS 内部の帯域幅管理でも使用されます。
DSCP 級割と混在 VPN トラフィック
数ある安全対策と特性の中で、IPSec VPN では、ESP ヘッダーに追加される単調に増加するシーケンス番号に基づくアンチリプレイ機構を採用しました。シーケンス番号が重複するパケットは、シーケンス基準を満たさないという理由で破棄されます。このような基準の 1 つは、到着順序の異なるパケットの処理を管理します。SonicOS では、64 パケット分のリプレイ ウィンドウが提供されます。 すなわち、Security Association (SA) の ESP パケットが 64 パケットを超えて遅延した場合、パケットは破棄されます。
DSCP 級割を使用して VPN を横断するトラフィックに第 3 層 QoS を提供する場合は、この点を考慮する必要があります。さまざまなトラフィックが転送されている VPN トンネルがあるとします。 高優先順位の DSCP タグが付けられたトラフィック (例えば、VoIP)、低優先順位の DSCP タグが付けられたトラフィック、タグを付けられていないトラフィック、最大努力型 (例えば、FTP) の DSCP タグが付けられたトラフィックが混在する場合、サービス プロバイダは、最大努力型の ESP パケットよりも、高優先順位の ESP パケットの処理と配送を最も優先します。その結果、トラフィックの条件によっては、最大努力型のパケットが 64 パケットを超えて遅延し、受信側の SonicWALL のアンチリプレイ防御によりパケットが破棄される場合があります。
そのような現象が発生する場合 (例えば、低優先順位のトラフィックの過度の再送が発生する場合) は、高優先順位と低優先順位のトラフィック用に別個の VPN ポリシーを作成することをお勧めします。これを簡単に実現するには、高優先順位のホスト (例えば、VoIP ネットワーク) を、それら自身のサブネットに配置します。
802.1p CoS 4 の負荷制御型の設定
DSCP タグ 15 を既定の 802.1p 割付の 1 から 802.1p 割付の 2 に変更する場合、割付範囲は重複できないので、2 つの手順が必要です。範囲を重複して割付を行おうとすると、「DSCP 範囲は、既に存在するか、他の範囲と重複しています。」というエラーが発生します。最初に、802.1p CoS 1 に対する現在の終了範囲割付から 15 を削除し (802.1p CoS 1 の終了範囲割付を DSCP 14 に変更し)、次に 802.1p CoS 2 の開始範囲割付に DSCP 15 を割り当てます。
QoS 割付
QoS 割付の第 1 の目的は、WAN リンクを経由する送信の前に 802.1p タグと対応する DSCP タグを割り付け、リンクの反対側に到着したときに DSCP から 802.1p に割り付け戻すことにより、802.1p 非対応リンクを横断して 802.1p タグを維持できるようにすることにあります。
補足 割付は、アクセス ルールの「QoS」タブの方針として、「参照」を割り当てるまで行われません。割付テーブルは、アクセス ルールの参照の方針によって使用される対応を定義しているだけです。
例えば、既定のテーブルに従った場合、値が 2 の 802.1p タグは、発信用に 16 という DSCP 値が割り当てられ、値が 43 の DSCP タグは、着信用に 5 という 802.1p 値が割り当てられます。
これらの割付は再設定できます。802.1p タグ 4 の発信割付を既定の DSCP 値の 32 から 43 に変更したい場合、「4 - 負荷制御型」の「設定」アイコンを選択し、ドロップダウン ボックスから新しい「変換先 DSCP」の値を選択します。
「QoS 設定の初期化」ボタンを選択することにより、既定の割付に戻すことができます。
QoS 級割は、管理インターフェースの「ファイアウォール > アクセス ルール」ページのアクセス ルールの「QoS」タブで設定します。SonicOS のアクセス ルールで管理される 802.1p と DSCP 級割では、「なし」、「維持」、「指定」、「参照」の 4 つの方針が提供されます。DSCP の既定の方針は「維持」で、802.1p の既定の方針は「なし」です。
次の表に、両方の級割方式での各方針の動作について説明します。
|
ここで、両方向の DSCP タグの方針を提供する次の例を見てください。
192.168.168.100 上のウェブ ブラウザから 10.50.165.2 上のウェブ サーバに対して HTTP アクセスを行うと、内部 (ペイロード) パケットと外部 (カプセル化 ESP) パケットに DSCP 値 8 のタグが付けられます。パケットがトンネルの反対側から出て、10.50.165.2 にへ配送されるとき、DSCP タグ値 8 が使用されます。10.50.165.2 からトンネル経由で応答パケットを (最初の SYN/ACKパケットから) 192.168.168.100 に送り返すとき、アクセス ルールにより、192.168.168.100 に配送される応答パケットに DSCP 値 8 のタグが付けられます。
この動作は、DSCP と 802.1p 級割の 4 つの QoS 方針設定のすべてに適用されます。
この動作の 1 つの実用的な応用例として、VPN ゾーン宛てのトラフィックに対する 802.1p 級割ルールの設定があります。VPN を横断して 802.1p タグを送信することはできませんが、VPN を横断して返された応答パケットに対して、トンネルからの出口で 802.1p タグを付けることができます。そのためには、物理的なイーグレス インターフェースで 802.1p のタグ付けを有効にし、ゾーンの「VPNアクセス ルール」で「なし」以外の 802.1p 級割方式を設定する必要があります。
関連するネットワーク機器の 802.1p との互換性を確認し、適用可能な SonicWALL インターフェース上で 802.1p 級割を有効にした後は、802.1p タグを管理するためにアクセス ルールの設定を開始できます。
次の図に示すように、"リモート サイト 1" ネットワークに対して 2 つのアクセス ルールを設定することができます。
| ||||||||||||||||||||||||||||||||||||||||||||||||
最初のアクセス ルール (管理 LAN の「VPN」) は、以下の効果を持ちます。
• : VPN 経由で LAN プライマリ サブネットからメイン サイトのサブネットに送信される、(サービス グループにより定義されている) VoIP トラフィックは、DSCP タグと 802.1p タグの両方について評価されます。
– : 「参照」に対する DSCP 級割方式と 802.1p 級割方式の組み合わせについては、QoS 級割の管理の表に説明しています。
– 送信されたトラフィックに 802.1p タグ (例えば、CoS=6) のみが含まれている場合、VPNへの内部 (ペイロード) パケットは、DSCP 値 48 でタグ付けられます。また、外部 (ESP) パケットも値 48 でタグ付けられます。
– メイン サイトの SonicWALL によって戻りのトラフィックに DSCP タグ (CoS=48) が付けられていると仮定した場合、出口において CoS=6 の 802.1p タグが戻りのトラフィックに付けられます。
– 送信されたトラフィックに DSCP タグ (例えば、CoS=48) のみが含まれている場合、DSCP値が内部と外部の両方のパケットで維持されます。
– メイン サイトの SonicWALL によって戻りのトラフィックに DSCP タグ (CoS=48) が付けられていると仮定した場合、出口において CoS=6 の 802.1p タグが戻りのトラフィックに付けられます。
– 送信されたトラフィックに 802.1p タグ (例えば、CoS=6) と DSCP タグ (例えば、CoS=63) の両方が含まれている場合、802.1p タグが優先され、それに応じて割付が行われます。VPN への内部 (ペイロード) パケットは、DSCP 値 48 でタグ付けられます。また、外部 (ESP) パケットも値 48 でタグ付けられます。
メイン サイトの SonicWALL によって戻りのトラフィックに DSCP タグ (CoS=48) が付けられていると仮定した場合、出口において CoS=6 の 802.1p タグが戻りのトラフィックに付けられます。
2 番目のアクセス ルール (「VPN > LAN」) の効果を調べるには、メイン サイトで設定されたアクセス ルールを確認します。
| ||||||||||||||||||||||||||||||||||||||||||||||||
VPN 経由でリモート サイト 1 サブネットからメイン サイトの LAN ゾーンの LAN サブネットに送信される、(サービスグループにより定義されている) VoIP トラフィックは、着信 VoIP 通話用のアクセス ルールに適合します。VPN ゾーンに到着したトラフィックには、802.1p タグはなく、DSCP タグだけが付けられています。
– DSCP タグ (例えば CoS=48) を含んでいるトンネルを出て行くトラフィックでは、DSCP 値が維持されます。LAN 上の目的地へパケットが配送される前に、メイン サイトの SonicWALLによって、「QoS 割付」設定 (例えば、CoS=6) に応じた 802.1p タグが付けられます。
– : メイン サイトで電話を受けている VoIP 電話によって戻りのトラフィックに 802.1p タグ (例えばCoS=6) が付けられていると仮定した場合、戻りのトラフィックでは、VPN を経由して送り返される内部と外部の両方のパケットにおいて、変換割付に従って DSCP タグ (CoS=48) が付けられます。
– メイン サイトで電話を受けている VoIP 電話によって戻りのトラフィックに DSCP タグ (例えばCoS=48) が付けられていると仮定した場合、戻りのトラフィックでは、VPN を経由して送り返される内部と外部の両方のパケットにおいて、DSCP タグが維持されます。
– : メイン サイトで電話を受けている VoIP 電話によって戻りのトラフィックに 802.1p タグ (例えばCoS=6) と DSCP タグ (例えば CoS=14) の両方が付けられていると仮定した場合、戻りのトラフィックでは、VPN を経由して送り返される内部と外部の両方のパケットにおいて、変換割付に従って DSCP タグ (CoS=48) が付けられます。
帯域幅管理 (BWM) の情報については、 ファイアウォール設定 > QoS 割付を参照してください。
• 802.1p - IEEE 802.1p は、802.1q ヘッダーの追加 16 ビット内の 3 つの優先順位ビット (合計 8 つの優先順位レベル) を使用してパケットのタグ付けを行う、第 2 層 (MAC 層) の CoS (Class of Service) メカニズムです。802.1p を使用したタグの生成、認識、処理を行うには互換性のある装置が必要です。 したがって、802.1p は、互換性のあるネットワーク上でのみ使用する必要があります。
• 帯域幅管理 (BWM) - トラフィックのシェイピングやポリシングを行うために使用されるさまざまなアルゴリズムあるいは手法を指します。シェイピングは、送信トラフィックを管理することを表します。 ポリシングとは、受信トラフィックを管理することを表します (受付制御とも呼ばれます)。帯域幅管理には、さまざまなキューイングおよび破棄手法を含め、それぞれ独自の設計上の長所を持つ多くの異なる方式があります。SonicWALL では、特定のタイプの受信トラフィックに対する破棄手法に加え、受信および送信 BWM 用にトークン ベース、等級ベースのキューイング方式を採用しています。
• Class of Service (CoS) - 第 2 層または第 3 層のタグのように、分類後にトラフィックに適用される、指示子または識別子です。CoS 情報は、ネットワーク上のトラフィックの等級を区別するため、および QoS システム管理者によって定義された特殊な処理 (例えば優先キューイング、短い待ち時間など) を提供するために、Quality of Service (QoS) システムによって使用されます。
• 分類 - あるタイプ (等級) のトラフィックを識別 (区別) する行為です。QoS のコンテキスト内では、遅延、待ち時間、またはパケット紛失に対するトラフィックの感度に基づいてカスタマイズされた処理 (通常は優先するかどうか) を提供するために行われます。SonicOS では、アクセス ルールを使用して分類を行います。 分類は、送信元ゾーン、送信先ゾーン、送信元アドレス オブジェクト、送信先アドレス オブジェクト、サービス オブジェクト、スケジュール オブジェクトのうちのいくつか、またはすべてに基づいて行うことができます。
• コード ポイント - ホストあるいは中間のネットワーク機器によって IP パケットの DSCP 部分にマーク付け (タグ付け) される値です。現在、タグ付けされたトラフィックの等級 (昇順の優先順位) を定義するために、64 (0~63) のコード ポイントを使用できます。
• 制限 - ネットワーク トラフィックに Quality of Service を提供する多くの方法を記述するために使用される、広い意味を持つ用語です (破棄、キューイング、ポリシング、シェイピングを含みますが、これらに限定されるものではありません)。
• DiffServ - Differentiated Services。要件に基づいたトラフィックに合わせた処理を提供する目的で、IP ネットワーク上の異なるタイプや等級のトラフィックを区別するための基準です。DiffServでは、主に IP パケットの ToS ヘッダーの中でマークされたコード ポイント値に依存して、異なる等級のトラフィックを区別します。DiffServ のサービス レベルは、級割されたトラフィックが通過する各ルータ (または DiffServ が有効な他のネットワーク機器) 上でホップ ベースで実行されます。現在、DiffServ のサービス レベルには、最低でも、既定、保証転送、緊急転送、および DiffServ があります。詳細については、DSCP 級割を参照してください。
• 破棄 - ネットワーク上で輻輳が発生するかもしれない時期の予測を試み、制限を超過したトラフィックを捨てることで輻輳を防ぐことを目的とする、QoS システムで採用されている輻輳回避メカニズムです。破棄は、キューがいっぱいになる状況を回避しようとするので、キューの管理アルゴリズムと見なすこともできます。高度な破棄メカニズムでは、取り扱いに慎重を要するトラフィックの破棄を回避するために CoS 級割が忠実に守られます。一般的な方式は、以下の通りです。
– テール ドロップ - いっぱいになったキューを無差別に処理する方法で、パケットの CoS 級割にかかわらず、キューの中の最後のパケットが破棄されます。
– ランダム初期検知 (RED) - RED では、キューの状況を監視して、いついっぱいになるかを予測します。その後、グローバル同期の可能性を最小限にするために、ランダムにパケットを破棄します。RED の基本的な実装では、テール ドロップと同様に、CoS 級割は考慮されません。
– 重み付けランダム初期検知 (WRED) - 破棄決定プロセスにおいて DSCP 級割を考慮する、RED の実装です。
• DSCP (Differentiate Service Code Points) - RFC2747 によって記述される IP ヘッダーの ToS フィールドの再利用です。DSCP では、64 のコード ポイント値を使用して、DiffServ (Differentiated Services) を有効にします。その等級によってトラフィックを級割することによって、各パケットをネットワークに沿ったすべてのホップで適切に処理することができます。
• グローバル同期 - キューがいっぱいになることに対処するために設計された輻輳回避方法である破棄の潜在的な副作用です。グローバル同期は、輻輳したリンクを通過する複数の TCP フローが同時に破棄されたとき (例えばテール ドロップ) に発生します。これらのフローのそれぞれに対して、ネイティブな TCP スロースタート メカニズムがほぼ同時に開始されると、リンクはこれらのフローによって再び溢れてしまいます。その結果、輻輳と不十分な利用が周期的に発生します。
• 保証された帯域幅 - ある等級のトラフィックに常に与えられる、インターフェース上で利用可能な合計帯域幅に対して宣言された割合です。受信 BWM と送信 BWM の両方に適用されます。すべての BWM ルールにおける保証された帯域幅の合計は、利用可能な帯域幅の合計の 100%を超過することはできません。SonicOS では帯域幅管理機能が拡張され、速度制限機能が使用できます。第 2 層、3層、または 4 層ネットワーク トラフィックの最大速度を指定するトラフィック ポリシーを作成できます。これにより、プライマリ WANリンクが大量のトラフィックを処理できないバックアップ接続にフェイルオーバーする場合の帯域幅管理が可能になります。「保証された帯域幅」は 0%に設定することもできます。
• 受信 (イングレスまたは IBWM) - 特定のインターフェースに入るトラフィックの速度のシェイピングを行う機能です。TCP トラフィックに対しては、送信の承認 (ACK) を遅らせ、送信元での速度を遅くさせることで、受信フローの速度を調整可能にして、実際のシェイピングを行うことができます。UDP トラフィックの場合、UDP にはネイティブなフィードバック制御がないので、破棄手法が使用されます。
• IntServ - RFC1633 で定義された統合サービス (Integrated Services) です。DiffServ のバックアップCoS システムである IntServ は、各機器がトラフィックを送信する前にネットワーク要件を要求 (または予約) する点で、DiffServ と根本的に異なります。これには、ネットワーク上の各ホップが IntServ 対応である必要があり、また、各ホップですべてのフローの状態情報を保持する必要があります。SonicOS では、IntServ はサポートされません。IntServ の最も一般的な実装は RSVP です。
• 最大帯域幅 - ある等級のトラフィックに許可される最大帯域幅を定義する、インターフェース上で利用可能な合計帯域幅に対して宣言された割合です。受信 BWM と送信 BWM の両方に適用されます。帯域幅の速度制限を指定する調整メカニズムとして使用されます。帯域幅管理機能が拡張され、速度制限機能が使用できます。第 2 層、3層、または 4 層ネットワーク トラフィックの最大速度を指定するトラフィック ポリシーを作成できます。これにより、プライマリ WANリンクが大量のトラフィックを処理できないバックアップ接続にフェイルオーバーする場合の帯域幅管理が可能になります。 「最大帯域幅」は 0%に設定することもできます。 その場合、すべてのトラフィックが遮断されます。
• 送信 (イーグレスまたは OBWM) - インターフェースからトラフィックを送出する速度を制限することです。送信BWM では、8 つの優先順位キューを持つクレジット (またはトークン) ベースのキューイング システムを使用して、アクセス ルールによって分類される異なるタイプのトラフィックを処理します。
• 優先順位 - トラフィックの分類で使用される追加要素です。SonicOS では、8 つの優先順位リング (0=リアルタイム、7=最低) を使用して、BWM に使用されるキュー構造を構成しています。キューは、優先順位リングの順序で処理されます。
• 割付 - SonicOS の QoS 実装に関する割付は、802.1p タグ付けをサポートしないネットワーク リンクを横断する 802.1p のタグを保持する目的で、第 2 層 CoS タグ (802.1p) と第 3 層 CoS タグ (DSCP) を相互に変換する機能です。割付の対応付けは、完全にユーザ定義可能で、また、割付の動作はアクセス ルールによって制御されます。
• 級割 (タグ付けまたは色付けとも呼ばれます) - 区別の目的で第 2 層 (802.1p) または第 3 層 (DSCP) の情報をパケットに適用する行為です。その結果、パケットは、宛先へのパス上にあるネットワーク機器により、適切に分類 (認識) され、優先順位が付けられます。
• MPLS - Multi Protocol Label Switching (マルチ プロトコル ラベル スイッチング)。この用語は QoS の分野でよく使用されますが、(SonicWALL 装置を含む) ほとんどの顧客構内 IP ネットワーキング機器でネイティブにサポートされません。MPLS は、ネットワークに沿って概念的な接続志向のパス (LSP:ラベル スイッチ パス) を追加することにより IP ネットワーク機能を強化する、キャリア クラスのネットワーク サービスです。パケットが顧客構内ネットワークかの外に出るときに、パケットはラベル エッジ ルータ (LER) によってタグ付けされます。これにより、ラベルを使用して LSP を判定できるようになります。 MPLS タグ自体は第 2 層と第 3 層の間に存在し、両方のネットワークの層の MPLS 特性を伝えます。MPLS は、第 2 層と第 3 層の VPN サービスの両方を提供する一方、既存の IPSec VPN 実装との相互運用が可能であるため、VPN で一般的になりつつあります。また、MPLS は、QoS 能力についても非常によく知られており、従来の DSCP 級割とも相互運用が可能です。
• ホップ単位動作 (PHB) - パケットが通過する各 DiffServ 対応ルータにおいて、パケットの DSCP 分類に基づいてパケットに適用される処理。破棄、再級割 (再分類)、最大努力型、保証転送、緊急転送などの動作があります。
• ポリシング - ネットワーク リンクを出入りするトラフィックの速度を制御する、トラフィックの制限機能。ポリシングの方法は、無差別にパケットを捨てる方式からアルゴリズムによるシェイピングまで、またさまざまなキューイング規則まで及びます。
• キューイング - リンクの利用可能な帯域幅を効果的に使用できるように、トラフィックを分類した後に、並べ替えのため、および個別に管理するために、キューが一般的に使われます。キューは、高優先順位のキューが常に多くのトラフィックを受信でき、低優先順位のキューよりも優先してサービスを受ける (キューからパケットが取り出される、または処理される) ように、さまざまな方式とアルゴリズムを使用して管理されます。以下に、いくつかの一般的なキュー規則を示します。
– FIFO - First In First Out (先入れ先出し)。最初に入ったパケットが最初に処理される、非常に単純な無差別型のキュー。
– 等級ベース キューイング (CBQ) - 高優先順位のトラフィックが優先的に処理される、パケットの CoS を考慮に入れたキューイング規則。
– 重み付け公平キューイング (WFQ) - パケットの IP 優先順位とフローの合計数に基づいた単純な式を使用してキューをサービスする規則。WFQ は、サービスを受ける高優先順位のフローが異常に大量にあると不安定になる傾向があり、望みとは逆の効果が生じることがしばしばあります。
– トークン ベース CBQ - トークンを使用した CBQ の拡張。または、リンクの利用を円滑化または正常化して、過剰利用や不十分な利用を回避するのに役立つクレジット ベースのシステム。SonicOS の BWM で採用されています。
• RSVP - Resource Reservation Protocol (リソース予約プロトコル)。一部のアプリケーションで採用されている IntServ シグナリング プロトコルであり、ネットワーク動作 (例えば、遅延や帯域幅) をネットワーク パスに沿って予約できるように、ネットワーク動作の事前要求が行われます。この蘭‧pスを設定するには、パスに沿った各ホップが RSVP に対応しており、それぞれが要求されたリソースを予約することに同意する必要があります。この QoS システムは、現存しているフローの状態を各ホップが維持することを要求するため、いくぶんリソース集約的です。IntServの RSVP は DiffServ の DSCP とはかなり異なりますが、相互運用することができます。SonicOS では、RSVP はサポートされません。
• シェイピング - 通常、送信元に対する何らかのフィードバック メカニズムを用意することによってトラフィック フローの速度を変更するための、QoS システムによる試み。これの最も一般的な例は、TCP 速度の操作です。 つまり、TCP 送信元に送り返す承認 (ACK) をキューに入れることによって遅延させ、算出されるラウンドトリップ時間 (RTT) を増加させます。 これにより、TCP 固有の動作を利用して、送信元がデータを送信する速度を低下させます。
• Type of Service (ToS) - CoS 情報を指定することのできる、IP ヘッダー内部のフィールド。歴史的にごくまれに、IP 優先順位ビットとともに、CoS を定義するために使用されていました。現在、ToS フィールドは、DiffServ のコード ポイント値により、かなり一般的に使用されています。