مدیریت پهنای باند در فایروال

سلام!

احتمالاً همه‌تون این داستان رو شنیدید که شرکت «گوگل» در شرایط مساوی، اون فردی رو انتخاب می‌کنه که تنبل‌تر باشه! و دلیل انتخابش هم اینه که آدم‌های تنبل، همیشه برای انجام یه کار، راه‌های ساده‌تری رو پیدا می‌کنن! این نکته رو بگم که اگه من توی «سیلیکون وَلی» بودم، تا حالا مطمئناً توی گوگل استخدام شده بودم!

دوستانی که به عنوان ادمین شبکه توی شرکت‌های مختلف هستن، با موضوعی روبه‌رو هستن به نام «مدیریت استفاده از اینترنت» که هم شامل پهنای باند می‌شه، هم ساعت استفاده و هم حجم دانلود کاربران. برای مدیریت این قضیه، اکثراً از پلتفرمی به نام «کریو» استفاده می‌کنن. (احتمالاً اپلیکیشنش رو توی گوشی‌هاتون هم داشته باشید؛ به عنوان ف.ی.ل.ت.ر شکن!)

نحوه‌ی کارِ «کریو» به این صورته که روی لبه‌ی شبکه‌ی شما، ابزاری در اختیارتون می‌ذاره که می‌تونید با استفاده از اون، موضوعاتی که گفتم رو برای هر کدوم از کاربران مدیریت کنید.

راه‌اندازی این سیستم، یه کم کار داره که از حدّ حوصله‌ی من خارجه! برای همین هم دنبال یک راه‌حل جایگزین می‌گشتم که با مطالعه‌ی داکیومنت‌های فایروال شرکت «فورتی‌نِت/ FORTINET» تونستم این راه حل رو پیدا کنم! و امروز هم می‌خوام این قابلیت بسیار خوبِ فایروال «فورتی‌گیت» (فایروال‌های برند فورتی‌نِیت، تحت نام «فورتی‌گِیت/ FortiGate» تولید می‌شن) رو با شما به اشتراک بذارم.

پس با من همراه باشید:

  اول این رو بگم که این تنظیمات و عکس‌هایی که گرفتم، مربوط به فایروال فورتی‌گِیت 600c هست با Firmware ورژن 5.4. توی نسخه‌های دیگه هم تقریباً همین‌جوریه، ولی شاید یه تفاوت‌های کوچیکی داشته باشه.

1) اول از همه این‌که اگه آپشن «Traffic Shaping» رو توی قسمت «Policy & Objects»تون ندارید، یعنی اول باید این امکان رو فعال کنید. برای فعال‌سازیش برید توی منوی «System»، از اون‌جا توی قسمت «Feature Select» این آپشن رو فعال کنید:

2) وارد منوی «Policy & Objects» می‌شیم و گزینه‌ی «Traffic Shapers» رو انتخاب می‌کنیم. این پالیسی‌هایی که توی تصویر می‌بینید، مربوط به سازمان خودمون هست! به طور پیشفرض، فقط سه تا پالیسی «high-priority»، «medium-priority»، و «low-priority» رو توی این پنجره خواهید دید. برای شروع کار، روی دکمه‌ی «Create New» کلیک می‌کنیم:

3) توی قسمت Name اسم می‌دیم به پالیسی‌خودمون و توی قسمت Traffic Priority هم گزینه‌ی Medium رو انتخاب می‌کنیم. توی قسمت Max Bandwidth حداکثر پهنای باند مجاز و توی قسمت Guaranteed Bandwidth هم مقدار پهنای باند تضمین شده رو بر حسب Kbps وارد می‌کنیم:

4) وقتی روی OK کلیک کردیم و به صفحه‌ی قبلی برگشتیم، می‌بینیم که قانونی که برای مدیریت پهنای باندمون وضع کردیم، بالاتر از همه قرار داره. روش راست‌کلیک می‌کنیم و گزینه‌ی Edit in CLI رو انتخاب می‌کنیم:

5) وقتی وارد محیط CLI شدیم، باید این دستورها رو وارد کنیم: (نیازی هست بگم بعد از هر خط باید اینتر رو بزنید یا می‌دونید؟)

set per-policy enable

end

نکته: یکی از تفاوت‌های ورژن‌های قدیمی با جدید فورتی‌گیت، توی همین قسمته. توی ورژن‌های جدیدتر، نیازی به تایپ دستور «enable» نیست.

6) بعد از این‌که قانون رو مصوب کردیم، باید به پالیسی‌هامون بخشنامه بزنیم که اجرایی بشه! پس می‌ریم توی قسمت «Traffic Shaping Policy». همون‌طور که گفتم، پالیسی‌های سازمان متبوع من، این‌جا هستن و کاری بهشون نداریم. فقط آخرین پالیسی برامون اهمیت داره:

7) قبل از این‌که بخشنامه‌ای صادر کنیم (یا در واقع یه پالیسی مربوط به مدیریت استفاده از پهنای باند اضافه کنیم) باید یه پالیسی کلّی بنویسیم که دوستان و عزیزانی که از اون قاعده مستثنی هستن، کاری به پالیسی مدیریت پهنای باند نداشته باشن و همین‌جوری کِیف کنن! برای این‌ کار روی گزینه‌ی  «Create New» کلیک می‌کنیم و توی پنجره‌ای که باز می‌شه، تنظیمات رو طبق این تصویر انجام می‌دیم و OK می‌کنیم:

نکته: توی قسمت Outgoing Interface ورودی مربوط به اینترنت‌تون رو انتخاب کنید.

8) حالا می‌خوایم بریم سرِ وقت پالیسی خودمون! داستان از این قراره که می‌خوایم بگیم یه گروه از کاربرانی که از اینترنت استفاده می‌کنن، فقط بتونن از پنهای باند محدودی استفاده کنن. قبل از این‌که کاری انجام بدیم، برای اون کاربرهامون یه گروه می‌سازیم و اون‌ها رو عضو اون گروه می‌کنیم. این تنظیمات رو از منوی «User & Device» و از قسمت‌های «User Definition» و «User Group» باید انجام بدید.

مجدداً روی گزینه‌ی Create New کلیک می‌کنیم و وارد این صفحه می‌شیم. توی قسمت Source اول باید رنج آی‌پی‌ای که می‌خوایم این پالیسی روش اعمال بشه رو انتخاب کنیم:

البته اگه می‌خواید این پالیسی تنها برای یه آی‌پی خاص اعمال بشه، می‌تونید فقط اون آی‌پی رو وارد کنید.

قدم بعدی اینه که می‌خوایم بگیم «اون کاربرانی که توی اون رنج آی‌پی دارن از اینترنت استفاده می‌کنن، از پهنای باند خاصی استفاده کنن». پس توی همون قسمت Source، از گروه User (منوی سمت راست) اون گروهی که درست کرده بودیم و اعضای مورد نظر رو توش عضو کرده‌بودیم، انتخاب می‌کنیم:

بقیه‌ی تنظیمات رو هم به این صورت انجام می‌دیم:

Destination: All

Service: All

کاری به Application Category و Application و URL Category نداریم. توی قسمت Outgoing Interface هم پورت ورودی اینترنت رو انتخاب می‌کنیم و توی قسمت‌های Shared Shaper و Reverse Shaper هم اون قانونی که نوشته بودیم (توی مثال ما، DR-IT) رو انتخاب می‌کنیم و OK رو می‌زنیم:

9) حالا فقط باید این پالیسی رو از اون قسمت کنار عدد که یه شکل این‌جوری «::::» داره بگیرید و بیاریدش بالاتر از اون پالیسی high-priority قرار بدید:

به همین راحتی! حالا می‌تونید خیلی راحت پهنای باند مورد استفاده‌ی کاربران‌تون رو مدیریت کنید!