Files d’attente

Le module de QoS, intégré au moteur de prévention d’intrusion Stormshield Network est associé au module Filtrage pour offrir les fonctionnalités de Qualité de Service.

Dès sa réception ; le paquet est traité par une règle de filtrage puis le moteur de prévention d’intrusion l’affecte à la bonne file d’attente suivant la configuration du champ QoS de cette règle de filtrage.

Il existe trois types de file d’attente sur le firewall. Deux sont directement associés aux algorithmes de QoS : PRIQ (Priority Queuing) et CBQ (Class-Based Queuing), le troisième type permet le monitoring du trafic.

File d’attente par classe d’application ou d’affectation (CBQ)

Il est possible de choisir une classe d'ordonnancement pour chacune des règles de filtrage et de lui associer une garantie de bande passante ainsi qu'une limite.

Par exemple; vous pouvez associer une classe d'ordonnancement aux flux http en associant une queue CBQ à la règle de filtrage correspondante.

Les files d’attente par classe d’application ou d’affectation induisent la façon dont les trafics affectés par ces règles de QoS seront gérés sur le réseau. Les mécanismes de réservation et de limitation de la bande passante de ce type de files d’attente permettent dans le premier cas, la garantie d’un service minimum et dans le deuxième cas, la préservation de la bande passante vis-à-vis d’applications coûteuses en ressources.

Ajout d’une file d’attente par classe d’application ou d’affectation

Pour ajouter une file d’attente par classe d’application ou d’affectation, cliquez sur le bouton Ajouter une file d’attente, puis sélectionnez Réservation ou limitation de bande passante (CBQ). Une ligne est ajoutée à la grille dans laquelle vous pouvez effectuer vos modifications.

Modification d’une file d’attente par classe d’application ou d’affectation

Nom

Nom de la file d'attente à configurer.

Type

Type de file d’attente parmi surveillance (MONQ), priorité (PRIQ), réservation/limitation (CBQ)

Priorité

Permet de choisir le niveau de priorité du trafic affecté à la queue. Les cellules de cette colonne ne sont éditables que pour les queues de type PRIQ. Il est possible de sélectionner une valeur allant de 7 (priorité la plus faible) à 1 (priorité la plus haute).

Bp min

Agissant comme une garantie de service, cette option permet la garantie d’un débit donné et d’un délai maximal de transfert. Configurée en Kbits/s ou en pourcentage de la valeur de référence, cette valeur est partagée entre tous les trafics affectés par la règle de QoS. Ainsi si les trafics HTTP et FTP sont associées à une file d’attente qui possède un minimum garanti de 10Kbits/s alors la bande passante HTTP + la bande passante FTP sera au minimum de 10Kbits/s. Cependant rien n’empêche que la bande passante HTTP soit de 9Kbits/s et la bande passante soit seulement de 1Kbit/s.

REMARQUE

Par défaut, cette option est synchronisée avec l’option Min inv. En modifiant la valeur de cette option, la réplication de cette valeur est réalisée dans Min inv. En modifiant la valeur de Min inv, les valeurs sont différentes et donc désynchronisées.

Bp max

Agissant comme une limitation, cette option interdit le dépassement de bande passante pour le trafic affecté par ces files d’attente. Configurée en Kbits/s, en Mbits/s, en Gbit/s ou en pourcentage de la valeur de référence, cette valeur est partagée entre tous les trafics affectés par la règle de QoS. Ainsi si les trafics HTTP et FTP sont associées à une file d’attente qui possède un maximum autorisé de 500Kbits/s alors la bande passante HTTP + la bande passante FTP ne doit pas dépasser 500Kbits/s.

REMARQUE

Par défaut, cette option est synchronisée avec l’option Max inv. En modifiant la valeur de cette option, la réplication de cette valeur est réalisée dans Max inv. En modifiant la valeur de Max inv, les valeurs sont différentes et donc désynchronisées.

Min inv.

Agissant comme une garantie de service, cette option permet la garantie d’un débit donné et d’un délai maximal de transfert. Configurée en Kbits/s ou en pourcentage de la valeur de référence, cette valeur est partagée entre tous les trafics affectés par la règle de QoS. Ainsi si les trafics HTTP et FTP sont associées à une file d’attente qui possède un minimum garanti de 10Kbits/s alors la bande passante HTTP + la bande passante FTP sera au minimum de 10Kbits/s. Cependant rien n’empêche que la bande passante HTTP soit de 9Kbits/s et la bande passante soit seulement de 1Kbit/s.

REMARQUE

Si vous saisissez une valeur supérieure à Max inv., dans ce cas le message suivant s’affiche : « trafic descendant : La bande passante minimale garantie doit être inférieure ou égale à la bande passante maximale ».

Max inv.

Agissant comme une limitation, cette option interdit le dépassement de bande passante pour le trafic descendant, affecté par ces files d’attente. Configurée en Kbits/s, en Mbits/s, en Gbit/s ou en pourcentage de la valeur de référence, cette valeur est partagée entre tous les trafics affectés par la règle de QoS. Ainsi si les trafics HTTP et FTP sont associées à une file d’attente qui possède un maximum autorisé de 500Kbits/s alors la bande passante HTTP + la bande passante FTP ne doit pas dépasser 500Kbits/s.

Couleur

Couleur de différentiation de la file d'attente.

Commentaire

Commentaire associé.

REMARQUE

Lorsque vous sélectionnez 0 dans la colonne « Bpmin » et Illimité dans la colonne « Bp max », aucune contrainte n’est imposée sur le trafic. Dans ce cas, un message s’affiche dans lequel l’application vous propose de transformer votre file d’attente par  une file de surveillance.

 

La grille du menu File d'attente par classe d'application ou d'affectation affiche les différentes files d’attente qui ont été configurées. Un clic sur le bouton Vérifier l’utilisation permet d’afficher (dans la barre de navigation à gauche, la liste des règles de filtrage dans lesquelles la file d’attente sélectionnée est utilisée.)

Suppression d’une file d’attente par classe d’application ou d’affectation

Sélectionnez la ligne de file d’attente à supprimer puis cliquez sur le bouton Supprimer. Un message s’affiche vous demandant si vous souhaitez réellement supprimer la file d’attente.

Surveillance du trafic (monitoring)

Les files d’attente de monitoring n’affectent pas la manière dont sont traités les trafics qui sont associés à ces règles de QoS.

Elles permettent l’enregistrement d’informations de débit et de bande passante qui peuvent être visualisées dans le module Supervision de la QoS (après avoir été sélectionnées dans l'onglet Configuration de la QoS du module Configuration de la supervision).

Les différentes options de la configuration d’une file d’attente du type Monitoring sont présentées ci-dessous :

Ajout d’une surveillance du trafic

Pour ajouter une surveillance du trafic, cliquez sur le bouton Ajouter une file d’attente puis sélectionnez Surveillance du trafic (MONQ).

Modification d’une surveillance du trafic

Nom

Nom de la file d’attente à configurer.

Type

Type de file d’attente parmi CBQ, PRIQ ou MONQ.

Couleur

Couleur de différenciation de la file d’attente.

Commentaire

Commentaire associé.

Suppression d’une surveillance du trafic

Sélectionnez la ligne concernée dans la grille de surveillance de trafic puis cliquez sur le bouton Supprimer. Un message s’affiche vous demandant si vous souhaitez réellement supprimer la file d’attente.

File d’attente par priorité

Il existe 7 niveaux de priorité. Les paquets seront traités en fonction des priorités paramétrées.

Il est possible d'associer une priorité élevée aux requêtes DNS en créant une règle de filtrage et en lui associant une queue PRIQ.

Les files d’attente par priorité induisent une priorisation des paquets dans leur traitement. Les paquets qui sont associés à une règle de filtrage avec une file d’attente du type PRIQ sont traités avant les autres.

Les priorités s’échelonnent entre 1 et 7. La priorité 1 correspond aux trafics les plus prioritaires parmi les files d’attente PRIQ. La priorité 7 correspond aux trafics les moins prioritaires parmi les files d’attente PRIQ.

Les flux sans règles de QoS  seront traités avant toutes files d’attente du type PRIQ ou CBQ

Les différentes options de la configuration d’une file d’attente du type PRIQ sont présentées ci-dessous.

Ajout d’une file d’attente par priorité

Pour ajouter une file d’attente par priorité, cliquez sur le bouton Ajouter une file d’attente, puis sélectionnez Traitement par priorité (PRIQ).

Une ligne est ajoutée à la grille dans laquelle vous pouvez effectuer vos modifications.

Modification d’une file d’attente par priorité

La grille affiche les différentes files d’attente qui ont été configurées. Il est possible de vérifier si ces règles sont utilisées dans une règle de filtrage en cliquant sur le bouton Vérifier l’utilisation. Dans ce cas, un menu apparaît dans la barre de navigation en affichant les règles.

Nom

Nom de la file d’attente à configurer.

Type

Type de file d’attente parmi CBQ, PRIQ ou MONQ.

Priorité

Permet de choisir le niveau de priorité du trafic affecté à la queue. Les cellules de cette colonne ne sont éditables que pour les queues de type PRIQ. Il est possible de sélectionner une valeur allant de 7 (priorité la plus faible) à 1 (priorité la plus haute).

Couleur

Couleur de différenciation de la file d’attente.

Commentaire

Commentaire associé.

Suppression d’une file d’attente par priorité

Sélectionnez la ligne concernée dans la grille de file d’attente par priorité puis cliquez sur le bouton Supprimer. Un message s’affiche vous demandant si vous souhaitez réellement supprimer la file d’attente.

Files d’attente disponibles

A la fin de la grille des files d’attente est indiqué le nombre de files d’attentes disponibles pour un modèle de firewall donné. Ces valeurs sont les suivantes :

SN150, SN160(W), SN200, SN210(W), SN300, SN310, U30S, U70S

SN510, SN500, SN710, SN700, SN910, SN900, U150S, U250S, U500S, U800S

SN2000, SN2100, SN3000, SN3100, SN6000, SN6100

20

100

255