Помогите настроить шейпинг



  • Доброго времени суток всем,

    нарисовал вот такое ТЗ. Прошу гуру pfSense направить в правильном направлении.

    Техническое задание на ограничение полосы пропускания трафика.

    Параметры канала связи: входящий/исходящий трафик 3/1 мегабит, двухсторонний спутниковый интернет. Всего существует 5 групп ограничения.
    
    Группа 0 (контрактные). VLAN60
    10 IP-адресов, ограничение по скорости входящий/исходящий трафик 512/512 килобит на всех. Делится поровну между активными в данный момент времени членами группы.
    
    Остаток трафика распределяется по группам, до 100% свободной полосы.
    
    Группа I. (Обеспечение безопасности установки: ПКРЭ, капитан, НК/ГЭ). Всего 3 адреса.
    До 50% занятой полосы. VLAN30.
    
    Группа II. Ведущие специалисты, 4 адреса. VLAN20
    До 25% занятой полосы.
    
    Группа III. Специалисты, 11 адресов. VLAN20
    До 15% занятой полосы.
    
    Группа IV. Гости и экипаж. До 200 адресов VLAN10, [i]все остальные VLAN60.[/i]
    До 10% занятой полосы.
    
    [i]При производственной необходимости максимально обеспечить скорость интернета группе I, ее полоса может быть увеличена до 90%, группы III и IV при этом отключаются. Полоса группы 0 и II снижается до 10%. Коммутация производится вручную.[/i]
    
    

    Пояснения
    Там, где упоминается VLAN, это фактически отдельный сетевой интерфейс. В принципе, наверное внутри pfSense можно Группу II и III развести на отдельные логические интерфейсы.
    То что выделено курсиво - второстепенно, можно реализовать потом.

    Пробывал мастером создать, ей Богу какая-то непотребность получается, 1000 правил, замучаешься лишнее удалять.



  • @NetWiz:

    Пробывал мастером создать, ей Богу какая-то непотребность получается, 1000 правил, замучаешься лишнее удалять.

    Доброе.

    Создайте алиасы с группами адресов, а затем попробуйте сделать задуманное с помощью Limiter-а.



  • Настроить через firewall_shaper_vinterface.php ? У меня контрактники так ограничены сейчас. В прошлом году выжирали всю полосу, сейчас более-менее адекватно.

    Я просто не очень представляю, как лимитер мне поможет. Скажем, если нет трафика нигде, но есть потребитель в группе 1, то он получит до половины канала только. Но не весь… Может не четко в ТЗ указал.

    Хотелось бы прогрузить канал по максимуму, сейчас он недогружен. Пользователи жалуются на низкую скорость.



  • Я правильно понимаю, что если указать маску 24 в лимитере, он будет применяться на всю подсеть, а если 32 то на адрес?



  • Я правильно понимаю, что если указать маску 24 в лимитере, он будет применяться на всю подсеть, а если 32 то на адрес?

    Там есть пояснения пояснения по этому поводу :

    http://blog.allanglesit.com/2011/08/traffic-limiting-with-pfsense-2-0-rc3/




  • это я читал и по ней делал. устаревшая информация, кстати, к сожалению. Сейчас добавился burst, но я не найду по нему описания.

    И кстати, что там внизу сейчас есть, добавить Queue Actions, это что?





  • сделал. но что-то результат на графиках не радует. может быть конечно показывается трафик кэшированный squid…

    и еще, похоже что складываться разные лимитеры в одном интерфейсе.



  • Хотелось бы прогрузить канал по максимуму, сейчас он недогружен. Пользователи жалуются на низкую скорость.

    А без шейпера канал утилизируется "в полку"?



  • @NetWiz:

    сделал. но что-то результат на графиках не радует. может быть конечно показывается трафик кэшированный squid…

    и еще, похоже что складываться разные лимитеры в одном интерфейсе.

    Скрины.



  • трафик. интересует vlan10. vlan60 лимитер отрабатывает. там простое правило, 512к вход 128к выход, маска 32.












  • Что это? Вы шутите ? Что можно понять из графиков ?! Не ожидал, честное слово  :'(…

    Скрины правил fw , limiter-а.



  • @ NetWiz

    Как разберетесь - выложите настройки скрины работающих настроек, пож-та. Пригодится многим.



  • наверное получилось… внимательно разглядел графики, по интерфейсу vlan10 достигаются скорости, превышающие возможности wan.

    ![?????? Limiter vlan10.jpg](/public/imported_attachments/1/?????? Limiter vlan10.jpg)
    ![?????? Limiter vlan10.jpg_thumb](/public/imported_attachments/1/?????? Limiter vlan10.jpg_thumb)



  • @ NetWiz

    Как разберетесь - выложите настройки скрины работающих настроек, пож-та. Пригодится многим.

    Настроек , настроек, настроек …



  • Может отдельным топиком сделать?






  • @ NetWiz
    Сделайте, если не трудно.

    P.s. Вижу это так :

    1. Постановка задачи с подробным и понятным описанием.
    2. Решение с подробным описанием и скринами.



  • Хорошо, в течении пары дней нарисую. Но я не получил то что хотел, ПОКА. Да, получились лимитеры и вроде отрабатывают как надо. Сейчас переведу основную нагрузку на них, потестирую

    На  картинках было: во VLAN30 у меня завернут трафик от внешнего "сервера" на базе Windows 7 pro + TMeter. Не мой выбор, коллега приобрел и установил.



  • Хорошо, в течении пары дней нарисую. Но я не получил то что хотел, ПОКА. Да, получились лимитеры и вроде отрабатывают как надо. Сейчас переведу основную нагрузку на них, потестирую

    Не забывайте делать Reset states после каждого изменения правил лимитера!



  • Прошу прощения, пропал на работе. Про свое обещание помню. Занят, переводил пользователей на pfSense. Заодно настраивая фильтрацию, списки и т.п. Короче, у работающей вахты траур, у отдыхающей радость. Работающей запрещена социалка и прочая развлекуха, но скорость приличная. Отдыхающей никаких ограничений по контенту, но зарезана скорость.

    Всё бы ничего, но вот теперь проблема. Как зарезать скорость для squid, причем на определенные сайты обновлений. Забирает сейчас весь канал!.. Хотя https и прочие разрешенные протоколы идут напрямую, но канал забит под 100%. Если не найду опцию в squid, буду резать 80й порт на исходящем канале.

    Вопрос в тему. В логах постоянно сейчас:

    kernel: Bump sched buckets to 256 (was 0)
    kernel: Bump flowset buckets to 256 (was 0)
    

    это нормальная работа лимитера?



  • @NetWiz:

    Всё бы ничего, но вот теперь проблема. Как зарезать скорость для squid, причем на определенные сайты обновлений. Забирает сейчас весь канал!.. Хотя https и прочие разрешенные протоколы идут напрямую, но канал забит под 100%. Если не найду опцию в squid, буду резать 80й порт на исходящем канале.

    Опция Squid - в Traffic Managment. Ограничивает общую скорость, скорость на клиента, скорость по расширениям.



  • Overall bandwidth throttling = 512, Per-host throttling = 128. В данном случае, на пользователя или на сайт?



  • @NetWiz:

    Overall bandwidth throttling = 512, Per-host throttling = 128. В данном случае, на пользователя или на сайт?

    На сколько понимаю на пользователя, или даже на IP адрес компа (ну это для нюансов типа терминального сервера или мульти IP-шного компа)



  • вот… а мне нужно подрезать на microsoft...



  • _kernel: Bump sched buckets to 256 (was 0)
    kernel: Bump flowset buckets to 256 (was 0)

    это нормальная работа лимитера?_

    Скорее - побочный эффект его наличия.

    "Bump sched buckets to 64 (was 0) " is normal when using limiters and/or captive portal.
    https://forum.pfsense.org/index.php/topic,58082.msg310721.html#msg310721

    Хотя у меня лимитер настроен, но в данный момент отключен, а подобный сообщения в логе попадаются все равно, правда в виде
    kernel: Bump flowset buckets to 64

    А за манувал\инструкцию заранее спасибо.



  • Всё бы ничего, но вот теперь проблема. Как зарезать скорость для squid, причем на определенные сайты обновлений. Забирает сейчас весь канал!.. Хотя https и прочие разрешенные протоколы идут напрямую, но канал забит под 100%. Если не найду опцию в squid, буду резать 80й порт на исходящем канале.

    Есть там опция - пропускать трафик на опред. адреса (Destination) минуя squid. Задействуйте ее и при этом создайте правило fw с Limiter-ом на эти адреса (алиас).



  • Если выпустить обновления напрямую, теряется смысл в данной реализаци squid. У меня одна надежда, что сквид набьет кэш обновлениями windows и успокоится. Так (вроде) уже было на предыдущем сервере.



  • Если выпустить обновления напрямую, теряется смысл в данной реализаци squid.

    Объяснитесь, пож-та.



  • Пожалуйста. Смысл сквида, кроме как управления трафиком, на моем объекте, я вижу но и кэшировании откровенно слабого канала связи. 3/1 мегабита на 128 человек, у некоторых кроме компьютера еще и планшет и телефон до кучи.

    Когда я делил 3G интернет, была задача только посчитать трафик. Это я делал с помощью ipcad+lightsquid. Было 2 канала связи. Спутниковый 512/100 килобит и 3G, до 10/1 мбит. За сотовый сбрасывались и платили самостоятельно. Сквид был удален, ибо тогда я не разобрался как его заставить ходить через нужный мне шлюз. Кроме того, от него постоянная задержка в отрисовывании страничек. К сожалению, другого железа нет.



  • Сквид вынес мне остатки мозга, то что оставалось после выкипания. Снес.

    предыстория.

    -1. На LAN-интерфейсах трафика практически не, но на WAN нагрузка в потолок. Отключил динамический контент (youtube, microsoft, avast, avira), полегчало.
    0. У начальника интернет на рабочем месте работал гораздо хуже, чем у него же в каюте. Хотя настраивалась ему на порядок больше полоса и без фильтрации контента.
    1. Отключение правил фаервора не блокировало доступ в интернет. Вообще. Сбросы states и перезагрузки pfSense не помогали. Народ продолжал грузить канал.
    2. Оключение в сервисах squid не блокировало доступ. Продолжали грузить канал.
    3. Переустановка плагина, переустановка его компонентов (xml). Не помогает.
    4. Снес. Увидел что-то похожее на нормальные графики работы, то что задавал в лимитерах. Немного подправил. Выяснил для себя: ни speedtest.net ни 2ip.ru не дают в замерах скорости никакой точности. Единственный нормальный критерий - торренты ;) (написал и вспомнил, народ просил скачать кое-что).

    Продолжение.
    поставил заново. возобновился трафик ненормальный, пойду сравнивать регулировку трафика у начальства.



  • @NetWiz:

    наверное получилось… внимательно разглядел графики, по интерфейсу vlan10 достигаются скорости, превышающие возможности wan.

    на 2.1.3 не правильно рисуются графики, значение входящей скорости удваивается от реальной. такая проблема на vlan интерфейсах, на реальных eth0 проблема отсутствует. Обещают поправить в 2.2 релизе. Я у себя поправил редактированием файлика graph.php


Log in to reply