Kategorie: Quality of Service (QoS)
Priorisierung eines IPSec Tunnels vor gewöhnlichem Internetverkehr
Das folgende Beispiel zeigt einen Router, der sowohl das Internetgateway für Dienste wie DNS, HTTP, FTP, SMTP oder POP3, als auch das IPSec-Gateway für eine LAN-zu-LAN Tunnelverbindung darstellt. Hierbei ist es oft gewünscht, die Tunnelverbindungen gegenüber dem restlichen Internetverkehr zu bevorzugen, weil der Datenverkehr über den Tunnel als wichtiger und/oder zeitkritischer als der Internetverkehr gesehen wird.
Übersicht
[1] Einleitung
Einleitung
Die folgende Anleitung zeigt eine Step-by-Step Konfigurationsanleitung, um Quality of Service (QoS) in Kombination mit IPSec nutzen zu können. Bitte beachten Sie, dass diese Konfiguration IPSec Tunnel sozusagen pauschal bevorzugt. Es werden also alle IPSec Tunnel priorisiert behandelt. Es ist jedoch auch die Priorisierung von Diensten innerhalb des IPSec Tunnels oder eines spezifischen Tunnels bei einer Mehrtunnel-Konfiguration möglich.
Szenario:
Szenario:
Voraussetzungen:
- X-Generation-Router mit Softwareversion 6.2.5 Patch 4
- X-Generation-Router mit Softwareversion 6.3.1 (ab Beta 5), um QoS auch auf Ethernet-Interfaces vollständig im Setup Tool konfigurieren zu können (siehe Punkt 4.)
- IPSec Lizenz auf beiden Routern
Der Router der Aussenstelle (Netz 192.168.0.0/24) hat in diesem Fall einen ISP-Zugang mit dynamisch zugewiesener IP-Adresse (z.B. T-DSL, T-DSL Business), wohingegen der Router der Zentrale (Netz 192.168.100.0/24) einen ISP-Zugang mit statischer IP-Adresse (z.B. "Internet Festverbindung mit fester IP-Adresse" oder SDSL-Anschluß) besitzt.
Durch die Quality of Service – Funktionalität der bintec Router wird der IPSec-Traffic zunächst erkannt und dann entsprechend priorisiert. Dadurch werden Verzögerungen sowohl bei der IKE-Aushandlung als auch bei der Datenübermittlung mittels ESP- und AH-Protokoll vermieden.
Sowohl die QoS-Funktionalität, als auch IPSec können unter Umständen sehr viel performanter erfolgen, wenn PMTU Discovery (Path Maximum Transfer Unit) verwendet wird. Um PMTU bei BinTec in Kombination mit IPSec zu nutzen, muss lediglich der Parameter 'Enable PMTU Discovery' im Menü 'IPSec ->Advanced Settings' auf 'yes' gesetzt werden. Um sicherzustellen, dass PMTU für alle IP-Verbindungen verwendet wird, muss diese Funktion zwingend auch an den beteiligten Hosts aktiviert werden.
Durch die Nutzung von PMTU wird die maximale Paketgröße festgestellt, bei welcher ein Paket gerade noch nicht fragmentiert werden muss. Beispielsweise ist die MTU im Ethernet LAN 1500 Bytes. Durch die IPSec Encapsulierung und den PPPoE Overhead einer xDSL-Leitung kann diese auf der WAN-Strecke durchaus einen Wert von z.B. 1410 Bytes haben. Durch PMTU wird letztendlich dem Client mitgeteilt, dass dieser keine Pakete größer als 1410 Bytes erstellt und versendet, wodurch eine spätere Fragmentierung verhindert wird.
Durch die Quality of Service – Funktionalität der bintec Router wird der IPSec-Traffic zunächst erkannt und dann entsprechend priorisiert. Dadurch werden Verzögerungen sowohl bei der IKE-Aushandlung als auch bei der Datenübermittlung mittels ESP- und AH-Protokoll vermieden.
Sowohl die QoS-Funktionalität, als auch IPSec können unter Umständen sehr viel performanter erfolgen, wenn PMTU Discovery (Path Maximum Transfer Unit) verwendet wird. Um PMTU bei BinTec in Kombination mit IPSec zu nutzen, muss lediglich der Parameter 'Enable PMTU Discovery' im Menü 'IPSec ->Advanced Settings' auf 'yes' gesetzt werden. Um sicherzustellen, dass PMTU für alle IP-Verbindungen verwendet wird, muss diese Funktion zwingend auch an den beteiligten Hosts aktiviert werden.
Durch die Nutzung von PMTU wird die maximale Paketgröße festgestellt, bei welcher ein Paket gerade noch nicht fragmentiert werden muss. Beispielsweise ist die MTU im Ethernet LAN 1500 Bytes. Durch die IPSec Encapsulierung und den PPPoE Overhead einer xDSL-Leitung kann diese auf der WAN-Strecke durchaus einen Wert von z.B. 1410 Bytes haben. Durch PMTU wird letztendlich dem Client mitgeteilt, dass dieser keine Pakete größer als 1410 Bytes erstellt und versendet, wodurch eine spätere Fragmentierung verhindert wird.