LACP und Traffic Shaping
Angenommen man hat einen Provider der einem 2 WAN Links als Link Aggregation oder eine Art von Bonding bereitstellt.
Man will aber selbst SSH und DNS gegenüber dem restlichen Traffic priorisieren.
Wie macht es die Firewall dass es zu keinen Engpässen kommt? Bisher habe ich noch nie die Situation gehabt QoS auf einem Trunk Port zu haben.
Man will aber selbst SSH und DNS gegenüber dem restlichen Traffic priorisieren.
Wie macht es die Firewall dass es zu keinen Engpässen kommt? Bisher habe ich noch nie die Situation gehabt QoS auf einem Trunk Port zu haben.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 42863515707
Url: https://administrator.de/en/lacp-und-traffic-shaping-42863515707.html
Ausgedruckt am: 22.12.2024 um 11:12 Uhr
11 Kommentare
Neuester Kommentar
Ich kann dir nicht ganz folgen. Du wirfst hier imho Dinge wild durcheinander.
Du hast entweder 2 Leitungen vom gleichen ISP als Active/Failover, dannacht der ISP das mit der IP, die ändert sich für dich da dann nicht wenn eine Leitung ausfällt.
Oder du hast 2 unabhängige Leitungen, dann kannst du zB Loadbalance an deiner Firewall machen. Da stellt man dann auch ein wie sich das verhält. In der Regel bleibt eine Session (also source-destination IP) auf einer WAN IP. Nur weitere Sessions können dann Mal auf die andere fallen.
Das kommt auf die Firewall an, was die dann halt kann
Du hast entweder 2 Leitungen vom gleichen ISP als Active/Failover, dannacht der ISP das mit der IP, die ändert sich für dich da dann nicht wenn eine Leitung ausfällt.
Oder du hast 2 unabhängige Leitungen, dann kannst du zB Loadbalance an deiner Firewall machen. Da stellt man dann auch ein wie sich das verhält. In der Regel bleibt eine Session (also source-destination IP) auf einer WAN IP. Nur weitere Sessions können dann Mal auf die andere fallen.
Das kommt auf die Firewall an, was die dann halt kann
Moin,
Alternativ denke über QoS nach. Die entsprechenden Profile müssen dann sowohl auf dem POP Standort als auch dem Router bzw. deiner Firewall eingerichtet werden. In der Regel bieten das die ISP nur bei ihren Business Premium Produkten an. Dazu kommt noch, dass je nach QoS Profile auch der Traffic entsprechend zu bezahlen ist. Bestes Beispiel ist BPA der DTAG.
Gruß,
Dani
Interessant wie das mit Active/Active funktioniert.
nennt sich in der Regel Load Sharing und hierbei wird der Traffic auf beide Leitungen verteilt. Die Intelligenz kommt hierbei durch die Router des ISP vor Ort und dem gegenüberliegen POP Standort.Korrigiert mich wenn ich falsch liege aber damit Traffic Shaping in diesem Fall funktionieren würde bräuchte ich 2 Firewalls die 1x Traffic Shaping auf LACP im ISP RZ machen und 1x Firewall die es bei meinem LACP Link macht.
Wenn alle Leitungen an dem Firewall (Cluster) terminieren, ist deine Annahme falsch.Beide Firewalls shapen dann jeweils nur den ausgehenden Traffic. Die TS policies müssten dann natürlich immer 1:1 gleich gehalten werden.
Nicht unbedingt. Meistens ist es ja so, dass der Engpass immer vom/zum Internet vorhanden ist. Wer im LAN Traffic Shaping benötigt, hat wohl bei dessen Planung etwas geraucht. Hingegen ist QoS nicht mehr weg zu denken. Stichwort SAP, VoiP, etc.Eine Banking Application könnte dann 1x den Traffic via WAN1 und 1x via WAN2 raussenden was unweigerlich zum Logout der Banking App führen würde.
Wieso sollte das zum Logout führen?Ich bräuchte also eine elendsgroße Whitelist wo ich Apps dann auf ein WAN pinne. Das möchte ich tunlichst vermeiden.
Soweit in der Theorie. In der Praxis regelst du das doch bei 0815 Internetanschlüssen mit Hilfe von Policy-based-Routing auf deinem Router/Firewall. D.h. du hast zwei Default Routen welche natürlich unterschiedlichen Metriken haben. Mit Hilfe von PBR kannst du eine Lastverteilung vornehmen.Jetzt gibt es aber zum Beispiel Bonding Technolgien wo ich nach außen hin nur 1x WAN IP habe wo eben der ISP das Bonding Transparent für mich macht. Da habe ich die ganzen oben erwähnten Probleme mit Load Balancing und einer Whitelist nicht.
Richtig, dafür hast du aber einen vergleichsweise hohen monatlichen Kostenblock. Hängt natürlich von der Bandbreite und Sonderwünschen ab. Falls du eine Hausnummer für solche Lösungen der DTAG haben möchtest, sag Bescheid.Für mich stellt sich hier wieder die Frage wie man am besten vorgehen soll um ein Traffic Shaping zu implemtieren sodass da auch noch SSH bevorzugt wird. Mein Gefühl sagt mir hier nämlich ähnlich wie bei Szenario 1 oben, dass der ISP sehr mitspielen muss weil das TS dann auf beiden Seiten gleich sein sollte. Also auch am ISP Equipment.
Wenn du wirklich Traffic Shaping meinst, so ist das bei ausgehend (Firewall -> Internet) auf der Firewall zu regeln. Somit kann die maximale Bandbereite ausgehend belegt sein, deine Firewall regelt das.Alternativ denke über QoS nach. Die entsprechenden Profile müssen dann sowohl auf dem POP Standort als auch dem Router bzw. deiner Firewall eingerichtet werden. In der Regel bieten das die ISP nur bei ihren Business Premium Produkten an. Dazu kommt noch, dass je nach QoS Profile auch der Traffic entsprechend zu bezahlen ist. Bestes Beispiel ist BPA der DTAG.
Gruß,
Dani
Moin,
Wenn das die einzige Anforderung ist, dann ist aus meiner Sicht die einzige Option: Eine Leitung mit guter Verfügbarkeit, mit Bandbreite und mit QoS. Eine zwei Leitung vom selben ISP sehe ich keinen Vorteil, wenn der Leitungsweg (Straßenführung, KvZ, HVT, POP) der selbe ist wie beim ersten Anschluss. Ein Leitung von einem anderen ISP passt nicht zu deiner Anforderung.
Gruß,
Dani
Ich habe Anwendungen die bockig sind wenn es mehrere Sessions gibt und eine davon eine andere WAN IP hat.
...die Salamitaktik geht mir auf die Nerven! Warum schreibst du solche Informationen nicht in deine Frage?Wenn das die einzige Anforderung ist, dann ist aus meiner Sicht die einzige Option: Eine Leitung mit guter Verfügbarkeit, mit Bandbreite und mit QoS. Eine zwei Leitung vom selben ISP sehe ich keinen Vorteil, wenn der Leitungsweg (Straßenführung, KvZ, HVT, POP) der selbe ist wie beim ersten Anschluss. Ein Leitung von einem anderen ISP passt nicht zu deiner Anforderung.
Gruß,
Dani
Moin,
Gruß,
Dani
Naja wenn es technisch vom Provider nicht mehr gibt als 1gbit/s pro Kunde.
falscher Provider? Weil ich vermute einmal, wer keine 10Gbit Ports anbietet, auch nicht die entsprechenden Techniken wie LoadSharing (Last wird über beide Leitungen verteilt) und QoS.Deshalb quasi gezwungen 2x 1Gbit/s zu nehmen.
D.h. du kannst sowieso nur den ausgehenden Traffic auf deiner Firewall über PBS steuern. Und versuchen den Traffic so gut es geht gleichmäßig zu verteilen. Damit verbunden kannst du Traffic Shaping natürlich zusätzlich nutzen.Gruß,
Dani