Aller au contenu

Securisation des donnees du reseau


Invité

Messages recommandés

  • Réponses 63
  • Créé
  • Dernière réponse

Meilleurs contributeurs dans ce sujet

Si ça vous intéresse, j'ai trouvé un peu de temps pour jouer avec la QoS sur les EdgeRouter (aucun rapport avec Synology), donc je vous post une conf fonctionnelle (à adapter bien entendu).

On va dire que c'est mon petit cadeau de Noël avant l'heure :lol: (cf fin du post).

nb : tout ceci peut être réalisé via l'interface graphique, mais c'est très long à faire, en CLI c'est 2min.

--------------------

  • Je n'ai pas une connexion Internet à 1Gbits (j'aimerai bien), j'ai fait cette conf dans mon LAN, d'où le 1Gbits symétrique, il faudra donc mettre les bonnes valeurs en fonction de votre connexion.
  • Lorsqu'on applique de la QoS, un pourcentage de la bande passante est automatiquement réservé (c'est 10% en général), donc si vous souhaitez pouvoir profiter de 100% de votre débit, indiquez une vitesse un peu surélevée sur les nœuds "root" et "branch".
  • J'ai rattaché cette file à "global", de fait elle s'applique à tout le trafic routé (donc hors switch), pas uniquement à celui depuis/vers Internet (je n'ai pas encore testé la QoS par interface).
  • Ce qui est soumis à la QoS ne peut pas bénéficier de l'offload

On commence par créer la racine (root) de la QoS, tout le trafic montant et descendant va passer par là, il faut donc indiquer la somme UP+DOWN :

set traffic-control advanced-queue root queue 1 attach-to global
set traffic-control advanced-queue root queue 1 bandwidth 2000mbit

À partir d'ici, toutes les règles sont en double, une pour le UP et une pour le DOWN.

On créé les branches pour chaque sens :

set traffic-control advanced-queue branch queue 100 bandwidth 1000mbit
set traffic-control advanced-queue branch queue 100 description upload
set traffic-control advanced-queue branch queue 100 parent 1

set traffic-control advanced-queue branch queue 200 bandwidth 1000mbit
set traffic-control advanced-queue branch queue 200 description download
set traffic-control advanced-queue branch queue 200 parent 1

Puis on créé 2 files d'attente de type SFQ (il en existe d'autres, c'est fonction des besoins) :

set traffic-control advanced-queue queue-type sfq SFQ_UP
set traffic-control advanced-queue queue-type sfq SFQ_DOWN

Et pour finir on créé les feuilles (leaf), c'est vers ça que seront redirigés les paquets soumis à la QoS.

Ici j'en ai créé 2, une non limitée :

set traffic-control advanced-queue leaf queue 101 bandwidth 1000mbit
set traffic-control advanced-queue leaf queue 101 ceiling 1000mbit
set traffic-control advanced-queue leaf queue 101 description 'unrestricted upload'
set traffic-control advanced-queue leaf queue 101 parent 100
set traffic-control advanced-queue leaf queue 101 queue-type SFQ_UP

set traffic-control advanced-queue leaf queue 201 bandwidth 1000mbit
set traffic-control advanced-queue leaf queue 201 ceiling 1000mbit
set traffic-control advanced-queue leaf queue 201 description 'unrestricted download'
set traffic-control advanced-queue leaf queue 201 parent 200
set traffic-control advanced-queue leaf queue 201 queue-type SFQ_DOWN

Et une très limitée :

set traffic-control advanced-queue leaf queue 102 bandwidth 200kbit
set traffic-control advanced-queue leaf queue 102 ceiling 300kbit
set traffic-control advanced-queue leaf queue 102 description 'restricted upload'
set traffic-control advanced-queue leaf queue 102 parent 100
set traffic-control advanced-queue leaf queue 102 queue-type SFQ_UP

set traffic-control advanced-queue leaf queue 202 bandwidth 700kbit
set traffic-control advanced-queue leaf queue 202 ceiling 1000kbit
set traffic-control advanced-queue leaf queue 202 description 'restricted download'
set traffic-control advanced-queue leaf queue 202 parent 200
set traffic-control advanced-queue leaf queue 202 queue-type SFQ_DOWN

Vous pouvez en créer autant que nécessaire.

À partir de là, la configuration de la QoS est en place et devrait ressembler à ça graphiquement (il faut cliquer sur les points de couleur pour les déployer) :

qos-01.png

Il ne reste qu'à l'appliquer avec des filtres.

Ici je le fais par sous-réseau, mais on peut le faire par port, par application, par interface, ... :

set traffic-control advanced-queue filters match 1010 attach-to 1
set traffic-control advanced-queue filters match 1010 description LAN-UP
set traffic-control advanced-queue filters match 1010 ip source address 192.168.0.0/24
set traffic-control advanced-queue filters match 1010 target 101

set traffic-control advanced-queue filters match 1029 attach-to 1
set traffic-control advanced-queue filters match 1029 description GUEST-UP
set traffic-control advanced-queue filters match 1029 ip source address 192.168.9.0/27
set traffic-control advanced-queue filters match 1029 target 102

La même chose pour le DOWN :

set traffic-control advanced-queue filters match 2010 attach-to 1
set traffic-control advanced-queue filters match 2010 description LAN-DOWN
set traffic-control advanced-queue filters match 2010 ip destination address 192.168.0.0/24
set traffic-control advanced-queue filters match 2010 target 201

set traffic-control advanced-queue filters match 2029 attach-to 1
set traffic-control advanced-queue filters match 2029 description GUEST-DOWN
set traffic-control advanced-queue filters match 2029 ip destination address 192.168.9.0/27
set traffic-control advanced-queue filters match 2029 target 202

Si vous souhaitez limiter le trafic de type streaming ou prioriser le trafic de type voip, c'est aussi faisable.

Perso j'ai mis en place ces règles pour limiter le trafic des invités (j'anticipe les soirées de fin d'année :mrgreen:).

Modifié par Fenrir
Lien vers le commentaire
Partager sur d’autres sites

  • 2 semaines après...

Pour bien comprendre, à propos de la QOS: Avec un AP ubiquiti, on peut utiliser la limitation par groupe utilisateurs pour le wifi Guest.

J'imagine que c'est pour une question de confort et de centralisation quon utilise le routeur pour partager le debit.

Bemol: ma truc ne fonctionne qu avec du WIFI. ;o)

 

Question de Neophyte :

Toujours dans la cas d'une securistaion du reseau, la bonne methode est elle :

VLAN1 -> Equipements pour Reseau pro

VLAN2-> Equipements pour reseau perso

VLAN3 -> Peripheriques A/V

VLAN4 -> Cameras IP

VLAN 5 -> WIFI Guest

ou bien mettre des regles precises en fonctions des periperiques et leurs IP ?

Lien vers le commentaire
Partager sur d’autres sites

La bonne méthode c'est celle qui correspond bien aux besoins et qui marche. Chacun voit midi à sa porte. On peut aussi parfaitement mixer les méthodes.

Tu peux faire de la QoS en fonction :

  • du port physique d'entrée
  • du port physique de sortie
  • de l'ip source
  • de l'ip de destination
  • du réseau source
  • du réseau de destination
  • du port source
  • du port de destination
  • de l'heure
  • du vlan
  • de la mac address
  • de l'OS
  • de la fragmentation
  • de la route
  • du protocole
  • du trafic précédent
  • du poids des données
  • ...
  • ou tout ça à la fois
  • en entrée et/ou en sortie

Avec un peu d'imagination on peut même faire de la QoS en fonction de la météo.

Mais en général, seules 2 critères sont utilisés :

  • réseau source
  • protocole

Et pour la QoS elle même, on peut l'appliquer de plusieurs manières, @gaetan.cambier utilise le "Traffic Shaping", moi j'utilise des files SFQ, mais il existe plein d'autres manières de faire (je ne rentrerai pas dans le détail, en comparaison de tout ce que tu as pu voir jusqu'ici en réseau, la QoS c'est très compliqué)

nb : il ne faut jamais utiliser le vlan 1 (et quelques autres), de manière plus général je recommande de ne pas utiliser d'ID inférieur à 10 ou supérieur à 1000 car chez tous les fabricants, certains ID sont réservés ou ont des comportement particuliers

Lien vers le commentaire
Partager sur d’autres sites

Merci pour les explications. Pour le vlan a 1 je ne savais pas. Je comprends mieux Pq dans les exemples, les vlan sont de 10 en 10.
La qos a l air effectivement bien plus compliqué qu il n'y paraît ...
Je me suis autoforme aux vlan cet après midi. Et ça à soulever mes interrogations.
Pour le moment j'ai juste fait un vlan (10 en l occurence) pour le wifi guest. Après des déboires de DNS... j'en suis arrivé à bout !!! Looool.
Comme j'ai créé un wifi famille + un wifi matériel, je me suis alors demandé si le vlan était de rigueur.
J'aime les choses "normées" pour rester dans les bonnes démarches !


Envoyé de mon iPhone en utilisant Tapatalk

Lien vers le commentaire
Partager sur d’autres sites

  • 3 semaines après...
  • 3 mois après...

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.


×
×
  • Créer...

Information importante

Nous avons placé des cookies sur votre appareil pour aider à améliorer ce site. Vous pouvez choisir d’ajuster vos paramètres de cookie, sinon nous supposerons que vous êtes d’accord pour continuer.