Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Konfiguracja początkujacego - VLANy z podziałem pasma

    Scheduled Pinned Locked Moved Polish
    7 Posts 2 Posters 2.3k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • W
      wloczykij78
      last edited by

      Witam szanownych forumowiczów.

      Stawiam w ramach eksperymentu klasyczny (prawie) router na patyku - kilkanaście VLANów z osobnymi podsieciami i DHCP, wychodzące na świat przez dwa łącza WAN. Zrobiłem tak:

      1. Na LAN reguły balancing i failover z tutoriala - działa, wykrywa brak połączenia, przełącza na drugie łącze, czy przełącza przy zapchanym łączu - nie mam jak aktualnie sprawdzić, ale chyba jest OK.
      2. Utworzyłem VLANy
      3. Przypisałem VLANY do interfejsów i ustawiłem im adresy IP i zakresy DHCP. Czy poprawnie przydziela i rutuje - sprawdzę, jak uda mi się zmusić DES'a 1210 do współpracy z VLANami.
      4. Utworzyłem sobie grupę interfejsów VLAN i skopiowałem regułki balancing/failover i ruch IPv4 firewalla z LAN do tej grupy (bo jak sądzę, w przypadku firewalla dla ruchu po vlanach to co dla lana jest ustawione nie będzie obowiązywać.

      Dwie sprawy nie dają mi spokoju:

      A. Jak wewnątrz VLANa (dla podsieci) wymusić dynamiczny podział pasma, czyli jeden klient - maksymalna prędkość, 10 klientów - prędkość /10?
      B. Jak nałożyć limit przepustowości na poszczególnych VLANach? Strzelam, że gdzieś w firewallu.

      I pytanie dodatkowe - do czego służy narzędzie Load Balancer? Bo jak rozumiem to nie to samo, co balancing/failover z firewall'a ?

      1 Reply Last reply Reply Quote 0
      • W
        wloczykij78
        last edited by

        Pół dnia walki i zweryfikowałem swoje pytania.
        1. PfSense + Cisco 3500 działa, z DES-1210 walczę (podobno się da). Trochę pokręciłem w międzyczasie w regułkach na firewallu więc nie chciało zatrybić od razu.

        W dalszym ciągu nie wiem, jak wymusić równoważenie obciążenia wewnątrz vlana. Przydziały pasma dla vlanów to już wiem że jest Limiter.

        A Load Balancer mnie nie interesuje :-)

        1 Reply Last reply Reply Quote 0
        • P
          Przemyslaw85
          last edited by

          Wszystko robisz z poziomu limitera jak i reguł. W tym drugim jedynie dla konkretnego zakresu adresów dajesz konieczność korzystania z limitera jak i odpowiedniej bramy. A w limiterze ustawiasz co konkretnie potrzebujesz by było blokowane.
          Możesz dać dla każdego adresu np 10Mb/s a możesz i 10Mb/s do podziału dla wszystkich a tutaj wybrana maska w limiterze ma znaczenie. Z maską np: source address limit będzie działał na kazdy adres osobno, a bez maski limit do podziału dla wszystkich.

          Natomiast by dać każdemy max 2Mb/s ale w sumie z 10 komputerów nie więcej niż 10 to o ile dobrze pamiętam trzeba stworzyć grupę:  główna 10 i wewnętrzna 2.
          Dawno dawno temu to testowałem wiec mogłem coś pokręcić.

          My pfSense box w HA:
          Master: HP DL360G8 1x E5-2670, 64GB ECC RAM, 8x NIC (17x VLan)
          Slave: HP DL360G5, 2x E5410, 64GB ECC RAM, 6x NIC (17x VLan)

          1 Reply Last reply Reply Quote 0
          • W
            wloczykij78
            last edited by

            Witam ponownie, limitery udało mi się ustawić, nawet to działa, choć przyznam szczerze, że efektywniej było przyciąć przepustowość na switchu. Limiter nie zawsze tnie - pewnie jest to związane z rodzajem transmisji, i tu muszę się z pewnością podszkolić.

            Potrzebne mi też ustawienie "odwrotnie" czyli - ustawienie reguł w taki sposób, by wybrane VLANy miały zawsze zagwarantowaną przepustowość, pozostała przepustowość do podziału. Dostaniemy niedługo porządne łącze światłowodowe i chciałbym podzielić to tak, żeby sprawiało to wrażenie oddzielnych łączy. Podobno w wersji 2.x już działa to normalnie, tylko nie mogę znaleźć gdzie to ustawić.

            1 Reply Last reply Reply Quote 0
            • P
              Przemyslaw85
              last edited by

              Poczytaj o priorytetach.  W efekcie skonfigurujesz co chcesz.
              Nie wiem ile u ciebie jest użytkowników. U mnie dla 45 stacji łącze 60/4 rzadko kiedy jest wysycone wiec nie nakładam żadnych dodatkowych restrykcji.
              Dopiero jak ktoś notorycznie przegina to dopiero go blokuję.

              My pfSense box w HA:
              Master: HP DL360G8 1x E5-2670, 64GB ECC RAM, 8x NIC (17x VLan)
              Slave: HP DL360G5, 2x E5410, 64GB ECC RAM, 6x NIC (17x VLan)

              1 Reply Last reply Reply Quote 0
              • W
                wloczykij78
                last edited by

                Ja mam w szczycie jakieś 100 maszyn i na 2x40 Mbit widać przestoje - tu Youtube, tam LoL - jak to w szkole, a ktoś w innej podsieci się wnerwia że mu poczta nie działa :-) Poeksperymentuję z priorytetami, powinno pomóc. CBQ nie do końca zrozumiałem, a HFSC to w ogóle na razie nie mój level.

                Przy okazji pytanie z dziedziny głupich - gdzie sprawdzę, jaki ruch idzie na poszczególne IP (w sensie lokalne, czyli kto mi tak jedzie po łączu)? A przynajmniej aktywne połączenia… Wykresy ruchu dla VLANów baaardzo pomagają - przynajmniej wiem u kogo, nie wiem tylko którego młodego walić po łbie ;-)

                --
                Pozdrawiam,
                Krzysztof

                1 Reply Last reply Reply Quote 0
                • P
                  Przemyslaw85
                  last edited by

                  Byś widział jakie jest obciążenie każdego z vlanów doinstaluj paczkę: Status_Traffic_Totals
                  A żeby zobaczyć który IP aktualnie ciagnie za dużo to zobaczysz w: Status -> Traffic Graph (tu już sobie definiujesz który vlan chcesz oglądać)
                  Byś miał pełną kontrolę postaw sobie proxy (squid+squidGuard) to będziesz wiedział co kto i ile czego ściąga. I w razie co zablokujesz komunikację z konkretnymi domenami.
                  Poza tym w limiterze możesz zrobić tak że dany vlan może mieć do dyspozycji 10Mb/s i więcej nie pójdzie bez znaczenia ile jest hostów. A możesz też ustawić że ten limit będzie przypisane dla każdego adresu co w efekcie wysyci łącze.
                  Wszystko zależy co wybierzesz przy konfiguracji limitera w polu "mask":

                  • none: limit przypisane ogólnie bez znaczenia na ilość hostów. (2 klientów ściąga duży plik= wysycenie łącza)
                  • source addresses: ustawiony limit działa na każdego hosta z osobna (10 klientów ściąga duży plik = suma poobierania dla wszystkich nie przekroczy wartości zdefiniowanej)
                  • destination addresses: np dla strony internetowej. Nie pójdzie więcej niż.

                  My pfSense box w HA:
                  Master: HP DL360G8 1x E5-2670, 64GB ECC RAM, 8x NIC (17x VLan)
                  Slave: HP DL360G5, 2x E5410, 64GB ECC RAM, 6x NIC (17x VLan)

                  1 Reply Last reply Reply Quote 0
                  • First post
                    Last post
                  Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.