Load-Balancer: Bedingt verwerfen/Reservieren

[Bernie137]

Hallo,

eingerichtet ist eine Firewall Regel für http/https vom entfernten Netzwerk zu Localnet bedingt verwerfen ab 2000KBit/s global für nur VPN. Nun ist aber auf dem Gerät ein VPN Load-Balancer mit 3 Bündel aktiv (2x TDSL6000 + 16Mbit anderer Provider). Gilt die Drosselung nun pro Bündel oder wirklich "global" über alle Bündel verteilt?

Kann man es pro Bündel steuern (Routing Tag)? Die Routing Tabelle sieht so aus:

Routing-Tabelle.jpg

vg Bernie

[backslash]

Hi Bernie137,

ein globales Limit ist ein globales Limit, d.h. in deinem Fall dürfen alle HTTP/HTTPS-Sessions zusmammen nur 2 Mbit nutzen...

In deinem Fall wäre entweder eine Limitierung pro Session oder, falls du die Bandbreite anderweitig freihalten willst, eine Mindestbandbreite für den entsprechenden Dinets sinnvoller...

Gruß
Backslash

[Bernie137]

Hi Backslash,

danke für Deine Antwort. Ein globales Limit für HTTP/HTTPS ist gar nicht so schlimm.

In deinem Fall wäre entweder eine Limitierung pro Session

Nein blos nicht, weil...

falls du die Bandbreite anderweitig freihalten willst

Ja, RDP.

eine Mindestbandbreite für den entsprechenden Dinets sinnvoller...

Ja, habe ich. Allerdings aus der Zeit ohne Load-Balancer und wieder bei der Fragestellung Konfiguration pro Bündel konfigurierbar, da unterschiedliche Geschwindigkeiten?
Ich habe da noch Regeln für RDP mit folgender Konfig drin, die wohl keinen Sinn mehr machen:
Global 2048KBit/s garantieren für empfangene Pakete, Ziel Dienst TCP 3389 UND Global 384KBit/s garantieren für gesendete Pakete. LANmonitor zeigt schön pro Interneverbindung "RX reserviert" 2048KBit/s als reserviert und TX bevorzugt 384 KBit/s an. Stimmt das nun, oder nicht, wenn es doch "global" ist wie Du oben schreibst?

vg Bernie

[backslash]

Hi Bernie137

die Bandbreitenreservierung weiss erstmal nichts vom Loadbalancer und reserviert auf verwendeten Interface die gewünschte Bandbreite... Wenn das jetzt eine globale Bandbreite ist, dann gibt es tatsächlich das Problem, daß letztendlich zuviel reserviert wird - die Bandbreite wird auf jedem Interface (also n-fach) reserviert, aber nur einmal genutzt...

Gruß
Backslash

[Bernie137]

Hi Backslash,

danke für die Erläuterung.

die Bandbreitenreservierung weiss erstmal nichts vom Loadbalancer und reserviert auf verwendeten Interface die gewünschte Bandbreite...

OK, verstanden.

Wenn das jetzt eine globale Bandbreite ist, dann gibt es tatsächlich das Problem, daß letztendlich zuviel reserviert wird - die Bandbreite wird auf jedem Interface (also n-fach) reserviert, aber nur einmal genutzt...

Hab ich auch erstmal verstanden. Aber wie löse ich jetzt die Problematik für RDP?

vg Bernie

[backslash]

Hi Bernie137,

Aber wie löse ich jetzt die Problematik für RDP?

über Mindestbandbreiten pro Session... Die werden dann passend auf die Kanäle verteilt. Es gibt nur Probleme bei globalen Limits oder globalen Mindestbandbreiten.

Gruß
Backslash

[Bernie137]

Hi Backslash,

das mit der Mindestbandbreite pro Session halte ich für eine Krücke. Es ist absolut nicht vergleichbar mit VoIP. Wie ich schon länger vermute, verhält es sich so, wie ich es hier http://www.lancom-forum.de/fragen-zum-t ... 14341.html geschildert habe. Die Erläuterung würde an dieser Stelle hier im Beitrag den Rahmen sprengen. Nur so viel: Man müsste aus meiner Sicht min. 256kBit/s, besser 512kBit/s pro Session reservieren, um einen echten Vorteil zu merken. Und das ist einfach zu viel, dafür das 70% der User in dem Moment gar nicht aktiv am Bildschirm arbeiten.

Wie verhält es sich mit einer globalen Reservierung im Zusammenhang eines Load-Balancer, wenn die globale Angabe die eines einzelnen WAN-Anschlusses übersteigt? Also 8MBit/s Gloabaler RDP-Download bei 6MBit/s TDSL Leitungen? Tritt das so ein, wie in der Hilfe steht?

Mit der Mindestbandbreite definieren Sie, wie viele Pakete bevorzugt übertragen werden sollen. Die Bevorzugung gilt, solange die Bandbreite nicht überschritten ist. Übersteigt dieser Wert die Gesamtbandbreite des genutzten Interfaces, so werden die entsprechenden Pakete immer bevorzugt übertragen. Wird die Bandbreite überschritten, so werden die Pakete entsprechend den übrigen Aktionen übertragen oder verworfen. Sind keine weiteren Aktionen definiert, so werden die Pakete übertragen, ohne bevorzugt zu werden.

vg Bernie

[backslash]

Hi Bernie137,

Also 8MBit/s Gloabaler RDP-Download bei 6MBit/s TDSL Leitungen? Tritt das so ein, wie in der Hilfe steht?

ja...

Beachte dabei aber, daß eine derertige Reservierung (genauer Bevorzugung, d.h. Mindestbandbreuite ohne das Häkchen bei "erzwungen" zu setzen) nur in Senderichtung mit Bevorzugung arbeiten kann. Eine Reservierung in Empfangsrichtung erfolgt immer "hart", d.h. durch echtes "wegdrücken" der nicht priorisierten Dienste.

D.h. Dun könntest bei einer VPN-Kopplung auf beiden Seiten eine Resrevierung "nur für gesendete" Pakete einrichten, müßtest dann aber damit leben, daß sich auf der jeweiligen Empfangsseite der VPN-Traffic mit dem normalen Internet-Traffic um die Bandbreite "prügelt" - es denn du Limitierst den Internet-Traffic. Da Internet-Anschlüsse in aller Regel aber asynchron sind, dürfte sich das Problem aber nicht ganz so drastisch darstellen...

Gruß
Backslash

[Bernie137]

Hi Backslash,

danke für Deine Antwort. Ich war jetzt ein Weilchen im Urlaub und konnte mich bisher nicht weiter damit beschäftigen.

Bei den Mindestbandbreiten habe ich nirgends das Häkchen "erzwungen" drin. In der Zentrale steht ein 1781EF+ an einer 8MBit synchronen Leitung. Dort ist im Router 4MBit/s für RDP in Senderichtung reserviert und für mehrere kleinere Außenstellen das VPN-Gateway.

Eine Reservierung in Empfangsrichtung erfolgt immer "hart", d.h. durch echtes "wegdrücken" der nicht priorisierten Dienste.

Das wäre im Router der Filiale mein Ziel pro Bündel, was ja leider nicht so geht.

D.h. Dun könntest bei einer VPN-Kopplung auf beiden Seiten eine Resrevierung "nur für gesendete" Pakete einrichten,

In der Zentrale ist es erledigt.
In der Filiale sind 512kBit/s Senden global reserviert, aber diese Richtung stellt nicht das Problem dar. Weiterhin ist pro RDP Session ab 384kBit/s Senden und 4096kBit/s Empfangen verwerfen eingestellt - also limitiert - um eine einzelne Session nicht aus dem Ruder laufen zulassen (Stichwort kopieren von Dateien über Zwischenablage Server - Client) und zusätzlich noch 192kBit/s pro Session reservieren, um eine einzelne Session "überleben" zu lassen. Die Reihenfolge ist:
Prio 5: Globale Reservierungen 512kBit/s Senden, 5192kBit/s Empfang)
Prio 4: Bandbreite pro Session beschneiden (384kBit/s Senden, 4096kBit/s Empfang)
Prio 3: Bandbreite pro Session garantieren 192kBit/s (Empfang)
Gibt es bessere Vorschläge?

müßtest dann aber damit leben, daß sich auf der jeweiligen Empfangsseite der VPN-Traffic mit dem normalen Internet-Traffic um die Bandbreite "prügelt" - es denn du Limitierst den Internet-Traffic.

Das ist nicht ganz korrekt. Es gibt keinen "normalen" Internet-Traffic. Dafür aber noch Querverkehr nebst RDP in den VPN Tunneln selbst und die sind das Problem, z.B. lokales Outlook synchronisieren, Update Virenschutz, Scannen zur Zentrale, Druckdaten, wenige Stationen die über den VPN Tunnel direkt surfen, Active Directory Sync und sicher Dinge an die ich noch gar nicht gedacht habe. Daher ist es mein Wunsch im Router der Filiale die Empfangsrichtungen für RDP freizuhalten, als jeden anderen Traffic explizit einzuschränken. Scannen, Drucken, Surfen habe ich trotzdem schon im Filalrouter limitiert und stammt sogar noch aus der Zeit, als es ein einzelner Anschluss war. Mit den Regeln von oben ist das ganze schon sehr komplex und ich frage mich gerade, sollte ein "Bedingt verwerfen" eine höhere Prio als ein "Reservieren" erhalten oder ist das Wurscht?

Leider sind an beiden Standorten keine echten bezahlbaren Alternativen verfügbar, kein VDSL, kein Unitymedia, kein Kabel Deutschland, nur LTE was nix nützt. Im Monat laufen über die Zentrale 200GByte, in der Filale mit Load-Balancer 3x60GByte (3 Bündel). Ich habe noch keinen LTE Tarif gefunden dafür. Vielleicht hat noch jemand einen Tipp für Alternativen?

vg Bernie