Zeroshell : Partizionare banda tramite QoS

51078 · 29-06-2011, 16:19

Qualche tempo fa in azienda era sorta l’esigenza di impedire la saturazione della banda internet disponibile al fine di non compromettere le connessioni VPN site-to-site con le altre sedi, cosa che puntualmente capitava quando venivano effettuati invii massivi di mail (per ora siamo limitati a una connessione HDSL a 2Mbit).

Facendo una ricerca in rete siamo arrivati a valutare l’implementazione di un server basato su Zeroshell. Per chi non la conoscesse è una distribuzione linux volta a fornire i principali servizi di rete (Proxy, Firewall, DHCP, VPN, ecc.) sviluppata da Fulvio Ricciardi non basata su precedenti distribuzioni ma ricompilata ad hoc.

La scelta è ricaduta su questa distribuzione per la possibilità di gestire il QoS.
Una volta scaricata l’immagine ISO per il Live CD e il file .img.gz per l’installazione su disco abbiamo provveduto a masterizzare la prima e a copiare la seconda su una chiavetta USB.

Avendo in magazzino un vecchio HP dc7700 decidiamo di procedere all’installazione su disco così come spiegato sulla guida presente sul sito ufficiale (QUI).

Ci si è presentato un piccolo problema al riavvio dovuto al disco SATA che non veniva correttamente riconosciuto, dopo una breve ricerca abbiamo scoperto che il problema era facilmente risolvibile impostando da BIOS una diversa modalità operativa. In pratica dalla voce “Storage->Device Configuration-> SATA Defaults->Translation Mode” (per i BIOS HP) abbiamo modificato il settaggio predefinito “Bit Shit” in “LBA Assisted” e voilà il sistema si avvia correttamente.

A questo punto aiutandoci con la mini guida presente sul sito (http://www.zeroshell.net/qos/) abbiamo provveduto a implementare il servizio di QoS. A causa della nostra struttura di rete la ZeroShell Box è stata collocata a monte del router dell’HDSL Telecom, quindi per non stravolgere le impostazioni di tutta la rete e per poter monitorare correttamente il tutto abbiamo provveduto a installare una terza scheda di rete collegata direttamente al nostro switch core con un indirizzo di rete locale.

In pratica le due interfacce ETH00 e ETH01 sono state aggregate nel BRIDGE00 e collocate tra i firewall e il router, mentre l’interfaccia ETH02 costituisce la porta di management e viene vista dalla rete locale per poter accedere alla console web.

Abbiamo poi provveduto a creare le classi QoS, nel nostro caso:
- MAIL : Traffico Exchange limitata a 512Kbit/s, priorità bassa.
- WEB : Traffico internet limitato a 1024Kbit/s, priorità media.
- VPN : Traffico per connessioni site-to-site o remote senza limiti, priorità media.
- OTHER : Traffico non riconosciuto limitato a 1Kbit/s, priorità bassa.
- DEFAULT: Tutto il resto senza limiti con priorità media.

Da li abbiamo iniziato ad associare i servizi alle classi. Tramite l’interfaccia web abbiamo utilizzato la grande flessibilità di configurazione per incanalare il traffico in parte tramite filtri layer 7 e in parte tramite filtri layer 4. E’ piuttosto intuitivo realizzare le classificazioni, la parte più complicata è trovare il macthing dei vari filtri su applicazioni specifiche, qualora ne aveste bisogno. A noi è bastato reindirizzare tutto il traffico TCP proveniente dalla porta 25 sulla classe MAIL e ricorrere ai filtri layer 7 per individuare il traffico WEB e quello VPN. Prossimamente faremo di test per individuare anche altre classi in cui suddividere il traffico (FTP, Citrix, ecc).
A questo punto abbiamo le classi create alle interfacce del bridge e applicato il tutto.

Tutto perfetto al primo colpo. Gli utenti non si sono neanche accorti del disservizio dovuto allo scollegamento dei cavi, e in pochi secondi la banda è suddivisa tra i vari servizi. Abbiamo effettuato dei test per verificare le varie classi create e tutto si è dimostrato solido. Ad ora sono quasi tre settimane che il sistema è in funzione e anche con le operazioni di routine che prima mettevano in crisi la banda adesso tutti i servizi restano on-line senza problemi.

Tra qualche settimana dovremmo decidere di migrare tutto su un HW più idoneo da collocare in uno degli armadi rack, tra l’altro tramite le funzionalità di backup e ripristino integrate spostare tutta la configurazione (cmq piuttosto semplice) sembra rapidissimo.

Alex.

davidinoino · 29-06-2011, 18:25

Quote:

Originariamente inviato da 51078

CUT

Alex.

Ma uno switch con funzione QoS ?
Ultimamente ne istallai uno dell'asus che era una meraviglia.

51078 · 29-06-2011, 19:10

Asus fa switch con funzionalità QoS?
Sul sito non si trova traccia neanche di switch Layer3...

In ogni caso uno switch di quel tipo non avrebbe di sicuro la stessa flessibilità di gestione del QoS, al + si potrebbero etichettare staticamente i pacchetti provenienti da una determinata porta fisica...

davidinoino · 30-06-2011, 10:31

Si scusami,
non era un asus ... era un d-link DES-1210-28.
Prezzo sui 200€.

Non andrebbe bene limitare la banda sulle porte ?
oppure ancora aumentare la priorità ai servizi indispensabili ?

51078 · 30-06-2011, 11:47

Se l'intenzione fosse di limitare le macchine singole si, ma il problema nasce dal voler limitare solo certe tipologie di traffico, che possono provenire anche dalla stessa porta...
Inoltre in azienda abbiamo un blade sulle cui lame è implementato un cluster vmware per cui non abbiamo una mappatura 1:1 tra server e scheda di rete.
In più attualmente l'infrastruttura di networking è integralmente Cisco con un core 4507 (switch layer 3), quindi non è un decifit di hw il problema...

La nostra volontà era di evitare disservizi sulla rete ed evitare di dover sempre lavorare fuori orario per effettuare test

... Tieni presente che staccare un cavo che dagli switch in fibra del blade va al core per evitare che si incasini tutti è preferibile spegnere... immagina cosa comporta in termini di tempo e di disservizi...

Con Zeroshell siamo riusciti a raggiungere l'obbiettivo in modo del tutto trasparente per le utenze e senza il rischio di creare problemi...

jerry74 · 30-06-2011, 22:05

Puoi spiegare meglio in che tipo di infrastruttua hai collocato il server Zeroshell? Utilizzate un dominio? so Windows, linux? Avete provato a vedere cosa succede se il server è down?

davidinoino · 01-07-2011, 00:12

Quote:

Originariamente inviato da 51078

Con Zeroshell siamo riusciti a raggiungere l'obbiettivo in modo del tutto trasparente per le utenze e senza il rischio di creare problemi...

Nei preferiti immediatamente

51078 · 01-07-2011, 08:36

Quote:

Originariamente inviato da jerry74

Puoi spiegare meglio in che tipo di infrastruttua hai collocato il server Zeroshell? Utilizzate un dominio? so Windows, linux? Avete provato a vedere cosa succede se il server è down?

Dominio Windows classico, circa 25 server virtuali quasi tutti win2008R2, alcune appliance linux embedded, tutto su cluster vmware a 4 nodi. 2 Firewall ASA attiva-passivo + IPS, con uno switch a dividere DMZ e outside.
A monte dei firewall abbiamo inserito il box Zeroshell al qualle è collegato direttamente il router HDSL.

Non abbiamo provato a spegnere la macchina ZS, ma quasi sicuramente la rete si fermerebbe... cmq per questo abbiamo lasciato il cavo che collegava lo switch perimetrale con il router in modo da bypassarla in 5 secondi in caso di problemi...

jerry74 · 01-07-2011, 13:40

Il dominio windows non vi ha dato problemi aggiungendo una macchina linux-based, giusto? La rete come ha reagito, c'è stata necessità di riconfigurare client, switch, server?
Sembra uno strumento molto più flessibile rispetto alle funzionalità integrate negli switch.

51078 · 01-07-2011, 13:50

Come ho scritto è stato tutto trasparente... quindi nessuna riconfigurazione.
Tieni presente che le due schede che costituiscono il bridge non hanno indirizzo IP quindi sono praticamente invisibili alla rete, mentre la scheda di management ha un indirizzo di rete locale come un qualsiasi client, che sia win o linux non cambia nulla...

jerry74 · 01-07-2011, 13:56

Interessante, mi serviva conferma che la rete pre-esistente non fosse intaccata. Se riesco a crearmi un ambiente di prova voglio vedere come va questo sistema.

noid · 05-07-2011, 08:53

uso zeroshell da un paio di anni come macchina virtuale ed e' semplicissimo da installare e configurare! ottimo anche per la gestione di reti wireless mediante captive portal e radius
ho la tua stessa linea, hdsl da 2mb....il problema e' che sono in una universita' e quando ci sono un centinaio di studenti collegati la rete va ad minchiam anche con qos

khael · 18-07-2011, 17:24

non sembrerebbe niente male

non conoscevo questa distro, al tempo provai endian, ma è decisamente piu' complessa!!
darò un'occhiata

29-06-2011, 16:19	#1
51078 Senior Member Iscritto dal: Oct 2000 Messaggi: 637	Zeroshell : Partizionare banda tramite QoS Qualche tempo fa in azienda era sorta l’esigenza di impedire la saturazione della banda internet disponibile al fine di non compromettere le connessioni VPN site-to-site con le altre sedi, cosa che puntualmente capitava quando venivano effettuati invii massivi di mail (per ora siamo limitati a una connessione HDSL a 2Mbit). Facendo una ricerca in rete siamo arrivati a valutare l’implementazione di un server basato su Zeroshell. Per chi non la conoscesse è una distribuzione linux volta a fornire i principali servizi di rete (Proxy, Firewall, DHCP, VPN, ecc.) sviluppata da Fulvio Ricciardi non basata su precedenti distribuzioni ma ricompilata ad hoc. La scelta è ricaduta su questa distribuzione per la possibilità di gestire il QoS. Una volta scaricata l’immagine ISO per il Live CD e il file .img.gz per l’installazione su disco abbiamo provveduto a masterizzare la prima e a copiare la seconda su una chiavetta USB. Avendo in magazzino un vecchio HP dc7700 decidiamo di procedere all’installazione su disco così come spiegato sulla guida presente sul sito ufficiale (QUI). Ci si è presentato un piccolo problema al riavvio dovuto al disco SATA che non veniva correttamente riconosciuto, dopo una breve ricerca abbiamo scoperto che il problema era facilmente risolvibile impostando da BIOS una diversa modalità operativa. In pratica dalla voce “Storage->Device Configuration-> SATA Defaults->Translation Mode” (per i BIOS HP) abbiamo modificato il settaggio predefinito “Bit Shit” in “LBA Assisted” e voilà il sistema si avvia correttamente. A questo punto aiutandoci con la mini guida presente sul sito (http://www.zeroshell.net/qos/) abbiamo provveduto a implementare il servizio di QoS. A causa della nostra struttura di rete la ZeroShell Box è stata collocata a monte del router dell’HDSL Telecom, quindi per non stravolgere le impostazioni di tutta la rete e per poter monitorare correttamente il tutto abbiamo provveduto a installare una terza scheda di rete collegata direttamente al nostro switch core con un indirizzo di rete locale. In pratica le due interfacce ETH00 e ETH01 sono state aggregate nel BRIDGE00 e collocate tra i firewall e il router, mentre l’interfaccia ETH02 costituisce la porta di management e viene vista dalla rete locale per poter accedere alla console web. Abbiamo poi provveduto a creare le classi QoS, nel nostro caso: - MAIL : Traffico Exchange limitata a 512Kbit/s, priorità bassa. - WEB : Traffico internet limitato a 1024Kbit/s, priorità media. - VPN : Traffico per connessioni site-to-site o remote senza limiti, priorità media. - OTHER : Traffico non riconosciuto limitato a 1Kbit/s, priorità bassa. - DEFAULT: Tutto il resto senza limiti con priorità media. Da li abbiamo iniziato ad associare i servizi alle classi. Tramite l’interfaccia web abbiamo utilizzato la grande flessibilità di configurazione per incanalare il traffico in parte tramite filtri layer 7 e in parte tramite filtri layer 4. E’ piuttosto intuitivo realizzare le classificazioni, la parte più complicata è trovare il macthing dei vari filtri su applicazioni specifiche, qualora ne aveste bisogno. A noi è bastato reindirizzare tutto il traffico TCP proveniente dalla porta 25 sulla classe MAIL e ricorrere ai filtri layer 7 per individuare il traffico WEB e quello VPN. Prossimamente faremo di test per individuare anche altre classi in cui suddividere il traffico (FTP, Citrix, ecc). A questo punto abbiamo le classi create alle interfacce del bridge e applicato il tutto. Tutto perfetto al primo colpo. Gli utenti non si sono neanche accorti del disservizio dovuto allo scollegamento dei cavi, e in pochi secondi la banda è suddivisa tra i vari servizi. Abbiamo effettuato dei test per verificare le varie classi create e tutto si è dimostrato solido. Ad ora sono quasi tre settimane che il sistema è in funzione e anche con le operazioni di routine che prima mettevano in crisi la banda adesso tutti i servizi restano on-line senza problemi. Tra qualche settimana dovremmo decidere di migrare tutto su un HW più idoneo da collocare in uno degli armadi rack, tra l’altro tramite le funzionalità di backup e ripristino integrate spostare tutta la configurazione (cmq piuttosto semplice) sembra rapidissimo. Alex.

30-06-2011, 22:05	#6
jerry74 Member Iscritto dal: Nov 2007 Città: Trento Messaggi: 198	Puoi spiegare meglio in che tipo di infrastruttua hai collocato il server Zeroshell? Utilizzate un dominio? so Windows, linux? Avete provato a vedere cosa succede se il server è down? __________________ home: CASE Fractal Design Define R3 CPU Intel Core i5 750 VENTOLA Arctic Cooling Freezer 7 Pro PWM Rev.2 MB Asus P7P55D Pro RAM 4 x 2GB DDR3 CORSAIR XMS3 VGA Asus EAH6850 DirectCU HD Seagate Constellation ES 1 TB + Western Digital Caviar Black 1 TB MONITOR Dell 2209WA S.O. Windows 7 Professional 64 bit ALI Corsair VX550

01-07-2011, 13:40	#9
jerry74 Member Iscritto dal: Nov 2007 Città: Trento Messaggi: 198	Il dominio windows non vi ha dato problemi aggiungendo una macchina linux-based, giusto? La rete come ha reagito, c'è stata necessità di riconfigurare client, switch, server? Sembra uno strumento molto più flessibile rispetto alle funzionalità integrate negli switch. __________________ home: CASE Fractal Design Define R3 CPU Intel Core i5 750 VENTOLA Arctic Cooling Freezer 7 Pro PWM Rev.2 MB Asus P7P55D Pro RAM 4 x 2GB DDR3 CORSAIR XMS3 VGA Asus EAH6850 DirectCU HD Seagate Constellation ES 1 TB + Western Digital Caviar Black 1 TB MONITOR Dell 2209WA S.O. Windows 7 Professional 64 bit ALI Corsair VX550

01-07-2011, 13:56	#11
jerry74 Member Iscritto dal: Nov 2007 Città: Trento Messaggi: 198	Interessante, mi serviva conferma che la rete pre-esistente non fosse intaccata. Se riesco a crearmi un ambiente di prova voglio vedere come va questo sistema. __________________ home: CASE Fractal Design Define R3 CPU Intel Core i5 750 VENTOLA Arctic Cooling Freezer 7 Pro PWM Rev.2 MB Asus P7P55D Pro RAM 4 x 2GB DDR3 CORSAIR XMS3 VGA Asus EAH6850 DirectCU HD Seagate Constellation ES 1 TB + Western Digital Caviar Black 1 TB MONITOR Dell 2209WA S.O. Windows 7 Professional 64 bit ALI Corsair VX550

29-06-2011, 19:10	#3
51078 Senior Member Iscritto dal: Oct 2000 Messaggi: 637	Asus fa switch con funzionalità QoS? Sul sito non si trova traccia neanche di switch Layer3... In ogni caso uno switch di quel tipo non avrebbe di sicuro la stessa flessibilità di gestione del QoS, al + si potrebbero etichettare staticamente i pacchetti provenienti da una determinata porta fisica...

30-06-2011, 10:31	#4
davidinoino Member Iscritto dal: Oct 2007 Messaggi: 33	Si scusami, non era un asus ... era un d-link DES-1210-28. Prezzo sui 200€. Non andrebbe bene limitare la banda sulle porte ? oppure ancora aumentare la priorità ai servizi indispensabili ?

30-06-2011, 11:47	#5
51078 Senior Member Iscritto dal: Oct 2000 Messaggi: 637	Se l'intenzione fosse di limitare le macchine singole si, ma il problema nasce dal voler limitare solo certe tipologie di traffico, che possono provenire anche dalla stessa porta... Inoltre in azienda abbiamo un blade sulle cui lame è implementato un cluster vmware per cui non abbiamo una mappatura 1:1 tra server e scheda di rete. In più attualmente l'infrastruttura di networking è integralmente Cisco con un core 4507 (switch layer 3), quindi non è un decifit di hw il problema... La nostra volontà era di evitare disservizi sulla rete ed evitare di dover sempre lavorare fuori orario per effettuare test ... Tieni presente che staccare un cavo che dagli switch in fibra del blade va al core per evitare che si incasini tutti è preferibile spegnere... immagina cosa comporta in termini di tempo e di disservizi... Con Zeroshell siamo riusciti a raggiungere l'obbiettivo in modo del tutto trasparente per le utenze e senza il rischio di creare problemi...

01-07-2011, 13:50	#10
51078 Senior Member Iscritto dal: Oct 2000 Messaggi: 637	Come ho scritto è stato tutto trasparente... quindi nessuna riconfigurazione. Tieni presente che le due schede che costituiscono il bridge non hanno indirizzo IP quindi sono praticamente invisibili alla rete, mentre la scheda di management ha un indirizzo di rete locale come un qualsiasi client, che sia win o linux non cambia nulla...

05-07-2011, 08:53	#12
noid Member Iscritto dal: Dec 2005 Città: pescara - milano Messaggi: 130	uso zeroshell da un paio di anni come macchina virtuale ed e' semplicissimo da installare e configurare! ottimo anche per la gestione di reti wireless mediante captive portal e radius ho la tua stessa linea, hdsl da 2mb....il problema e' che sono in una universita' e quando ci sono un centinaio di studenti collegati la rete va ad minchiam anche con qos

18-07-2011, 17:24	#13
khael Senior Member Iscritto dal: Aug 2002 Città: Centro Italia Messaggi: 11089	non sembrerebbe niente male non conoscevo questa distro, al tempo provai endian, ma è decisamente piu' complessa!! darò un'occhiata

Strumenti
Mostra una versione stampabile Invia questa pagina per email