51078
29-06-2011, 16:19
http://www.zeroshell.net/Zeroshell.gif (http://www.zeroshell.net/)
Qualche tempo fa in azienda era sorta l’esigenza di impedire la saturazione della banda internet disponibile al fine di non compromettere le connessioni VPN site-to-site con le altre sedi, cosa che puntualmente capitava quando venivano effettuati invii massivi di mail (per ora siamo limitati a una connessione HDSL a 2Mbit).
Facendo una ricerca in rete siamo arrivati a valutare l’implementazione di un server basato su Zeroshell. Per chi non la conoscesse è una distribuzione linux volta a fornire i principali servizi di rete (Proxy, Firewall, DHCP, VPN, ecc.) sviluppata da Fulvio Ricciardi non basata su precedenti distribuzioni ma ricompilata ad hoc.
La scelta è ricaduta su questa distribuzione per la possibilità di gestire il QoS.
Una volta scaricata l’immagine ISO per il Live CD e il file .img.gz per l’installazione su disco abbiamo provveduto a masterizzare la prima e a copiare la seconda su una chiavetta USB.
Avendo in magazzino un vecchio HP dc7700 decidiamo di procedere all’installazione su disco così come spiegato sulla guida presente sul sito ufficiale (QUI (http://digilander.libero.it/smasherdevourer/schede/linux/Zeroshell%20su%20HD.pdf)).
Ci si è presentato un piccolo problema al riavvio dovuto al disco SATA che non veniva correttamente riconosciuto, dopo una breve ricerca abbiamo scoperto che il problema era facilmente risolvibile impostando da BIOS una diversa modalità operativa. In pratica dalla voce “Storage->Device Configuration-> SATA Defaults->Translation Mode” (per i BIOS HP) abbiamo modificato il settaggio predefinito “Bit Shit” in “LBA Assisted” e voilà il sistema si avvia correttamente.
A questo punto aiutandoci con la mini guida presente sul sito (http://www.zeroshell.net/qos/) abbiamo provveduto a implementare il servizio di QoS. A causa della nostra struttura di rete la ZeroShell Box è stata collocata a monte del router dell’HDSL Telecom, quindi per non stravolgere le impostazioni di tutta la rete e per poter monitorare correttamente il tutto abbiamo provveduto a installare una terza scheda di rete collegata direttamente al nostro switch core con un indirizzo di rete locale.
In pratica le due interfacce ETH00 e ETH01 sono state aggregate nel BRIDGE00 e collocate tra i firewall e il router, mentre l’interfaccia ETH02 costituisce la porta di management e viene vista dalla rete locale per poter accedere alla console web.
Abbiamo poi provveduto a creare le classi QoS, nel nostro caso:
- MAIL : Traffico Exchange limitata a 512Kbit/s, priorità bassa.
- WEB : Traffico internet limitato a 1024Kbit/s, priorità media.
- VPN : Traffico per connessioni site-to-site o remote senza limiti, priorità media.
- OTHER : Traffico non riconosciuto limitato a 1Kbit/s, priorità bassa.
- DEFAULT: Tutto il resto senza limiti con priorità media.
Da li abbiamo iniziato ad associare i servizi alle classi. Tramite l’interfaccia web abbiamo utilizzato la grande flessibilità di configurazione per incanalare il traffico in parte tramite filtri layer 7 e in parte tramite filtri layer 4. E’ piuttosto intuitivo realizzare le classificazioni, la parte più complicata è trovare il macthing dei vari filtri su applicazioni specifiche, qualora ne aveste bisogno. A noi è bastato reindirizzare tutto il traffico TCP proveniente dalla porta 25 sulla classe MAIL e ricorrere ai filtri layer 7 per individuare il traffico WEB e quello VPN. Prossimamente faremo di test per individuare anche altre classi in cui suddividere il traffico (FTP, Citrix, ecc).
A questo punto abbiamo le classi create alle interfacce del bridge e applicato il tutto.
Tutto perfetto al primo colpo. Gli utenti non si sono neanche accorti del disservizio dovuto allo scollegamento dei cavi, e in pochi secondi la banda è suddivisa tra i vari servizi. Abbiamo effettuato dei test per verificare le varie classi create e tutto si è dimostrato solido. Ad ora sono quasi tre settimane che il sistema è in funzione e anche con le operazioni di routine che prima mettevano in crisi la banda adesso tutti i servizi restano on-line senza problemi.
Tra qualche settimana dovremmo decidere di migrare tutto su un HW più idoneo da collocare in uno degli armadi rack, tra l’altro tramite le funzionalità di backup e ripristino integrate spostare tutta la configurazione (cmq piuttosto semplice) sembra rapidissimo.
Alex.
Qualche tempo fa in azienda era sorta l’esigenza di impedire la saturazione della banda internet disponibile al fine di non compromettere le connessioni VPN site-to-site con le altre sedi, cosa che puntualmente capitava quando venivano effettuati invii massivi di mail (per ora siamo limitati a una connessione HDSL a 2Mbit).
Facendo una ricerca in rete siamo arrivati a valutare l’implementazione di un server basato su Zeroshell. Per chi non la conoscesse è una distribuzione linux volta a fornire i principali servizi di rete (Proxy, Firewall, DHCP, VPN, ecc.) sviluppata da Fulvio Ricciardi non basata su precedenti distribuzioni ma ricompilata ad hoc.
La scelta è ricaduta su questa distribuzione per la possibilità di gestire il QoS.
Una volta scaricata l’immagine ISO per il Live CD e il file .img.gz per l’installazione su disco abbiamo provveduto a masterizzare la prima e a copiare la seconda su una chiavetta USB.
Avendo in magazzino un vecchio HP dc7700 decidiamo di procedere all’installazione su disco così come spiegato sulla guida presente sul sito ufficiale (QUI (http://digilander.libero.it/smasherdevourer/schede/linux/Zeroshell%20su%20HD.pdf)).
Ci si è presentato un piccolo problema al riavvio dovuto al disco SATA che non veniva correttamente riconosciuto, dopo una breve ricerca abbiamo scoperto che il problema era facilmente risolvibile impostando da BIOS una diversa modalità operativa. In pratica dalla voce “Storage->Device Configuration-> SATA Defaults->Translation Mode” (per i BIOS HP) abbiamo modificato il settaggio predefinito “Bit Shit” in “LBA Assisted” e voilà il sistema si avvia correttamente.
A questo punto aiutandoci con la mini guida presente sul sito (http://www.zeroshell.net/qos/) abbiamo provveduto a implementare il servizio di QoS. A causa della nostra struttura di rete la ZeroShell Box è stata collocata a monte del router dell’HDSL Telecom, quindi per non stravolgere le impostazioni di tutta la rete e per poter monitorare correttamente il tutto abbiamo provveduto a installare una terza scheda di rete collegata direttamente al nostro switch core con un indirizzo di rete locale.
In pratica le due interfacce ETH00 e ETH01 sono state aggregate nel BRIDGE00 e collocate tra i firewall e il router, mentre l’interfaccia ETH02 costituisce la porta di management e viene vista dalla rete locale per poter accedere alla console web.
Abbiamo poi provveduto a creare le classi QoS, nel nostro caso:
- MAIL : Traffico Exchange limitata a 512Kbit/s, priorità bassa.
- WEB : Traffico internet limitato a 1024Kbit/s, priorità media.
- VPN : Traffico per connessioni site-to-site o remote senza limiti, priorità media.
- OTHER : Traffico non riconosciuto limitato a 1Kbit/s, priorità bassa.
- DEFAULT: Tutto il resto senza limiti con priorità media.
Da li abbiamo iniziato ad associare i servizi alle classi. Tramite l’interfaccia web abbiamo utilizzato la grande flessibilità di configurazione per incanalare il traffico in parte tramite filtri layer 7 e in parte tramite filtri layer 4. E’ piuttosto intuitivo realizzare le classificazioni, la parte più complicata è trovare il macthing dei vari filtri su applicazioni specifiche, qualora ne aveste bisogno. A noi è bastato reindirizzare tutto il traffico TCP proveniente dalla porta 25 sulla classe MAIL e ricorrere ai filtri layer 7 per individuare il traffico WEB e quello VPN. Prossimamente faremo di test per individuare anche altre classi in cui suddividere il traffico (FTP, Citrix, ecc).
A questo punto abbiamo le classi create alle interfacce del bridge e applicato il tutto.
Tutto perfetto al primo colpo. Gli utenti non si sono neanche accorti del disservizio dovuto allo scollegamento dei cavi, e in pochi secondi la banda è suddivisa tra i vari servizi. Abbiamo effettuato dei test per verificare le varie classi create e tutto si è dimostrato solido. Ad ora sono quasi tre settimane che il sistema è in funzione e anche con le operazioni di routine che prima mettevano in crisi la banda adesso tutti i servizi restano on-line senza problemi.
Tra qualche settimana dovremmo decidere di migrare tutto su un HW più idoneo da collocare in uno degli armadi rack, tra l’altro tramite le funzionalità di backup e ripristino integrate spostare tutta la configurazione (cmq piuttosto semplice) sembra rapidissimo.
Alex.