Wiemy już czym jest bezpłatne rozwiązanie pfSense, a także poznaliśmy kilka jego możliwości. W dzisiejszym artykule pokażę Wam jak przy pomocy tego świetnego firewalla uruchomić podział pasma sieciowego ze względu na grupy.
Po co dzielimy pasmo? Z kilku powodów. Pracownicy w trakcie pracy robią różne rzeczy. Pracują co jasne, ale także słuchają muzyki, pobierają pliki. Czasem uruchamiają pobieranie na tyle dużych plików, że w konsekwencji może być ono odczuwalne dla pozostałych. W czasach strumieniowanego kontentu staje się to uciążliwe, zwłaszcza jeśli sieć firmowa nie dysponuje odpowiednio szybkim łączem. Mamy w domach światłowody. Prędkości w mieszkaniach są często powyżej 100 Mb/s, a przy obecnych cenach łącz światłowodowych, przepływności 1 Gb/s nikogo już nie dziwią.
To co jednak mamy w domu to łącza konsumenckie, często bez gwarancji SLA, bez gwarancji przepustowości (słynne zapiski, z którymi UOKiK walczył “do”). Łącza biznesowe są z reguły kilkukrotnie droższe. Zawierają w umowie gwarantowane parametry. Dlatego zachowanie dużych prędkości, często symetrycznie, musi być po prostu droższe, więc o ile w domu łącze 1 Gb/s kosztuje w granicach 100 zł miesięcznie +/- , to w przypadku łącza biznesowego, te ceny mogą wahać się w granicach ok. 1000 zł miesięcznie +/-. Dlatego nie zawsze w firmie będziemy mieli łącze o dużej przepustowości. W dzisiejszym artykule będziemy właśnie rozpatrywać takie przypadki biznesowe, gdzie łącze biurowe mamy w granicach np. 20 Mb/s.
Stąd konieczność radzenia sobie z wysyceniem łącza. Praca biurowa a łącze zajęte? Być może właśnie jeden z pracowników postanowił obejrzeć na drugim ekranie mecz w 4K, albo korzystając z łącza firmowego (bo w domu ma np. tylko LTE) zdecydował pobrać trochę muzyki lub film na wieczór. Częsta sytuacja. Doskonale sprawdzą się rozwiązania sieciowe np. Axence nVision®, gdzie możemy monitorować rodzaje pobieranych plików, limitować co pracownicy robią na komputerach, uniemożliwiać pobranie wskazanych plików, monitorować w całości ruch sieciowy. Warto mieć także na froncie limiter, który pozwoli nam ograniczyć kreatywność pracowników w pobieraniu różnego rodzaju plików oraz ruch np. w sieciach peer to peer.
1. Założenia
- Łącze w firmie ma około 20 Mb/s Download – 20 Mb/s Upload. Łącze biznesowe.
- Mamy już zainstalowany pfSense zgodnie z poprzednimi poradnikami.
- Mamy uruchomione DHCP ze statycznymi adresami IP.
Co chcemy osiągnąć?
Chcemy, aby jeden pracownik mógł maksymalnie zająć 8 Mb/s, co powinno mu spokojnie wystarczyć do pracy biurowej, a jednocześnie pozwolić na słuchanie muzyki z popularnych serwisów streamingowych jak: Spotify, Apple Music, Tidal, a także słuchać podcastów, stacji internetowych (nawet 320 kbps MP3) czy muzyki na YouTube w formie filmów HD.
2. Utworzenie Aliasów (grup) pracowników
Na początek musimy utworzyć grupy pracowników, tak zwane “aliasy”. W aliasach tych umieścimy adresy IP pracowników, na których będziemy nakładać odpowiednie w dalszej części limity przepustowości.
Pozostajemy w zakładce IP i klikamy “Add”.
W tym przypadku limitowanie odbywa się po adresie IP przypisanym pracownikowi.
Od razu ktoś powie – ale pracownik może zmienić adres IP i ominąć limity. Nie. Możemy w pfSense mu to uniemożliwić, ale o tym jak uniemożliwić pracownikom zmiany IP i po takiej próbie ich odcinać automatycznie przeczytacie w innym artykule.
No więc, mamy adres IP 192.168.1.102 – IP administratora, który powinien mieć nielimitowany internet – tak zakładam. Ustawiamy jak na obrazku.
Zapisujemy. Aplikujemy.
Przechodzimy na zakładkę “Firewall” > “Trafic Shaper”.
Przechodzimy na zakładkę “Limiters”.
Litowanie Download.
Ustawiamy jak na obrazku – ustawiamy limit dla administratorów. Pobieranie około 10 Mb/s.
Schedular przestawiamy – zostawiamy w domyślnych ustawieniach.
Zapisujemy i aplikujemy.
Tworzymy kolejny limiter – tym razem dla upload, podobnie jak download. Upload na przykład ustawiamy na około 8 Mb/s.
Przechodzimy do zakładki “Firewall” > “”Rules”.
Przechodzimy na zakładkę “LAN”.
Klikamy na “Add”.
Ustawiamy jak na obrazku:
Przechodzimy na opcje zaawansowane.
Schodzimy na dół i właściwie do najprostszego limitowania wystarczy zaznaczyć to co na obrazku.
Zapisujemy, aplikujemy i limity właśnie zaczęły obowiązywać.
Sprawdzamy.
Zmniejszamy testowo wartości Download 5 Mb/s i Upload na 3 Mb/s.
Podsumowanie
Wartości ustawiane w pfSense powinny mniej więcej zgadzać się z tymi osiąganymi na speedtestach – przy pobieraniu czy wysyłaniu.
Warto limitować ruch w sieciach, gdzie nie mamy do dyspozycji łącza o dużej przepustowości. Jednak nawet przy łączach 1 Gb/s – z doświadczenia u klientów wiem, że potrafią być one wysycane przez pracowników, którzy w firmie ściągają, albo zapominają po przyjściu do firmy wyłączać swoje aplikacje p2p. O ile ich nie blokujemy w inny sposób, np. przy pomocy polityk narzucanych na system operacyjny, to procedury swoje, a życie pokazuje, że pracownicy robią różne rzeczy na swoim sprzęcie firmowym.
… [Trackback]
[…] There you will find 93843 more Information on that Topic: wladcysieci.pl/2022/04/13/podzial-pasma-sieciowego-na-grupy-w-pfsense/ […]
… [Trackback]
[…] Read More here on that Topic: wladcysieci.pl/2022/04/13/podzial-pasma-sieciowego-na-grupy-w-pfsense/ […]