Konfiguracja początkujacego - VLANy z podziałem pasma



  • Witam szanownych forumowiczów.

    Stawiam w ramach eksperymentu klasyczny (prawie) router na patyku - kilkanaście VLANów z osobnymi podsieciami i DHCP, wychodzące na świat przez dwa łącza WAN. Zrobiłem tak:

    1. Na LAN reguły balancing i failover z tutoriala - działa, wykrywa brak połączenia, przełącza na drugie łącze, czy przełącza przy zapchanym łączu - nie mam jak aktualnie sprawdzić, ale chyba jest OK.
    2. Utworzyłem VLANy
    3. Przypisałem VLANY do interfejsów i ustawiłem im adresy IP i zakresy DHCP. Czy poprawnie przydziela i rutuje - sprawdzę, jak uda mi się zmusić DES'a 1210 do współpracy z VLANami.
    4. Utworzyłem sobie grupę interfejsów VLAN i skopiowałem regułki balancing/failover i ruch IPv4 firewalla z LAN do tej grupy (bo jak sądzę, w przypadku firewalla dla ruchu po vlanach to co dla lana jest ustawione nie będzie obowiązywać.

    Dwie sprawy nie dają mi spokoju:

    A. Jak wewnątrz VLANa (dla podsieci) wymusić dynamiczny podział pasma, czyli jeden klient - maksymalna prędkość, 10 klientów - prędkość /10?
    B. Jak nałożyć limit przepustowości na poszczególnych VLANach? Strzelam, że gdzieś w firewallu.

    I pytanie dodatkowe - do czego służy narzędzie Load Balancer? Bo jak rozumiem to nie to samo, co balancing/failover z firewall'a ?



  • Pół dnia walki i zweryfikowałem swoje pytania.
    1. PfSense + Cisco 3500 działa, z DES-1210 walczę (podobno się da). Trochę pokręciłem w międzyczasie w regułkach na firewallu więc nie chciało zatrybić od razu.

    W dalszym ciągu nie wiem, jak wymusić równoważenie obciążenia wewnątrz vlana. Przydziały pasma dla vlanów to już wiem że jest Limiter.

    A Load Balancer mnie nie interesuje :-)



  • Wszystko robisz z poziomu limitera jak i reguł. W tym drugim jedynie dla konkretnego zakresu adresów dajesz konieczność korzystania z limitera jak i odpowiedniej bramy. A w limiterze ustawiasz co konkretnie potrzebujesz by było blokowane.
    Możesz dać dla każdego adresu np 10Mb/s a możesz i 10Mb/s do podziału dla wszystkich a tutaj wybrana maska w limiterze ma znaczenie. Z maską np: source address limit będzie działał na kazdy adres osobno, a bez maski limit do podziału dla wszystkich.

    Natomiast by dać każdemy max 2Mb/s ale w sumie z 10 komputerów nie więcej niż 10 to o ile dobrze pamiętam trzeba stworzyć grupę:  główna 10 i wewnętrzna 2.
    Dawno dawno temu to testowałem wiec mogłem coś pokręcić.



  • Witam ponownie, limitery udało mi się ustawić, nawet to działa, choć przyznam szczerze, że efektywniej było przyciąć przepustowość na switchu. Limiter nie zawsze tnie - pewnie jest to związane z rodzajem transmisji, i tu muszę się z pewnością podszkolić.

    Potrzebne mi też ustawienie "odwrotnie" czyli - ustawienie reguł w taki sposób, by wybrane VLANy miały zawsze zagwarantowaną przepustowość, pozostała przepustowość do podziału. Dostaniemy niedługo porządne łącze światłowodowe i chciałbym podzielić to tak, żeby sprawiało to wrażenie oddzielnych łączy. Podobno w wersji 2.x już działa to normalnie, tylko nie mogę znaleźć gdzie to ustawić.



  • Poczytaj o priorytetach.  W efekcie skonfigurujesz co chcesz.
    Nie wiem ile u ciebie jest użytkowników. U mnie dla 45 stacji łącze 60/4 rzadko kiedy jest wysycone wiec nie nakładam żadnych dodatkowych restrykcji.
    Dopiero jak ktoś notorycznie przegina to dopiero go blokuję.



  • Ja mam w szczycie jakieś 100 maszyn i na 2x40 Mbit widać przestoje - tu Youtube, tam LoL - jak to w szkole, a ktoś w innej podsieci się wnerwia że mu poczta nie działa :-) Poeksperymentuję z priorytetami, powinno pomóc. CBQ nie do końca zrozumiałem, a HFSC to w ogóle na razie nie mój level.

    Przy okazji pytanie z dziedziny głupich - gdzie sprawdzę, jaki ruch idzie na poszczególne IP (w sensie lokalne, czyli kto mi tak jedzie po łączu)? A przynajmniej aktywne połączenia… Wykresy ruchu dla VLANów baaardzo pomagają - przynajmniej wiem u kogo, nie wiem tylko którego młodego walić po łbie ;-)

    --
    Pozdrawiam,
    Krzysztof



  • Byś widział jakie jest obciążenie każdego z vlanów doinstaluj paczkę: Status_Traffic_Totals
    A żeby zobaczyć który IP aktualnie ciagnie za dużo to zobaczysz w: Status -> Traffic Graph (tu już sobie definiujesz który vlan chcesz oglądać)
    Byś miał pełną kontrolę postaw sobie proxy (squid+squidGuard) to będziesz wiedział co kto i ile czego ściąga. I w razie co zablokujesz komunikację z konkretnymi domenami.
    Poza tym w limiterze możesz zrobić tak że dany vlan może mieć do dyspozycji 10Mb/s i więcej nie pójdzie bez znaczenia ile jest hostów. A możesz też ustawić że ten limit będzie przypisane dla każdego adresu co w efekcie wysyci łącze.
    Wszystko zależy co wybierzesz przy konfiguracji limitera w polu "mask":

    • none: limit przypisane ogólnie bez znaczenia na ilość hostów. (2 klientów ściąga duży plik= wysycenie łącza)
    • source addresses: ustawiony limit działa na każdego hosta z osobna (10 klientów ściąga duży plik = suma poobierania dla wszystkich nie przekroczy wartości zdefiniowanej)
    • destination addresses: np dla strony internetowej. Nie pójdzie więcej niż.

 

© Copyright 2002 - 2018 Rubicon Communications, LLC | Privacy Policy