Konfiguration von 3 Gibraltars die mittels IPSEC-VPN miteinander vernetzt werden.Weiters ist es Ziel dieses Szenarios ist es in einer Citrix-Terminalserverumgebung dem unternehmenskritische Protokoll ICA sowie dem VOIP-Traffic mindestens je 35% der verfügbaren Bandbreite zur Verfügung zu stellen. Dem restlichem Traffic wird aus Latenzgründen wie in Szenario 7 nur ein Maximum von 75 % gewährt. Folgende Ausgangssituation ist gegeben:
▪ | Zentrale mit 4096/2048 Internetanbindung (192.168.0.0/24), IP-Telefonanlage: 192.168.0.100 |
▪ | Aussenstelle1 mit 4096/1024 Internetanbindung (192.168.1.0/24), IP-Telefonanlage: 192.168.1.100 |
▪ | Aussenstelle2 mit 1024/1024 Internetanbindung (192.168.2.0/24), IP-Telefonanlage: 192.168.2.100 |

Systemvoraussetzungen
PC mit zwei kompatiblen Netzwerkkarten oder Gibraltar Security Gateway.
IPSEC-VPN
Die Aussenstellen und die Zentrale gemäß Szenario 4 mittels IPSEC-VPN miteinander verbinden.
Netzwerk - Definitionen
1. | Wählen Sie im Hauptmenü den Punkt Netzwerk. |
2. | Wählen Sie den Untermenüpunkt Definitionen. |
3. | Wählen Sie die Registerkarte Host/Netz Aliases. |
4. | Definieren Sie je einen Host/Netz Alias für die Aussenstelle 1 und die Aussenstelle 2 (z. B: "net1" für 192.168.1.0/24 und "net2" für 192.168.2.0/24). |
5. | Definieren Sie einen Host/Netz Alias "voip" für die Telefonanlage 192.168.0.100. |
6. | Speichern: Betätigen Sie diese Schaltfläche, um die Änderungen zu speichern. |
Um Bandbreitenmanagement zu ermöglichen müssen nun folgende Schritte unternommen werden:
▪ | Definition der Bandbreiten der Interfaces |
▪ | Klassifizierung von Traffic für die Zuweisung zu Shaping Regeln |
▪ | Anlegen der Regeln, die dann die Regulierung vornehmen. |
Traffic shaping
1. | Wählen Sie im Hauptmenü den Punkt Traffic shaping. |
2. | Wählen Sie die Registerkarte Allgemeine Einstellungen. |
3. | Bandbreiten: Definieren Sie für das Interface "ext0" den Wert 2048 für Up- und 4096 für Download. |
4. | Wählen Sie für das Interface "int0" für Upload den Wert "4096" und für Download den Wert 2048. |
5. | Speichern: Betätigen Sie diese Schaltfläche, um die Änderungen zu speichern. |
Anmerkung: Wenn IPSEC im Spiel ist, dann sind einige Sonderfälle bei der Implementierung von Bandbreitenmanagement zu beachten. Würde man hier auf der Basis von "ext0" implementieren, so könnte Gibraltar nur ESP-verschlüsselte Pakete analysieren und somit natürlich keine Regulierung vornehmen. Die wieder entschlüsselten bzw. noch nicht verschlüsselten Pakete sind erst wieder auf dem internen Interface "int0" "sichtbar". Da Gibraltar für Outgoing-Tracks immer die definierte Upload-Bandbreite verwendet, gilt es bei dem internen Interface die Bandbreiten "verkehrt" anzulegen, damit man die Up- und Download-Bandbreiten genau widerspiegeln kann.
▪ | "outgoing int0" = Download der Zentrale -> Pakete, die vom externen Interface an das interne gehen. |
▪ | "incoming int0" = Upload der Zentrale -> Pakete, die vom internen Interface an das externe gehen. |
6. | Wählen Sie die Registerkarte Klassifizierung. |
7. | Klassifizierung hinzufügen: Betätigen Sie diese Schaltfläche, um eine neue Klassifizierung für die ICA Quellports hinzuzufügen. |
8. | Name: Geben Sie hier einen Namen für die Klassifizierung (z.B: "icaSource"). |
9. | Quelladresse, Zieladresse: Wählen Sie hier den Wert "ANY". |
10. | Service: Wählen Sie hier den Wert "ica_source". |
11. | TOS: Wählen Sie hier den Wert "Minimize Delay". |
12. | Speichern: Betätigen Sie diese Schaltfläche, um die Klassifizierung zu speichern. |
13. | Abbrechen: Betätigen Sie diese Schaltfläche, um zur Übersicht zu gelangen. |
14. | Klassifizierung hinzufügen: Betätigen Sie diese Schaltfläche, um eine neue Klassifizierung für die ICA Zielports hinzuzufügen. |
15. | Name: Geben Sie hier einen Namen für die Klassifizierung (z.B: "icaDest"). |
16. | Quelladresse, Zieladresse: Wählen Sie hier den Wert "ANY". |
17. | Service: Wählen Sie hier den Wert "ica_destination". |
18. | TOS: Wählen Sie hier den Wert "Minimize Delay". |
19. | Speichern: Betätigen Sie diese Schaltfläche, um die Klassifizierung zu speichern. |
20. | Abbrechen: Betätigen Sie diese Schaltfläche, um zur Übersicht zu gelangen. |
21. | Klassifizierung hinzufügen: Betätigen Sie diese Schaltfläche, um eine neue Klassifizierung für die Quellpakete der Telefonanlage hinzuzufügen. |
22. | Name: Geben Sie hier einen Namen für die Klassifizierung (z.B: "voipSource"). |
23. | Quelladresse: Wählen Sie hier die Definition "voip". |
24. | Zieladresse: Wählen Sie hier den Wert "ANY". |
25. | TOS: Wählen Sie hier den Wert "Minimize Delay". |
26. | Speichern: Betätigen Sie diese Schaltfläche, um die Klassifizierung zu speichern. |
27. | Abbrechen: Betätigen Sie diese Schaltfläche, um zur Übersicht zu gelangen. |
28. | Klassifizierung hinzufügen: Betätigen Sie diese Schaltfläche, um eine neue Klassifizierung für die Zielpakete der Telefonanlage hinzuzufügen. |
29. | Name: Geben Sie hier einen Namen für die Klassifizierung (z.B: "voipDest"). |
30. | Quelladresse: Wählen Sie hier den Wert ANY. |
31. | Zieladresse: Wählen Sie hier die Definition "voip". |
32. | TOS: Wählen Sie hier den Wert "Minimize Delay". |
33. | Speichern: Betätigen Sie diese Schaltfläche, um die Klassifizierung zu speichern. |
34. | Abbrechen: Betätigen Sie diese Schaltfläche, um zur Übersicht zu gelangen. |
35. | Klassifizierung hinzufügen: Betätigen Sie diese Schaltfläche, um eine neue Klassifizierung für den ICMP Traffic hinzuzufügen. |
36. | Name: Geben Sie hier einen Namen für die Klassifizierung (z.B: "icmp"). |
37. | Service: Wählen Sie hier den Wert "CUSTOM". |
38. | Protokoll: Wählen Sie hier den Wert "ICMP". |
39. | TOS: Wählen Sie hier den Wert "Minimize Delay". |
40. | Speichern: Betätigen Sie diese Schaltfläche, um die Klassifizierung zu speichern. |
41. | Abbrechen: Betätigen Sie diese Schaltfläche, um zur Übersicht zu gelangen. |
42. | Klassifizierung hinzufügen: Betätigen Sie diese Schaltfläche, um eine neue Klassifizierung für den restlichen Traffic hinzuzufügen. |
43. | Name: Geben Sie hier einen Namen für die Klassifizierung (z.B: "rest"). |
44. | Quelladresse, Zieladresse: Wählen Sie hier den Wert "ANY". |
45. | Speichern: Betätigen Sie diese Schaltfläche, um die Klassifizierung zu speichern. |
Um den gesamten ICA-Traffic und auch ICMP gemeinsam priorisieren zu können, müssen die Klassifizierungen zu einer Gruppe zusammengefasst werden. Weiters werden auch die Quell- und Zielpakete der Telefonanlage zu einer Gruppe zusammengefasst.
1. | Wählen Sie die Registerkarte Klassifizierungsgruppen. |
2. | Gruppe hinzufügen: Betätigen Sie diese Schaltfläche, um eine neue Klassifizierungsgruppe hinzuzufügen. |
3. | Name: Geben Sie hier einen Namen für die Gruppe ein (z.B: "ica"). |
4. | Mitglied hinzufügen: Wählen Sie hier die Mitglieder "icaSource", "icaDest" und "icmp". |
5. | Speichern: Betätigen Sie diese Schaltfläche, um die Gruppe zu speichern. |
6. | Abbrechen: Betätigen Sie diese Schaltfläche, um zur Übersicht zu gelangen. |
7. | Gruppe hinzufügen: Betätigen Sie diese Schaltfläche, um eine neue Klassifizierungsgruppe hinzuzufügen. |
8. | Name: Geben Sie hier einen Namen für die Gruppe ein (z.B: "voip"). |
9. | Mitglied hinzufügen: Wählen Sie hier die Mitglieder "voipSource", "voipDest". |
10. | Speichern: Betätigen Sie diese Schaltfläche, um die Gruppe zu speichern. |
Zum Abschluss müssen noch die Regeln für die beiden Aussenstellen gesetzt werden. Diese Regeln nehmen nun die Bandbreitenregulierung vor. Zuerst regulieren wir den Upload der Zentrale - dies ist aus Sicht der Gibraltar nun der Track "incoming int0".
1. | Wählen Sie die Registerkarte Traffic Shaping Regeln. |
2. | Track: Wählen Sie "incoming int0". Gibraltar verwendet nun die definierte Download-Bandbreite des Interfaces "int0". Dieser Traffic stellt den Upload der Zentrale dar! |
3. | Regel hinzufügen: Klicken Sie diesen Button, um eine neue Shaping Regel hinzuzufügen. |
4. | Name: Vergeben Sie einen Namen für die Regel (z.B: "ruleNet1"). Sie können die Wirkungsweise dieser Regel im Modul Monitoring gezielt analysieren. |
5. | Mitglied hinzufügen: Klicken Sie diesen Button, um Klassifizierungen bzw. Klassifizierungsgruppen hinzuzufügen. |
6. | Wählen Sie die Klassifizierungsgruppe "ica" und vergeben Sie die Werte "360" für Min und "1024" für Max. |
7. | Wählen Sie die Klassifizierungsgruppe "voip" und vergeben Sie die Werte "360" für Min und "1024" für Max. |
8. | Wählen Sie die Klassifizierung "rest" und vergeben Sie die Werte "250" für Min und "768" für Max. |
9. | Speichern: Betätigen Sie diese Schaltfläche, um die Regel zu speichern. |
10. | Wählen Sie die Registerkarte Fortgeschritten. |
11. | Zieladresse: Wählen Sie die Definition "net1", da diese Regel nur für dieses Zielnetz gelten soll |
12. | Bandbreite (kbit) für Netze: Wählen Sie den Wert "1024", da wir für dieses Netz nur ein Maximum von 1024kbit zur Verfügung stellen. Der gesamte Traffic, der von der Zentrale in dieses Netz läuft, darf somit 1024kbit nicht übersteigen. |
13. | Speichern: Betätigen Sie diese Schaltfläche, um die Regel zu speichern. |
14. | Abbrechen: Betätigen Sie diese Schaltfläche, um zur Übersicht zu gelangen. |
15. | Regel hinzufügen: Klicken Sie diesen Button, um eine neue Shaping Regel hinzuzufügen. |
16. | Name: Vergeben Sie einen Namen für die Regel (z.B: "ruleNet2") |
17. | Mitglied hinzufügen: Klicken Sie diesen Button, um Klassifizierungen bzw. Klassifizierungsgruppen hinzuzufügen. |
18. | Wählen Sie die Klassifizierungsgruppe "ica" und vergeben Sie die Werte "360" für Min und "1024" für Max. |
19. | Wählen Sie die Klassifizierungsgruppe "voip" und vergeben Sie die Werte "360" für Min und "1024" für Max. |
20. | Wählen Sie die Klassifizierung "rest" und vergeben Sie die Werte "250" für Min und "768" für Max. |
21. | Speichern: Betätigen Sie diese Schaltfläche, um die Regel zu speichern. |
22. | Wählen Sie die Registerkarte Fortgeschritten. |
23. | Zieladresse: Wählen Sie die Definition "net2", da diese Regel nur für dieses Zielnetz gelten soll |
24. | Bandbreite (kbit) für Netze: Wählen Sie den Wert "1024", da wir für dieses Netz nur ein Maximum von 1024kbit zur Verfügung stellen. Der gesamte Traffic, der von der Zentrale in dieses Netz läuft, darf somit 1024kbit nicht übersteigen. |
25. | Speichern: Betätigen Sie diese Schaltfläche, um die Regel zu speichern. |
Anmerkung
Um den ganzen Traffic unter Kontrolle zu bringen ist es natürlich auch notwendig, dass der Download-Traffic in der Zentrale reguliert wird. Wäre dies nicht der Fall, dann könnte ein massiver Download in der Zentrale die Upload-Pakete aus den Aussenstellen blockieren.
1. | Wählen Sie die Registerkarte Traffic Shaping Regeln. |
2. | Track: Wählen Sie "outgoing int0". Gibraltar verwendet nun die definierte Upload Bandbreite des Interfaces "int0". Dieser Traffic stellt den Download der Zentrale dar! |
3. | Regel hinzufügen: Klicken Sie diesen Button, um eine neue Shaping Regel hinzuzufügen. |
4. | Name: Vergeben Sie einen Namen für die Regel (z.B: "ruleDownload"). Sie können die Wirkungsweise dieser Regel im Modul Monitoring gezielt analysieren. |
5. | Mitglied hinzufügen: Klicken Sie diesen Button, um Klassifizierungen bzw. Klassifizierungsgruppen hinzuzufügen. |
6. | Wählen Sie die Klassifizierungsgruppe "ica" und vergeben Sie die Werte "1432" für Min und "4096" für Max. |
7. | Wählen Sie die Klassifizierungsgruppe "voip" und vergeben Sie die Werte "1432" für Min und "4096" für Max. |
8. | Wählen Sie die Klassifizierung "rest" und vergeben Sie die Werte "1000" für Min und "3072" für Max. |
9. | Speichern: Betätigen Sie diese Schaltfläche, um die Regel zu speichern. |
Anmerkung: Da wir beim Download-Shaping nicht gezielt ein Netz regulieren wollen, ist es hier nicht notwendig, auf der Registerkarte "Erweitert" eine Zieladresse zu definieren!
Sonderfall Gibraltar mit Mail Relay bzw. Proxy
Sollten Sie Gibraltar in diesem Szenario nun auch als Mail-Relay bzw. HTTP, FTP oder POP3-Proxy verwenden, dann tritt folgender Sonderfall ein: Mit den Regeln auf "outgoing int" und "incoming int" regulieren wir bereits den Upload und Download-Traffic vom bzw. ins interne Netz. Fungiert Gibraltar jedoch als Mail-Relay bzw. Proxy, so "produziert" die Firewall selber ja auch Up- und Download Traffic, der bis zu diesem Zeitpunkt noch nicht reguliert wird. Gehen Sie in diesem Spezialfall folgendermaßen vor:
1. | Wählen Sie die Registerkarte Klassifizierung. |
2. | Klassifizierung hinzufügen: Betätigen Sie diese Schaltfläche, um eine neue Klassifizierung für IPSEC hinzuzufügen. Es ist das Ziel, IPSEC-Traffic ein Maximum von 100% zu geben, da innerhalb dieses IPSEC-Traffics ja die ICA- und VOIP-Pakete verschlüsselt sind! |
3. | Name: Geben Sie hier einen Namen für die Klassifizierung (z.B: "ipsec"). |
4. | Quelladresse, Zieladresse: Wählen Sie hier den Wert "ANY". |
5. | Service: Wählen Sie hier den Wert "ipsec". |
6. | Speichern: Betätigen Sie diese Schaltfläche, um die Klassifizierung zu speichern. |
7. | Abbrechen: Betätigen Sie diese Schaltfläche, um zur Übersicht zu gelangen. |
8. | : Klicken Sie diesen Button um die Klassifizierung "ipsec" vor der "rest" Klassifizierung zu platzieren. |
9. | Speichern: Betätigen Sie diese Schaltfläche, um die Änderung der Reihenfolge zu speichern. |
10. | Wählen Sie die Registerkarte Traffic Shaping Regeln. |
11. | Track: Wählen Sie "incoming ext0". Gibraltar verwendet nun die definierte Download Bandbreite des Interfaces "ext0". Dieser Traffic stellt den Download der Zentrale UND den Traffic dar, den Gibraltar selber durch die Proxies produziert! |
12. | Regel hinzufügen: Klicken Sie diesen Button, um eine neue Shaping Regel hinzuzufügen. |
13. | Name: Vergeben Sie einen Namen für die Regel (z.B: "limitGibDownload"). Sie können die Wirkungsweise dieser Regel im Modul Monitoring gezielt analysieren. |
14. | Mitglied hinzufügen: Klicken Sie diesen Button, um Klassifizierungen bzw. Klassifizierungsgruppen hinzuzufügen. |
15. | Wählen Sie die Klassifizierungsgruppe "ipsec" und vergeben Sie die Werte "2864" für Min und "4096" für Max. |
16. | Wählen Sie die Klassifizierung "rest" und vergeben Sie die Werte "1000" für Min und "3072" für Max. |
17. | Speichern: Betätigen Sie diese Schaltfläche, um die Regel zu speichern. |
18. | Wählen Sie die Registerkarte Traffic Shaping Regeln. |
19. | Track: Wählen Sie "outgoing ext0". Gibraltar verwendet nun die definierte Upload Bandbreite des Interfaces "ext0". Dieser Traffic stellt den Upload der Zentrale UND den Traffic dar, den Gibraltar selber durch die Proxies produziert! |
20. | Regel hinzufügen: Klicken Sie diesen Button, um eine neue Shaping Regel hinzuzufügen. |
21. | Name: Vergeben Sie einen Namen für die Regel (z.B: "limitGibUpload"). Sie können die Wirkungsweise dieser Regel im Modul Monitoring gezielt analysieren. |
22. | Mitglied hinzufügen: Klicken Sie diesen Button, um Klassifizierungen bzw. Klassifizierungsgruppen hinzuzufügen. |
23. | Wählen Sie die Klassifizierungsgruppe "ipsec" und vergeben Sie die Werte "720" für Min und "1024" für Max. |
24. | Wählen Sie die Klassifizierung "rest" und vergeben Sie die Werte "250" für Min und "768" für Max. |
25. | Speichern: Betätigen Sie diese Schaltfläche, um die Regel zu speichern. |
Damit ist nun auch sichergestellt, dass große Mails bzw. Proxy-Downloads die Latenzzeiten der unternehmenskritischen Protokolle nicht belasten!
Konfiguration speichern
1. | Speichern Sie die Konfiguration auf einem USB-Stick oder auf der Harddisk. |
Damit wird nun der Verkehr in die beiden Aussenstellen anhand den verschiedenen Bandbreiten reguliert. Ein Druckjob von der Zentrale in die Aussenstellen, der bspw. nicht im ICA-Strom enthalten ist, würde nun kein Problem mehr verursachen. Um auch den ausgehenden Verkehr der Aussenstellen zu kontrollieren sind folgende Konfigurationsschritte nötig (Netzwerk- und Systemeinstellungen gleich wie in Zentrale):
Netzwerk - Definitionen
1. | Wählen Sie im Hauptmenü den Punkt Netzwerk. |
2. | Wählen Sie den Untermenüpunkt Definitionen. |
3. | Wählen Sie die Registerkarte Host/Netz Aliases. |
4. | Definieren Sie einen Host/Netz Alias "voip" für die Telefonanlage 192.168.0.100. |
5. | Speichern: Betätigen Sie diese Schaltfläche, um die Änderungen zu speichern. |
Traffic shaping (Aussenstelle 1)
1. | Wählen Sie im Hauptmenü den Punkt Traffic shaping. |
2. | Wählen Sie die Registerkarte Allgemeine Einstellungen. |
3. | Bandbreiten: Definieren Sie für das Interface "ext0" den Wert "1024" für den Upload sowie den Wert "4096" für Download. |
4. | Wählen Sie für das Interface "int0" für Upload den Wert "4096" und für Download den Wert 1024. |
5. | Speichern: Betätigen Sie diese Schaltfläche, um die Änderungen zu speichern. |
6. | Legen Sie nun die Klassifizierungen und Klassifizierungsgruppen genau so, wie in der Zentrale an. |
7. | Wählen Sie die Registerkarte Traffic Shaping Regeln. |
8. | Track: Wählen Sie "incoming int0". Gibraltar verwendet nun die definierte Download-Bandbreite des Interfaces "int0". Dieser Traffic stellt den Upload der Aussenstelle dar. |
9. | Regel hinzufügen: Klicken Sie diesen Button, um eine neue Shaping Regel hinzuzufügen. |
10. | Name: Vergeben Sie einen Namen für die Regel (z.B: "ruleUpload") |
11. | Mitglied hinzufügen: Klicken Sie diesen Button, um Klassifizierungen bzw. Klassifizierungsgruppen hinzuzufügen. |
12. | Wählen Sie die Klassifizierungsgruppe "ica" und vergeben Sie die Werte "360" für Min und "1024" für Max. |
13. | Wählen Sie die Klassifizierungsgruppe "voip" und vergeben Sie die Werte "360" für Min und "1024" für Max. |
14. | Wählen Sie die Klassifizierung "rest" und vergeben Sie die Werte "250" für Min und "768" für Max. |
15. | Speichern: Betätigen Sie diese Schaltfläche, um die Regel zu speichern. |
Auch in der Aussenstelle ist es wichtig, den Download Traffic zu regulieren. Gehen Sie dafür folgendermaßen vor:
1. | Wählen Sie die Registerkarte Traffic Shaping Regeln. |
2. | Track: Wählen Sie "outgoing int0". Gibraltar verwendet nun die definierte Upload-Bandbreite des Interfaces "int0". Dieser Traffic stellt den Download der Aussenstelle dar. |
3. | Regel hinzufügen: Klicken Sie diesen Button, um eine neue Shaping Regel hinzuzufügen. |
4. | Name: Vergeben Sie einen Namen für die Regel (z.B: "ruleDownload") |
5. | Mitglied hinzufügen: Klicken Sie diesen Button, um Klassifizierungen bzw. Klassifizierungsgruppen hinzuzufügen. |
6. | Wählen Sie die Klassifizierungsgruppe "ica" und vergeben Sie die Werte "360" für Min und "1024" für Max. |
7. | Wählen Sie die Klassifizierungsgruppe "voip" und vergeben Sie die Werte "360" für Min und "1024" für Max. |
8. | Wählen Sie die Klassifizierung "rest" und vergeben Sie die Werte "2000" für Min und "3072" für Max. |
9. | Speichern: Betätigen Sie diese Schaltfläche, um die Regel zu speichern. |
Anmerkung: Es bringt in diesem Szenario keine Vorteile, wenn man in der Aussenstelle den ICA bzw. den VOIP-Traffic ein Maximum von 4096 gibt, da von der Zentrale aus ohnehin nur ein Maximum an 1024kbit zur Verfügung gestellt wird. Wichtig ist auf jedem Fall die Limitierung des Resttraffics auf 75% (3072 kbit), um einen Puffer für die VOIP- und ICA-Pakete bereit zu stellen.
Konfiguration speichern
1. | Speichern Sie die Konfiguration auf einem USB-Stick oder auf der Harddisk. |
Führen sie nun die gleiche Konfiguration auf der Gibraltar in der Aussenstelle 2 mit dem Bandbreitenwert 1024/1024 kbit durch. Damit kontrollieren Sie auf beiden Endpunkten den Verkehr und verhindert damit, dass zu große Druckjobs oder Downlaods ihre ICA-Sessions und Telefongespräche in Mitleidenschaft ziehen. Eine grafische Auswertung der Bandbreitenregulierung sehen Sie im Modul Monitoring.
|