Inhaltsverzeichnis
Werbung
5
Die IP-Header-Bits des ToS- bzw. DiffServ-Feldes werden im Falle einer VPN-Strecke auch in den umgebenden
IP-Header des IPSec-VPN-Paketes kopiert. Somit steht QoS auch für VPN-Strecken über das Internet zur
Verfügung, sofern der Provider entsprechende Pakete auch im WAN bevorzugt behandelt.
1
Wenn die Applikation selbst nicht die Möglichkeit hat, die Datenpakete entsprechend zu kennzeichnen, kann das
Gerät für die richtige Behandlung sorgen. Dazu werden die vorhandenen Funktionen der Firewall genutzt, die
Datenpakete z. B. nach Subnetzen oder Diensten (Anwendungen) klassifizieren kann. Mit diesen Funktionen ist es
z. B. möglich, die Datenpakete einer FTP-Verbindung oder die einer bestimmten Abteilung (in einem separaten
Subnetz) gesondert zu behandeln.
Für die Behandlung von Datenpaketen, die über die Firewall klassifiziert werden, stehen die beiden folgenden
Möglichkeiten zur Auswahl:
2
Garantierte Mindestbandbreite
2
Limitierte Maximalbandbreite
9.2.1 Was ist DiffServ?
DiffServ steht für "Differentiated Services" und stellt ein relativ neues Modell dar, die Priorität der Datenpakete zu
signalisieren. DiffServ basiert auf dem bekannten Type-of-Service(ToS)-Feld und nutzt das gleiche Byte im IP-Header.
ToS verwendet die ersten drei Bits zur Kennzeichnung der Prioritäten (Precedence) 0 bis 7 und vier weitere Bits (die
ToS-Bits) zur Optimierung des Datenflusses (u.a. "Low Delay" und "High Reliability"). Dieses Modell ist recht unflexibel
und wurde daher in der Vergangenheit eher selten verwendet.
Das DiffServ-Modell nutzt die ersten 6 Bits zur Unterscheidung verschiedener Klassen. Damit sind bis zu 64 Abstufungen
(Differentiated Services Code Point, DSCP) möglich, die eine feinere Priorisierung des Datenflusses ermöglichen:
1
Um die Abwärtskompatibilität zur ToS-Implementation sicherzustellen, können mit den "Class Selectors" (CS0 bis
CS7) die bisherigen Precedence-Stufen abgebildet werden. Die Stufe "CS0" wird dabei auch als "Best Effort" (BE)
bezeichnet und steht für die normale Übertragung der Datenpakete ohne besondere Behandlung.
1
Die "Assured Forwarding"-Klassen werden für die gesicherte Übertragung von Datenpaketen eingesetzt. Die erste
Ziffer der AF-Klasse steht jeweils für die Priorität der Übertragung (1 bis 4), die zweite Ziffer für
"Drop-Wahrscheinlichkeit" (1 bis 3). Pakete mit AFxx-Kennzeichnung werden "gesichert" übertragen, also nicht
verworfen.
Mit der Klasse "Expedited Forwarding" schließlich werden die Pakete markiert, die vor allen anderen Paketen (bevorzugt)
übertragen werden sollen.
Codepoint
DSCP Bits
CS0 (BE)
000000
CS1
001000
CS2
010000
CS3
011000
CS4
100000
CS5
101000
CS6
110000
CS7
111000
9.2.2 Garantierte Mindestbandbreiten
Hiermit geben Sie Vorfahrt für sehr wichtige Applikationen, Voice-over-IP (VoIP)-TK-Anlagen oder bestimmte
Benutzergruppen.
Dez.
Codepoint
DSCP Bits
0
AF11
001010
8
AF12
001100
16
AF13
001110
24
AF21
010010
32
AF22
010100
40
AF23
010110
48
AF31
011010
56
AF32
011100
Dez.
Codepoint
10
AF33
12
AF41
14
AF42
18
AF43
20
EF
22
26
28
Referenzhandbuch
9 Quality-of-Service
DSCP Bits
Dez.
011110
30
100010
34
100100
36
100110
38
101110
46
543
Werbung
Inhaltsverzeichnis
