Konfiguration von Gibraltar als transparenten Traffic Shaper auf einem Rechner mit 2 Netzwerkkarten mit Hilfe einer Netzwerkbrücke, um einen transparenten Modus zu ermöglichen. Ziel dieses Szenarios ist es in einer Citrix-Terminalserverumgebung dem unternehmenskritische Protokoll ICA sowie dem VOIP-Traffic mindestens je 35% der verfügbaren Bandbreite zur Verfügung zu stellen. Weiters wird dem restlichem Traffic aus Latenzgründen eine Bandbreite von maximal 75 % ermöglicht. Dies ist bei latenzkritischen Anwendungen wie VOIP und Terminalservertechnologien unumgänglich, sollte der Provider nicht auf gesetzte TOS-Bits reagieren (dies ist im Regelfall auch so). Zur Gewährleistung einer ordnungsgemäßen Funktionalität dürfen darüber hinaus maximal 95 % der verfügbaren Bandbreite verwendet werden! Folgende Ausgangssituation ist gegeben:
▪ | Zentrale mit 2048/2048 Internetanbindung (192.168.0.0/24), IP-Telefonanlage: 192.168.0.100 |
▪ | Aussenstelle1 mit 4096/1024 Internetanbindung (192.168.1.0/24), IP-Telefonanlage: 192.168.1.100 |
▪ | Aussenstelle2 mit 1024/1024 Internetanbindung (192.168.2.0/24), IP-Telefonanlage: 192.168.2.100 |
Die Aussenstellen sind bereits mit einem Drittprodukt mit der Zentrale über einen gesicherten IPSec Tunnel verbunden.

Systemvoraussetzungen
PC mit zwei kompatiblen Netzwerkkarten oder Gibraltar Security Gateway.
Installation von Gibraltar - Zentrale
Installieren sie Gibraltar wie im Kapitel Installation beschrieben.
Systemeinstellungen
Systemeinstellungen wie in Szenario 1
Netzwerkeinstellungen - Netzwerkkarte
1. | Wählen Sie im Hauptmenü den Punkt Netzwerk. |
2. | Wählen Sie die Registerkarte eth1. |
3. | Interface: Geben Sie in dieses Textfeld die gewünschte Bezeichnung für diese Netzwerkkarte ein (z.B.: "int0", damit Sie die Netzwerkkarte für das interne Netzwerk eindeutig identifizieren können). |
4. | Automatisch starten: Markieren Sie dieses Kontrollkästchen, damit die Netzwerkkarte beim Systemstart automatisch gestartet wird. |
5. | Speichern: Betätigen Sie diese Schaltfläche, um die Änderungen zu speichern. |
6. | Wählen Sie die Registerkarte eth0. |
7. | Interface: Geben Sie in dieses Textfeld die gewünschte Bezeichnung für diese Netzwerkkarte ein (z.B.: "ext0", damit Sie die Netzwerkkarte für den externen Netzwerkbereich eindeutig identifizieren können). |
8. | Automatisch starten: Markieren Sie dieses Kontrollkästchen, damit die Netzwerkkarte beim Systemstart automatisch gestartet wird. |
9. | Speichern: Betätigen Sie diese Schaltfläche, um die Änderungen zu speichern. |
10. | Wählen Sie die Registerkarte Bridging. |
11. | Interface: Vergeben Sie einen Namen für die Bridge (z.B: "myBridge"). |
12. | Statische IPs: Ändern Sie die IP-Adresse im Textfeld IP-Adresse/Netzwerkmaske auf die von Ihnen für Gibraltar vorgesehene IP-Adresse (CIDR-Notation: z.B. 192.168.0.1/24). Sie können die Konfiguration später über diese Adresse der Bridge fortsetzen. |
13. | Bridged Interfaces: Wählen Sie die Interfaces "int0" und "ext0". |
14. | Speichern: Betätigen Sie diese Schaltfläche, um die Änderungen zu speichern und die Bridge zu erstellen |
ACHTUNG: Durch das Verändern der IP-Adresse auf der Netzwerkkarte, über die Sie auf Gibraltar zugreifen, wird die Verbindung unterbrochen und Sie müssen für Ihren Arbeitsplatzrechner ebenfalls die IP-Adresse anpassen.
Netzwerkeinstellungen - Routing
Die Standardroute wird definiert.
1. | Wählen Sie im Hauptmenü den Punkt Netzwerk. |
2. | Wählen Sie die Registerkarte Routing. |
3. | Standardroute: Geben Sie in dieses Feld eine Standardroute ein, damit Sie die Bridge auch von extern über IPSec erreichen können. |
4. | Speichern: Betätigen Sie diese Schaltfläche, um die Änderungen zu speichern. |
Firewallregeln
1. | Wählen Sie im Hauptmenü den Punkt Firewall. |
2. | Interface: Wählen Sie aus dem Auswahlfeld eingehend den Wert "int0 bridged" für die interne Netzwerkkarte. Wählen Sie aus dem Auswahlfeld ausgehend den Wert "ext0 bridged" für die externe Netzwerkkarte. Betätigen Sie die Schaltfläche Go!. Es werden nun alle Filterregeln in der Elementgruppe Filterregeln angezeigt, die für Pakete bestimmt sind, die von der Netzwerkkarte "int0" auf die Netzwerkkarte "ext0" geschickt werden. |
3. | Regel hinzufügen: Betätigen Sie diese Schaltfläche, um eine neue Regel in diesem Bereich ("int0 -> ext0") einzufügen. Sie werden in die Detailansicht weitergeleitet. |
4. | Quelladresse: Wählen Sie aus der Auswahlliste ANY, um alle Quelladressen zu erlauben. |
5. | Zieladresse: Wählen Sie aus der Auswahlliste ANY, um alle Zieladressen zu erlauben. |
6. | Kommentar: Geben Sie einen (möglichst sprechenden) Kommentar Ihrer Wahl ein. Alle übrigen Felder müssen in diesem Fall nicht konfiguriert werden. |
7. | Speichern: Betätigen Sie diese Schaltfläche, um die Änderungen zu speichern. |
Erstellen Sie eine weitere Regel mit für "ext0 bridged" -> "int0 bridged" mit denselben Einstellungen.
WICHTIG: Positionieren Sie Gibraltar jetzt so, dass das interne Interface am Switch für das interne LAN hängt und das externe Interface direkt zum Router (eventuell mit ausgekreuztem Kabel) führt. Damit befindet sich Gibraltar jetzt im transparentem Modus und kann den Verkehr von innen nach außen und umgekehrt regeln und regulieren.
Nun legen wir eine Netzwerk-Definition für die beiden Aussenstellen und die Telefonanlage an.
Netzwerk - Definitionen
1. | Wählen Sie im Hauptmenü den Punkt Netzwerk. |
2. | Wählen Sie den Untermenüpunkt Definitionen. |
3. | Wählen Sie die Registerkarte Host/Netz Aliases. |
4. | Definieren Sie je einen Host/Netz Alias für die Aussenstelle 1 und die Aussenstelle 2 (z. B: "net1" für 192.168.1.0/24 und "net2" für 192.168.2.0/24). |
5. | Definieren Sie einen Host/Netz Alias "voip" für die Telefonanlage 192.168.0.100. |
6. | Speichern: Betätigen Sie diese Schaltfläche, um die Änderungen zu speichern. |
Um Bandbreitenmanagement zu ermöglichen müssen nun folgende Schritte unternommen werden:
▪ | Definition der Bandbreiten der Interfaces |
▪ | Klassifizierung von Traffic für die Zuweisung zu Shaping Regeln |
▪ | Anlegen der Regeln, die dann die Regulierung vornehmen. |
Traffic shaping
1. | Wählen Sie im Hauptmenü den Punkt Traffic shaping. |
2. | Wählen Sie die Registerkarte Allgemeine Einstellungen. |
3. | Bandbreiten: Definieren Sie für das Interface "ext0" den Wert 2048 für Up- und Download. |
4. | Speichern: Betätigen Sie diese Schaltfläche, um die Änderungen zu speichern. |
5. | Wählen Sie die Registerkarte Klassifizierung. |
6. | Klassifizierung hinzufügen: Betätigen Sie diese Schaltfläche, um eine neue Klassifizierung für die ICA Quellports hinzuzufügen. |
7. | Name: Geben Sie hier einen Namen für die Klassifizierung (z.B: "icaSource"). |
8. | Quelladresse, Zieladresse: Wählen Sie hier den Wert "ANY". |
9. | Service: Wählen Sie hier den Wert "ica_source". |
10. | TOS: Wählen Sie hier den Wert "Minimize Delay". |
11. | Speichern: Betätigen Sie diese Schaltfläche, um die Klassifizierung zu speichern. |
12. | Abbrechen: Betätigen Sie diese Schaltfläche, um zur Übersicht zu gelangen. |
13. | Klassifizierung hinzufügen: Betätigen Sie diese Schaltfläche, um eine neue Klassifizierung für die ICA Zielports hinzuzufügen. |
14. | Name: Geben Sie hier einen Namen für die Klassifizierung (z.B: "icaDest"). |
15. | Quelladresse, Zieladresse: Wählen Sie hier den Wert "ANY". |
16. | Service: Wählen Sie hier den Wert "ica_destination". |
17. | TOS: Wählen Sie hier den Wert "Minimize Delay". |
18. | Speichern: Betätigen Sie diese Schaltfläche, um die Klassifizierung zu speichern. |
19. | Abbrechen: Betätigen Sie diese Schaltfläche, um zur Übersicht zu gelangen. |
20. | Klassifizierung hinzufügen: Betätigen Sie diese Schaltfläche, um eine neue Klassifizierung für die Quellpakete der Telefonanlage hinzuzufügen. |
21. | Name: Geben Sie hier einen Namen für die Klassifizierung (z.B: "voipSource"). |
22. | Quelladresse: Wählen Sie hier die Definition "voip". |
23. | Zieladresse: Wählen Sie hier den Wert "ANY". |
24. | TOS: Wählen Sie hier den Wert "Minimize Delay". |
25. | Speichern: Betätigen Sie diese Schaltfläche, um die Klassifizierung zu speichern. |
26. | Abbrechen: Betätigen Sie diese Schaltfläche, um zur Übersicht zu gelangen. |
27. | Klassifizierung hinzufügen: Betätigen Sie diese Schaltfläche, um eine neue Klassifizierung für die Zielpakete der Telefonanlage hinzuzufügen. |
28. | Name: Geben Sie hier einen Namen für die Klassifizierung (z.B: "voipDest"). |
29. | Quelladresse: Wählen Sie hier den Wert ANY. |
30. | Zieladresse: Wählen Sie hier die Definition "voip". |
31. | TOS: Wählen Sie hier den Wert "Minimize Delay". |
32. | Speichern: Betätigen Sie diese Schaltfläche, um die Klassifizierung zu speichern. |
33. | Abbrechen: Betätigen Sie diese Schaltfläche, um zur Übersicht zu gelangen. |
34. | Klassifizierung hinzufügen: Betätigen Sie diese Schaltfläche, um eine neue Klassifizierung für den ICMP Traffic hinzuzufügen. |
35. | Name: Geben Sie hier einen Namen für die Klassifizierung (z.B: "icmp"). |
36. | Quelladresse, Zieladresse: Wählen Sie hier den Wert "ANY". |
37. | Service: Wählen Sie hier den Wert "CUSTOM". |
38. | Protokoll: Wählen Sie hier den Wert "ICMP". |
39. | TOS: Wählen Sie hier den Wert "Minimize Delay". |
40. | Speichern: Betätigen Sie diese Schaltfläche, um die Klassifizierung zu speichern. |
41. | Abbrechen: Betätigen Sie diese Schaltfläche, um zur Übersicht zu gelangen. |
42. | Klassifizierung hinzufügen: Betätigen Sie diese Schaltfläche, um eine neue Klassifizierung für den restlichen Traffic hinzuzufügen. |
43. | Name: Geben Sie hier einen Namen für die Klassifizierung (z.B: "rest"). |
44. | Quelladresse, Zieladresse: Wählen Sie hier den Wert "ANY". |
45. | Speichern: Betätigen Sie diese Schaltfläche, um die Klassifizierung zu speichern. |
Um den gesamten ICA-Traffic und auch ICMP gemeinsam priorisieren zu können, müssen die Klassifizierungen zu einer Gruppe zusammengefasst werden. Weiters werden auch die Quell- und Zielpakete der Telefonanlage zu einer Gruppe zusammengefasst.
1. | Wählen Sie die Registerkarte Klassifizierungsgruppen. |
2. | Gruppe hinzufügen: Betätigen Sie diese Schaltfläche, um eine neue Klassifizierungsgruppe hinzuzufügen. |
3. | Name: Geben Sie hier einen Namen für die Gruppe ein (z.B: "ica"). |
4. | Mitglied hinzufügen: Wählen Sie hier die Mitglieder "icaSource", "icaDest" und "icmp". |
5. | Speichern: Betätigen Sie diese Schaltfläche, um die Gruppe zu speichern. |
6. | Abbrechen: Betätigen Sie diese Schaltfläche, um zur Übersicht zu gelangen. |
7. | Gruppe hinzufügen: Betätigen Sie diese Schaltfläche, um eine neue Klassifizierungsgruppe hinzuzufügen. |
8. | Name: Geben Sie hier einen Namen für die Gruppe ein (z.B: "voip"). |
9. | Mitglied hinzufügen: Wählen Sie hier die Mitglieder "voipSource", "voipDest". |
10. | Speichern: Betätigen Sie diese Schaltfläche, um die Gruppe zu speichern. |
Zum Abschluss müssen noch die Regeln für die beiden Aussenstellen gesetzt werden. Diese Regeln nehmen nun die Bandbreitenregulierung vor. Zuerst regulieren wir den Upload der Zentrale - dies ist aus Sicht der Gibraltar nun der Track "outgoing ext0".
1. | Wählen Sie die Registerkarte Traffic Shaping Regeln. |
2. | Track: Wählen Sie "outgoing ext0". Gibraltar verwendet nun die definierte Upload-Bandbreite des Interfaces "ext0". Dieser Traffic stellt den Upload der Zentrale dar! |
3. | Regel hinzufügen: Klicken Sie diesen Button, um eine neue Shaping Regel hinzuzufügen. |
4. | Name: Vergeben Sie einen Namen für die Regel (z.B: "ruleNet1"). Sie können die Wirkungsweise dieser Regel im Modul Monitoring gezielt analysieren. |
5. | Mitglied hinzufügen: Klicken Sie diesen Button, um Klassifizierungen bzw. Klassifizierungsgruppen hinzuzufügen. |
6. | Wählen Sie die Klassifizierungsgruppe "ica" und vergeben Sie die Werte "360" für Min und "1024" für Max. |
7. | Wählen Sie die Klassifizierungsgruppe "voip" und vergeben Sie die Werte "360" für Min und "1024" für Max. |
8. | Wählen Sie die Klassifizierung "rest" und vergeben Sie die Werte "250" für Min und "768" für Max. |
9. | Speichern: Betätigen Sie diese Schaltfläche, um die Regel zu speichern. |
10. | Wählen Sie die Registerkarte Fortgeschritten. |
11. | Zieladresse: Wählen Sie die Definition "net1", da diese Regel nur für dieses Zielnetz gelten soll |
12. | Bandbreite (kbit) für Netze: Wählen Sie den Wert "1024", da wir für dieses Netz nur ein Maximum von 1024kbit zur Verfügung stellen. Der gesamte Traffic, der von der Zentrale in dieses Netz läuft, darf somit 1024kbit nicht übersteigen. |
13. | Speichern: Betätigen Sie diese Schaltfläche, um die Regel zu speichern. |
14. | Abbrechen: Betätigen Sie diese Schaltfläche, um zur Übersicht zu gelangen. |
15. | Regel hinzufügen: Klicken Sie diesen Button, um eine neue Shaping Regel hinzuzufügen. |
16. | Name: Vergeben Sie einen Namen für die Regel (z.B: "ruleNet2") |
17. | Mitglied hinzufügen: Klicken Sie diesen Button, um Klassifizierungen bzw. Klassifizierungsgruppen hinzuzufügen. |
18. | Wählen Sie die Klassifizierungsgruppe "ica" und vergeben Sie die Werte "360" für Min und "1024" für Max. |
19. | Wählen Sie die Klassifizierungsgruppe "voip" und vergeben Sie die Werte "360" für Min und "1024" für Max. |
20. | Wählen Sie die Klassifizierung "rest" und vergeben Sie die Werte "250" für Min und "768" für Max. |
21. | Speichern: Betätigen Sie diese Schaltfläche, um die Regel zu speichern. |
22. | Wählen Sie die Registerkarte Fortgeschritten. |
23. | Zieladresse: Wählen Sie die Definition "net2", da diese Regel nur für dieses Zielnetz gelten soll |
24. | Bandbreite (kbit) für Netze: Wählen Sie den Wert "1024", da wir für dieses Netz nur ein Maximum von 1024kbit zur Verfügung stellen. Der gesamte Traffic, der von der Zentrale in dieses Netz läuft, darf somit 1024kbit nicht übersteigen. |
25. | Speichern: Betätigen Sie diese Schaltfläche, um die Regel zu speichern. |
Anmerkung:
Um den ganzen Traffic unter Kontrolle zu bringen ist es natürlich auch notwendig, dass der Download-Traffic in der Zentrale reguliert wird. Wäre dies nicht der Fall, dann könnte ein massiver Download in der Zentrale die Upload-Pakete aus den Aussenstellen blockieren.
1. | Wählen Sie die Registerkarte Traffic Shaping Regeln. |
2. | Track: Wählen Sie "incoming ext0". Gibraltar verwendet nun die definierte Download-Bandbreite des Interfaces "ext0". Dieser Traffic stellt den Download der Zentrale dar! |
3. | Regel hinzufügen: Klicken Sie diesen Button, um eine neue Shaping Regel hinzuzufügen. |
4. | Name: Vergeben Sie einen Namen für die Regel (z.B: "ruleDownload"). Sie können die Wirkungsweise dieser Regel im Modul Monitoring gezielt analysieren. |
5. | Mitglied hinzufügen: Klicken Sie diesen Button, um Klassifizierungen bzw. Klassifizierungsgruppen hinzuzufügen. |
6. | Wählen Sie die Klassifizierungsgruppe "ica" und vergeben Sie die Werte "716" für Min und "2048" für Max. |
7. | Wählen Sie die Klassifizierungsgruppe "voip" und vergeben Sie die Werte "716" für Min und "2048" für Max. |
8. | Wählen Sie die Klassifizierung "rest" und vergeben Sie die Werte "500" für Min und "1536" für Max. |
9. | Speichern: Betätigen Sie diese Schaltfläche, um die Regel zu speichern. |
Anmerkung: Da wir beim Download-Shaping nicht gezielt ein Netz regulieren wollen, ist es hier nicht notwendig, auf der Registerkarte "Erweitert" eine Zieladresse zu definieren!
Konfiguration speichern
1. | Speichern Sie die Konfiguration auf einem USB-Stick oder auf der Harddisk. |
Damit wird nun der Verkehr in die beiden Aussenstellen anhand den verschiedenen Bandbreiten reguliert. Ein Druckjob von der Zentrale in die Aussenstellen, der bspw. nicht im ICA-Strom enthalten ist, würde nun kein Problem mehr verursachen. Um auch den ausgehenden Verkehr der Aussenstellen zu kontrollieren sind folgende Konfigurationsschritte nötig (Netzwerk- und Systemeinstellungen gleich wie in Zentrale):
Netzwerk - Definitionen
1. | Wählen Sie im Hauptmenü den Punkt Netzwerk. |
2. | Wählen Sie den Untermenüpunkt Definitionen. |
3. | Wählen Sie die Registerkarte Host/Netz Aliases. |
4. | Definieren Sie einen Host/Netz Alias "voip" für die Telefonanlage 192.168.0.100. |
5. | Speichern: Betätigen Sie diese Schaltfläche, um die Änderungen zu speichern. |
Traffic shaping (Aussenstelle 1)
1. | Wählen Sie im Hauptmenü den Punkt Traffic shaping. |
2. | Wählen Sie die Registerkarte Allgemeine Einstellungen. |
3. | Bandbreiten: Definieren Sie für das Interface "ext0" den Wert "1024" für den Upload sowie den Wert "4096" für Download. |
4. | Speichern: Betätigen Sie diese Schaltfläche, um die Änderungen zu speichern. |
5. | Legen Sie nun die Klassifizierungen und Klassifizierungsgruppen genau so, wie in der Zentrale an. |
6. | Wählen Sie die Registerkarte Traffic Shaping Regeln. |
7. | Track: Wählen Sie "outgoing ext0". Gibraltar verwendet nun die definierte Upload-Bandbreite des Interfaces "ext0". Dieser Traffic stellt den Upload der Aussenstelle dar. |
8. | Regel hinzufügen: Klicken Sie diesen Button, um eine neue Shaping Regel hinzuzufügen. |
9. | Name: Vergeben Sie einen Namen für die Regel (z.B: "ruleUpload") |
10. | Mitglied hinzufügen: Klicken Sie diesen Button, um Klassifizierungen bzw. Klassifizierungsgruppen hinzuzufügen. |
11. | Wählen Sie die Klassifizierungsgruppe "ica" und vergeben Sie die Werte "360" für Min und "1024" für Max. |
12. | Wählen Sie die Klassifizierungsgruppe "voip" und vergeben Sie die Werte "360" für Min und "1024" für Max. |
13. | Wählen Sie die Klassifizierung "rest" und vergeben Sie die Werte "250" für Min und "768" für Max. |
14. | Speichern: Betätigen Sie diese Schaltfläche, um die Regel zu speichern. |
Auch in der Aussenstelle ist es wichtig, den Download Traffic zu regulieren. Gehen Sie dafür folgendermaßen vor:
1. | Wählen Sie die Registerkarte Traffic Shaping Regeln. |
2. | Track: Wählen Sie "incoming ext0". Gibraltar verwendet nun die definierte Download-Bandbreite des Interfaces "ext0". Dieser Traffic stellt den Download der Aussenstelle dar. |
3. | Regel hinzufügen: Klicken Sie diesen Button, um eine neue Shaping Regel hinzuzufügen. |
4. | Name: Vergeben Sie einen Namen für die Regel (z.B: "ruleDownload") |
5. | Mitglied hinzufügen: Klicken Sie diesen Button, um Klassifizierungen bzw. Klassifizierungsgruppen hinzuzufügen. |
6. | Wählen Sie die Klassifizierungsgruppe "ica" und vergeben Sie die Werte "360" für Min und "1024" für Max. |
7. | Wählen Sie die Klassifizierungsgruppe "voip" und vergeben Sie die Werte "360" für Min und "1024" für Max. |
8. | Wählen Sie die Klassifizierung "rest" und vergeben Sie die Werte "2000" für Min und "3072" für Max. |
9. | Speichern: Betätigen Sie diese Schaltfläche, um die Regel zu speichern. |
Anmerkung: Es bringt in diesem Szenario keine Vorteile, wenn man in der Aussenstelle den ICA bzw. den VOIP-Traffic ein Maximum von 4096 gibt, da von der Zentrale aus ohnehin nur ein Maximum an 1024kbit zur Verfügung gestellt wird. Wichtig ist auf jedem Fall die Limitierung des Resttraffics auf 75% (3072 kbit), um einen Puffer für die VOIP- und ICA-Pakete bereit zu stellen.
Konfiguration speichern
1. | Speichern Sie die Konfiguration auf einem USB-Stick oder auf der Harddisk. |
Führen sie nun die gleiche Konfiguration auf der Gibraltar in der Aussenstelle 2 mit dem Bandbreitenwert 1024/1024 kbit durch. Damit kontrollieren Sie auf beiden Endpunkten den Verkehr und verhindert damit, dass zu große Druckjobs oder Downlaods ihre ICA-Sessions und Telefongespräche in Mitleidenschaft ziehen. Eine grafische Auswertung der Bandbreitenregulierung sehen Sie im Modul Monitoring.
|