11.3. Kontroly síťového toku
Kontrolou síťového toku se rozumí souhrn funkcí systému, které umožňují nastavovat a regulovat množství dat protékající skrze síťové karty serveru mezi počítači v intranetu a serverem nebo z Internetu a do Internetu.
Poznámka: Anglicky se tyto funkce souhrně nazývají Quality of Service neboli kvalita služeb a běžně se pro ně užívá zkratka QoS.
Každé síťové rozhraní musí mít nastavenu rychlost. Tato rychlost by měla odpovídat maximální rychlosti síťové karty, na které je síťové rozhraní nastaveno a která je ve většině případů rovna hodnotě 100Mbit. Tato hodnota bývá rovněž přednastavena a obvykle ji není potřeba měnit.
U každé sítě, kterou máte definovánu, můžete kontrolovat toky dat tří typů:
-
tok směřující z rozhraní – zahrnuje provoz, který směřuje ze serveru, ale nesměřuje z Internetu. Typicky se jedná o stahování pošty protokolem IMAP, přenosy dat z lokálního souborového serveru nebo využívání jiných služeb, které běží na serveru.
-
tok směřující z Internetu – zahrnuje provoz, který přichází skrze implicitní rozhraní z vnějšího světa.
-
tok směřující do Internetu – zahrnuje provoz, který směřuje skrze implicitní rozhraní do vnějšího světa.
Pokud chcete u některé sítě kontrolovat tok dat, musíte tento tok nejprve označit zatrhávacím políčkem.
Důležitým údajem je zaručený tok, který určuje nejnižší zaručenou rychlost provozu pro danou síť. Nejvyšší možnou rychlost provozu naopak udává hodnota maximální tok. Pokud některý počítač nevyužívá plně kapacitu svého maximálního toku, rozdělí se tato přebytečná kapacita mezi jiné sítě nebo rozhraní, a to v poměru jejich zaručených toků.
Příklad 11-2. Přerozdělení kapacity toku nad rámec zaručeného toku
Mějme síťové rozhraní s maximálním tokem 128 kbit a na něm dvě podsítě s maximálními toky rovněž 128 kbit a se zaručenými toky 16 a 32 kbit. Součet zaručených toků je tedy 48 kbit a zbývající kapacita je 80 kbit. Poměr zaručených toků je 1:2. Řekněme, že jedna podsíť bude komunikovat rychlostí svého maximálního toku, zatímco druhá nebude komunikovat vůbec. Pokud ona neaktivní síť začne komunikovat a bude schopna přijímat data rychlostí svého maximálního toku, pak už součet rychlostí přijímaných dat bude vyšší než je maximální tok nadřazené sítě a proto se rychlosti toků pro podsítě musí přerozdělit. Každá podsíť dostane svůj zaručený tok a k němu část ze zbývajících 80 kbit kapacity podle uvedeného poměru zaručených toků. Pomalejší linka tedy bude komunikovat rychlostí 16+26.66 kbit a ta druhá rychlostí 32+53.33 kbit. To dává dohromady 128 kbit, což je maximální tok nadřazené sítě.
Priorita toku udává, jak rychlá bude odezva síťové služby např. při kliknutí myši na internetový odkaz. Toky s vyšší prioritou budou dostávat přednost před jinými toky, takže práce s nimi bude plynulejší. Toto ovšem typicky platí jen pro malé přenosy dat nebo pokud síť není vytížena nad úroveň svého zaručeného toku, protože zaručený tok jednoho už nedovolí ostatním tokům předbíhat, ať už mají jakkoliv vysokou prioritu.
Obecná pravidla pro nastavování zaručených a maximálních toků jsou následující. Maximální toky na implicitních síťových rozhraních by měly být o něco nižší oproti rychlosti od poskytovatele internetového připojení, aby bylo možno efektivně omezovat a řídit průchod dat sítí s ohledem na vyrovnávací paměti, mezifronty apod. Totéž platí pro intranetová síťová rozhraní s ohledem na provoz na serveru. Maximální tok podsítě nesmí být vyšší než je maximální tok její nadřazené sítě. Součty rychlostí zaručených toků podsítí pro jednotlivé typy toků nesmí překročit zaručený tok pro tentýž typ toku u nadřazené sítě.
Provoz na síťových rozhraních lze třídit na datové toky komunikující s Internetem a datové toky komunikující se samotným rozhraním. Za tok jdoucí z Internetu se považuje datový provoz pocházející z neznámé IP adresy a odchozí datový provoz ze serveru procházející přes port, který není uveden, respektive je zakázán v seznamu porty na rozhraní.
Porty se do seznamu zadávají po jedné položce, která může mít tvar jednoho čísla (25), číselného rozsahu (1024-65535), negace čísla pro zakázání portu (!3128) nebo masky označující všechny porty (*). Aby bylo možné efektivně omezovat a řídit provoz směrem z Internetu, je potřeba na síťových rozhraních definovat seznam portů, přes které se s Internetem nekomunikuje. To se nejčastěji provede tak, že se povolí všechny porty maskou * a současně se zakáží standardně konfigurované porty pro komunikaci s Internetem. Ty zahrnují porty 3128 a 8080 pro proxy cache a port 80 pro transparentní proxy cache. Proto doporučujeme, aby seznam portů pro síťová rozhraní obsahoval tyto položky: *, !80, !3128, !8080. Podsítím stačí přidat do seznamu položku *, což znamená převzetí všech portů (včetně zakázaných) nastavených v nadřazené síti.