Traffic Shaping



  • Guten Tag,

    ich habe Folgendes vor: es gibt zig LANs und jedes LAN bekommt einen eigenen Router (pfsense). Alle LANs müssen über einen WAN Anschluss in das Internet. Der Router mit dem WAN-Anschluss nutzt als Einziger NAT.

    Schematisch mit 3 LANs und dem WAN-Gateway sieht das dann so aus

    
          WAN / Internet
                :
                : TKom
                :
          .-----+-----.
          |   cisco   |
          '-----+-----' 80.xxx.yyy.1
                |
            WAN | 80.xxx.yyy.0/25
                |     
          .-----+-----. 80.xxx.yyy.2
          |  pfSense  |            
          '-----+-----' 192.168.254.254
                |                  
     Router DMZ | 192.168.254.0/24   
                |
                +--------------------------+--------------------------+---------------......
                |                          |                          |
                |   192.168.254.1          |   192.168.254.2          |   192.168.254.3
          .-----+-----.              .-----+-----.              .-----+-----.
          |  pfSense  |              |  pfSense  |              |  pfSense  |
          '-----+-----'              '-----+-----'              '-----+-----'
                |   192.168.1.254          |   192.168.2.254          |   192.168.3.254
                |                          |                          |
         Abt. 1 | 192.168.1.0/24    Abt. 2 | 192.168.2.0/24    Abt. 3 | 192.168.3.0/24
                |                          |                          |
          .-----+------.             .-----+------.             .-----+------.
          | LAN-Switch |             | LAN-Switch |             | LAN-Switch |
          '-----+------'             '-----+------'             '-----+------'
                |                          |                          |
          ...---+---...              ...---+---...              ...---+---...
    	(Clients/Servers)          (Clients/Servers)          (Clients/Servers)
    
    

    Ich würde gerne den Internetverkehr etwas regeln können, d.h.

    • der Internetanschluss (Download/Upload) soll nie voll ausgelastet sein

    • auf die Abteilungen soll die Bandbreite gerecht aufgeteilt werden

    Jemand eine brauchbare Anleitung für diese Anforderung?


  • Moderator

    Hallo :)

    Könntest du etwas ausführen was:

    • Gerechte Aufteilung sein soll?
    • Nie voll Auslasten - warum?

    Dazu frage ich mich etwas, weshalb du so viele pfSensen aufstellst und nicht alle als VLANs auf einer zusammenführst. Gibt es da eine konkrete Anforderung? Wenn du ansonsten eh alle pfSensen virtualisierst, rentiert sich ggf. eher, die eine echte auf richtige Hardware (oder ggf. als CARP Cluster) zu bauen und die Netze als VLANs reinzunehmen. Dann wird es auch beim Routing einfacher.

    Grüße



  • Hallo JeGr,

    danke für die Rückmeldung.

    mit "auf die Abteilungen soll die Bandbreite gerecht aufgeteilt werden" meine ich, dass jede Abteilung eine gewisse Bandbreite gerantiert bekommt.

    Nie voll Auslasten - warum

    Zurzeit bricht zum Beispiel der Download merklich ein, wenn der Upload voll ausgelastet ist und umgekehrt.

    Ich stelle so viele virtualisierte pfSense auf, weil mir das Denken in VLANs (noch) nicht so einfach fällt wie LANs, die durch einen eigenen Router getrennt sind.
    Das Routing wird durch OSPF geregelt; also null Aufwand.

    Gruß
    Shine



  • Hallo,

    ich habe gerade die Anleitung "VLAN Installation und Routing mit M0n0wall, pfSense, DD-WRT oder Mikrotik" (http://www.administrator.de/wissen/vlan-installation-und-routing-mit-m0n0wall-pfsense-dd-wrt-oder-mikrotik-110259.html) überflogen. Riecht als ob man sich einige pfSenses sparen kann; schonmal besten Dank für den Tipp. Werde eine entsprechende Test-pfSense Installation parallel laufen lassen.

    Gruß
    Shine


  • Moderator

    Das würde ich dir auf jeden Fall nahelegen, dich an der Stelle mit VLANs auseinander zu setzen, da du dir nicht nur viele pfSenses sparen kannst, sondern dir auch selbst das Management und die Konfiguration erleichterst, da du sie zentral an einer Stelle hast.

    Was die Auslastung angeht dass der Download einbricht bei vollem Upload, das ist ein altes DSL Phänomen, das ich dachte inzwischen überall ausgerottet wurde ;)
    Im Prinzip liegt es - meistens (keine Garantie, dass das jetzt in deinem Falle auch so ist, es klingt aber danach) daran, dass der Upload Kanal voll ausgenutzt wird, die Pakete aber nicht priorisiert werden. Damit werden viele kleine TCP ACK Pakete vom Download nicht mehr korrekt oder in der nötigen Zeit zugestellt, so dass der Sender des Downloads denkt, es wäre was schief gegangen und drosselt entweder die Bandbreite und/oder sendet Segmente nochmals, da er denken muss, dass diese verloren gegangen sind. Damit bricht der Download natürlich ein. Sobald der Upload wieder freier wird, gehen auch die ACKs und SYNs in korrekter Zeit raus und der Download fluppt.

    Dem ist sehr einfach entgegenzuwirken, indem man bspw. im Shaper (Wizard) die Antwortpakete priorisiert und diesen mit High Priority immer einen minimalen Anteil der Upload Bandbreite garantiert. Sobald also ACKS anfallen, werden diese mit Prio versendet und der Upload wird vielleicht ein ganz klein wenig langsamer, aber der Downstream bricht dann nicht mehr ein.

    Grüße
    Jens



  • Hallo,

    danke JeGr für die Info.

    Es wird jetzt wohl etwas Offtopic, da es eine VLAN Frage wird …

    ich habe mir schein einige Info zum Einrichten von VLANs durchgelesen, stehe aber jetzt wie ein Ochs vor dem Berg.

    Hier die Aufbau des Netzes

    .–---+------.
    (1)  | LAN-Switch |
          | VLAN 1, 2  |
          '-----+------'
            |
          .-----+------.
    (2)  | WiFi Bridge|
          '-----+------'
            :
            :
            :
          .-----+------.
    (3)  | WiFi Bridge|
          '-----+------'
            |
          .-----+------.
    (4)  | LAN-Switch |
          '-----+------'
            |
          .-----+------.
    (5)  | LAN-Switch |
          '-----+------'
            |
        PC an Port 12 für VLAN 2

    Hier kommen etliche Switche zum Einsatz und ich müsste jetzt von einem Standort zum anderen Standort ein VLAN "durchreichen".
    An dem 24 Port Switch (1) sind Port 8-13 dem VLAN 2 als Access-Ports konfiguriert. Jetzt soll an Port 12 von Switch 5 ein Rechner angeschlossen werden,
    der mit den Rechnern im VLAN 2 kommunizieren kann.

    Der letzte Port des Swiches ist immer der Uplink zum nächsten Switch. Diese Ports müssen meiner Theorie nach alle in das VLAN 1 und 2 und als "TAGGED" eingerichtet werden,
    damit jeglicher Verkehr aus VLAN 1 und VLAN 2 weitergeleitet wird und die VLAN ID erhalten bleibt.
    Der Port 12 am Switch 5 wird als Access-Port (UNTAGGED) mit der VLAN-ID 2 konfiguriert.
    Irgendwas scheint noch fehlen und ich mache Grundlegende Denkfehler.

    Sobald ich den Uplink von Switch (1) trunke kommt man an (2) schon nicht mehr ran; von einem Rechner an einem VLAN 1 Port. Liegt das an dem "Spezial"-VLAN 1.

    Hat jemand ein paar Anregungen?

    Gruß
    Shine



  • Dabei können sich viele Fehler einschleichen!

    1. Du musst nicht beide VLANs taggen, eins zu taggen reicht! Man nutzt meist sowieso ein VLAN als "native VLAN" das heißt dieses wir nicht getaggt. Bei dir bietet es sich an VLAN1 als untagged und VLAN2 als tagged laufen zu lassen.

    Das was ich als Problem sehe ist die WIFI-Bridge, ist die VLAN fähig? oder MultiSSID-fähig mit Zuordnung VLAN=SSID?

    Mfg



  • Hallo,

    es handelt sich um dieses Modell "Ruckus Wireless ZoneFlex 7731 Wireless Bridge"

    Ich verstehe die Anleitung so: Der Port ist fest als "Trunk Port" konfiguiert, damit sollten alle VLAN IDs erhalten bleiben.

    VLAN
    Untag ID: Enter a valid VLAN ID in this field
    to redefine the “Native VLAN” (also known as
    “Untag VLAN”. Default is 1. Valid entries are 1-4094.
    Members: Not configurable with VLAN Trunk
    port type (membership includes all VLANs).

    Working with Port-Based VLANs
    The ZoneFlex 7731 Wireless Bridge has only one Ethernet port and this port must be
    configured as a VLAN Trunk Port. Therefore, as a VLAN Trunk Port, the port is a
    member of all VLANs (1-4094).
    The VLAN Untag ID field (default = 1) can be used to redefine the “Native VLAN” for
    the port. If your network uses a VLAN other than 1 as the native VLAN, you should
    configure the Untag VLAN so that the configuration across the network is consisten.

    Gruß
    Shine