Jump to content
Калькуляторы

Микротик, ограничение скорости по vlan

Добрый день!

 

Не могу настроить в микротике ограничение скорости по vlan.

Имеем:

eth1: vlan10-A(id10),vlan20-A(id20)

eth2: vlan10-B(id10),vlan20-B(id20)

bridge10: vlan10-A,vlan10-B

bridge20: vlan20-A,vlan20-B

 

 

Внутри vlan'ов ходит трафик L2, ip-адресов нет, маршрутизация не производится.

 

Необходимо зарезать скорость по каждой паре vlan'ов, как это можно сделать?

 

Пакеты в L2 не маркируются, (пробовал /ip firewall mangle add chain=prerouting in-interface=vlan10-A action=mark-packet new-packet-mark=VLAN-10A).

В Queue нужно указывать target-ip, а ip могут быть любые, т.к. трафик L2 (а могут быть вообще не ip, а другие протоколы).

Share this post


Link to post
Share on other sites

Queue tree, вам туда. Или, совет ниже от Tem

post-73856-099697100 1387537040_thumb.jpg

Edited by ilili

Share this post


Link to post
Share on other sites

В настройках Queue щелкните Advanced , там будет пункт Interface, вот с его помощью и можно резать скорость на интерфейсе.

Share this post


Link to post
Share on other sites

Нет такого пункта в адвансед (см. скриншот).

 

Версия софта и модель железки в скриншоте.

 

И в Мангле пакеты не маркируются, т.е. правило создал, а трафик по этому правилу не бегает.

 

Скриншот.

post-109464-066593400 1387538482_thumb.jpg

Share this post


Link to post
Share on other sites

Я не специалист в микротике, но из общесистемных знаний вытекает вопрос: если влан транзитный, то откуда возьмется интерфейс?

Share this post


Link to post
Share on other sites

Если 2 влана объединены в бридж, тогда достаточно указать его в качестве интерфейса.

 

Другой вариант маркировать пакеты, проходящие по нему, тогда можно будет уже резать скорость по ним шейпером. Делать это нужно в bridge->filters, а не мангле. Предварительно поставьте галочку use ip firewall в основном окне бриджей кнопка Settings.

Share this post


Link to post
Share on other sites

Другой вариант маркировать пакеты, проходящие по нему, тогда можно будет уже резать скорость по ним шейпером. Делать это нужно в bridge->filters, а не мангле. Предварительно поставьте галочку use ip firewall в основном окне бриджей кнопка Settings.

Спасибо! Этот способ помог!

Share this post


Link to post
Share on other sites

Добрый день!

 

Пробую заставить микротик резать скорость на интерфейсе,но чет не взлетает, прошу подсказать что я делаю не так.

Вообще говоря, задача стоит ограничить скорость для транзитного влана.

 

model: 1100AHx2 RouterOS 6.27

/interface bridge

add name=br3802

/interface bridge filter

add action=mark-packet chain=forward in-interface=Gi0/1.3802 new-packet-mark=3802

/interface bridge port

add bridge=br3802 interface=vpls3802

add bridge=br3802 interface=Gi0/1.3802

/interface bridge settings

set use-ip-firewall=yes

/interface bridge filter

add action=mark-packet chain=forward in-interface=Gi0/1.3802 new-packet-mark=3802

/queue tree

add max-limit=2M name=queue1 packet-mark=3802 parent=global queue=default

 

Со второй стороны туннеля аналогичная конструкция. Внутри туннеля pppoe.

в итоге маркировка работает:

# CHAIN ACTION BYTES PACKETS

0 forward mark-packet 40891943 45991

 

а ограничение скорости нет:

0 name="queue1" parent=global packet-mark=3802 rate=0 packet-rate=0 queued-bytes=0 queued-packets=0 bytes=0 packets=0 dropped=0

Share this post


Link to post
Share on other sites

 

/interface bridge settings

set use-ip-firewall=yes

 

 

А если добавить

set use-ip-firewall=yes use-ip-firewall-for-vlan=yes

И указать сам vlan

Share this post


Link to post
Share on other sites

А если добавить

set use-ip-firewall=yes use-ip-firewall-for-vlan=yes

И указать сам vlan

пробовал, не помогло.

 

в итоге проблема решилась изменением parent=global на parent=vpls3802. Логика мне не понятна вообще... если указывать parent'ом Gi0/1.3802 то не работает. Видимо нужно углубиться в теорию очередей на RouterOS

Share this post


Link to post
Share on other sites

Разве нельзя дать на каждый влан свою скорость?

 

так долго шел к тому, что бы сделать свой влан на дом, а теперь не могу дом ограничить скоростью, только по IP

Share this post


Link to post
Share on other sites

Поставь FreeBSD, там такое легко несколькими способами :)

Share this post


Link to post
Share on other sites

для того чтобы ограничить скорость на влан нужно просто понимать как бегает трафик и работают очереди в микрике, совсем не сложно, и способов тоже несколько :)

Share this post


Link to post
Share on other sites

Извините, я понимаю что тут каждый профессионал и нет желания делится тем, что вы копили многие годы, но вы ведь то же не сразу стали разбираться во всем. Буквально и я так же пару лет назад не знал вообще что такое микротик, а сейчас я уже знаю что такое винбокс и пару кнопок в роутерОС.

 

Если вы знаете какое либо решение в этом направлении, пжлст направьте в нужном направлении меня, был бы при много благодарен за какого либо рода пример либо ссылочку на подобное решение.

Share this post


Link to post
Share on other sites

Вообще делается просто - в бридже ставятся галочки что бы файрвол работал, далее в шейпере создается правило и указывается интерфейс, на котором резать скорость и ограничение, все работает. Если указанный интерфейс отсутствует на микротике, например хотите ограничить проходящий через маршрутизатор влан, то его ограничить нельзя. В этом случае надо прекратить транзитный пропуск трафика, создать вланы на микротике, объединить через бриджи и т.п.

Share this post


Link to post
Share on other sites

Все вланы созданы на этом же роутере на котором и хочу ограничить. Сейчас ограничение на каждый IP, но это как бы не очень, в одном доме(vlan на дом) до ходит до 10-15 устройств

 

 

ЗЫ Сейчас по пробовал создал влан и создал бридж, влан в бридж, в Simple Queues создал правило где в поле General/target указал бридж, ограничение работает, если указать влан, не работает. Но у меня бридж на деревню в котором куча домов со своими вланами

Edited by RDEM

Share this post


Link to post
Share on other sites

ЗЫ Сейчас по пробовал создал влан и создал бридж, влан в бридж, в Simple Queues создал правило где в поле General/target указал бридж, ограничение работает, если указать влан, не работает. Но у меня бридж на деревню в котором куча домов со своими вланами

 

Сейчас у вас скорость ограничивается на бридже, а не на влане, если через бридж пойдет транзитный трафик, ограничиваться ничего не будет, вот пример рабочей схемы ограничения:

 

/interface vlan
add interface=ether1 name=vlan_L2 vlan-id=123
/queue simple
add interface=vlan_L2 max-limit=2M/2M name=L2
/queue simple
add max-limit=2M/2M name=L2 target=vlan_L2 target-addresses=""

 

Все отлично ограничивается, версия ПО 6-я. В 5-й ограничение работает только в одну сторону, если указывать интерфейс.

Первая строчка шейпера для 5, вторая для 6.

Share this post


Link to post
Share on other sites

ограничивается на бридже, а не на влане, если через бридж пойдет транзитный трафик, ограничиваться ничего не будет,

а не подскажите как правильно полисить транзитный влан?

Share this post


Link to post
Share on other sites

а не подскажите как правильно полисить транзитный влан?

 

Если он заведен на микротике как входящий и как исходящий, объединены через бридж, то правильно создать 2 правила, первое режет исходящий трафик одного влана, второй исходящий трафик другого.

Share this post


Link to post
Share on other sites

версия ПО 6-я.

 

Версия 6.26 и нельзя выбрать interface, нет такого меню, я так понимаю они заменили на target, но указав там влан, правило не ограничивает

 

Правило по ИП

add max-limit=640k/6M name=user_D5_251 target=10.0.5.251/32

Share this post


Link to post
Share on other sites

Версия 6.26 и нельзя выбрать interface, нет такого меню, я так понимаю они заменили на target, но указав там влан, правило не ограничивает

 

 

Я поправил предыдущее сообщение. Что бы ограничивалось, нужно создать влан на бридже или объединить его в бридж, соответственно в настройках бриджа нужно поставить галочки, разрешающие использование файрвола.

Share this post


Link to post
Share on other sites

В настройках бриджа(на главном роутере кто режет скорость) указал галочки Use Ip Firewall

Создал правило add max-limit=256k/512k name=201 target=vlan_201

target-addresses="" не дает вписать система

 

на другом роутере в сети создал влан на общем бридже и запихал его и вайфай интерфейс в отдельный бридж, подключаюсь телефоном к нужному вайфаю и мерю скорость на спидтест, входящий не ограничивает а исходящий режет как надо.

 

Не понимаю немного где собака по рылась

Share this post


Link to post
Share on other sites

Так у вас в одну сторону ограничение по влану, а в другую сторону прием на роутер. Сделайте это ограничение на промежуточном роутере и увидите что оно работает.

Share this post


Link to post
Share on other sites

Как бы не совсем правильное решение, ставить еще один роутер только для ограничения скорости по влан, я стремился к обратному, собрать все в одной железке

Share this post


Link to post
Share on other sites

Как бы не совсем правильное решение, ставить еще один роутер только для ограничения скорости по влан, я стремился к обратному, собрать все в одной железке

 

Так делать нельзя, т.к. если начнутся разного рода странности, будете гадать что приводит к их появлению, ведь все задачи решает одно устройство.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this