L'onglet Files d'attente

Files d’attente

Le module de QoS, intégré au moteur de prévention d’intrusion Stormshield Network est associé au module Filtrage pour offrir les fonctionnalités de Qualité de Service.

Dès sa réception, le paquet est traité par une règle de filtrage puis le moteur de prévention d’intrusion l’affecte à la bonne file d’attente suivant la configuration du champ QoS de cette règle de filtrage.

Il existe trois types de file d’attente sur le firewall. Deux sont directement associés aux algorithmes de QoS : PRIQ (Priority Queuing) et CBQ (Class-Based Queuing). Le troisième type permet le monitoring du trafic.

File d’attente par classe d’application ou d’affectation (CBQ)

Il est possible de choisir une classe d'ordonnancement pour chacune des règles de filtrage et de lui associer une garantie de bande passante ainsi qu'une limite.

Par exemple : vous pouvez associer une classe d'ordonnancement aux flux HTTP en associant une queue CBQ à la règle de filtrage correspondante.

Les files d’attente par classe d’application ou d’affectation induisent la façon dont les trafics affectés par ces règles de QoS seront gérés sur le réseau. Les mécanismes de réservation et de limitation de la bande passante de ce type de files d’attente permettent dans le premier cas, la garantie d’un service minimum et dans le deuxième cas, la préservation de la bande passante vis-à-vis d’applications coûteuses en ressources.

Ajout d’une file d’attente par classe d’application ou d’affectation

Pour ajouter une file d’attente par classe d’application ou d’affectation :

  1. Cliquez sur le bouton Ajouter.
  2. Sélectionnez Réservation ou limitation de bande passante (CBQ).
    Une fenêtre s'affiche pour configurer les différentes propriétés de la file d'attente : Nom, Type, Commentaire éventuel, Contraintes de bande passante.

Le détail des propriétés d'une file d'attente de type Réservation ou limitation de bande passante (CBQ) est décrit ci-dessous.

Modification d’une file d’attente par classe d’application ou d’affectation

Nom Nom de la file d'attente à configurer.
Type

Pour une file d'attente de type réservation / limitation de bande passante, il est indiqué Réservation / limitation de bande passante (CBQ).

Commentaire Commentaire associé (facultatif).
Contraintes de bande passante
Bp garantie Agissant comme une garantie de service, cette option permet la garantie d’un débit donné et d’un délai maximal de transfert. Configurée en Kbits/s, Mbit/S, Gbit/s ou en pourcentage de la valeur de référence, cette valeur est partagée entre tous les trafics affectés par la règle de QoS. Ainsi si les trafics HTTP et FTP sont associées à une file d’attente qui possède un minimum garanti de 10Kbits/s alors la bande passante HTTP + la bande passante FTP sera au minimum de 10Kbits/s. Cependant rien n’empêche que la bande passante HTTP soit de 9Kbits/s et la bande passante soit seulement de 1Kbit/s.

REMARQUE
Par défaut, cette option est synchronisée avec l’option Bp inv. garantie. En modifiant la valeur de cette option, la réplication de cette valeur est réalisée dans Bp inv. garantie. En modifiant la valeur de Bp inv. garantie, les valeurs sont différentes et donc désynchronisées.

Bp max Agissant comme une limitation, cette option interdit le dépassement de bande passante pour le trafic affecté par ces files d’attente. Configurée en Kbits/s, Mbits/s, Gbit/s ou en pourcentage de la valeur de référence, cette valeur est partagée entre tous les trafics affectés par la règle de QoS. Ainsi si les trafics HTTP et FTP sont associées à une file d’attente qui possède un maximum autorisé de 500Kbits/s alors la bande passante HTTP + la bande passante FTP ne doit pas dépasser 500Kbits/s.

REMARQUE
Par défaut, cette option est synchronisée avec l’option Bp inv. max. En modifiant la valeur de cette option, la réplication de cette valeur est réalisée dans Bp inv. max. En modifiant la valeur de Bp inv. max, les valeurs sont différentes et donc désynchronisées.

Bp inv. garantie Agissant comme une garantie de service, cette option permet la garantie d’un débit donné et d’un délai maximal de transfert descendant. Configurée en Kbits/s, Mbits/s, Gbit/s ou en pourcentage de la valeur de référence, cette valeur est partagée entre tous les trafics affectés par la règle de QoS. Ainsi si les trafics HTTP et FTP sont associées à une file d’attente qui possède un minimum garanti de 10Kbits/s alors la bande passante HTTP + la bande passante FTP sera au minimum de 10Kbits/s. Cependant rien n’empêche que la bande passante HTTP soit de 9Kbits/s et la bande passante soit seulement de 1Kbit/s.

REMARQUE
Si vous saisissez une valeur supérieure à Bp inv. max, dans ce cas le message suivant s’affiche : « trafic descendant : La bande passante minimale garantie doit être inférieure ou égale à la bande passante maximale ».

Bp inv. max Agissant comme une limitation, cette option interdit le dépassement de bande passante pour le trafic descendant affecté par ces files d’attente. Configurée en Kbits/s, Mbits/s, Gbit/s ou en pourcentage de la valeur de référence, cette valeur est partagée entre tous les trafics affectés par la règle de QoS. Ainsi si les trafics HTTP et FTP sont associées à une file d’attente qui possède un maximum autorisé de 500Kbits/s alors la bande passante HTTP + la bande passante FTP ne doit pas dépasser 500Kbits/s.

REMARQUE
Lorsque vous sélectionnez Aucun dans la colonne Bp garantie et Illimité dans la colonne Bp max, aucune contrainte n’est imposée sur le trafic. Dans ce cas, un message s’affiche dans lequel l’application vous propose de transformer votre file d’attente en une file de surveillance.

La grille du menu Files d'attente affiche les différentes files d’attente qui ont été configurées. Un clic sur le bouton Vérifier l’utilisation permet d’afficher la liste des règles de filtrage dans lesquelles la file d’attente sélectionnée est utilisée.

Suppression d’une file d’attente par classe d’application ou d’affectation

Sélectionnez la ligne de file d’attente à supprimer puis cliquez sur le bouton Supprimer. Un message s’affiche vous demandant si vous souhaitez réellement supprimer la file d’attente.

Surveillance du trafic (monitoring)

Les files d’attente de monitoring n’affectent pas la manière dont sont traités les trafics qui sont associés à ces règles de QoS.

Elles permettent l’enregistrement d’informations de débit et de bande passante qui peuvent être visualisées dans le module Supervision de la QoS (après avoir été sélectionnées dans l'onglet Configuration de la QoS du module Configuration de la supervision).

Les différentes options de la configuration d’une file d’attente du type Monitoring sont présentées ci-dessous :

Ajout d’une surveillance du trafic

Pour ajouter une surveillance du trafic :

  1. Cliquez sur le bouton Ajouter.
  2. Sélectionnez Surveillance du trafic (MONQ).
    Une fenêtre s'affiche pour configurer les différentes propriétés de la file d'attente : Nom, Type, Commentaire éventuel.

Le détail des propriétés d'une file d'attente de type Surveillance du trafic (MONQ) est décrit ci-dessous.

Modification d’une surveillance du trafic

Nom Nom de la file d’attente à configurer.
Type

Pour une file d'attente de type surveillance du trafic, il est indiqué Surveillance du trafic (MONQ).

Commentaire Commentaire associé (facultatif).

Suppression d’une surveillance du trafic

Sélectionnez la ligne concernée dans la grille de surveillance de trafic puis cliquez sur le bouton Supprimer. Un message s’affiche vous demandant si vous souhaitez réellement supprimer la file d’attente.

File d’attente par priorité

Il existe 7 niveaux de priorité. Les paquets seront traités en fonction des priorités paramétrées.

Il est possible d'associer une priorité élevée aux requêtes DNS en créant une règle de filtrage et en lui associant une queue PRIQ.

Les files d’attente par priorité induisent une priorisation des paquets dans leur traitement. Les paquets qui sont associés à une règle de filtrage avec une file d’attente du type PRIQ sont traités avant les autres.

Les priorités s’échelonnent entre 0 et 7. La priorité 0 correspond aux trafics les plus prioritaires parmi les files d’attente PRIQ. La priorité 7 correspond aux trafics les moins prioritaires parmi les files d’attente PRIQ.

Les flux sans règles de QoS  seront traités avant toutes files d’attente du type PRIQ ou CBQ

Les différentes options de la configuration d’une file d’attente du type PRIQ sont présentées ci-dessous.

Ajout d’une file d’attente par priorité

Pour ajouter une file d’attente par priorité :

  1. Cliquez sur le bouton Ajouter.
  2. Sélectionnez Traitement par priorité (PRIQ).
    Une fenêtre s'affiche pour configurer les différentes propriétés de la file d'attente : Nom, Type, Priorité, Commentaire éventuel.

Le détail des propriétés d'une file d'attente de type Traitement par priorité (PRIQ) est décrit ci-dessous.

Modification d’une file d’attente par priorité

La grille affiche les différentes files d’attente qui ont été configurées. Il est possible de vérifier si ces règles sont utilisées dans une règle de filtrage en cliquant sur le bouton Vérifier l’utilisation. Dans ce cas, un menu apparaît dans la barre de navigation en affichant les règles.

Nom Nom de la file d’attente à configurer.
Type

Pour une file d'attente de type traitement par priorité, il est indiqué Traitement par priorité PRIQ.

Priorité Permet de choisir le niveau de priorité du trafic affecté à la queue. Les cellules de cette colonne ne sont éditables que pour les queues de type PRIQ. Il est possible de sélectionner une valeur allant de 7 (priorité la plus basse) à 0 (priorité la plus haute).
Commentaire Commentaire associé (facultatif).

Suppression d’une file d’attente par priorité

Sélectionnez la ligne concernée dans la grille de file d’attente par priorité puis cliquez sur le bouton Supprimer. Un message s’affiche vous demandant si vous souhaitez réellement supprimer la file d’attente.

Files d’attente disponibles

A la fin de la grille des files d’attente est indiqué le nombre de files d’attentes disponibles pour un modèle de firewall donné.