Pfsense приоритет voip трафика

Обновлено: 25.01.2025

Авторизуясь в LiveJournal с помощью стороннего сервиса вы принимаете условия Пользовательского соглашения LiveJournal

Мне стало лень выкладывать рисунки книги в журнал, посколько это требует слишком много лишних движений. Посему, здесь будет только текст перевода, а полная версия будет собираться и выкладываться на мою страничку в pdf.

- Конфигурирование формирования трафика (QoS, качество обслуживания)

Следующие рецепты рассматривают расширенные возможности управления сетями, которые могут применяться, большей частью, в структуре производственной сети. Тем не менее, каждая из этих функций доступна в последней версии pfSense.

Этот рецепт описывает, как создать виртуальный IP адрес в pfSense.

pfSense позволяет создать четыре различных типа виртуальных IP адресов:

Вообще, виртуальные IP используются для конфигурирования отношений 1:1 NAT. В данном сценарии, потребуются виртуальные IP типа Other, которые мы настроим в этом рецепте.

2. Нажимаем [+] для добавления нового виртуального IP адреса

Виртуальные IP (VIP) типа Other обладают следующими свойствами:

- Трафик может только направляться для этого типа VIP; pfSense не может использовать этот тип VIP для собственных сервисов

- VIP может находится в подсети отличной от подсети интерфейса

Мы конфигурируем IP типа Other, однако в pfSense 2.0 могут быть сконфигурированы ещё три типа VIP. Все четыре типа VIP адресов похожи, но обладают различными свойствами:

- Может быть использован для направления трафика к брандмауэру

- Может использоваться в сценариях конфигурирования отказоустойчивого брандмауэра или балансировки нагрузки

- Будет отвечать на ping если сконфигурирован соответствующим образом

- Может использоваться ТОЛЬКО для направления трафика к брандмауэру

- Может находится в подсети отличной от подсети интерфейса

- Может использоваться ТОЛЬКО для направления трафика к брандмауэру

- Может находится в подсети отличной от подсети интерфейса

- Может использоваться для наравления трафика к брандмауэру

- Позволяет дополнительные IP адреса для добавления к интерфейсу

Конфигурирование виртуального IP адреса типа CARP

2. Нажимаем на кнопку [+] для добавления нового виртуального IP адреса

6. Указываем пароль виртуального IP (Virtual IP Password)

8. Выбираем частоту заявления (Advertising Frequency) (0 для master)

Конфигурирование виртуального IP адреса типа Proxy ARP:

2. Нажимаем на кнопку [+] для добавления нового виртуального IP адреса

5. Указываем единственный адрес (Single address) в качестве типа IP Address

Конфигурирование виртуального IP адреса типа IP Alias:

2. Нажимаем на кнопку [+] для добавления нового виртуального IP адреса

Этот рецепт описывает как конфигурируется правило 1:1 NAT. Правило 1:1 NAT используется когда вам необходимо связать публичные IP адрес с единственной внутренней машиной. Все назначения предназначенные для публичного IP будут маршрутизироваться на внутреннюю машину.

2. На закладке Virtual IPs, нажимаем кнопку [+] для добавления нового виртуального IP адреса

5. Выбираем Single Address в качестве типа (Type) IP Address и указываем ваш внешний публичный IP адрес

6. Добавляем описание (Description), например My publick IP Address

11. Нажимаем кнопку [+] для добавления нового правила 1:1 NAT

14. Указываем назначение (Destination), мы укажем алиас нашего внутреннего web-сервера

15. Указываем внешнюю подсеть (External subnet) - наш публичный IP адрес

16. Добавляем описание (Description), например Forward all external requests to Webserver1 (направлять все внешние запросы к Webserver1)

Когда устанавливается соединение 1:1 NAT, весь трафик будет направляться к внутреннему IP адресу (или подсети), так, словно внутренняя машина сконфигурирована с публичным IP адресом. Это намного проще, чем создавать правила форвардинга порта, в случае, если весь трафик предназначен для вашей внутренней машины.

Подобно многим особенностям расширенного управления сетью, 1:1 NAT требует использования VIP.

Этот рецепт описывает, как создать правило исходящего NAT.

Правила исходящего NAT определяют, как будет транслироваться трафик покидающий сеть. Сначала может показаться трудно понять концепцию на примере общих сценариев где работа ведётся только с заголовками пакетов, а не с тем как они выглядят когда покидают сеть.

В рецепте описано решение для обработки SSH запросов с использованием правила исходящего NAT в сочетании с правилом 1:1 NAT.

2. На закладке Virtual IPs, нажимаем кнопку [+] для добавления нового виртуального IP адреса

5. Выбираем Single address в качестве типа (Type) IP адреса (IP Address) и указываем наш внешний публичный IP адрес

6. Добавлем описание (Description), например My public IP address

11. Выбираем Automatic outbound NAT rule generation (IPsec passthrough included) (Автоматически генерировать правило исходящего NAT (включая прохождение трафика IPsec)

12. Нажимаем кнопку [+] для добавления нового сопоставления исходящего NAT

13. Выбираем интерфейс (Interface) машины которая будет отвечать, для нас - LAN

15. Указываем назначение (Destination) - IP адрес отвечающего сервера

16. Оставляем Translation установленым в Interface address и указываем порт 22 для ответа на SSH запросы

17. Вводим описание (Description), например Outbound NAT for WAN Clients to Server1 SSH (Исходящий NAT для SSH WAN клиентов Server 1)

22. Нажимаем кнопку [+] для добавления нового сопоставления 1:1 NAT

25. Указываем Single host or Alias для назначения (Destination), и IP адрес сервера, который будет обрабатывать запросы

26. Указываем VIP адрес который мы создали ранее в качестве внешней подсети (External subnet)

27. Добавляем описание (Description), например 1:1 NAT Public IP to Server1

32. Нажимаем кнопку [+] для добавления нового правила брандмауэра

34. Выбираем any для диапазона портов источника (Source port range)

35. Выбираем Single host or Alias для назначения (Destination) и указываем IP адрес или алиас сервера который будет управлять запросами

36. Указываем SSH для нашего диапазона портов назначения (Destination port range)

37. Добавляем описание (Description), например Allow WAN Clients to Server1 SSH

- Рецепт Конфигурирование правила форвардинга портов

Обычно, в сетях с единственным WAN соединением нет необходимости изменять установки шлюза; всё работает по умолчанию. Однако, в сетях с более чем одним интернет соединением или использующими некоторые дополнительные функции (например статические маршруты), потребуется определить дополнительные пользовательские шлюзы.

6. Указываем IP адрес шлюза - это должен быть валидный адрес на выбранном интерфейсе

7. Мы должны назначить алтернативный Monitor IP, или оставить поле пустым чтобы использовать IP адрес шлюза по умолчанию.

8. Добавляем описание (Description), например My new gateway

Шлюз - это портал который соединяет две сети. Трафик между двумя сетями, такими как LAN и Интернет, будет проходить через шлюз. Если мы имеем несколько WAN соединений (несколько соединений с Интернет) мы должны определить шлюзы для каждого из них.

Как мы увидим в следующем рецепте, шлюзы необходимы при создании статических маршрутов. Статический маршрут - это жёстко указанный путь из одной сети в другую, и весь межсетевой трафик должен проходить через шлюз.

pfSense 2.0 реализует новую концепцию называемую шлюзом группы (Gateway Groups). Шлюз группы - это коллекция шлюзов которые можно рассматривать как одно целое в совокупности с другими функциями системы. Шлузы группы при необходимости появляются в выпадающем меню шлюзов, например при определение правил брандмауэра.

Этот рецепт описывает, как создать статический маршрут используя pfSense.

Статический маршрут используется для доступа к сетям которые не возможно решить используя стандартный шлюз WAN, но можно решить не напрямую используя различные интерфейсы. В общем сценарии мы построим офис с общим сетевым доступом к принтерам. Любое подключение к сети может использовать общую сеть, для этого просто необходимо создать статический маршрут. Мы можем использовать pfSense для создания статического маршрута для иинтерфейса в целом, а не настраивать статический маршрут на каждый отдельный компьютер.

6. Указываем IP адрес (IP Address) для шлюза; это должен быть валидный адрес на выбраном интерфейсе

7. Мы должны назначить альтернативный Monitor IP или оставить поле пустым чтобы использовать IP адрес шлюза по умолчанию.

8. Добавляем описание (Description), например My new gateway.

14. Вводим IP адрес для сети назначения (Destination)

15. Выбираем шлюз (Gateway), который мы определили ранее

16. Вводим описание (Description), например Static route for shared printer network (Статический маршрут для общему сетевому принтеру)

По умолчанию, статический маршрут указывает на путь к общему сетевому принтеру. Теперь мы можем получить доступ к этой сети посредством данного статического маршрута, и предложить этот шлюз другим пользователям брандмауэра.

Конфигурирование формирования трафика (QoS, качество сервиса)

Формирование трафика (трафик-шейпер), так же известно как качество обслуживания (Quality of Service - QoS) - приоритезация и урезание сетевых пакетов. Приоритезация сетевых пакетов позволяет преобладание определённого вида трафика над другими. Регулирование сетевых пакетов устанавливает лимиты на объёмы определённых видов трафика для любого конкретного момента времени. Администратору может понадобиться произвести приоритезацию пакетов VoIP над прочими, чтобы обеспечить непрерывность и качество телефонной связи. Кроме того, можно ограничить пропускную способность для VoIP до 100Кб в секунду. Это один из довольно типичных примеров использования формирования трафика.

В следующем рецепте, мы используем pfSense для формирования трафика внешнего MSRDP соединения к нашей сети. Это позволит гарантировать, что мы получим возможность удалённого администрирования сервера даже при высоких нагрузках сети.

3. На Wizard functions, нажимаем Single WAN multi WAN

4. Вводим число типа LAN соединений в поле Enter number of LAN type connections. Наша система pfSense имеет LAN и DMZ; т.ч. вводим 2.

7. На следующей странице указывается формирователь VoIP трафика (VoIP traffic), который мы пропустим нажав Next

8. Следующая страница, Penalty Box, позволяет вводить приоритет IP адреса или алиаса. Это может быть полезно, но у нас нет необходимости использовать его в данный момент. Можете пропустить это окно нажав кнопк Next

9. Peer to Peer (P2P) Networking позволяет понизить приоритет и урезать весь трафик P2P, или любой из 20 предопределённых популярных P2P сетей. Мы продолжим нажав Next.

10. Network Games позволет формировать трафик для сетвых игр. Предопределены 20 наиболее популярных игровых типов. Нажмите Next для продолжения

11. Последняя страница, Other Applications, позволет формировать другие общие виды трафика. Здесь мы должны установить флаг Enable other-application shaping и установить MSDRP в значение высокого приоритета (Higher priority). Нажмём далее для продолжения:

Используя мастер формирователя трафика, мы определили установки правил приоритезации трафика RDP. Даже если сеть будет находится под высокой нагрузкой web трафика, VoIP или любого другого типа трафика, наше удалённое подключение будет работать нормально и непрерывно, поскольку ему установлен высокий приоритет.

Traffic Shaper (шейпер) это подсистема динамического распределения полосы пропускания трафика. С ее помощью можно одному типу трафика давать первоочередное преимущество перед другим видом трафика, а так-же выделять минимальную и максимальную полосы(скорости) для прохождения трафика.

Traffic Shaper состоит из двух элементов - очередей Queues и планировщиков. Очереди описывают свойства проходящего потока данных, его приоритеты и ширину полосы. Планировщик определяет алгоритм взаимодействия и иерархию очередей. Направление трафика в очереди производится в правилах файрвола.

Выражения исходящий трафик и входящий трафик применительно к роутеру имеет значение применительно к направлению движения пакетов на интерфейсах. Весь выпускаемый роутером трафик (не важно в локальную сеть или в интернет) является выходящим (OUT). Весь принимаемый роутером трафик является входящим (IN).
На пример: пакет проходящий через роутер от Web сервера в Интернете к клиенту в локальной сети на WAN интерфейсе будет для роутера входящим, а на LAN интерфейсе - исходящим.

Ниже очень упрощенно показано движение пакетов в роутере между двумя интерфейсами.
Как видно из схемы назначение очередей Queue Tagging для проходящих пакетов производится в двух местах - при входе в роутер и при выходе из него. НО постановка пакетов непосредственно в очередь и шейпинг в ALTQ производится только при выходе пакетов из роутера на выпускающем пакет интерфейсе.

Пример:
Пусть из локальной сети пользователь запросил WEB страничку. Его запрос проходя через Lan интерфейс будет входящим для роутера на этом интерфейсе и может обрабатываться правилами с опциями <in, nostate="">.
После прохождения ядра системы он попадает на WAN интерфейс, где уже будет исходящим для роутера на WAN интерфейсе. Здесь он может быть обработан правилами c опциями <out, nostate="">.
Для данного пакета в IN правилах на LAN интерфейсе или в OUT правилах на WAN интерфейсе могут указываться очереди Queues, созданные на интерфейсе WAN, так как в шейпер этот пакет будет помещен при покидании WAN интерфейса.
Обратный пакет-ответ от WEB сервера будет идти зеркально по отношению к пути пакета-запроса.

Обращает на себя особое внимание первоочередность применения правил NAT/PortMapping перед всеми другими операциями. Это необходимо учитывать при формировании правил файрвола, так как они обрабатывают пакеты с уже измененными атрибутами (Src для NAT, Dst для PortMapping).

Настройка Traffic Shaper производится в меню Firewall > Traffic Shaper

Имеется 5 закладок:

By Interface
Отображается иерархия очередей ALTQ на интерфейсах. Это основная закладка для управления очередями (создание/изменение/удаление).

By Queue
Отображаются очереди ALTQ сгруппированные по интерфейсам. Возможно клонировать/удалять очереди на интерфейсах.

Limiter
Содержит настройки альтернативного шейпера на базе DummyNet.

Layer7
Содержит группы фильтров подсистемы Layer7. Позволяет фильтровать трафик приложений по характерным сигнатурам пакетов.

Wizards
Включает в себя список мастеров настройки шейпера ALTQ.

Вкладка Wizards содержит несколько мастеров настройки шейпера.

Самый лучший способ понять и разобраться с работой шейпера в pfSense - воспользоваться услугами мастера настройки.

Тип мастера зависит от конфигурации вашего роутера:

Single Lan multi Wan - настройка для одной LAN и нескольких WAN, в т.ч. и для 1-Lan : 1-Wan
Single Wan multi Lan - настройка для нескольких LAN и одной WAN
Multiple Lan/Wan - настройка для нескольких LAN и нескольких WAN
Dedicated Links - …

При настройке для каждого интерфейса можно выбрать свой планировщик. При этом мастер самостоятельно рассчитает и согласует необходимые параметры очередей, а так же создаст необходимые правила файрвола. Можно создать мастером минимальную базовую схему настройки и затем своими силами модифицировать ее под свои нужды.

Все мастера позволяют повторно пройти существующую перенастройку с уже введенными Вами данными.
К сожалению есть баги - если ранее вы выбрали какие-то пункты галками, то они не активируются при повторном заходе в мастер. Нужно повторно перевыбирать галку - тогда все зависимые элементы мастера активизируются и можно корректно перейти на следующий шаг настройки.

Использование мастера настройки и интерфейс pfSense ориентированы на создание однотипных списков очередей, что несколько упрощает настройку правил файрвола.
Вы также можете строить структуру очередей по своему усмотрению, но для этого необходимо четко понимать как и где вы производите шейпинг трафика. Это в равной степени относится к формированию правил файрвола.

Очереди Queues, приоритеты и планировщики шейпера

При обработке данных роутером пакеты поступают в очередь и ожидают, когда они будут обработаны. При этом роутер выбирает какие из пакетов и в каком порядке должны быть обработаны. Имеются протоколы чувствительные к задержкам, и они должны быть обработаны в первую очередь.
Управление очередностью и приоритетом прохождения данных может серьезно сказаться на качестве работы в сети. В фильтре PF pfSense имеется встроенная система управления трафиком ALTQ. Все поступающие данные ставятся в очереди Queues и ожидают там дальнейшей обработки. За управление поведением очередей отвечает элемент Планировщик (Sheduler).

Очереди

Очереди Queues это элементы шейпера ALTQ, определяющие каким образом будет обработан пакет. Каждая очередь имеет характеристики приоритета, пропускной способности и др. Для разных типов планировщиков очередь может иметь разный набор параметров.

Sheduler type - тип планировщика.

Bandwidth - скорость канала в целом Bit(Kbit/Mbit/GBit)/с

Queue Limit - скорость движения пакетов в секунду pt/sec в очереди

Tbr Size - размер очереди в пакетах

Priority - приоритет очереди 0 -> 7.

Queue Limit - скорость движения пакетов в секунду pt/sec

Scheduler options - Опции планировщика:
- Default queue - присваивается одной из очередей назначая ее очередью по умолчанию. В зависимости от политики шейпинга "прочего трафика" выбирают очередь с нормальным или минимальным приоритетом.
- RED - Random Early Detection - RED используется для предотвращения перегрузки сети. RED вычисляет длину очереди и сравнивает ее с минимальной и максимальной границей очереди. Если очередь превышает максимум, все новые пакеты отбрасываются. В соответствии со своим названием, RED отбрасывает пакеты из различные соединений в произвольном порядке. Использование RED делает невозможным разделение по классам качества обслуживания (QoS). Поэтому в случае, когда QoS важно, используются другие варианты алгоритма, такие как Weighted RED (WRED) или RED In/Out (RIO).
- RED In/Out - …
- ECN - Explicit Congestion Notification - Явное Уведомление о Перегруженности — расширение протокола IP, позволяет обоим сторонам в сети узнавать о возникновении затора на маршруте к заданному хосту или сети без отбрасывания пакетов. Это дополнительная функция, которая используется только в том случае, когда обе конечные точки обмена информацией сообщают, что они хотят её использовать.

Специальные параметры дочерних очередей
Для CBQ
- Borrow from other queues when available - Занимать полосу у других очередей, если доступно.
Для HFSC
- realtime <sc>- Минимальная полоса пропускания
- upperlimit <sc>- Максимальная полоса пропускания
- linkshare <sc>- Полоса, которую можно делить с другими очередями

Примечание:
Здесь <sc>это сокращение для service curve — кривая сервиса.
Кривая состоит из двух линейных участков и описывается тремя числами (m1, d, m2).

m1 — начальная полоса пропускания (т.е. наклон первой кривой),
d - время в течении которого действует первичная полоса пропускания в миллисекундах и
m2 — наклон второго линейного участка — т.е. реальная полоса пропускания.
Столь детальное описание кривой сервиса позволяет отдельно регулировать задержки при работе очереди и полосу пропускания, тогда как в CBQ есть только регулировка полосы пропускания и, следовательно, единственный способ снизить задержки состоит в увеличении полосы пропускания.

Планировщики ALTQ

Планировщик определяет алгоритм, используемый для решения какие пакеты будут задержаны, отброшены или сразу переданы. В настоящий момент существуют три планировщика, поддерживаемые FreeBSD в реализации ALTQ:

Priority Queuing (PRIQ)
PRIQ простой планировщик, первым пропускает трафик из очередей с высоким приоритетом. У этих очередей не может быть дочерних очередей. Каждой очереди присваивали уникальный приоритет, в пределах от от 0 до 15. Очереди с высшим номером имеют высший приоритет.

Правила фильтра для шейпера

При использовании мастера настройки в разделе Floating Rules правил файрвола будет создан список, определяющий очереди шейпера для каждого вида трафика (Queues). Раздел Floating Rules был специально создан в pfSense 2.0 взамен правил шейпера. В отличии от правил на интерфейсах здесь имеется ряд отличительных настроек, позволяющих создавать более гибкие списки правил.

Правила из Floating Rules всегда обрабатываются до правил из списков на интерфейсах.

Опция Interfaces
Определяет к каким интерфейсам будет относится данное правило. Может быть выбрано несколько интерфейсов. Если интерфейсы не выбраны - правило имеет глобальный характер.

Опция Quick.
Означает немедленное применение правила и прекращение дальнейшего просмотра списков.

Порядок просмотра списка правил.

Правила на интерфейсах
Правила из списков на интерфейсах формируются с включенной опцией Quick, которая недоступна пользователям для изменения. Просмотр списка идет до первого подходящего правила. Поэтому здесь более общие правила располагают ниже остальных.

Правила FloatingRules
Списки FloatingRules так же просматриваются сверху вниз, пока не будет достигнут конец списка или просмотр не будет прерван на подходящем правиле с опцией Quick. При встрече подходящих правил без опции Quick будет применено каждое из них и просмотр будет продолжен дальше до конца списка. Здесь без использования опции Quick сначала следует располагать более общие правила, а затем уже более конкретные.

Рассмотрим пример Floating Rules, созданный с помощью мастера (см. скриншот)

В этих правилах опция Quick не установлена. Это означает, что будет просмотрен весь список правил до конца.
Первым стоит общее правило Penalty Box, которое помещает все пакеты в низко приоритетную очередь qOthersLow.
При дальнейшем просмотре до конца списка эта очередь может быть изменена на другую с другим приоритетом, если попадется другое соответствующее пакету правило. Иначе трафик остается в низко приоритетной очереди.
В этом примере реализована концепция урезания "прочего трафика" и выделение ресурсов канала для "нужного трафика". Она хорошо подходит для борьбы с трудно-фильтруемым трафиком (P2P к примеру).

Возможны и другие подходы. Например:

общее правило предоставляет всему трафику очередь с нормальным приоритетом,
дальнейшие правила сортируют "нужный" трафик в более высоко приоритетные очереди, а "вредный" трафик в низко приоритетные очереди.
В этом случае весь "остальной" трафик будет ходить уступая место "нужному" и отбирая полосу у "вредного" трафика.

Напомню, что без опции Quick в списке более общие правила должны располагаться выше, а частные ниже.

Обращаем внимание на опцию Direction. Для правил шейпера в примере она установлена в Out, что означает применение правил к выходящим из роутера пакетам. Назначать очереди входящим пакетам (Direction=In) так же возможно, что обычно применяют для разделения по Source параметрам. Но необходимо понимать, что трафик подвергается шейпингу только на выходе из роутера, то есть на том интерфейсе через который он покидает роутер.

Использование опции States в правилах.

При использовании опции States в одном из состояний, отличном от NoState, при обработке трафика будет использована таблица состояний States фильтра.

Todo: разобрать keep_state. Мастером создается с этой опцией. как это будет работать с ассиметричным ADSL ?

Сэм работает сетевым аналитиком в фирме по алгоритмической торговле. Он получил степень бакалавра информационных технологий в UMKC.Эффективное управление полосой пропускания критически важно для произ

Содержание:

Сэм работает сетевым аналитиком в фирме по алгоритмической торговле. Он получил степень бакалавра информационных технологий в UMKC.

pfSense Bandwidth Manager: настройка и управление

Эффективное управление полосой пропускания критически важно для производительности любой сети. В большинстве сетей многие пользователи используют одно подключение к Интернету.

Самая большая проблема в общей сети заключается в том, что один пользователь потенциально может использовать всю доступную пропускную способность Интернета и в результате замедлить соединения для всех других пользователей. Пользователи с высокой пропускной способностью могут создать еще большую проблему, если в вашей сети есть критический трафик, такой как VOIP, который зависит от наличия достаточной пропускной способности для работы.

Решением подобных проблем является внедрение системы формирования трафика.Формирование трафика может определять приоритеты вашего важного или критического по времени сетевого трафика, чтобы гарантировать производительность и, в то же время, ограничивать менее важный трафик.

В этой статье я покажу вам, как использовать pfSense, брандмауэр с открытым исходным кодом, для настройки формирования трафика для управления пропускной способностью вашей сети.

Если вы не знакомы с pfSense, вы можете прочитать Сначала введение в pfSense.

Как найти пользователей с высокой пропускной способностью

Чтобы правильно управлять использованием полосы пропускания, вам необходимо определить, кто использует наибольшую пропускную способность и почему.

PfSense предлагает пакет под названием Darkstat, который может быстро дать вам представление о том, что происходит в вашей сети.

Darkstat создает список хостов, отсортированный по общему количеству загружаемого и загружаемого трафика. Вы также можете развернуть этот отчет, чтобы увидеть, какие порты TCP или UDP используются для этого. Эта информация может использоваться, чтобы определить, поможет ли формирователь трафика вашей сети, и если да, то какие порты вы должны формировать.

Как установить и настроить pfSense Bandwith Traffic Shaper

Инструкции в этой статье были созданы для pfSense версии 2.0; Если вы не обновились до последней версии, я бы порекомендовал сделать это в первую очередь. Формирователь трафика в версии 2.0 имеет много улучшений по сравнению с предыдущей версией.

В разделах ниже я включил снимки экрана с каждым шагом процесса настройки и описание каждой страницы. После выполнения этих шагов у вас будет полнофункциональный формирователь трафика для вашей домашней или корпоративной сети.

Шаг 1. Запустите Shaper Wizard

Для начала войдите в свою систему pfSense с помощью веб-интерфейса. Затем откройте меню формирователя трафика на вкладке брандмауэра.

PfSense позволяет вручную настраивать формирователь трафика, хотя я бы рекомендовал использовать мастер формирователя трафика, а затем при необходимости настраивать параметры.

Шаг 2: укажите Wan-соединение

Шаг 3: Конфигурация формирователя

На странице конфигурации формирователя первое, что вам нужно сделать, это выбрать планировщик LAN.

Я бы рекомендовал использовать значение по умолчанию - HFSC (Hierarchical Fair Service Curve). Если вам нужно только очень простое формирование, вы можете использовать PRIQ (Priority Queuing), который легко изменить, но не так эффективно.

В поле загрузки соединения введите максимальную скорость соединения.

Если вы не уверены в скорости своего подключения, обратитесь к своему интернет-провайдеру или воспользуйтесь онлайн-тестом скорости, чтобы получить оценку. Возможно, вам придется немного изменить эти настройки, чтобы найти оптимальную конфигурацию для вашего подключения.

Шаг 4. Настройки передачи голоса по IP

Если вы используете VOIP-телефоны, вы, вероятно, захотите установить приоритеты для трафика, отправляемого этими телефонами. Установите флажок, чтобы включить этот параметр. Затем выберите своего VOIP-провайдера из списка.

Шаг 5: штрафной ящик

Шаг 6: одноранговая сеть

В этом разделе мастера вы можете указать, отменять ли приоритет трафика одноранговой сети. Практически каждый захочет включить этот параметр, поскольку трафик P2P часто является крупнейшим пользователем полосы пропускания Интернета в сети. Установите флажки рядом с каждым приложением, которое формирователь трафика должен искать в вашей сети.

Вы также можете включить настройку P2P для всех, чтобы наказывать некатегоризованный трафик. Если этот параметр включен, любой трафик, специально не классифицированный в формирователе трафика, будет считаться трафиком P2P. Как правило, мне не нравится использовать этот параметр, потому что он кажется мне слишком широким, но если вы хотите применить агрессивный подход к формированию пакетов, вы можете включить этот параметр.

Если вам нужно заблокировать определенный протокол, которого нет в списке, я покажу вам, как вручную создать правило, позже в этом руководстве.

Шаг 7. Расставьте приоритеты для игрового трафика

На странице сетевых игр вы можете назначить приоритет игрового трафика в сети. Это очень полезно для снижения задержки игрового трафика, который очень чувствителен ко времени.

Если этот параметр включен, пользователи в сети по-прежнему могут загружать / скачивать файлы, не влияя на пользователей, играющих в игры. Например, игроки в MMORPG любят Мир Warcraft могут улучшить время отклика, включив эту опцию.

Шаг 8: другие приложения

Если мастер не перечисляет все приложения, которые вам нужны, вы можете создать свои собственные правила формирования трафика.

Шаг 9: настройка правил

Если вы не видите правила, снова запустите мастер и убедитесь, что приложения включены. Иногда вам нужно снять / установить флажок. Если параметры неактивны, значит, они не включены.

Вы можете настроить порты существующих правил или создать совершенно новые правила, если хотите. Самый простой способ сделать это - создать правило на основе существующего правила, аналогичного тому, что вы пытаетесь выполнить. Для этого щелкните значок плюса рядом с правилом, которое вы хотите скопировать. Имена очередей не требуют пояснений относительно их назначения.

Чтобы просмотреть список всех очередей и их текущие настройки, откройте страницу формирователя трафика в меню брандмауэра.

Управление пропускной способностью pfSense: мониторинг состояния очереди

После того, как вы закончили настройку формирователя, рекомендую следить за статусом очередей. Рекомендуется проверять очереди во время интенсивного использования полосы пропускания, чтобы убедиться, что все работает должным образом. Вы можете обнаружить, что со временем вам потребуется внести небольшие изменения, чтобы улучшить систему.

Если вы видите падения в очередях подтверждения или по умолчанию, вам может потребоваться предоставить им большую пропускную способность. Это можно сделать на странице настроек формирователя трафика, щелкнув очередь, которую нужно настроить.

Подтверждения (acks) могут потреблять очень большую часть вашей общей пропускной способности во время интенсивных загрузок. Чем быстрее компьютер сможет подтвердить получение пакета, тем раньше компьютер-отправитель отправит следующий фрагмент файла, поэтому вы хотите, чтобы эти пакеты быстро покинули вашу сеть.

Глубокая проверка пакетов

Глубокая проверка пакетов, также известная как формирование уровня 7, идентифицирует трафик на основе содержимого пакетов, а не только портов источника или назначения. Если вы пытаетесь управлять трафиком, который использует много разных номеров портов, вам следует использовать глубокую проверку пакетов.

Эта функция присутствует только в pfSense версии 2.0 и новее.

Эта статья точна и правдива, насколько известно автору. Контент предназначен только для информационных или развлекательных целей и не заменяет личного или профессионального совета по деловым, финансовым, юридическим или техническим вопросам.

Настройка Traffic Shaper производится в меню Firewall > Traffic Shaper. При открытии видим несколько вкладок:

Настраиваем Traffic Shaper на примере Multiple Lan/Wan (traffic_shaper_wizard_multi_all.xml):

Указываем количество WAN и LAN интерфейсов. В нашем случае по одному.

перед следуюшим шагов нам необходимо замурить пропустную способность нашего интернет канала, иначе говоря скорость интернета. Можно воспользоваться speedtest или аналогичным сайтом

Указываем какими видами очередей мы будем использоваться на интерфейсах (Оставим по-умолчанию PRIQ), а также укажем нашу скорость интернета

В данном примере мы не будем использовать телефонию, поэтому VoIP оставляем выключенным

Тут мы можем указать алиас фаервола или ip адрес компьютера или устройства, который мы хотим понизить в приоритете. например у вас есть FTP- сервер доступный из интернета. Чтобы он при активности не блокировал работу локальной сети, можно сделать соответствующую настройку. Это может быть полезно, но у нас нет необходимости в данный момент. Можете пропустить это окно нажав кнопку Next

Network Games позволяет формировать трафик для сетевых игр. Можно выбрать определённею игру или игровую платформу из списка популярных. Нажмите Next для продолжения

Raise or lower other Applications, позволяет формировать другие виды трафика. Настроим приоритет трафика для MSDRP (Удалённый рабочий стол) и VNC в значение высокого приоритета (Higher priority). Нажмём далее для продолжения

Нажимаем Finish для применения новых настроек.

Проверить работу можно командой

Или посмотреть в веб-интерфейсе: Status > Queues

Читайте также: