Im Falle eines Brandes an einem Standort oder einer Katastrophe ist es wichtig, dass die Firmendaten an einem entsprechend entfernten Standort gesichert sind. Auch wir sichern unsere Produktivdaten deswegen außerhalb des jeweiligen Produktivitätsstandortes. Da alle unsere Standorte breitbandig angeschlossen sind, erfolgen diese Sicherungen vollautomatisch über die Datenleitungen.

Unsere Dateisysteme sind „snapshotfähig“. Das bedeutet, wir machen alle paar Stunden einen Snapshot und übertragen die geänderten Datenblöcke an das jeweilige Sicherungssystem. Im Problemfall haben wir also einen maximalen Datenverlust von diesen paar Stunden.

Doch bei aller Breitbandigkeit: Wenn mehrere 100 GB oder gar Terrabytes an Daten erzeugt worden sind, brauchen die Datenübertragungen mehrere Tage. Das wäre nicht weiter schlimm, doch im laufenden Bürobetrieb wird ja auch genügend Bandbreite zum „normalen“ Arbeiten benötigt, die Arbeit der Mitarbeiter darf nicht durch die laufende Datensicherung beeinträchtigt werden.

Die Lösung ist das klassische „Traffic-Shaping“. Wir setzen an unseren Standorten vielfach die Firewall „OPNsense“, ein Fork von pfSense ein. Mit OPNsense ist hier das passende Traffic-Shaping in wenigen Minuten umgesetzt:

  1. Im Menü unter Firewall: Shaper: Einstellungen auf die passenden Einstellungen gehen.
  2. Im ersten Reiter, „Pipes“, eine neue Pipe anlegen. Hier legen Sie die Bandbreite, auf die Sie die Bandbreite beschränken wollen, fest. Wählen Sie noch eine passende Beschreibung und Speichern Sie die Einstellung.
  3. Im dritten Reiter, den „Regeln“ legen Sie nun fest, bei welchen Kriterien die Drosselung greifen soll. Definieren Sie
    • die Schnittstelle, auf der die Drosselung greifen soll, z. B. die LAN-Schnittstelle, an der der Server, den Sie sichern, hängt,
    • unter Quelle und Ziel geben Sie die IP-Adressen an, von der bzw. zu der die Sicherung läuft, zwischen denen also die Daten fließen,
    • und unter dem Begriff „Ziel“ (leider wird hier auch der Begriff „Ziel“ verwendet), wählen Sie in der Drop-Down-Liste den vorher festgelegten Namen der Pipe aus.
    • Letztendlich geben Sie der Regel eine sprechende Beschreibung und speichern die Regel ab.
  4. Nun klicken Sie, sicherheitshabler sowohl auf dem Reiter „Pipes“ als auch auf dem Reiter „Regeln“, auf „Anwenden“.
  5. Das war es, Sie sind fertig, schnell und einfach.

Natürlich können die Filterregeln auch komplizierter gestaltet werden, wenn die IP-Adressen als eindeutige Kennungen nicht ausreichen. Wenn Up- als auch der Downstream unterschiedlich geregelt werden sollen, können unterschiedliche Pipes angelegt werden und unterschiedliche Regeln erstellt werden.

Der Einsatz von Queues, auf dem zweiten Reiter, ist für diesen einfachen Anwendungsfall nicht notwendig. Queues werden Sie einsetzen, wenn Sie den Verkehr genauer, filigraner regeln müssen, wenn Sie z. B. bei beschränkter Bandbreite, einzelne Datenarten bevorzugen müssen etc.

Ein von uns umgesetzter Anwendungsfall ist:

  • (Zu) dünne Anbindung eines Standortes,
  • VPN-Anbindung des Standortes zur Zentrale,
  • über das VPN laufen RDP-Verbindungen,
  • VoIP-Verbindungen, aber auch
  • Druck- und Scanaufträge und
  • Dateiübertragungen und
  • Cloud-Synchronisationen. Unabhängig von der VPN-Verbindung
  • Surfen die Mitarbeiter am Standort im Internet,
  • Pflege die Webseite und
  • nehmen an Webinaren Teil und machen Videotelefonie.

In diesem Beispiel mussten mehrere Queues genutzt werden, denn

  • VoIP und RDP benötigen zwar nur eine relative geringe Bandbreite, verkraften jedoch keine Paketverluste und nur geringe Latenzen.
  • Druck- und Scanauftrage sowie Dateiübertragungen und Cloud-Synchronisationen verkraften durchaus Paketverluste, Latenzen sind eher unkritisch.
  • Außerhalb des VPNs ist die VoIP-Telefonie wieder latenz- und paketverlustkritisch,
  • Videotelefonie benötigt sowohl Bandbreite als auch ist sie lazenz- und paketverlustkritisch.
  • Webinare sind hier wieder etwas unkritischer und
  • das Surfen im Internet sowie lokale Downloads sind quasi „Restklasse“, nutzen also sinnvollerweise die Bandbreite, die übrig bleibt.

Wenn Sie einen solchen oder ähnlichen Anwendungsfall haben: Sprechen Sie uns an. Auch wenn Sie ebenfalls IT-ler sind, unterstüzen wir Sie gerne!

Von Dr. Martin H. Ludwig

Dr. Martin H. Ludwig ist Geschäftsführer der ima GmbH, leidenschaftlicher IT-ler und Datenschutzexperte. Wenn er Zeit findet, schreibt er über IT-Probleme oder -Besonderheiten im Blog.

Schreibe einen Kommentar