Beschreibung:

In einigen Szenarien ist es erforderlich bestimmten Datenverkehr (etwa Echtzeit-Datenverkehr) priorisiert zu übertragen und eine Bandbreite zu garantieren. Dies kann auf einer Unified Firewall mittels der Funktion Traffic-Shaping realisiert werden.

In diesem Artikel wird beschrieben, wie Traffic-Shaping auf einer LANCOM R&S®Unified Firewall konfiguriert wird.

Traffic-Shaping kann nur für die Kommunikation vom LAN zum WAN und umgekehrt verwendet werden, nicht aber für die Kommunikation zwischen verschiedenen lokalen Netzwerken.


Voraussetzungen:

  • LANCOM R&S® Unified Firewall mit LCOS FX ab Version 10.8 Rel
  • Bereits eingerichtetes und funktionsfähiges Netzwerk samt Internet-Verbindung auf der Unified Firewall
  • Web-Browser zur Konfiguration der Unified Firewalls

    Es werden folgende Browser unterstützt:
    • Google Chrome
    • Chromium
    • Mozilla Firefox


Szenario:

In diesem Beispiel-Szenario soll VoIP-Datenverkehr priorisiert behandelt werden.


Vorgehensweise:

Funktionsweise des Traffic-Shaping:


Die Pakete müssen einer Traffic-Gruppe zugeordnet werden, damit diese durch das Traffic-Shaping-Modul verarbeitet werden können. Dabei gibt es zwei Varianten, wie Datenverkehr einer Traffic-Gruppe zugewiesen werden kann:

  1. Durch Auswahl der Traffic Gruppe in einer Desktop-Verbindung, einer IPSec-Verbindung oder einem Application-Routing-Profil
  2. Durch Auswahl eines DSCP-Wertes in dem Feld DSCP eingehend in der Traffic-Gruppe. Dadurch wird sämtlicher Datenverkehr mit dem passenden DSCP-Wert, welcher über die Unified Firewall übertragen wird, der Traffic-Gruppe zugeordnet.


Bei Zuweisung der Traffic-Gruppe bzw. einem DSCP-Wert bei DSCP ausgehend in einer Desktop-Verbindung, einer IPSec-Verbindung oder einem Application-Routing-Profil gibt es folgende Möglichkeiten:

  1. Weder die Traffic-Gruppe, noch ein DSCP-Wert bei DSCP ausgehend ist ausgewählt.
    → Es wird kein Traffic-Shaping vorgenommen.
  2. Die Traffic-Gruppe ist ausgewählt aber kein DSCP-Wert bei DSCP ausgehend.
    → Der Datenverkehr wird der Traffic-Gruppe zugeordnet und gemäß der Shaping-Konfiguration priorisiert oder limitiert.
  3. Es ist keine Traffic-Gruppe ausgewählt aber ein DSCP-Wert bei DSCP ausgehend hinterlegt.
    → Die Unified Firewall setzt bei allen ausgehenden Paketen den DSCP-Wert (kann durch nachgelagerte Geräte erkannt und entsprechend priorisiert werden).
  4. Sowohl die Traffic-Gruppe ist ausgewählt, als auch ein DSCP-Wert bei DSCP ausgehend hinterlegt.
    → Der Datenverkehr wird der Traffic-Gruppe zugeordnet und gemäß der Shaping-Konfiguration priorisiert oder limitiert.
    → Die Unified Firewall setzt bei allen ausgehenden Paketen den DSCP-Wert (kann durch nachgelagerte Geräte erkannt und entsprechend priorisiert werden).


Verhalten einer Traffic-Gruppe mit bzw. ohne zugewiesenem DSCP-Wert:

  • In einer Traffic-Gruppe mit zugewiesenem DSCP-Wert wird immer das erste empfangene Paket mit diesem Wert als eingehendes Paket berücksichtigt. Die Quelle (LAN oder WAN) spielt dabei keine Rolle.
  • Wird einer Traffic-Gruppe kein DSCP-Wert zugewiesen, kann die Zuordnung des Datenverkehrs zu einer Traffic-Gruppe nur durch Eintragen derselben in einer Desktop-Verbindung, einer IPSec-Verbindung oder einem Application-Routing-Profil erfolgen.


1. Erstellen einer Traffic-Gruppe (erforderlich):

1.1 Verbinden Sie sich mit dem Webinterface der Unified Firewall, wechseln in das Menü Netzwerk → Traffic-Shaping → Traffic-Gruppen und klicken auf das "Plus-Zeichen", um eine neue Traffic-Gruppe zu erstellen.

Bildschirmanzeige einer technischen Benutzeroberfläche, die verschiedene Netzwerkmanagement-Optionen wie Firewall, Traffic Monitoring, DNS-Konten, Routing und Traffic Shaping zeigt.

1.2 Passen Sie die folgenden Parameter an, um eine Gruppe für VoIP-Datenverkehr anzulegen und klicken auf Erstellen:

  • Name: Vergeben Sie einen aussagekräftigen Namen für die Gruppe (in diesem Beispiel VoIP).
  • DSCP eingehend: Wählen Sie einen passenden DSCP-Wert für die Gruppe aus (in diesem Beispiel wird für VoIP das Flag EF (Telephony) verwendet).

Die Angabe eines DSCP-Wertes im Feld DSCP eingehend ist optional.

Screenshot einer technischen Benutzeroberfläche zur Konfiguration von Voice-over-IP und EFTelephony, mit Optionen zum Speichern oder Abbrechen von Änderungen.



2. Erstellen einer Shaping-Konfiguration (optional):

2.1 Wechseln Sie in das Menü Netzwerk → Traffic-Shaping → Shaping-Konfigurationen.

Bildschirmansicht einer technischen Benutzeroberfläche mit verschiedenen Konfigurationsoptionen wie Netzwerkinterfaces, Traffic Shaping-Konfigurationen, DynDNS-Konten, Routing und Überwachungsstatistiken.

2.2 Passen Sie die folgenden Parameter an:

  • Interface: Wählen Sie im Dropdownmenü das Interface aus, an dem die Internet-Verbindung angebunden ist. Pro Interface kann nur eine Shaping-Konfiguration erstellt werden.
  • Maximale Download-Bandbreite: Geben Sie die maximale Download-Bandbreite der Internet-Verbindung an (in diesem Beispiel 100 MBit/s).
  • Maximale Upload-Bandbreite: Geben Sie die maximale Upload-Bandbreite der Internet-Verbindung an (in diesem Beispiel 40 MBit/s).

Als Interface kann auch eine Policy-based IPSec-Verbindung verwendet werden. In diesem Fall greift das Traffic-Shaping, bevor der Datenverkehr in den Tunnel gesendet wird.

Screenshot einer Netzwerkkonfigurationsseite mit Einstellungen für maximale Download- und Upload-Bandbreiten sowie eingehende und ausgehende Verkehrsregeln mit Prioritäts- und Bandbreitenangaben.

2.3 Passen Sie für den eingehenden Datenverkehr die folgenden Parameter bei Eingehende Regeln an und klicken auf das "Plus-Zeichen", um diese zu übernehmen:

Funktionsweise der "Eingehenden Regeln"


Wird ein eingehendes Paket mit dem in der Traffic-Gruppe vergebenen DSCP-Wert erkannt (das erste ankommende Paket mit diesem Wert), findet die Regel Anwendung und garantiert oder beschränkt die Bandbreite für dieses Paket.

Die Summe der garantierten Bandbreiten aller Regeln einer Übertragungsrichtung darf die maximale Interface-Bandbreite für diese Übertragungsrichtung nicht überschreiten.

  • Traffic-Gruppe: Wählen Sie im Dropdown-Menü die in Schritt 1. erstellte Traffic-Gruppe aus (in diesem Beispiel VoIP).
  • Priorität: Wählen Sie im Dropdown-Menü eine Priorität zwischen 1 und 7 aus, wobei 1 die höchste und 7 die niedrigste Priorität darstellt. Datenverkehr, der keiner der Regeln entspricht, hat die niedrigste Priorität und es wird keine Bandbreite garantiert. Mehrere Regeln können die gleiche Priorität haben. In diesem Fall wird die Übertragungskapazität "fair" aufgeteilt.
  • Garantierte Bandbreite: Tragen Sie die garantierte Bandbreite für eingehenden Datenverkehr ein. Diese wird auf der ausgewählten Verbindung reserviert und steht nicht mehr anderweitig zur Verfügung
  • Maximale Bandbreite: Tragen Sie die maximale Bandbreite für eingehenden Datenverkehr ein. Wird diese Bandbreite überschritten, verwirft die Unified Firewall diese Pakete.

Screenshot einer Netzwerkmanagement-Oberfläche, die die eingehenden Regeln für Trafficgruppen zeigt, einschließlich Priorität, garantierte Bandbreite und maximale Bandbreite, speziell kennzeichnet VOIP-Verkehr mit entsprechenden Einstellungen.

2.4 Passen Sie für den ausgehenden Datenverkehr die folgenden Parameter bei Ausgehende Regeln an und klicken auf das "Plus-Zeichen", um diese zu übernehmen:

Funktionsweise der "Ausgehenden Regeln"


Die Summe der garantierten Bandbreiten aller Regeln einer Übertragungsrichtung darf die maximale Interface-Bandbreite für diese Übertragungsrichtung nicht überschreiten.

  • Traffic-Gruppe: Wählen Sie im Dropdown-Menü die in Schritt 1. erstellte Traffic-Gruppe aus (in diesem Beispiel VoIP).
  • Priorität: Wählen Sie im Dropdown-Menü eine Priorität zwischen 1 und 7 aus, wobei 1 die höchste und 7 die niedrigste Priorität darstellt. Datenverkehr, der keiner der Regeln entspricht, hat die niedrigste Priorität und es wird keine Bandbreite garantiert. Mehrere Regeln können die gleiche Priorität haben. In diesem Fall wird die Übertragungskapazität "fair" aufgeteilt.
  • Garantierte Bandbreite: Tragen Sie die garantierte Bandbreite für ausgehenden Datenverkehr ein. Diese wird auf der ausgewählten Verbindung reserviert und steht nicht mehr anderweitig zur Verfügung.
  • Maximale Bandbreite: Tragen Sie die maximale Bandbreite für ausgehenden Datenverkehr ein. Wird diese Bandbreite überschritten, verwirft die Unified Firewall diese Pakete.

Bildschirmansicht eines Netzwerk-Konfigurationsmenüs mit Einstellungen für ausgehenden Datenverkehr, inklusive einer Gruppe für VoIP mit Priorität, garantierte Bandbreite von 1 Mbps und maximale Bandbreite von 10 Mbps.

2.5 Klicken Sie abschließend auf Erstellen.

Das Bild zeigt eine technische Benutzeroberfläche für Netzwerkeinstellungen mit Konfigurationsoptionen für maximale Download- und Upload-Bandbreite sowie eingehende und ausgehende Regeln für Traffic-Gruppen mit festgelegten Prioritäten und Bandbreitenlimits.



3. Verwendung der Shaping-Konfiguration:

Damit die in Schritt 2. erstellte Shaping-Konfiguration Anwendung findet, muss die dort hinterlegte Traffic-Gruppe in einer Desktop-Verbindung, einer IPSec-Verbindung oder in einem Application-Routing-Profil referenziert werden (oder auch in mehreren dieser Möglichkeiten).


3.1 Verwendung der Shaping-Konfiguration in einer Desktop-Verbindung:

Klicken Sie auf dem Desktop auf das Netzwerk-Objekt, wählen das Verbindungs-Werkzeug aus und klicken auf das Internet-Objekt, um die Desktop-Verbindung zu öffnen.

Bildausschnitt, der den Text 'I OR' zeigt, möglicherweise Teil eines technischen Konfigurationsmenüs oder Diagramms.


3.1.1 Verwendung der Shaping-Konfiguration für die gesamte Desktop-Verbindung:

Wechseln Sie in den Reiter Traffic-Shaping, wählen im Dropdown-Menü bei Traffic-Gruppe die in Schritt 1. erstellte Traffic-Gruppe aus (in diesem Beispiel VoIP) und auf Speichern.

Optional kann bei DSCP ausgehend ein DSCP-Wert ausgewählt werden, welcher ausgehenden Paketen zugewiesen wird.

Das Bild zeigt eine technische Benutzeroberfläche mit Optionen zur Netzwerkkonfiguration, einschließlich NAT, URLContentFilter, ApplicationFilter, ApplicationBasedRouting, TrafficShaping und DSCP Einstellungen für VoIP.


3.1.2 Verwendung der Shaping-Konfiguration für einzelne Protokolle einer Desktop-Verbindung:

3.1.2.1 Klicken Sie bei dem gewünschten Protokoll (in diesem Beispiel der benutzerdefinierte Dienst SIP) unter Optionen auf NAT, um in die erweiterten Einstellungen zu gelangen.

Screenshot einer technischen Benutzeroberfläche mit Optionen für NAT, URL Content Filter, Application Filter, Application Based Routing und Traffic Shaping, inklusive Einstellungen für Regeln, Aktionen und Zeitsteuerung.

3.1.2.2 Wechseln Sie in den Reiter Traffic-Shaping, wählen die Option Servicespezifische Einstellungen verwenden aus und wählen im Dropdown-Menü bei Traffic-Gruppe die in Schritt 1. erstellte Traffic-Gruppe aus (in diesem Beispiel VoIP).

Klicken Sie anschließend auf OK.

Optional kann bei DSCP ausgehend ein DSCP-Wert ausgewählt werden, welcher ausgehenden Paketen zugewiesen wird.

Screenshot einer technischen Benutzeroberfläche zur Konfiguration von Internetprotokollen, Ports, Zeitsteuerungen und Traffic Shaping mit aktiver Auswahlmöglichkeit für spezifische Serviceeinstellungen und Traffic-Gruppen.

3.1.2.3 Klicken Sie abschließend auf Speichern.

Das Bild zeigt eine technische Benutzeroberfläche eines Intranetsystems, in dem Einstellungen wie NAT, URL-ContentFilter, ApplicationFilter, ApplicationBasedRouting und TrafficShaping konfiguriert werden können.


3.1.3 Aktivieren der Konfigurations-Änderungen:

Klicken Sie auf Aktivieren, damit die vorgenommenen Änderungen übernommen werden.

Bildschirmansicht einer technischen Benutzeroberfläche mit einer Option zur Firewall-Aktivierung.


3.2 Verwendung der Shaping-Konfiguration in einer IPSec-Verbindung:

Traffic-Shaping steht nicht für VPN-SSL Verbindungen zur Verfügung.

3.2.1 Wechseln Sie in das Menü VPN → IPSec → Verbindungen und klicken bei der gewünschten Verbindung auf das Bleistift-Symbol, um die Verbindung zu editieren.

Screenshot einer technischen Benutzeroberfläche zur Verwaltung von Netzwerksicherheitseinstellungen, einschließlich IPsec-Konfigurationen, Sicherheitsprofilen und virtuellen IP-Pools.

3.2.2 Wechseln Sie in den Reiter Traffic-Shaping, wählen im Dropdown-Menü die in Schritt 1. erstellte Traffic-Gruppe aus (in diesem Beispiel VoIP) und klicken auf Speichern.

Optional kann bei DSCP ausgehend ein DSCP-Wert ausgewählt werden, welcher ausgehenden Paketen zugewiesen wird.

Screenshot einer technischen Benutzeroberfläche für Netzwerkeinstellungen mit Optionen zur Verbindung, Authentifizierung, Routing, Traffic Shaping und Ausgabemanagement für VoIP, wobei Änderungen bis zum Zurücksetzen oder Abmelden beibehalten werden.


3.3 Verwendung der Shaping-Konfiguration in einem Application-Routing-Profil:

3.3.1 Wechseln Sie in das Menü UTM → Application-Management → Routing-Profile und klicken auf das gewünschte Routing-Profil, um diese zu editieren.

Bildschirmansicht einer technischen Benutzeroberfläche mit verschiedenen Netzwerkmanagement- und Sicherheitseinstellungen wie Firewall, Application Management, Monitoring Statistiken und Anti-Virus Einstellungen.

3.3.2 Wählen Sie im Dropdown-Menü die in Schritt 1. erstellte Traffic-Gruppe aus (in diesem Beispiel VoIP) und klicken auf Speichern.

Optional kann bei DSCP ausgehend ein DSCP-Wert ausgewählt werden, welcher ausgehenden Paketen zugewiesen wird.

Dieses Bild zeigt eine technische Benutzeroberfläche mit verschiedenen Routing-Optionen und Einstellungen für VoIP- und Internetverbindungen, einschließlich Proxy- und IPsec-Konfigurationen.

Screenshot eines technischen Benutzermenüs mit Kategorien für Reise und Transport, Tunnel, Virtuelle und Erweiterte Realität sowie Voice over IP.

 

Alle LANCOM Produkte und Software-Versionen unterliegen dem LANCOM Software Lifecycle Management.
Informationen erhalten Sie auf unserer Webseite unter https://www.lancom-systems.de/produkte/firmware/software-lifecycle-management

© 2025 LANCOM Systems GmbH