Jump to content

Шейпинг клиентов БЕЗ VPN

sirmax
 Share

Recommended Posts

sirmax

sirmax

Posted
Posted

В связи с отходом от VPN в сторону управляемого железа возникаети вопрос - как шейпить анлимных клиентов, и на каком железе

Решения на базе linux/htb более-менее знакомы, и, понятно, что будут работать, но это не совсем то чего хотелось бы.

 

А какие решения есть от cisco? как называется, скорлько стоит, где почитать? =)

Возможно, кто то применяет уже?

 

Понимаю, что вопрос очень общий, но все же....

Nafanya

Nafanya

Posted
Posted
В связи с отходом от VPN в сторону управляемого железа возникаети вопрос - как шейпить анлимных клиентов, и на каком железе

Решения на базе linux/htb более-менее знакомы, и, понятно, что будут работать, но это не совсем то чего хотелось бы.

 

А какие решения есть от cisco? как называется, скорлько стоит, где почитать? =)

Возможно, кто то применяет уже?

 

Понимаю, что вопрос очень общий, но все же....

мы на шлюзе под фрёй натим и шейпим.
sirmax

sirmax

Posted
  • Author
Posted

не единицы. как делать для небольших сетей я знаю )

Для определенности считаем что клиентов около 5К

Чем не устраивает Linux?
всем устраивает, я изучаю альтернативы что бы сравнить, окончательный выбор еще не сделан.

 

В связи с отходом от VPN в сторону управляемого железа возникаети вопрос - как шейпить анлимных клиентов, и на каком железе

Решения на базе linux/htb более-менее знакомы, и, понятно, что будут работать, но это не совсем то чего хотелось бы.

 

А какие решения есть от cisco? как называется, скорлько стоит, где почитать? =)

Возможно, кто то применяет уже?

 

Понимаю, что вопрос очень общий, но все же....

мы на шлюзе под фрёй натим и шейпим.

какой траффик? какой шейпер? шаред-полоса внетри или между группами есть, приоритезация, и т.п.?
umike

umike

Posted
Posted (edited)

jab, вопрос:

 

грубо говоря есть две небольших группы потребителей (пара десятков). В терминах тарифов группа1 - анлимы фиксированной полосы, группа2 - помеговые тарифы. Есть аплинк ограниченной пропускной способности. Если делать шейпинг через altq, то используя для группы1 больший приоритет и borrow для полосы группы2 можно эффективно отдавать группе2 полосу, недобранную группой1. Причем это происходит автоматически в динамике. Есть недобранное - могут забрать. Нет - не могут. Понятно, что чем больше потребителей, тем более громоздкая конструкция получается. С масками в ipfw/dummynet всё красиво, но pipe - статическая и фактически одноуровневая конструкция (по сравнению с дочерними классами cbq). Как реализовать подобный borrow?

 

вопрос2: ipfw/dummynet, pf-altq, ng_car - на текущий момент это всё, или есть еще что-то во фре для шейпинга? :)

 

ЗЫ: не продакшен

Edited by umike
jab

jab

Posted
Posted

 

:-) А кто Вам собственно сказал, что dummynet - статическая одноуровневая конструкция ? Похоже Вы даже документацию не читали.

В принципе, с помощью очередей, ветвления правил и net.inet.ip.fw.one_pass можно сделать практически все. У меня просто исторически

сложилось так, что работает связка dummynet+pf-altq, по причинам не зависящим от функционала dummynet.

 

umike

umike

Posted
Posted (edited)

признаюсь, что man ipfw активно скуриваю уже несколько дней :) Секция "TRAFFIC SHAPER (DUMMYNET) CONFIGURATION" не фштыривает :(

Так уж сложилось что изначально изучал и использовал ipf/ipnat/altq на разнообразных 4.х, потом pf, поэтому по вдумчивому прочтению манов не могу понять как на dummynet реализовать вышеописанное при некотором дефиците полосы uplink в пиках загрузки. Буду благодарен за объяснение сути того как это сделать.

 

dummynet+pf-altq на одной машине или всё-же на разных? :)

Edited by umike
jab

jab

Posted
Posted
признаюсь, что man ipfw активно скуриваю уже несколько дней :) Секция "TRAFFIC SHAPER (DUMMYNET) CONFIGURATION" не фштыривает :(

Так уж сложилось что изначально изучал и использовал ipf/ipnat/altq на разнообразных 4.х, потом pf, поэтому по вдумчивому прочтению манов не могу понять как на dummynet реализовать вышеописанное при некотором дефиците полосы uplink в пиках загрузки. Буду благодарен за объяснение сути того как это сделать.

Очереди с развесовкой по классам. Несколько достаточно корявых примеров - http://www.nag.ru/2005/1106/1106.shtml

 

dummynet+pf-altq на одной машине или всё-же на разных? :)

Когда-то было на одной. Сейчас на разных. dummynet у меня на фильтрующем бридже, pf на бордерах с NAT.

 

 

Да, не забывайте задержки на анлимитах ставить, это само по себе понижает их приоритет перед помегабайтными.

umike

umike

Posted
Posted

всё, суть фкурил. После обдумывания слов net.inet.ip.fw.one_pass и skipto более-менее стало ясно. А если еще с tag... конструкцию можно сделать весьма интересной :) Спасибо.

jab

jab

Posted
Posted

 

Не пытайтесь всю логику firewall'а крутить в голове, решайте задачу графически, на бумажке. Сразу все становится

легко и понятно.

umike

umike

Posted
Posted (edited)

общая картина в случае малого кол-ва хостов и классов неплохо и в голове укладывается, в деталях и сложных случаях понятно что надо расписывать/разрисовывать. Просто привыкнув к altq, из которого трафик сразу идёт на выход, упустил из вида, что в ipfw/dummynet можно применяя вышеуказанные слова гонять трафик по правилам/пайпам/очередям фактически как угодно, в том числе многократно, например разворачивая из одного pipe в queue другого, поэтому не мог понять. Прямо заклинило.

 

зачем же на Вы?

Edited by umike

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.