Dynamic Path Selection vs Client Binding

[Genom]

Hallo zusammen,

ich bin gerade dabei einen Loadbalancer finezutunen. DPS finde ich super und hoffe es richtig eingerichtet zu haben. (Gibt es dazu eine gute Anleitung? --> denn ich habe es eher aus dem Bauchgefühl heraus und den einfach gestalteten KB Artikeln von Lancom eingerichtet)

Wenn ich es (auch hier) richtig gelesen habe, macht es keinen Sinn parallel Client Binding einzuschalten, da der Weg über die von DPS erfasste Metric ausgesucht werden soll.

-> Nun habe ich aber z.B. im Forum das Problem, dass ich eine Leitung ziehen muss, um den Beitrag absetzen zu können. Ohne die Deaktivierung der Leitung kommt es zur typischen Neuanmeldung nach absetzen eines Posts.

Gibt es da ein Best- Practice zu ?

Danke euch und Grüße

Genom

[Dr.Einstein]

Persönlich bin ich der Meinung, DPS sollte nur in Zusammenhang mit (Lancom) VPN Verbindungen eingesetzt werden. Dort kann der Lancom über Firewall-Session-Handling die Quellpfade wieder korrekt zuordnen. Bei WAN DPS sieht das anders aus. Hier wird der Zielserver in der Regel ablehnen, wenn der Traffic plötzlich von einer anderen Quell IP kommt. Generell mit Client Binding arbeiten, wenn du schon Richtung WAN zwei Leitungen nutzen willst.

[tstimper]

-> Nun habe ich aber z.B. im Forum das Problem, dass ich eine Leitung ziehen muss, um den Beitrag absetzen zu können. Ohne die Deaktivierung der Leitung kommt es zur typischen Neuanmeldung nach absetzen eines Posts.

Gibt es da ein Best- Practice zu ?

Danke euch und Grüße

Genom

Die Ursache für diese Verhalten ist, das Du vermutlich beim Loadbalancer die Balance seconds auf dem Standard Wert 10 gelassen hast.

loadbalancer.png

Das führt zu dem beobachteten Effekt.

Warum? Du hast eine HTTPS Session zu einem Webserver, hier der Lancom Forum Webserver.

Unter Client binding protocols hast Du eingestellt, das der Loadbalancer für HTTPS und HTTP funktionieren soll.

Und im Feld Binding minutes steht, das eine Session bitte 30 Minuten auf derselben Leitung bleiben soll.
Muss ja auch sein und bei HTTPS erst recht. Wenn Du da plötzlich von einer anderen IP kommst, wirst Du ausgeloggt.

Leider hast Du vermutlich die Balance seconds auf 10 gelassen oder?

Dann passiert folgendes:

• Du geht mit Deinem Browser auf https://www.lancom-forum.de

• Der Loadbalancer schickt die Session auf die Leitung mit der geringsten aktuellen Last, z.b. Leitung 1

• Du loggst Dich innerhalb von 10 Sekunden ein

• Du scheibst etwas

• die 10 Sekunden sind um und der Loadbalancer schickt die Session auf die Leitung 2

• Du fliegts raus aus der HTTPS Session, da die Verbindung non von einer anderen IP kommt als von derjeningen, von der aus Du Dich ursprünglich eingeloggt hattes.

Diese Default Config sagt letzendlich: Bitte verteile die Sessions auf die Leutungen und lass die Sessions dann bitte für 30 Minuten auf der ausgewählten Leitung, aber nicht innerhalb der ersten 10 Sekunden.

Das bricht den Loadbalancer für HTTPS

Also Banance seconds muss auf 0 stehen.

Viele Grüße

ts

[Dr.Einstein]

Also Banance seconds muss auf 0 stehen.

Verstehe bis heute nicht, wieso der Default auf 10 steht. In der Praxis mit Onlinebanking etc absolut nicht nutzbar. Ist aber vermutlich das gleiche wie mit der Default PMTU Reduzierung im Call Manager. Man wartet ca. das 1.000 Supportticket ab bis man den Default auf etwas praxistaugliches anpasst.

[tstimper]

Also Banance seconds muss auf 0 stehen.

Verstehe bis heute nicht, wieso der Default auf 10 steht. In der Praxis mit Onlinebanking etc absolut nicht nutzbar. Ist aber vermutlich das gleiche wie mit der Default PMTU Reduzierung im Call Manager. Man wartet ca. das 1.000 Supportticket ab bis man den Default auf etwas praxistaugliches anpasst.

Oh ja diese PMTU Reduzierung durch den Call Manager hat uns mal fast in den Wahnsinn getrieben.

Ein Anruf konnte als DoS auf WLC gemanagte APs genutzt werden.

Wir sollten mal eine Liste der „Falschen Defaults die keiner kennt und ändert“ erstellen

VG

ts

[XJ8]

Wir sollten mal eine Liste der „Falschen Defaults die keiner kennt und ändert“ erstellen

VG

ts

Das wäre eine sehr gute Sache, wo sonst gehört sowas hin - wenn nicht hier

VG

[backslash]

Hi tsimper

deine Darstellung der Auswirkung der Balance seconds ist nicht ganz korrekt...

korrekt ist:

• Du geht mit Deinem Browser auf https://www.lancom-forum.de
• Der Loadbalancer schickt die Session auf die Leitung mit der geringsten aktuellen Last, z.b. Leitung 1
• Du loggst Dich innerhalb von 10 Sekunden ein - dieses Login schickt der Loadbalancer auf die Leitung mit der dann der geringsten Last, z.B. Leitung 2 (weil er innerhalb der 10 Sekunden frei wählen darf)
• die 10 Sekunden laufen ab
• Du scheibst etwas - der Loadbalancer schickt dies auf die Leitung 1 (weil das die Leitung ist, über die der Server ursprünglich kontaktiert wurde)
• Du fliegts raus aus der HTTPS Session, da die Verbindung von von einer anderen IP kommt als von derjeningen, von der aus Du Dich ursprünglich eingeloggt hattest.

Gruß
Backslash

[backslash]

Hi tsimper

Also Banance seconds muss auf 0 stehen.

das ist eine sehr harte Lösung, die zwar funktioniert, den Loadbalancer aber ad absurdum führt, denn die "Freilaufzeit" ist letztendlich dazu da, das Laden der hunderte Bildchen auf einer Webseite auf die Leitungen zu verteilen.
Welcher Wert da sinnvoll ist, ist daher nicht so pauschal zu beantworten.

Gruß
Backslash

[DirkK]

1. Du geht mit Deinem Browser auf https://www.lancom-forum.de
2. Der Loadbalancer schickt die Session auf die Leitung mit der geringsten aktuellen Last, z.b. Leitung 1
3. Du loggst Dich innerhalb von 10 Sekunden ein - dieses Login schickt der Loadbalancer auf die Leitung mit der dann der geringsten Last, z.B. Leitung 2 (weil er innerhalb der 10 Sekunden frei wählen darf)
4. die 10 Sekunden laufen ab

Und da kommt jetzt die entscheidende Frage für mich hinzu: bei Punkt 2 bzw. 3, verändert man mit DPS ja die Leitungswahl des Loadbalancers und das passiert ja i.d.R. auch nicht innerhalb von wenigen Sekunden, je nach Messprofil, Richtlinie und Switchover-Profile und innerhalb dieser gibt ja fast ein Dutzend Variablen (ganz zu schweigen von den draus resultierenden Permutationen und Variationen). Gibt es hier eine Empfehlung, Best-Practices , oder Erfahrungswerte, wie mal eine einigermaßen sinnvolle für 80-90% der Fälle funktionierende Konfiguration aufbauen sollte?

Ich habe für mich in den letzten 2-3 Wochen im Zuge der "Paket-Verlust-Thematik" einiges durchprobiert und aktuell auch eine trotz 10 sec. "Freilaufzeit" einigermaßen funktionierende Konfiguration gefunden. Habe aber auch gemerkt, dass die noch nicht perfekt ist.

VG Dirk

[Dr.Einstein]

Hi tsimper

Also Banance seconds muss auf 0 stehen.

das ist eine sehr harte Lösung, die zwar funktioniert, den Loadbalancer aber ad absurdum führt, denn die "Freilaufzeit" ist letztendlich dazu da, das Laden der hunderte Bildchen auf einer Webseite auf die Leitungen zu verteilen.

Setzt mal bitte einen Lancom Router mit Loadbalancing+Default-Binding bei euch in Würselen als Default-Internetausstieg für all eure Mitarbeiter ein. Bin gespannt, wie lange es dauert, bis ihr entweder das Loadbalancing ausschaltet oder Binding auf 0 setzt.

[tstimper]

Hi tsimper

Also Banance seconds muss auf 0 stehen.

das ist eine sehr harte Lösung, die zwar funktioniert, den Loadbalancer aber ad absurdum führt, denn die "Freilaufzeit" ist letztendlich dazu da, das Laden der hunderte Bildchen auf einer Webseite auf die Leitungen zu verteilen.

Setzt mal bitte einen Lancom Router mit Loadbalancing+Default-Binding bei euch in Würselen als Default-Internetausstieg für all eure Mitarbeiter ein. Bin gespannt, wie lange es dauert, bis ihr entweder das Loadbalancing ausschaltet oder Binding auf 0 setzt.

Genauso sowas hilft, um wirklich Änderungen zu bewirken.

Ich bin auch der Meinung, das auch Vertriebler zwingend technische Skills haben müssen.

Deshalb lade ich die Vertriebler auch immer zu unseren Talks ein...
Vertriebler müssen den Schmerz der Admins und Kunden fühlen.
Dann bekommen Developer mehr Zeit um Dinge zu fixen , so meine meine Idealvorstellung

Viele Grüße

ts

[Genom]

Guten Abend,

nachdem mein WAN über VLAN Problem gelöst war, hatte ich heute ein wenig Zeit mich um DPS zu kümmern.

Da Client Binding in meinem Szenario (meist 1 Client) nicht sinnvoll arbeitet, habe ich es übrigens ausgeschaltet. Bisher habe ich nur eine Webseite gefunden, die mir mit dem LoadBalancer ohne Client- Binding Probleme bereitet. Genau, das Lancom- Forum Das habe ich per Firewall manuell auf eine Leitung gebunden und werde mit weiteren Seiten auch so verfahren.

DPS ist aber klasse. Ich habe lediglich eine SLA- Metrik definiert: "LAST" und diese mit 10 % Trigger belegt, Prio 1 auf DSL. So startet ein Download ohne Downloadmanager nun immer über die etwas schnellere DSL Leitung und sobald ein Zweiter startet oder parallel intensiv gestreamt wird, wird die 5G Verbindung genutzt. Mit einem höherem LAST Wert als 10 % hatte ich übrigens das Problem, dass der Downloadmanager, trotz 15 paralleler Verbindungen pro Download, nur den DSL- Anschluss genutzt hat. Ich schätze, die LAST Auswertung war bei Werten über 10% nicht schnell genug, um im Zeitfenster des Downloadmanagers zu zünden. (Um zumindest 4 oder 5 der 15 Verbindungen über 5G zu routen)

edit: Ich habe DPS noch etwas feingetunt. Es laufen nun 2 Trigger, LAST und LATENZ. Im unausgelasteten Zustand hat Leitung DSL nun den SCORE 200 und 5G den SCORE 100. Erreicht habe ich das, indem ich die LATENZ so gering gewählt habe, das DSL sie erreicht, 5G aber nicht. Sobald ich einen größeren DOWN/UPLOAD starte, fällt die DSL Leitung auf den SCORE 0, folglich wird nun beim nächsten DOWN/UPLOAD 5G genutzt, da hier noch der SCORE 100 anliegt. 5G fällt danach auch auf 0 und fortan werden beide Leitungen abwechselnd im "roundrobin" belastet.

--> Mit der ersten Lösung hatte ich das Problem, dass nach Belastung beider Leitungen, alle folgenden Sessions auf DSL gelegt worden sind, da beide dieselben SCORE hatten, ich aber DSL Prio 1 gegeben hatte. (um die erste Session bei gleicher SCORE auf DSL zu legen) Das habe ich mit der neuen Lösung umgangen.

Grüße

Genom