CPUG: The Check Point User Group

Resources for the Check Point Community, by the Check Point Community.


I'd like to thank everyone involved for making "The CPUG Challenge" a great success.
We helped a lot of people see and learn a bit more about R80.10, while having some fun.
We will be using this success to try and bring more events to more locations soon. -E

 

Results 1 to 4 of 4

Thread: QoS einrichten bei R77.30

  1. #1
    Join Date
    2009-08-17
    Posts
    42
    Rep Power
    0

    Default QoS einrichten bei R77.30

    Hi Leute,

    ich benötige mal hilfe auf deutsch, da ich die Anleitung von Checkpoint nicht kapiere!

    Wir möchten unseren VPN Verkehr in der Firewall Priorisieren, weil wenn jemand z.B. runterlädt und die Bandbreite komplett ausschöpft, gehen die VPN Tunnel in die Knie. In der Anleitung von Checkpoint steht:
    ----------------------------
    Weight
    Weight is the relative portion of the available bandwidth that is allocated to a rule.
    To calculate what portion of the bandwidth the connections matched to a rule receives, use this formula:
    this rule's portion = this rule's weight / total weight of all rules with open connections
    For example if this rule's weight is 12, and the total weight of all the rules for which connections are currently open is 120. The connections open under this rule are allocated 12/120, or ten percent.
    In practice, a rule may get more than the bandwidth allocated by this formula, if other rules are not using their maximum allocated bandwidth.
    Unless a per connection limit or guarantee is defined for a rule, all connections under a rule receive equal weight.
    Allocating bandwidth according to weights ensures full utilization of the line even if a specific class is not using all of its bandwidth. In such a case, the left over bandwidth is divided among the remaining classes in accordance with their relative weights. Units are configurable, see Defining QoS Global Properties
    ----------------------------
    Mir ist jetzt nicht klar, wie viel ich die Gewichtung einstellen soll!? Woher weiß ich denn, was die "total weight of all rules with open Connections" ist??
    Die defaul Regel hat eine Gewichtung von 10 drin stehen. Wenn ich nun eine Regel erstelle mit einer Gewichtung von 15 und setze den haken bei "Apply rule only to encrypted traffic" reicht das dann??

  2. #2
    Join Date
    2012-07-19
    Posts
    90
    Rep Power
    5

    Default Re: QoS einrichten bei R77.30

    Quote Originally Posted by Dende View Post
    Hi Leute,
    ich benötige mal hilfe auf deutsch, da ich die Anleitung von Checkpoint nicht kapiere!
    Wir möchten unseren VPN Verkehr in der Firewall Priorisieren, weil wenn jemand z.B. runterlädt und die Bandbreite komplett ausschöpft, gehen die VPN Tunnel in die Knie. In der Anleitung von Checkpoint steht:
    ----------------------------
    Weight
    Weight is the relative portion of the available bandwidth that is allocated to a rule.
    [...]
    ----------------------------
    Mir ist jetzt nicht klar, wie viel ich die Gewichtung einstellen soll!? Woher weiß ich denn, was die "total weight of all rules with open Connections" ist??
    Die defaul Regel hat eine Gewichtung von 10 drin stehen. Wenn ich nun eine Regel erstelle mit einer Gewichtung von 15 und setze den haken bei "Apply rule only to encrypted traffic" reicht das dann??
    Die "total weight of all rules with open Connections" ist genau das, die Menge der Gewichtung aller aktiven Verbindungen für die es QoS Regeln gibt. Eine QoS Regel spielt nur in der Gewichtung mit wenn es auch aktive Verbindungen für diese Regel gibt, ansonsten werden sie behandelt als wären sie nicht vorhanden. Hat man z.B. Regeln für HTTP/HTTPS (Gewicht 20), FTP (Gewicht 20) und Default (10), und für alle Regeln gibt es Verbindungen, dann bekommt HTTP/HTTPS 40% der Bandbreite, FTP 40% der Bandbreite und der Rest 20%. Wird die FTP-Verbindung beendet gelten nur noch die 20:10 Gewichtung für HTTP(S) und Default, also 66.66% der Bandbreite für HTTP(S) und 33.33% der Bandbreite für den Rest. Die FTP-Regel wird behandelt als wäre sie nicht vorhanden.
    Kurzum, bei Default 10 und Encrypted 15 Regeln würde ich vermuten das 60% Bandbreite für VPN-Traffic verwendet werden wenn für beide Regeln Verbindungen existieren (10:15 =~ 2:3 =~ 40%:60%)

    In der Regel wird QoS aber Service-basiert konfiguriert. Eine generische "Alles was aus dem VPN fällt" Regel würde ich erst mal im Lab testen.

  3. #3
    Join Date
    2009-08-17
    Posts
    42
    Rep Power
    0

    Default Re: QoS einrichten bei R77.30

    Hi Jejerod,

    vielen dank für die Erklärung, ich denke, jetzt hab sogar ich es verstanden ;)

    wenn ich dann quasi eine Bandbreite für VPN "reservieren" möchte, wenn zB. ein Download die Bandbreite auslastet, ist es Sinnvoller, wenn ich der VPN Regel nur eine Gewichtung von 5 gebe -> (10:5 =~ 2:1 =~ 75%:25%). Dann hätte ich immer 25 % für VPN reserviert. Hab ich das so richtig verstanden? Die Frage ist noch, funktioniert das, wenn ich eine kleinere Gewichtung von 5 über der Default Regel stelle, die die Gewichtung 10 hat!?

    grüße

  4. #4
    Join Date
    2012-07-19
    Posts
    90
    Rep Power
    5

    Default Re: QoS einrichten bei R77.30

    Quote Originally Posted by Dende View Post
    Hi Jejerod,
    ...wenn ich der VPN Regel nur eine Gewichtung von 5 gebe -> (10:5 =~ 2:1 =~ 75%:25%). Dann hätte ich immer 25 % für VPN reserviert.
    Würde ich so sehen - außer das 2:1 =~ 66.7%:33.3% ist.

    Quote Originally Posted by Dende View Post
    Die Frage ist noch, funktioniert das, wenn ich eine kleinere Gewichtung von 5 über der Default Regel stelle, die die Gewichtung 10 hat!?
    Sollte es. Kleinere Gewichtung geht immer. Größere Gewichtungen in Subregeln z.b gehen nicht ( https://sc1.checkpoint.com/documents...865.htm#o14989 ).
    Im aktuellen Falle ist es vielleicht schlauer eine garantierte Bandbreite für VPN zu konfigurieren. Jenseits von Gewichtung kann man natürlich auch Limits und Guarantees (simple mode) definieren, oder gar per connection limit / per connection guarantee und guaranteed connections (advanced mode). Hier muss man aufpassen das man nicht oversubscribed, was durchaus mit QoS möglich ist.

    Schlussendlich hebelt QoS CoreXL aus, ab R77.10(?) kann man das aber abschalten (-> https://supportcenter.checkpoint.com...tionid=sk98229 ).

Tags for this Thread

Bookmarks

Posting Permissions

  • You may not post new threads
  • You may not post replies
  • You may not post attachments
  • You may not edit your posts
  •