luky90
Goto Top

LACP und Traffic Shaping

Angenommen man hat einen Provider der einem 2 WAN Links als Link Aggregation oder eine Art von Bonding bereitstellt.
Man will aber selbst SSH und DNS gegenüber dem restlichen Traffic priorisieren.
Wie macht es die Firewall dass es zu keinen Engpässen kommt? Bisher habe ich noch nie die Situation gehabt QoS auf einem Trunk Port zu haben.

Content-ID: 42863515707

Url: https://administrator.de/en/lacp-und-traffic-shaping-42863515707.html

Ausgedruckt am: 22.12.2024 um 11:12 Uhr

Spirit-of-Eli
Spirit-of-Eli 11.11.2023 um 18:17:32 Uhr
Goto Top
Finde erstmal einen Provider an den du dich per LACP Trunk ankoppeln kannst. Wohl gemerkt mit deiner eigenen Hardware.
Da wird die Luft sehr knapp, denn die Provider stellen nur ihre eigenen Router dafür zur Verfügung.

QoS auf einem Trunk funktioniert wie sonst auch bei einzelnen Links.
SeaStorm
SeaStorm 11.11.2023 um 20:24:36 Uhr
Goto Top
ich hab noch nie direkt per LACP 2 WAN Anschlüsse angestuert. Das sind immer 2 ISP-router die per vrrp die Redundanz herstellen. Entsprechend macht man da dann ganz normal QoS auf die VIP
Dani
Dani 11.11.2023 aktualisiert um 21:40:35 Uhr
Goto Top
Moin,
in Titel redest du von Traffic Shapping in deiner Frage von Quality of Service (QoS). Das ist nicht das Gleiche. Um welche Technik/Technologie geht es nun?

Gruß,
Dani
luky90
luky90 12.11.2023 aktualisiert um 08:27:22 Uhr
Goto Top
Es geht darum Services wie SSH zu priorisieren was man eben mit TS erreichen kann. VRRP kenne ich nur als Active/Passive. Interessant wie das mit Active/Active funktioniert. Das handelt anscheinend jeder Hersteller anders.
Nehmen wir an wir hätten 2 Darkfiber Leitungen zum ISP. Dann hätten wir wie auch schon im LAN einfach einen LACP Trunk zum Beispiel via Gigabit Ethernet.

Korrigiert mich wenn ich falsch liege aber damit Traffic Shaping in diesem Fall funktionieren würde bräuchte ich 2 Firewalls die 1x Traffic Shaping auf LACP im ISP RZ machen und 1x Firewall die es bei meinem LACP Link macht.
Beide Firewalls shapen dann jeweils nur den ausgehenden Traffic. Die TS policies müssten dann natürlich immer 1:1 gleich gehalten werden.

Wenn das mit 2 Darkfiber Leitungen nicht geht und mir der ISP 2 Modems hinstellt weils nicht Ethernet ist sondern was aufmoduliertes und ich dazu 1 oder mehrere WAN IPs pro Modem hätte, dann gibts Probleme die ich nicht haben will.
Ein Beispiel: Eine Banking Application könnte dann 1x den Traffic via WAN1 und 1x via WAN2 raussenden was unweigerlich zum Logout der Banking App führen würde. Auch weitere Apps könnten davon betroffen sein und das weiß man halt immer erst im nachhinein wenn sich der User schon beschwert hat.
Ich bräuchte also eine elendsgroße Whitelist wo ich Apps dann auf ein WAN pinne. Das möchte ich tunlichst vermeiden.

Jetzt gibt es aber zum Beispiel Bonding Technolgien wo ich nach außen hin nur 1x WAN IP habe wo eben der ISP das Bonding Transparent für mich macht. Da habe ich die ganzen oben erwähnten Probleme mit Load Balancing und einer Whitelist nicht. Für mich stellt sich hier wieder die Frage wie man am besten vorgehen soll um ein Traffic Shaping zu implemtieren sodass da auch noch SSH bevorzugt wird. Mein Gefühl sagt mir hier nämlich ähnlich wie bei Szenario 1 oben, dass der ISP sehr mitspielen muss weil das TS dann auf beiden Seiten gleich sein sollte. Also auch am ISP Equipment.
SeaStorm
SeaStorm 12.11.2023 um 14:03:49 Uhr
Goto Top
Ich kann dir nicht ganz folgen. Du wirfst hier imho Dinge wild durcheinander.

Du hast entweder 2 Leitungen vom gleichen ISP als Active/Failover, dannacht der ISP das mit der IP, die ändert sich für dich da dann nicht wenn eine Leitung ausfällt.

Oder du hast 2 unabhängige Leitungen, dann kannst du zB Loadbalance an deiner Firewall machen. Da stellt man dann auch ein wie sich das verhält. In der Regel bleibt eine Session (also source-destination IP) auf einer WAN IP. Nur weitere Sessions können dann Mal auf die andere fallen.
Das kommt auf die Firewall an, was die dann halt kann
Spirit-of-Eli
Spirit-of-Eli 12.11.2023 um 14:07:11 Uhr
Goto Top
Und VRRP ist perse nur active/passive da die Teilnehmer aushandeln wer die Adresse hält. Das kann nur einer.
Dani
Dani 13.11.2023 aktualisiert um 22:30:08 Uhr
Goto Top
Moin,
Interessant wie das mit Active/Active funktioniert.
nennt sich in der Regel Load Sharing und hierbei wird der Traffic auf beide Leitungen verteilt. Die Intelligenz kommt hierbei durch die Router des ISP vor Ort und dem gegenüberliegen POP Standort.

Korrigiert mich wenn ich falsch liege aber damit Traffic Shaping in diesem Fall funktionieren würde bräuchte ich 2 Firewalls die 1x Traffic Shaping auf LACP im ISP RZ machen und 1x Firewall die es bei meinem LACP Link macht.
Wenn alle Leitungen an dem Firewall (Cluster) terminieren, ist deine Annahme falsch.

Beide Firewalls shapen dann jeweils nur den ausgehenden Traffic. Die TS policies müssten dann natürlich immer 1:1 gleich gehalten werden.
Nicht unbedingt. Meistens ist es ja so, dass der Engpass immer vom/zum Internet vorhanden ist. Wer im LAN Traffic Shaping benötigt, hat wohl bei dessen Planung etwas geraucht. Hingegen ist QoS nicht mehr weg zu denken. Stichwort SAP, VoiP, etc.

Eine Banking Application könnte dann 1x den Traffic via WAN1 und 1x via WAN2 raussenden was unweigerlich zum Logout der Banking App führen würde.
Wieso sollte das zum Logout führen?

Ich bräuchte also eine elendsgroße Whitelist wo ich Apps dann auf ein WAN pinne. Das möchte ich tunlichst vermeiden.
Soweit in der Theorie. In der Praxis regelst du das doch bei 0815 Internetanschlüssen mit Hilfe von Policy-based-Routing auf deinem Router/Firewall. D.h. du hast zwei Default Routen welche natürlich unterschiedlichen Metriken haben. Mit Hilfe von PBR kannst du eine Lastverteilung vornehmen.

Jetzt gibt es aber zum Beispiel Bonding Technolgien wo ich nach außen hin nur 1x WAN IP habe wo eben der ISP das Bonding Transparent für mich macht. Da habe ich die ganzen oben erwähnten Probleme mit Load Balancing und einer Whitelist nicht.
Richtig, dafür hast du aber einen vergleichsweise hohen monatlichen Kostenblock. Hängt natürlich von der Bandbreite und Sonderwünschen ab. Falls du eine Hausnummer für solche Lösungen der DTAG haben möchtest, sag Bescheid.

Für mich stellt sich hier wieder die Frage wie man am besten vorgehen soll um ein Traffic Shaping zu implemtieren sodass da auch noch SSH bevorzugt wird. Mein Gefühl sagt mir hier nämlich ähnlich wie bei Szenario 1 oben, dass der ISP sehr mitspielen muss weil das TS dann auf beiden Seiten gleich sein sollte. Also auch am ISP Equipment.
Wenn du wirklich Traffic Shaping meinst, so ist das bei ausgehend (Firewall -> Internet) auf der Firewall zu regeln. Somit kann die maximale Bandbereite ausgehend belegt sein, deine Firewall regelt das.

Alternativ denke über QoS nach. Die entsprechenden Profile müssen dann sowohl auf dem POP Standort als auch dem Router bzw. deiner Firewall eingerichtet werden. In der Regel bieten das die ISP nur bei ihren Business Premium Produkten an. Dazu kommt noch, dass je nach QoS Profile auch der Traffic entsprechend zu bezahlen ist. Bestes Beispiel ist BPA der DTAG.


Gruß,
Dani
luky90
luky90 14.11.2023 um 18:36:37 Uhr
Goto Top
Ja ich kenne PBR nur das löst mein Problem nicht. Ich habe Anwendungen die bockig sind wenn es mehrere Sessions gibt und eine davon eine andere WAN IP hat.
Dani
Dani 15.11.2023 um 11:47:21 Uhr
Goto Top
Moin,
Ich habe Anwendungen die bockig sind wenn es mehrere Sessions gibt und eine davon eine andere WAN IP hat.
...die Salamitaktik geht mir auf die Nerven! Warum schreibst du solche Informationen nicht in deine Frage?

Wenn das die einzige Anforderung ist, dann ist aus meiner Sicht die einzige Option: Eine Leitung mit guter Verfügbarkeit, mit Bandbreite und mit QoS. Eine zwei Leitung vom selben ISP sehe ich keinen Vorteil, wenn der Leitungsweg (Straßenführung, KvZ, HVT, POP) der selbe ist wie beim ersten Anschluss. Ein Leitung von einem anderen ISP passt nicht zu deiner Anforderung.


Gruß,
Dani
luky90
luky90 17.11.2023 um 23:53:44 Uhr
Goto Top
Naja wenn es technisch vom Provider nicht mehr gibt als 1gbit/s pro Kunde. Die haben schlicht kein Angebot oder keine Ports mehr frei die 10Gbit/s können. Deshalb quasi gezwungen 2x 1Gbit/s zu nehmen.
Dani
Dani 18.11.2023 um 14:25:27 Uhr
Goto Top
Moin,
Naja wenn es technisch vom Provider nicht mehr gibt als 1gbit/s pro Kunde.
falscher Provider? Weil ich vermute einmal, wer keine 10Gbit Ports anbietet, auch nicht die entsprechenden Techniken wie LoadSharing (Last wird über beide Leitungen verteilt) und QoS.

Deshalb quasi gezwungen 2x 1Gbit/s zu nehmen.
D.h. du kannst sowieso nur den ausgehenden Traffic auf deiner Firewall über PBS steuern. Und versuchen den Traffic so gut es geht gleichmäßig zu verteilen. Damit verbunden kannst du Traffic Shaping natürlich zusätzlich nutzen.


Gruß,
Dani