Przygotowanie systemu do podziału pasma

Opisany system praktycznie może już pracować jako ruter. Będzie to jednak sytuacja, w której każdy z klientów zdefiniowanych w NAT będzie miał możliwość wykorzystania całego pasma dostępnego dla serwera. Tego typu uproszczenie możemy zastosować w sieciach, w których jest bardzo mało klientów (mniej niż 10). W praktyce jednak nawet przy 5 klientach, gdy jeden z nich pobiera filmy, to rozwiązanie okazuje się niewystarczające.

Graficznie przedstawia je rysunek w punkcie 2. Takie rozwiązanie wykorzystuje łącze nieoptymalnie z punktu widzenia ISP. Dzieląc w ten sposób łącze, dochodzimy do sytuacji opisanej na wstępie, gdy 512 kb/s podzielimy tylko na 8 osób.

Dlatego nasze działania będą się skupiały na podzieleniu pasma w taki sposób, by nie gwarantować użytkownikom żadnej przepustowości (lub gwarantować tylko znikomą), a przydzielać im maksymalne prawo do obciążenia łącza. W uproszczeniu można powiedzieć, że użytkownicy pożyczają sobie łącze w trakcie korzystania z niego. Istotną sprawą jest monitoring łącza i obserwacja, czy nie dochodzi do przeciążeń. Możemy bowiem sprzedawać więcej niż mamy, jednak pod warunkiem, że nam tego nie zabraknie. Rozwiązanie to jest niezauważalne dla klientów, ponieważ osiągają oni swoje pasmo, a nam pozwala ono zaoferować niższą cenę, bo możemy podłączyć więcej klientów do jednego łącza.

Sprawa wygląda już wręcz idealnie. Podział pasma realizowany jest na podstawie tzw. klas. Definiujemy klasę, do której jest przypisana przepustowość maksymalna, a dopiero w dalszej kolejności przypisujemy do odpowiedniej klasy adresy IP. Opisany algorytm wykorzystuje kolejkowanie oparte na HTB (Hierachical Token Bucket). Szczegółowy opis algorytmu nie jest jednak celem tego artykułu. Zainteresowanych odsyłamy na stronę autora HTB -http://luxik.cdi.cz/~devik/qos/htb/ .

Bardzo ważną sprawą jest poznanie możliwości Linuxa i innych systemów w tym zakresie. Kolejkowanie i podział może być dokonany tylko i wyłącznie przy wyjściu z interfejsu sieciowego. Ruch wejściowy (pobieranie danych) powinniśmy więc ograniczać na karcie sieciowej wewnętrznej (u nas eth1 na rysunku w punkcie 3.), a ruch wyjściowy (wysyłanie danych) na karcie sieciowej zewnętrznej (u nas eth0).

Należy jednak zauważyć, że w przypadku zastosowania NAT nie ma możliwości określenia na interfejsie zewnętrznym adresu źródłowego. Nie da się więc filtrować konkretnego klienta, ponieważ karta zewnętrzna nie zna nadawcy - jego adres IP został już zamaskowany (rysunek - punkt 4.).

Rozwiązaniem jest zastosowanie wirtualnego interfejsu IMQ (Intermediate Queueing Device). Wykorzystanie tego mechanizmu pozwala nam ograniczać ruch wychodzący w zależności od nadawcy NAT, zachowując zasadę, że możliwe jest tylko ograniczanie na wyjściu z interfejsu. Tym interfejsem, na którym wprowadzamy ograniczenia jest właśnie IMQ (rysunek - punkt 5.).