Zeroshell : Partizionare banda tramite QoS

[51078]

Qualche tempo fa in azienda era sorta l’esigenza di impedire la saturazione della banda internet disponibile al fine di non compromettere le connessioni VPN site-to-site con le altre sedi, cosa che puntualmente capitava quando venivano effettuati invii massivi di mail (per ora siamo limitati a una connessione HDSL a 2Mbit).

Facendo una ricerca in rete siamo arrivati a valutare l’implementazione di un server basato su Zeroshell. Per chi non la conoscesse è una distribuzione linux volta a fornire i principali servizi di rete (Proxy, Firewall, DHCP, VPN, ecc.) sviluppata da Fulvio Ricciardi non basata su precedenti distribuzioni ma ricompilata ad hoc.

La scelta è ricaduta su questa distribuzione per la possibilità di gestire il QoS.
Una volta scaricata l’immagine ISO per il Live CD e il file .img.gz per l’installazione su disco abbiamo provveduto a masterizzare la prima e a copiare la seconda su una chiavetta USB.

Avendo in magazzino un vecchio HP dc7700 decidiamo di procedere all’installazione su disco così come spiegato sulla guida presente sul sito ufficiale (QUI).

Ci si è presentato un piccolo problema al riavvio dovuto al disco SATA che non veniva correttamente riconosciuto, dopo una breve ricerca abbiamo scoperto che il problema era facilmente risolvibile impostando da BIOS una diversa modalità operativa. In pratica dalla voce “Storage->Device Configuration-> SATA Defaults->Translation Mode” (per i BIOS HP) abbiamo modificato il settaggio predefinito “Bit Shit” in “LBA Assisted” e voilà il sistema si avvia correttamente.

A questo punto aiutandoci con la mini guida presente sul sito (http://www.zeroshell.net/qos/) abbiamo provveduto a implementare il servizio di QoS. A causa della nostra struttura di rete la ZeroShell Box è stata collocata a monte del router dell’HDSL Telecom, quindi per non stravolgere le impostazioni di tutta la rete e per poter monitorare correttamente il tutto abbiamo provveduto a installare una terza scheda di rete collegata direttamente al nostro switch core con un indirizzo di rete locale.

In pratica le due interfacce ETH00 e ETH01 sono state aggregate nel BRIDGE00 e collocate tra i firewall e il router, mentre l’interfaccia ETH02 costituisce la porta di management e viene vista dalla rete locale per poter accedere alla console web.

Abbiamo poi provveduto a creare le classi QoS, nel nostro caso:
- MAIL : Traffico Exchange limitata a 512Kbit/s, priorità bassa.
- WEB : Traffico internet limitato a 1024Kbit/s, priorità media.
- VPN : Traffico per connessioni site-to-site o remote senza limiti, priorità media.
- OTHER : Traffico non riconosciuto limitato a 1Kbit/s, priorità bassa.
- DEFAULT: Tutto il resto senza limiti con priorità media.

Da li abbiamo iniziato ad associare i servizi alle classi. Tramite l’interfaccia web abbiamo utilizzato la grande flessibilità di configurazione per incanalare il traffico in parte tramite filtri layer 7 e in parte tramite filtri layer 4. E’ piuttosto intuitivo realizzare le classificazioni, la parte più complicata è trovare il macthing dei vari filtri su applicazioni specifiche, qualora ne aveste bisogno. A noi è bastato reindirizzare tutto il traffico TCP proveniente dalla porta 25 sulla classe MAIL e ricorrere ai filtri layer 7 per individuare il traffico WEB e quello VPN. Prossimamente faremo di test per individuare anche altre classi in cui suddividere il traffico (FTP, Citrix, ecc).
A questo punto abbiamo le classi create alle interfacce del bridge e applicato il tutto.

Tutto perfetto al primo colpo. Gli utenti non si sono neanche accorti del disservizio dovuto allo scollegamento dei cavi, e in pochi secondi la banda è suddivisa tra i vari servizi. Abbiamo effettuato dei test per verificare le varie classi create e tutto si è dimostrato solido. Ad ora sono quasi tre settimane che il sistema è in funzione e anche con le operazioni di routine che prima mettevano in crisi la banda adesso tutti i servizi restano on-line senza problemi.

Tra qualche settimana dovremmo decidere di migrare tutto su un HW più idoneo da collocare in uno degli armadi rack, tra l’altro tramite le funzionalità di backup e ripristino integrate spostare tutta la configurazione (cmq piuttosto semplice) sembra rapidissimo.

Alex.

[davidinoino]

Quote:

Originariamente inviato da 51078

CUT

Alex.

Ma uno switch con funzione QoS ?
Ultimamente ne istallai uno dell'asus che era una meraviglia.

[51078]

Asus fa switch con funzionalità QoS?
Sul sito non si trova traccia neanche di switch Layer3...

In ogni caso uno switch di quel tipo non avrebbe di sicuro la stessa flessibilità di gestione del QoS, al + si potrebbero etichettare staticamente i pacchetti provenienti da una determinata porta fisica...

[davidinoino]

Si scusami,
non era un asus ... era un d-link DES-1210-28.
Prezzo sui 200€.

Non andrebbe bene limitare la banda sulle porte ?
oppure ancora aumentare la priorità ai servizi indispensabili ?

[51078]

Se l'intenzione fosse di limitare le macchine singole si, ma il problema nasce dal voler limitare solo certe tipologie di traffico, che possono provenire anche dalla stessa porta...
Inoltre in azienda abbiamo un blade sulle cui lame è implementato un cluster vmware per cui non abbiamo una mappatura 1:1 tra server e scheda di rete.
In più attualmente l'infrastruttura di networking è integralmente Cisco con un core 4507 (switch layer 3), quindi non è un decifit di hw il problema...

La nostra volontà era di evitare disservizi sulla rete ed evitare di dover sempre lavorare fuori orario per effettuare test ... Tieni presente che staccare un cavo che dagli switch in fibra del blade va al core per evitare che si incasini tutti è preferibile spegnere... immagina cosa comporta in termini di tempo e di disservizi...

Con Zeroshell siamo riusciti a raggiungere l'obbiettivo in modo del tutto trasparente per le utenze e senza il rischio di creare problemi...

[jerry74]

Puoi spiegare meglio in che tipo di infrastruttua hai collocato il server Zeroshell? Utilizzate un dominio? so Windows, linux? Avete provato a vedere cosa succede se il server è down?

[davidinoino]

Quote:

Originariamente inviato da 51078

Con Zeroshell siamo riusciti a raggiungere l'obbiettivo in modo del tutto trasparente per le utenze e senza il rischio di creare problemi...

Nei preferiti immediatamente

[51078]

Quote:

Originariamente inviato da jerry74

Puoi spiegare meglio in che tipo di infrastruttua hai collocato il server Zeroshell? Utilizzate un dominio? so Windows, linux? Avete provato a vedere cosa succede se il server è down?

Dominio Windows classico, circa 25 server virtuali quasi tutti win2008R2, alcune appliance linux embedded, tutto su cluster vmware a 4 nodi. 2 Firewall ASA attiva-passivo + IPS, con uno switch a dividere DMZ e outside.
A monte dei firewall abbiamo inserito il box Zeroshell al qualle è collegato direttamente il router HDSL.

Non abbiamo provato a spegnere la macchina ZS, ma quasi sicuramente la rete si fermerebbe... cmq per questo abbiamo lasciato il cavo che collegava lo switch perimetrale con il router in modo da bypassarla in 5 secondi in caso di problemi...

[jerry74]

Il dominio windows non vi ha dato problemi aggiungendo una macchina linux-based, giusto? La rete come ha reagito, c'è stata necessità di riconfigurare client, switch, server?
Sembra uno strumento molto più flessibile rispetto alle funzionalità integrate negli switch.

[51078]

Come ho scritto è stato tutto trasparente... quindi nessuna riconfigurazione.
Tieni presente che le due schede che costituiscono il bridge non hanno indirizzo IP quindi sono praticamente invisibili alla rete, mentre la scheda di management ha un indirizzo di rete locale come un qualsiasi client, che sia win o linux non cambia nulla...

[jerry74]

Interessante, mi serviva conferma che la rete pre-esistente non fosse intaccata. Se riesco a crearmi un ambiente di prova voglio vedere come va questo sistema.

[noid]

uso zeroshell da un paio di anni come macchina virtuale ed e' semplicissimo da installare e configurare! ottimo anche per la gestione di reti wireless mediante captive portal e radius
ho la tua stessa linea, hdsl da 2mb....il problema e' che sono in una universita' e quando ci sono un centinaio di studenti collegati la rete va ad minchiam anche con qos

[khael]

non sembrerebbe niente male
non conoscevo questa distro, al tempo provai endian, ma è decisamente piu' complessa!!
darò un'occhiata