Verkehrskennzeichner

Ein Verkehrskennzeichner (traffic selector) kann als eine QoSClosed-Definition angesehen werden, die bestimmte Arten von Netzwerkverkehr beschreibt, die von QoS bearbeitet werden. Diese Definitionen werden später innerhalb der Bandbreiten-Pool-Definition verwendet. Dort können Sie festlegen, wie dieser Verkehr von QoS behandelt wird, indem Sie z.B. die komplette Bandbreite begrenzen oder dem Verkehr einen gewissen Mindestanteil der Bandbreite zusichern.

Um einen Verkehrskennzeichner anzulegen, gehen Sie folgendermaßen vor:

  1. Klicken Sie auf der Registerkarte Verkehrskennzeichner auf Neuer Verkehrskennzeichner.

    Das Dialogfeld Verkehrskennzeichner hinzufügen öffnet sich

  2. Nehmen Sie die folgenden Einstellungen vor:

    Name: Geben Sie einen aussagekräftigen Namen für diesen Verkehrskennzeichner ein.

    Kennzeichnertyp: Sie können folgende Arten von Kennzeichnern festlegen:

    • Verkehrskennzeichner: Verwenden Sie einen Verkehrskennzeichner, wird der Verkehr auf Grundlage eines einzelnen Dienstes oder einer Dienstgruppe reguliert.
    • Anwendungskennzeichner: Verwenden Sie einen Anwendungskennzeichner, wird der Verkehr auf Grundlage von Anwendungen reguliert, d.h. je nachdem, zu welcher Anwendung er gehört, unabhängig vom verwendeten Port oder Dienst.
    • Gruppe: Sie können verschiedene Dienst- und Anwendungskennzeichner in einer Verkehrskennzeichnerregel zusammenfassen. Um eine Gruppe definieren zu können, müssen bereits einzelne Kennzeichner definiert sein.

    Quelle: Fügen Sie das Quellnetzwerk hinzu oder wählen Sie das Quellnetzwerk aus, für das QoS aktiviert werden soll.

    Dienst: Nur für Verkehrskennzeichner. Fügen Sie den Netzwerkdienst hinzu oder wählen Sie den Netzwerkdienst aus, für den QoS aktiviert werden soll. Sie können zwischen verschiedenen vordefinierten Diensten und Dienstgruppen auswählen. Wenn Sie beispielsweise für VoIP-Verbindungen eine bestimmte Bandbreite reservieren möchten, wählen Sie VoIPClosed-Protokolle (SIPClosed und H.323Closed) aus.

    Ziel: Fügen Sie das Zielnetzwerk hinzu oder wählen Sie das Zielnetzwerk aus, für das QoS aktiviert werden soll.

    Tipp – Das Hinzufügen einer Definition wird auf der Seite Definitionen & Benutzer > Netzwerkdefinitionen > Netzwerkdefinitionen erläutert.

    Kontrollieren durch: Nur für Anwendungskennzeichner. Wählen Sie aus, ob die Regulierung des Verkehrs auf Grundlage des jeweiligen Anwendungstyps oder kategoriebasiert durch einen dynamischen Filter erfolgen soll.

    • Anwendungen: Der Verkehr wird anwendungsbasiert reguliert. Wählen Sie im Feld Diese Anwendungen kontrollieren eine oder mehrere Anwendungen aus.
    • Dynamischer Filter: Der Verkehr wird kategoriebasiert reguliert. Wählen Sie im Feld Diese Kategorien kontrollieren eine oder mehrere Kategorien aus.

    Diese Anwendungen/Kategorien kontrollieren: Nur für Anwendungskennzeichner. Klicken Sie auf das Ordnersymbol, um Anwendungen/Kategorien auszuwählen. Ein Dialogfenster wird geöffnet, das im nächsten Abschnitt detailliert beschrieben wird.

    Produktivität: Nur mit Dynamischer Filter. Gibt den von Ihnen gewählten Produktivitätswert wieder.

    Risiko: Nur mit Dynamischer Filter. Gibt den von Ihnen gewählten Risikowert wieder.

    Hinweis – Einige Anwendungen sind von der Regulierung ausgeschlossen. Dies ist für einen reibungslosen Betrieb von Sophos UTM erforderlich. Bei diesen Anwendungen wird in der Anwendungstabelle des Dialogfensters Anwendung auswählen kein Auswahlkästchen angezeigt. Dies trifft u. a. für den WebAdmin, Teredo, SixXs (für IPv6-Verkehr) und Portal (für Benutzerportal-Verkehr) zu. Wenn Sie dynamische Filter verwenden, wird die Regulierung dieser Anwendungen ebenfalls automatisch verhindert.

    Kommentar (optional): Fügen Sie eine Beschreibung oder sonstige Informationen hinzu.

  3. Optional können Sie die folgende erweiterte Einstellung vornehmen:

    TOS/DSCP (nur beim Kennzeichnertyp Verkehrskennzeichner):In bestimmten Fällen kann es sinnvoll sein, Datenverkehr, der von QoS bearbeitet werden soll, nicht nur über Quelle, Ziel und Dienst zu unterscheiden, sondern auch über die TOS- oder DSCP-Flags im IP-Header.

    • Aus: Mit dieser Standardoption wird sämtlicher Datenverkehr, der mit Quelle, Dienst und Ziel übereinstimmt, der oben eingestellt wurde, mit QoS bearbeitet.
    • TOS-Bits: Wählen Sie diese Option aus, wenn der mit QoS bearbeiteten Datenverkehr auf IP-Pakete mit bestimmten TOS-Bit (Type of Service) beschränkt werden soll. Sie können zwischen den folgenden Einstellungen wählen:

      • Normaler Dienst
      • Kosten minimieren
      • Zuverlässigkeit maximieren
      • Durchsatz maximieren
      • Verzögerung minimieren
    • DSCP-Bits: Wählen Sie diese Option aus, wenn der mit QoS bearbeitete Datenverkehr auf IP-Pakete mit bestimmten DSCP-Bits (Differentiated Services Code Point) beschränkt werden soll. Sie können entweder einen einzigen DSCP-Wert festlegen (eine Ganzzahl im Bereich 0 bis 63) oder einen vordefinierten Wert aus der Liste DSCP-Klassen (z.B. BE default dscp (000000)) auswählen.

    Datenmenge gesendet/empfangen: Aktivieren Sie dieses Auswahlkästchen, wenn der Verkehrskennzeichner die Übereinstimmung aufgrund der Anzahl der von der Verbindung bisher übertragenen Byte vornehmen soll. Mit dieser Funktion können Sie beispielsweise die Bandbreite von großen HTTP-Uploads einschränken, ohne den normalen HTTP-Verkehr zu beeinträchtigen.

    • Gesendet/empfangen: Wählen Sie aus der Auswahlliste Mehr als aus, um den Verkehrskennzeichner nur für Verbindungen zu definieren, die eine bestimmte Verkehrsmenge überschreiten. Wählen Sie Weniger als aus, um ihn für Verbindungen mit bisher weniger Verkehr zu definieren.
    • kByte: Geben Sie den Schwellenwert für die Verkehrsmenge ein.

    Helfer: Einige Dienste nutzen für die Datenübertragung dynamische Ports. Für jede Verbindung verhandeln die Endpoints die zu verwendenden Ports über einen Kontrollkanal. Die UTM verwendet einen speziellen Helfer für die Verbindungsverfolgung (engl. connection tracking helper), der den Kontrollkanal überwacht, um herauszufinden, welche dynamischen Ports verwendet werden. Um den Verkehr, der durch die dynamischen Ports geht, in den Verkehrskennzeichner mit aufzunehmen, wählen Sie oben, im Feld Dienst, Any, und wählen Sie in der Auswahlliste Helfer den entsprechenden Dienst.

  4. Klicken Sie auf Speichern.

    Der neue Kennzeichner wird in der Liste Verkehrskennzeichner angezeigt.

Wenn Sie viele Verkehrskennzeichner definiert haben, können Sie mehrere Kennzeichner zu einer Verkehrskennzeichnergruppe zusammenfügen, um die Konfiguration bequemer zu gestalten.

Dieser Verkehrskennzeichner oder diese Verkehrskennzeichnergruppe kann nun für jeden Bandbreiten-Pool verwendet werden. Diese Pools können auf der Registerkarte Bandbreiten-Pools definiert werden.

Das Dialogfenster zur Auswahl von Anwendungen oder Kategorien

Beim Erstellen von Application-Control-Regeln müssen Sie Anwendungen oder Anwendungskategorien aus dem Dialogfenster Wählen Sie eine oder mehrere Anwendungen/Kategorien, die kontrolliert werden sollen festlegen.

In der Tabelle im unteren Bereich des Dialogfensters werden die Anwendungen angezeigt, die auswählbar sind oder zu einer definierten Kategorie gehören. Standardmäßig werden alle Anwendungen angezeigt.

Im oberen Bereich des Dialogfensters stehen drei Konfigurationsoptionen zur Wahl, mit deren Hilfe die Anzahl der in der Tabelle gelisteten Anwendungen eingeschränkt werden kann:

  • Kategorie: Die Anwendungen werden nach Kategorie gruppiert. Diese Liste umfasst alle verfügbaren Kategorien. Standardmäßig sind alle Kategorien ausgewählt; d.h. alle verfügbaren Anwendungen werden unten in der Tabelle gelistet. Möchten Sie die angezeigten Anwendungen auf bestimmte Kategorien beschränken, klicken Sie in die Liste mit den Kategorien und wählen Sie nur die gewünschte(n) Kategorie(n) aus.
  • Produktivität: Die Anwendungen werden zudem nach ihrer Auswirkung auf die Produktivität klassifiziert, d.h., wie stark sie die Produktivität beeinflussen. Beispiel: Salesforce, eine typische Unternehmenssoftware, besitzt die Bewertung 5. Die Nutzung der Anwendung trägt somit zur Produktivität bei. Im Gegensatz dazu ist das Onlinespiel Farmville mit 1 bewertet und dadurch kontraproduktiv. Der Netzwerkdienst DNS besitzt die Bewertung 3 – er wirkt sich neutral auf die Produktivität aus.
  • Risiko: Anwendungen werden auch hinsichtlich ihres Risikos bezüglich Schadsoftware, Virusinfektionen oder Angriffen klassifiziert. Je höher die Bewertung, desto höher das Risiko.

Tipp – Jede Anwendung verfügt über ein Infosymbol. Wenn Sie darauf klicken, wird eine Beschreibung der jeweiligen Anwendung angezeigt. Sie können die Tabelle mit Hilfe des Filterfelds in der Kopfzeile durchsuchen.

Abhängig von Ihrer Auswahl in der Auswahlliste „Kontrollieren durch“ im Dialogfeld Neuen Verkehrskennzeichner erstellen gehen Sie folgendermaßen vor:

  • Kontrolle durch dynamischen Filter: Wählen Sie im Feld Kategorie die Kategorien aus und klicken Sie auf Übernehmen, um die ausgewählten Kategorien für die Regel zu übernehmen.
  • Kontrollieren durch Anwendungen: Wählen Sie die zu kontrollierenden Anwendungen in der Tabelle aus, indem Sie auf die Auswahlkästchen klicken, die vor den Anwendungen angezeigt werden. Klicken Sie auf Übernehmen, um die ausgewählten Anwendungen für die Regel zu übernehmen.

Nachdem Sie auf Übernehmen geklickt haben, wird das Dialogfenster geschlossen und Sie können die Einstellungen der Verkehrskennzeichnerregel weiter bearbeiten.