解決済み: クライアントのIPアドレスが動的に変わる環境でQoSの設定について

athirano1 · ‎2020-05-11

こんにちは

QoSについての質問です。どなたか、ご回答いただけますでしょうか。
■環境
私が運用しているエンドユーザの１拠点のNWです
--回線・機器--
・NTTコミュニケーションズのWANサービスを使って各拠点と接続。この拠点の帯域は帯域保証で30Mbpsのもの
・WANルータとして、Cisco ISR4331
・L3スイッチとして、Catalyst3650
・L2スイッチとして、各フロアにCatalyst 2960Xを配置して有線LAN環境を提供
・ほかにもPoE対応のL2スイッチを配置して、無線APを接続（シスコ製品ではないですが）

Cisco ISR4331とCatalyst 3650についてはFlexible NetFlowの機能も使っています

--拠点内のNWセグメント--
VLAN分割は、結構おおざっぱです。
・有線LAN：/22のセグメントが１つ、/24のセグメントが２つ
・無線LAN：/22のセグメントが１つ、/24のセグメントが１つ

--クライアント--
クライアント機器は、サーバ類は余りありません。
・有線LAN機器は、Windowsパソコンが主です
・無線LAN機器は、Windowsパソコン、タブレットなどです。
クライアントは別拠点（データセンター）にあるDHCPサーバからIP払い出しを受けます。

クライアントの多くが有線／無線共に、/22のセグメントに存在します

■状況
PCが
・WAN網の先にある社内サーバ類
・マイクロソフト（Office365）のサーバ
とファイル転送を行うと、少ない台数のPCで帯域を占有してしまいます。
WANの帯域を増速する予定ですが、増速してもこの傾向は続く可能性が高いと考えています。

QoSをかけるにも
・クライアントのIPアドレスは動的に変化するので、

　ACLで静的に指定してclass-mapを書くことが難しい
・上記の通りVLANの設定は/22などと大きく、VLANごとのポリシングは効果が期待できない
・通信プロトコルのパターンは、tcp:443, tcp:445, tcp:8080(Proxy越しのWebアクセス)など少ないため、プロトコル（ポート番号）でclass-mapを書いても効果が期待できない
・拠点から見た送信先は、上記の通りで種類が少ない。
　（どのクライアントも、同じようなところにアクセスする）

■質問
上記のように、
・クライアントのIPアドレスは動的に変わる
・送信先の種類は少なく、どのクライアントも大体同じようなところにアクセスする
・それでも、少ない台数のクライアントが帯域を占有し続けることなく、
　後から通信を開始したクライアントにも帯域を確保したい
　
プロバイダなどですと、大量の通信を続けるユーザに対して帯域制限をかける仕組みがありますが、ISR4000ルータなどで、このようなことは可能でしょうか？

よろしくお願いします。

Akira Muranaka · ‎2020-05-15

こんにちは！

恐らく検討されてるのはアプリケーションベースのQoSではないかなーとおもいます。特にOffice 365の場合は暗号化されてて、ネットワーク装置はどういうアプリケーション使ってるか通信の判別が分からないですし、QoSは難しいとおもいます。

あと、ご存知かと思いますが、TCPは基本的に使える帯域を最大限利用しようとしますが、経路が混みだすと自分の通信速度を自動でさげます。そのため、特に後から通信するクライアントが「ネットワークが切断されて使い辛い！」とか不満でてないのであれば、複数TCPセッションが発生時は各セッション間で自然に帯域を分散して利用するようになりますし、TCPの自然な処理に任せるのも手です。（そしたら処理負荷の高いQoSも導入しなくてよくなりますし。）

あとは、DHCPのアドレスは端末のMACアドレス毎に指定とかもできると思うので、どのような端末がどのIPを使ってるか見分け出来るようにして、Netflowで通信監視していつも帯域沢山使うPCには固定IP割り当てるようにして、そのIP所有者に警告したり、指定IPに対してQoSかけて絞るってのも手だとおもいますー :-)

なお、蛇足ですが、ISPのアプリケーションベースの自動帯域制御は、専用の高価なQoS装置(1000万円以上したりします)で実施してたりします。アプリケーションベースのQoSは、パケットのデータ部までみるディープインスペクションが可能な専用装置が通常必要です。しかし、最近は世の通信が殆どHTTPS化されつつあり、暗号化したデータはアプリケーション判別が難しいので、そのアプリケーションベースのQoSも難しくなりつつあります。。

元の投稿で解決策を見る

Akira Muranaka · ‎2020-05-15

こんにちは！

恐らく検討されてるのはアプリケーションベースのQoSではないかなーとおもいます。特にOffice 365の場合は暗号化されてて、ネットワーク装置はどういうアプリケーション使ってるか通信の判別が分からないですし、QoSは難しいとおもいます。

あと、ご存知かと思いますが、TCPは基本的に使える帯域を最大限利用しようとしますが、経路が混みだすと自分の通信速度を自動でさげます。そのため、特に後から通信するクライアントが「ネットワークが切断されて使い辛い！」とか不満でてないのであれば、複数TCPセッションが発生時は各セッション間で自然に帯域を分散して利用するようになりますし、TCPの自然な処理に任せるのも手です。（そしたら処理負荷の高いQoSも導入しなくてよくなりますし。）

あとは、DHCPのアドレスは端末のMACアドレス毎に指定とかもできると思うので、どのような端末がどのIPを使ってるか見分け出来るようにして、Netflowで通信監視していつも帯域沢山使うPCには固定IP割り当てるようにして、そのIP所有者に警告したり、指定IPに対してQoSかけて絞るってのも手だとおもいますー :-)

なお、蛇足ですが、ISPのアプリケーションベースの自動帯域制御は、専用の高価なQoS装置(1000万円以上したりします)で実施してたりします。アプリケーションベースのQoSは、パケットのデータ部までみるディープインスペクションが可能な専用装置が通常必要です。しかし、最近は世の通信が殆どHTTPS化されつつあり、暗号化したデータはアプリケーション判別が難しいので、そのアプリケーションベースのQoSも難しくなりつつあります。。

athirano1 · ‎2020-05-18

Akira Muranakaさん

こんにちは
文章のみで図が無く読みづらい投稿にもかかわらず、コメントありがとうございます。

> 恐らく検討されてるのはアプリケーションベースのQoSではないかなーとおもいます。

そうですね。
できることなら通信先を指定したQoSにしたいところですが、社内サーバならまだしも、Office365の場合はグローバルIPアドレスが１か月に１回見直しがかかるようなので、制御がむずかしいです。（運用を継続することが難しい）
Office365については、WAN回線業者のサービスを使って、インターネットにバイパスしてWAN帯域を圧迫しないようにする予定です。（これは、この拠点というより、このエンドユーザの社内NW全体への対応ですが）

> あと、ご存知かと思いますが、TCPは基本的に使える帯域を最大限利用しようとしますが、経路が混みだすと自分の通信速度を自動でさげます。

今回の対象拠点は、NW構築が完了して、4月にオープンして→他拠点からの引越し中に、新型コロナの問題で社員がテレワークに移行という事情がありまして、少ない端末がWANの帯域を占有しているように見えます。

> あとは、DHCPのアドレスは端末のMACアドレス毎に指定とかもできると思うので、どのような端末がどのIPを使ってるか見分け出来るようにして、Netflowで通信監視していつも帯域沢山使うPCには固定IP割り当てるようにして、そのIP所有者に警告したり、指定IPに対してQoSかけて絞るってのも手だとおもいますー :-)

はい、NetFlowのデータとDHCPサーバでのリース状況を照らし合わせる方法ですが、運用を継続することが難しいということで、社内で却下されてしまいました。（エンドユーザの情シスから申告があったときに、「この端末の使用者にご連絡をお願いします」と都度対応はできるのですが）

> なお、蛇足ですが、ISPのアプリケーションベースの自動帯域制御は、専用の高価なQoS装置(1000万円以上したりします)で実施してたりします。

ISP並みのものは無理として、追加ライセンスの適用などによりISR4000ルータの機能で、何とかならないか？と思い投稿した次第です。

ご回答ありがとうございました。