Regeln für QoS verschachteln.. Geht das? ..

[Bloedi]

Ich überlege gerade, ob ich auch QoS-Regeln verschachteln kann? ..

Also angenommen, ich möchte 3 Videostreams übertragen.. und jedem Stream will ich eine Mindestbandbreite zuweisen..

Wenn ich nun pro Verbindung zum Beispiel 25 KBit Upload definiere, ist das ja nun kein Problem. Aber was ist denn, wenn ich jetzt zum Beispiel einen maximalen Upload von ca. 128 KBit habe.. und 6 Verbindungen mit dieser Mindesbandbreite initiiere? ..

Das funktioniert doch dann nichtmehr..

Kann ich denn eine Grundregel definieren, welche eine Maximalbandbreite von 75 KBit (global) definiert.. woran dann eine Unterregel anknüpft, welche einen Mindestbandbreite von 25 KBit (pro Verbindung) definiert.. und somit dann nicht mehr, als 3 Verbindungen erlaubt werden vom Router? ..

Funktioniert sowas? ..

[backslash]

Hi Bloedi,

Kann ich denn eine Grundregel definieren, welche eine Maximalbandbreite von 75 KBit (global) definiert.. woran dann eine Unterregel anknüpft, welche einen Mindestbandbreite von 25 KBit (pro Verbindung) definiert.. und somit dann nicht mehr, als 3 Verbindungen erlaubt werden vom Router? ..

ja und nein...

was geht:

Du setzt in der Regel eine Minimalbandbreite von 25kBit/Verbindung und eine globale Maximalbandbreite von 75 KBit...

was nicht geht:

Der Router wird dann trotzdem auch weiterhin mehr als 3 Verbindungen annehmen, die sich die Maximalbandbreite teilen. Die "garantierte" Minimalbandbreite wirkt sich nur in der Form aus, daß für alle anderen die Maximalbandbreite beschränkt wird...

Gruß
Backslash

[Bloedi]

Kann das vielleicht mal in der Firmware implementiert werden, daß der Router Connections zählt.. und nicht mehr, als eine bestimmte Anzahl zuläßt?

Ansonsten erfüllt das ja auch erstmal seinen Zweck. Es ging mir vordergründig darum, ob solche Regeln mit Unterregeln auf QoS kombiniert werden können? ..

.. aber scheint ja zu funktionieren.. :) .. Muß ich mal ausprobieren.. (:o)8(.. *klick klick* ..

[Bloedi]

Ich muß nochmal genauer nachfragen.. So ganz ist mir das noch nicht klar, wie ich nun eine gruppierte Obergrenze für beispielsweise einen bestimmten Zielserver definiere..?

.. also wenn ich beispielsweise die Gesamtkapazität auf 3 Videostreams begrenzen will..

Muß ich in jeder verketteten Regel dann den selben Zielserver angeben, sofern es sich um einen einzelnen bestimmten Videoserver handelt.. oder reicht die Angabe in einer Regel?

.. Ich finde das noch etwas verwirrend.. Warum integriert ihr nicht endlich mal eine grafische Option in den LAN-Tools, daß man das vernünftig gruppieren kann und auf Anhieb klar ist, welche Regel zu was gehört?

Weil.. es erschließt sich wirklich absolut nicht, nach welchem Kriterien da eigentlich was sortiert wird..?

Vielleicht wären auch so Gruppierungs-Tag's sinnvoll.. daß die Firewall sofort weiß, welche Regel zu welcher Unterregel gehört.. und nicht erst die ganze Kette durchsuchen muß.. ist doch bestimmt auch rein Ablauf-mäßig effizienter.. und rechen-technisch entlastender für den Prozessor..

Ich stelle mir da nur ein Szenario vor, wenn einer da 400 Regeln definiert hat.. und der Router nun jede der 400 Regeln durchgucken muß..

Mit Gruppierungs-Tag's wüßte er auf Anhieb, daß die Gruppe nur 3 Segmente umfasst.. aber bisher rennt er ja die ganze Regelkette durch..

Aber ihr könntet echt endlich mal einen eurer Praktikanten hinsetzen, der die Regeln der Firewall in den LAN-Tools gruppiert oder dafür ein Konzept entwirft. Das ist verdammt unübersichtlich.. man sieht 'nen Haufen Einträge.. und kann keine Logik in der Zuordnung erkennen..

[backslash]

Ich muß nochmal genauer nachfragen.. So ganz ist mir das noch nicht klar, wie ich nun eine gruppierte Obergrenze für beispielsweise einen bestimmten Zielserver definiere..?

.. also wenn ich beispielsweise die Gesamtkapazität auf 3 Videostreams begrenzen will..

Muß ich in jeder verketteten Regel dann den selben Zielserver angeben, sofern es sich um einen einzelnen bestimmten Videoserver handelt.. oder reicht die Angabe in einer Regel?

Was willst du immer mit verketteten Regeln? Das machst du in einer, die global die Maximalbandbreite definiert und pro Session die Mindestbandbreite - was aber nicht dazu führt, daß das LANCOM auch weitere Strams annimmt - sie teilen sich halt die Maximalbandbreite...

.. Ich finde das noch etwas verwirrend.. Warum integriert ihr nicht endlich mal eine grafische Option in den LAN-Tools, daß man das vernünftig gruppieren kann und auf Anhieb klar ist, welche Regel zu was gehört?

Weshalb sollten wir das für dich tun...

Weil.. es erschließt sich wirklich absolut nicht, nach welchem Kriterien da eigentlich was sortiert wird..?

es wird vom Spezifischsten zum Allgemeinsten sortiert - ist doch offensichtlich.

Vielleicht wären auch so Gruppierungs-Tag's sinnvoll.. daß die Firewall sofort weiß, welche Regel zu welcher Unterregel gehört..

Ah, da hat mal wieder einer eine Personal Firewall gesehen und meint das wäre gut so, tss, tss, tss...

und nicht erst die ganze Kette durchsuchen muß.. ist doch bestimmt auch rein Ablauf-mäßig effizienter.. und rechen-technisch entlastender für den Prozessor..

ich wage zwar zu bezweifeln, daß du es verstehen wirst, aber glaub mir: Die Anzahl der Regeln beeinflußt die Performance der Firewall in keinster Weise und auch von der Anzahl der offenen Sessions ist sie fast unabhängig (der Einfluß geht mit ld)

Aber ihr könntet echt endlich mal einen eurer Praktikanten hinsetzen, der die Regeln der Firewall in den LAN-Tools gruppiert oder dafür ein Konzept entwirft. Das ist verdammt unübersichtlich.. man sieht 'nen Haufen Einträge.. und kann keine Logik in der Zuordnung erkennen..

Kannst du nicht endlich mal ein paar Bücher zum Thema lesen um die Logik der Zuordnung zu erschliessen

[DirkK]

ich wage zwar zu bezweifeln, daß du es verstehen wirst, aber glaub mir: Die Anzahl der Regeln beeinflußt die Performance der Firewall in keinster Weise und auch von der Anzahl der offenen Sessions ist sie fast unabhängig (der Einfluß geht mit ld)

Also es wäre trotzdem nett, wenn du mal kurz erklären könntest, warum die Anzahl der Regeln keine Rolle spielt.
Ich habe knapp 30 Regeln in einem 1811'er, wobei eine Regel eine IP-Blacklist ist, die knapp 100 Source-Netzwerk-Einträge hat.
Bei 2x3MBit ist die CPU bereits bei >60% und das macht mich schon etwas besorgt über die "Luft" die hier noch bleibt.

[backslash]

Hi DirkK

Also es wäre trotzdem nett, wenn du mal kurz erklären könntest, warum die Anzahl der Regeln keine Rolle spielt.

Weil die Regeln nur beim ersten Paket einer Session überhaupt beachtet werden. Danach wird ein Eintrag in die Connection-Liste gemacht und nur noch damit gearbeitet.

Wenn du wirklich 100 Sourcenetze blocken mußt und du aus denen 1000 fach zugemüllt wirst, dann kann das zwar einen kleinen Einfluß haben, aber viel schlimmer dürften dann etwaige Benachrichtigungen (z.B. SNMP-Traps), die beim Matchen der Regel ausgelöst werden, an die CPU-Last gehen...

Das wäre hier tatsächlich mal ein sinnvolles Einsatzgebieht für Host-Sperr Aktionen, d.h wenn ein Paket auf die Blacklisten-Regel matcht, als Aktion "Absender-Adresse für 24Std sperren" eintagen - ggf. entlastet das die Firewall in diesem Fall tatsächlich etwas, da für spätere Pakete nicht einmal mehr auf die Regeln geschaut werden muß...

Gruß
Backslash

[DirkK]

Weil die Regeln nur beim ersten Paket einer Session überhaupt beachtet werden. Danach wird ein Eintrag in die Connection-Liste gemacht und nur noch damit gearbeitet.

Ja klar, war mir schon bekannt, ich dachte Du hast vielleicht noch was anderes im Sinn.

Wenn du wirklich 100 Sourcenetze blocken mußt und du aus denen 1000 fach zugemüllt wirst, dann kann das zwar einen kleinen Einfluß haben, aber viel schlimmer dürften dann etwaige Benachrichtigungen (z.B. SNMP-Traps), die beim Matchen der Regel ausgelöst werden, an die CPU-Last gehen...

Na dann bin ich ja auf dem richtigen Weg Die Blacklist sendet nämlich keine SNMP-Traps.

Das wäre hier tatsächlich mal ein sinnvolles Einsatzgebieht für Host-Sperr Aktionen, d.h wenn ein Paket auf die Blacklisten-Regel matcht, als Aktion "Absender-Adresse für 24Std sperren" eintagen - ggf. entlastet das die Firewall in diesem Fall tatsächlich etwas, da für spätere Pakete nicht einmal mehr auf die Regeln geschaut werden muß...

Ich sperre zwar nur 12h, aber auch hier Danke für die Bestätigung.

[Bloedi]

Mich würde mal interessieren, ob Deine Antwort genauso "nett" ausgefallen wäre, wenn ich mich nicht Blödi genannt hätte? ..

Ich bezweile das sehr..

Im übrigen bin ich wohl kaum der einzige, der die Übersicht nicht sonderlich gut findet..

.. aber ich weiß ja.. Ihr seid einfach zu geil für diese Welt..

Man muß eben Siemens heißen.. und ein paar 100.000,- € hinhalten, daß ihr überhaupt eine Anfrage oder einen Vorschlag ernst nehmt..

Diese Diskussion ist ja nicht neu.. Neben guten Routern steht euch eben auch die Arroganz meilenweit zugeschrieben.. zumindest einigen..

Aber jeder kommt da eines Tages runter.. glaub mir.. ganz besonders im wirtschaftlich labilen Deutschland..

Ich hab euch damals schon gesagt, daß eure Public Spot Option zu teuer ist.. aber nein.. ich bin ja nur ein normaler Verbrauchs-Idiot.. ihr seid die perfekten Planer..

Man muß das ja nicht ernst nehmen, was so ein Spinner sagt, der auch noch 'nen gebrauchten Lancom kauft.. weil.. der iss ja viel zu arm, als das wir so 'ne Wurst ernst nehmen müßten..

.. und jetzt verkauft ihr die Opton 70 % unter dem ursprünglichen Preis.. natürlich hintenrum.. ohne große Ankündigung.. man müßte ja mal Fehlplanungen zugeben..

.. neeeeeiinn.. Aber was solls.. wir sind nur die Endverbrauchs-Ärsche.. und ernst nehmen muß man da nix..

Ich frag mich, wozu ihr überhaupt dann eine Rubik mit Vorschlägen bereitstellt, wenn es euch einen Dreck interessiert, was die kleinen Verbraucher zu sagen haben..?

Du weißt selbst sehr genau, daß die Übersicht nicht gut ist.. aber willst mir hier irgendwas anderes erzählen..

.. und in 4 Monaten wirds dann vielleicht umgesetzt, weil euch einer 'nen Haufen Geld dafür geboten hat.. so wird es aussehen.. Aber das war dann auch reine Zufallsplanung..

Meine Fragen waren doch wohl absolut berechtigt.. das wird ebenso viele andere interessieren, wie einer hier auch mit seinem Beitrag gezeigt hat..

.. nur.. die meisten fragen garnichts mehr, weil sie Angst haben müssen, gleich als dumm oder unwichtig abgestempelt zu werden.. weil sie eure Arroganz schon gewöhnt sind.. und dann immer nur einen auf nett raushängen lassen müssen, daß ihr ihnen dann bei weiteren Problemen überhaupt noch antwortet..

Ich kann Untertöne auch aus reinem Text herauslesen.. und ich weiß sehr genau, daß viele so denken, aber hier nichts sagen.. sondern nur still mitlesen..

[Bloedi]

.. im übrigen waren die Gruppierungs-Tags meine eigene Idee.. und nicht der Vorgehensweise irgendeiner persönlichen Feuerwand entnommen..

.. nur, weil sie in Personal Firewalls eingesetzt werden, müssen sie nicht zwangsläufig dämlich oder ineffizient sein..

[filou]

Moin!

Obwohl ich die Idee, wenn ich diese richtig verstanden habe, garnicht so uninteressant finde ...einfach verwaltungstechnisch gesehen ....wie ich´s hier schonmal vorgeschlagen habe http://www.lancom-forum.de/topic,1190,.html ...

Mich würde mal interessieren, ob Deine Antwort genauso "nett" ausgefallen wäre, wenn ich mich nicht Blödi genannt hätte? ..

Ich bezweile das sehr..

... Ich finde das eigentlich ganz amüsant, was aus deinen Threads hier wird und ich glaube nicht, dass das grundsätzlich von deinem Nick kommt, sondern eher die einigen Beiträge von dir, die nicht wirklich einen Ernst hinter deinem Ansinnen erkennen lassen und dann wieder in Bezug zu deinem Nick gebracht werden ..."Nick wird Programm"!

Zum Topic:
Also wie im oben genannten Link schon erwähnt, wäre es oft schon hilfreich, mehrere Regeln "auf einen Schlag" aktivieren bzw. deaktivieren zu können.
Wenn man nun Regeln einfach nur zur Verwaltung gruppieren könnte, wie z.B. dass man Prio´s setzen kann .... Auch wenn ich das zwischenzeitlich über tftp organisiere

[LoUiS]

...

Meine Fragen waren doch wohl absolut berechtigt.. das wird ebenso viele andere interessieren, wie einer hier auch mit seinem Beitrag gezeigt hat..

Deine Ursprungsfrage war ja durchaus berechtigt, aber Deine darauf folgenden Antworten provozieren eine solche Reaktion ja schon quasi!

Mit dem Unterschied, dass DirkK verstanden hat was er da tut und eine weiterfuehrende Frage zur Performance gestellt hat, die nur indirekt etwas damit zu tun hat, was Du geposted hast!

Ich frag mich, wozu ihr überhaupt dann eine Rubik mit Vorschlägen bereitstellt, wenn es euch einen Dreck interessiert, was die kleinen Verbraucher zu sagen haben..?

Was sagt denn das Wort "Vorschlaege" dir? Oder "Feature-WUENSCHE"? Genau, Du kannst etwas vorschlagen, oder Dir etwas wuenschen. Ob, wann oder wie dieser Wunsch dann umgesetzt wird, liegt ausschliesslich an LANCOM. Es bedeutet aber nicht, das irgendwas umgesetzt werden _muss_, nur weil Du das in Deiner gezwungen lustigen Art so wuenschst.

Wie schon einige andere User/Mods/Admins Dir geschrieben haben: "Wie man in den Wald hineinruft, so schallt es heraus." Du hast, seit Du aufgetaucht bist nur relativ nutzlose Postings verbrochen (bis auf kleinere Ausnahmen vieleicht), hast Leute genervt und bist sogar den Entwicklern privat auf den Wecker gefallen. Das _Du_ dann hier nicht wirklich gerne gesehen bist und entsprechend behandelt wirst, wird Dich doch wohl nicht verwundern? Du scheinst Dich selbst immer gerne als heldenhaften Robin Hood zu sehen, der fuer die Armen und Unterdrueckten kaempfen muss und wenn Dir mal einer die Meinung sagt, dann sind immer direkt alle ueberheblich und Du spielst die Leberwurst.

So, und nun troll Dich ...


Ciao
LoUiS

[alf29]

Moin,

aaahhh...make my day...

.. und jetzt verkauft ihr die Opton 70 % unter dem ursprünglichen Preis.. natürlich hintenrum.. ohne große Ankündigung.. man müßte ja mal Fehlplanungen zugeben..

Ich kenne zwar nicht die Regeln, nach denen Preise bei uns gemacht werden, ich
bin mir aber ziemlich sicher, daß es *nicht* an Deinem Gemecker lag...meine persönliche
Vermutung ist, daß der Großteil der Optionen ohnehin nur in Projekte z.B. mit WISPs
verkauft wird, wo dann irgendein 'Paketpreis' gemacht wird, in dem die Optionen schon
drin sind.

Ich frag mich, wozu ihr überhaupt dann eine Rubik mit Vorschlägen bereitstellt, wenn es euch einen Dreck interessiert, was die kleinen Verbraucher zu sagen haben..?

.. und in 4 Monaten wirds dann vielleicht umgesetzt, weil euch einer 'nen Haufen Geld dafür geboten hat.. so wird es aussehen.. Aber das war dann auch reine Zufallsplanung..

Tja, so läuft das im Geschäftsleben nun einmal. Firmen sind keine Wohlfahrtsinsitute
und die Teilhaber würden uns was husten, wenn wir nicht in deren Sinne entscheiden
würden.

Verbesserungsvorschläge in diesem Forum werden durchaus gelesen, und wir haben
uns wiederholt dafür stark gemacht, daß solche Dauerwünsche (ich sage nur PPTP-
Verschlüsselung oder Volumenbudgets) endlich mal erfüllt werden. Aber wenn sich
mit den Entwicklerstunden auf andere Weise mehr verdienen läßt...mit Zufall hat das
eigentlich gar nichts zu tun.

Natürlich hat ein Entwickler auch mal ab und zu etwas Luft, um eine Sache zu
machen, die eigentlich nicht auf dem Plan stand. Das ladbare SSL-Zertifikat für
das kommende LCOS 6.0 ist so eine Sache, da hat der Entwickler sich einfach die
Zeit genommen, weil ihn das selber lange genug gewurmt hat. Der selbe Entwickler
hat jetzt ein 3050 zu Hause stehen, in dessem externen Slot eine Token-Ring-Karte
steckt (nein, das wird kein offizielles LCOS-Feature...) und mit dem er seine Sammlung
historischer IBM-Rechner ans Internet anschließt.

Was ich damit sagen will: entweder man wedelt mit genügend Geldscheinen oder man
versucht andere davon zu überzeugen, daß irgendetwas nicht so bleiben kann. Deine
Art ist aber leider meistens so gelagert, daß man Dich eben nicht ernst nimmt.

Gruß Alfred