 |
|
|
|
| Autor |
Nachricht |
Michael Rignaz
Anmeldungsdatum: 10.09.2006
Beiträge: 34
|
 Verfasst am:
Do 09 Aug, 2007 11:51 |
  |
|
Hallo Leute,
spiele seit paar Tagen mit QoS und hatte auch schon Erfolge bei einer Regel und hänge jetzt bei einer anderen fest, bzw. habe ein Verständnisproblem. Die erste habe ich leider gelöscht,habe also nichts mehr zum Vergleichen. Jedoch ist das doch überschaubar, wollte das nur anmerken bevor jmd sagt: vergleiche doch die beiden Regeln.
Die erste Regel war eine um Zugriffe auf einen (aus sicht dieser FW lokalen) MSSQL Server über ein VPN zu priorisieren.
QoS: nur bei VPN-Route
Bandbreite Garantieren RX: 512kbit, global
Bandbreite Garantieren TX:1024kbit, global
PMTU Reduzieren 576byte
Im Lanmonitor sah ich dann die reservierte RX UND PMTU Reduzierung wenn die Pakete matchten, funktionierte wunderbar.
Jetzt habe ich eine Regel, die sicherstellen soll, dass Leute, die mit Outlook auf einen einzigen hosted Exchange Server zugreifen, bei Volllast durch etwaige Downloads, Surfen, et.c., nicht behindert werden.
QoS:
Bandbreite Garantieren RX: 1800kbit, global
Bandbreite Garantieren TX: 512kbit, global
PMTU Reduzieren: 576byte
Ich sehe jetzt im Lanmon dass die Regel korrekt matcht, und dass RX reserviert wird, aber NIE PMTU Reduzierung!Jetzt versuche ich seit 2 Tagen herauszufinden wieso PMTU nicht reduziert wird.
Egal ob ich PMTU Red. auf nur bei default route einstelle, nur für gesendete, oder nur für empfangene, oder nichts einschränke.. PMTU wird nie reduziert, laut lanmon zumindest. An was kanns denn liegen? Lanconfig hat folgende Regel angelegt:
| Code:
|
Name Prot. Source Destination Action Linked Prio Firewall-Rule VPN-Rule Stateful Rtg-tag Comment
Delete HTTPS_PRIORITY_OWA TCP ANYHOST %S443 %A<ip des owa servers> HTTPS_PRIORITY_OWA0 Yes 2 Yes No Yes 0
Die Aktion HTTPS_PRIORITY_OWA0 sieht so aus:
%Lcds0 %A %N %Fpt576 %Qgtds512 %Qgrds1800
|
Edit: ich versteh's wirklich nicht wieso, aber jetzt wird aufeinmal die PMTU Reduzierung laut lanmon eingeschalten... ich fasses nicht. Ich habe -zumindest was mir bewusst ist- nichts geändert und das ging jetzt schon wie gesagt 2 Tage so mit garantierter RX, aber ohne PMTU Red.
Dafür habe ich leider noch 2 Fragen:
Wie kommts dass ab und zu im Lanmon bis zu Rx reserviert 36000 steht, wenn doch in der Regel die 1800kbit doch auf GLOBAL gesetzt sind. Habe sonst keine Regel mit QoS.
Habe in einem Forum aufgeschnappt dass 576Byte PMTU wegen des IP Stacks besser wären als 512, weil er da gerade fragmentieren müsste,o.ä. lese jetzt aber hauptsächlich dass auf 512 reduziert wird. Weiss jemand was dazu?
Meine nächste Frage: Hab ich das richtig verstanden, dass TX Mindestbandbreite da dynamisch auch nicht im Lanmonitor angezeigt wird sofern nicht erzwungen, wenn gerade die gesamte mindest Bandbreite reserviert werden muss?
Wie ist das eigentlich bei priorisierung von Traffic innerhalb eines VPN Tunnels (übers WAN).. wenn ich die Regel für die VPN Route erstelle, ist das ja Reservierung auf einem höheren Layer, priorisiert da das Lancom auf niedrigerer Ebene die gesamten, dafür notwendigen VPN Pakete, oder reserviert das Lancom in diesem Fall dann nur den gemeinten Traffic innerhalb der Bandbreite die gerade für diesen einen VPN Tunnel vorgesehen ist?
Ist es mit der Firewall/QoS vom Lancom möglich QoS zu priorisieren?
zB. folgendes Szenario:
Ich möchte dass VoIP immer, egal was gerade sonst noch passiert funktioniert.
Ich will auch dass Email immer, egal wann noch funktioniert.
Ich will dass wenn Email und VoiP zusammen soviel Bandbreite brauchen, dass die Mindestbandbreite für den SQL Server nicht mehr garantiert werden kann, dieser hinten an steht und trotzdem Email und VoIP deren volle Mindestbandbreite garantiert werden.
Selbes für SMB Traffic mit VPN dazwischen, dieses soll wichtiger sein als HTTP, aber weniger wichtig als SQL und noch unwichtiger als Email und VoiP.
Vielen vielen Dank fürs Durchlesen und Euer Knowhow das ihr mir jetzt hoffentlich hinterherwerft 
Ich hab mich wirklich bemüht -für mich ersichtliche- Antworten auf meine Fragen über Suchen in ip-phone und router-forum und lancom-forum zu finden, aber ohne Erfolg.
Danke.
LG,
Michael |
|
|
   |
|
Guest
|
| Verfasst am:
|
|
|
|
|
|
backslash
Moderator
Anmeldungsdatum: 08.11.2004
Beiträge: 4571
Wohnort: Aachen
|
| Verfasst am:
Fr 10 Aug, 2007 11:45 |
|
|
Hi Michael Rignaz
| Zitat:
|
|
Wie kommts dass ab und zu im Lanmon bis zu Rx reserviert 36000 steht, wenn doch in der Regel die 1800kbit doch auf GLOBAL gesetzt sind. Habe sonst keine Regel mit QoS.
|
es kommt darauf an, welche Firmware du einsetzt, frühere Firmwaren (von 6.26) haben sich da verrechnet
| Zitat:
|
|
Habe in einem Forum aufgeschnappt dass 576Byte PMTU wegen des IP Stacks besser wären als 512, weil er da gerade fragmentieren müsste,o.ä. lese jetzt aber hauptsächlich dass auf 512 reduziert wird. Weiss jemand was dazu?
|
Auszug aus RFC 1191, Seite 7:
| Zitat:
|
In this section we outline several possible strategies for a host to
follow upon receiving a Datagram Too Big message from an unmodified
router (i.e., one where the Next-Hop MTU field is zero). This
section is not part of the protocol specification.
The simplest thing for a host to do in response to such a message is
to assume that the PMTU is the minimum of its currently-assumed PMTU
and 576 (RMSS = 532), and to stop setting the DF bit in datagrams
sent on that path.
|
d.h. bei einer PMTU kleiner 576 Bytes sendet ein Host Pakete mit einer Länge vom 576 Bytes und gelöschtem DF-Bit. Diese Pakete müssen werden dann fragmentiert werden, um die PMTU einzuhalten...
Das Problem ist, daß einige Servern im Internet Fragmente aus Sicherheitsgründen (Abwehr gegen Ping of Death, Teardrop, etc.) einfach ablehnen...
| Zitat:
|
|
Meine nächste Frage: Hab ich das richtig verstanden, dass TX Mindestbandbreite da dynamisch auch nicht im Lanmonitor angezeigt wird sofern nicht erzwungen, wenn gerade die gesamte mindest Bandbreite reserviert werden muss?
|
genau.
| Zitat:
|
|
Wie ist das eigentlich bei priorisierung von Traffic innerhalb eines VPN Tunnels (übers WAN).. wenn ich die Regel für die VPN Route erstelle, ist das ja Reservierung auf einem höheren Layer, priorisiert da das Lancom auf niedrigerer Ebene die gesamten, dafür notwendigen VPN Pakete, oder reserviert das Lancom in diesem Fall dann nur den gemeinten Traffic innerhalb der Bandbreite die gerade für diesen einen VPN Tunnel vorgesehen ist?
|
Die Priorisierung wird auf die Internetverbindungt "durchgereicht" - sonst wäre da ganze recht wertfrei...
| Zitat:
|
Ist es mit der Firewall/QoS vom Lancom möglich QoS zu priorisieren?
zB. folgendes Szenario:
Ich möchte dass VoIP immer, egal was gerade sonst noch passiert funktioniert.
Ich will auch dass Email immer, egal wann noch funktioniert.
Ich will dass wenn Email und VoiP zusammen soviel Bandbreite brauchen, dass die Mindestbandbreite für den SQL Server nicht mehr garantiert werden kann, dieser hinten an steht und trotzdem Email und VoIP deren volle Mindestbandbreite garantiert werden.
Selbes für SMB Traffic mit VPN dazwischen, dieses soll wichtiger sein als HTTP, aber weniger wichtig als SQL und noch unwichtiger als Email und VoiP.
|
dieses Szenario ist nicht so richtig abbildbar, da es keine Prioritäten bei der Priorisierung gibt (bis auf die erzwungene Priorisierung - und da geht das auch nur in Senderichtung).
Du müßstest also für VoIP und EMail erzwungene Mindestbandbreiten erstellen und für SQL und SMB nur "normale" Mindestbandbreiten. Dann würde das in etwa funktionieren.
Wobei ich gerade bei EMail sage: Das ist ein asynchrones Medium - hier wäre statt einer Mindestbandbreite eher eine Maximalbandbreite vorzusehen, um den restlichen "interakiven" Traffic (VoIP, SQL, HTTP, SMB) nicht zu stark zu beeinträchtigen
Gruß
Backslash |
|
|
|
|
Michael Rignaz
Anmeldungsdatum: 10.09.2006
Beiträge: 34
|
| Verfasst am:
Fr 10 Aug, 2007 15:04 |
|
|
Vielen Dank backslash für Deine Antworten!
Waren wie immer sehr aufschlussreich.
Schade dass keine echte Priorisierung möglich ist.
Greetz,
Michael |
|
|
|
|
|
|
|
|
| |
|
|
