2 GBit Provider Internet an Netgate Firewall mit 2x 1 GBit Netzwerkkarten

[-Overlord-]

Servus

Vielleicht hat einer von euch ja schon mal diese Erfahrung gemacht:
-Provider Anschluss mit 2 GBit
-Cisco Switch mit 10 GBit Modul
-Firewall mit 2x 1 GBit Netzwerk Karten

Die Idee wäre ein LAGG einzurichten und dann etwa LACP, Loadbalance oder Roundrobin um die 2 GBit Leitung voll nutzen zu können.

Vielleicht hat ja einer in dieser Art schon mal was gemacht?

Greetz

 

[snaxilian]

Also mit einem einzelnen Download bzw technischer genauer: mit einer einzelnen TCP-Session wirst du, egal wie, nicht über 1 GBit/s kommen.
Ist im Provideranschluss umfasst vermutlich auch gleich ein Modem nehme ich an? Falls ja kannst das dann z.B. wie folgt umsetzen:
Das Modem kommt an einen der 10G Ports des Switches. Deine pfSense/Netgate kommt mit zwei Interfaces an den Switch. Auf den zwei Switch-Interfaces als auch auf der Netgate erstellst du eine LAGG und nutzt als Modus LACP.
Desweiteren müsstest du ein VLAN auf das 10G und die LAGG auf Switch-Seite erstellen, jeweils als untagged. Damit ist sichergestellt, dass Pakete vom Modem nur an die WAN-Ports der Firewall gelangen und umgekehrt.

Eingehend empfängt die FW so Pakete auf beiden Interfaces, ausgehend verteilt sie die Pakete basierend auf den Paket-Header Informationen. Aber egal wie du es drehst und wendest: Pro Verbindung/TCP-Stream wirst maximal 1 GBit/s erreichen.
Denk aber daran, die FW dann auch mit je zwei NICs für den internen Traffic auch wieder mit dem Switch zu verbinden inkl. weiterer LAGG und LACP. Senden dann (in der Theorie) zwei deiner Systeme ins Internet oder empfangen meinetwegen Daten, dann könnte jeder der beiden Clients gleichzeitig mit 1 GBit/s Daten senden/empfangen.
Das gilt natürlich nur unter der Voraussetzung das der Switch ausreichend dimensioniert ist (Stichwort Backplane) und die Firewall muss dies natürlich auch von der Last her aushalten und mitspielen.

 

[-Overlord-]

Genau so war meine Idee - das mit einer Session ist klar. Prinzipiell ging es mir darum, ob so ein einwandfreies Setup möglich ist wo man mittels den beiden 1 Gbit Karten die 2 Gbit insg. ausreizen kann - wenn man so will mittels 2 TCP Sessions.

 

[Hayda Ministral]

Hab ich nicht verstanden. DIe Firewall hat 2*1GBE? Einmal ankommend, einmal abgehend?

 

[snaxilian]

@Hayda Ministral: Nein, anhand der Antworten von @-Overlord- interpretiere ich mal, dass die FW mindestens 4 NICs hat. 2x davon eben als WAN-Interface konfiguriert und der Rest Richtung LAN. Sollte das Gerät wirklich nur 2x physikalische NICs haben dann muss er eben mehr mit VLANs arbeiten und Trunk-Ports auf Switchseite. Erhöht natürlich etwas die Komplexität und verringert den gesamten maximalen Durchsatz, dem im besten Fall geht dann gerade Traffic vom LAN zur FW über NIC 1 und von FW zum Modem über NIC 2. Im Worstcase geht beides über die gleiche NIC wenn der LACP-Algorithmus Quatsch macht.

 

[-Overlord-]

Moin Leute

Sorry, dass ich mich erst jetzt zurück melde. Hatte leider die letzten Tage gut zu tun und konnte mich damit nicht befassen. Hab das mal am WE kurz in einer Testumgebung durchgespielt, aber leider besitzt der Cisco Switch, welchen ich zum testen hatte, keine IP Base Firmware. So konnte ich als LACP Load-Balance Modus nur "src-mac" nehmen und das hat nicht geklappt - er hat hier immer nur einen Anschluss genutzt.

Muss das mal an einem Switch mit IPBase Firmware testen.

Edit:
Hab am Ende festgestellt, dass eine der Netzwerkkarten defekt war. Nachdem ich die ausgetauscht hab, hat alles problemlos funktioniert