Перейти к содержимому
Калькуляторы

Микротик, ограничение скорости по vlan

Добрый день!

 

Не могу настроить в микротике ограничение скорости по vlan.

Имеем:

eth1: vlan10-A(id10),vlan20-A(id20)

eth2: vlan10-B(id10),vlan20-B(id20)

bridge10: vlan10-A,vlan10-B

bridge20: vlan20-A,vlan20-B

 

 

Внутри vlan'ов ходит трафик L2, ip-адресов нет, маршрутизация не производится.

 

Необходимо зарезать скорость по каждой паре vlan'ов, как это можно сделать?

 

Пакеты в L2 не маркируются, (пробовал /ip firewall mangle add chain=prerouting in-interface=vlan10-A action=mark-packet new-packet-mark=VLAN-10A).

В Queue нужно указывать target-ip, а ip могут быть любые, т.к. трафик L2 (а могут быть вообще не ip, а другие протоколы).

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Queue tree, вам туда. Или, совет ниже от Tem

post-73856-099697100 1387537040_thumb.jpg

Изменено пользователем ilili

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В настройках Queue щелкните Advanced , там будет пункт Interface, вот с его помощью и можно резать скорость на интерфейсе.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Нет такого пункта в адвансед (см. скриншот).

 

Версия софта и модель железки в скриншоте.

 

И в Мангле пакеты не маркируются, т.е. правило создал, а трафик по этому правилу не бегает.

 

Скриншот.

post-109464-066593400 1387538482_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Я не специалист в микротике, но из общесистемных знаний вытекает вопрос: если влан транзитный, то откуда возьмется интерфейс?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Если 2 влана объединены в бридж, тогда достаточно указать его в качестве интерфейса.

 

Другой вариант маркировать пакеты, проходящие по нему, тогда можно будет уже резать скорость по ним шейпером. Делать это нужно в bridge->filters, а не мангле. Предварительно поставьте галочку use ip firewall в основном окне бриджей кнопка Settings.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Другой вариант маркировать пакеты, проходящие по нему, тогда можно будет уже резать скорость по ним шейпером. Делать это нужно в bridge->filters, а не мангле. Предварительно поставьте галочку use ip firewall в основном окне бриджей кнопка Settings.

Спасибо! Этот способ помог!

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Добрый день!

 

Пробую заставить микротик резать скорость на интерфейсе,но чет не взлетает, прошу подсказать что я делаю не так.

Вообще говоря, задача стоит ограничить скорость для транзитного влана.

 

model: 1100AHx2 RouterOS 6.27

/interface bridge

add name=br3802

/interface bridge filter

add action=mark-packet chain=forward in-interface=Gi0/1.3802 new-packet-mark=3802

/interface bridge port

add bridge=br3802 interface=vpls3802

add bridge=br3802 interface=Gi0/1.3802

/interface bridge settings

set use-ip-firewall=yes

/interface bridge filter

add action=mark-packet chain=forward in-interface=Gi0/1.3802 new-packet-mark=3802

/queue tree

add max-limit=2M name=queue1 packet-mark=3802 parent=global queue=default

 

Со второй стороны туннеля аналогичная конструкция. Внутри туннеля pppoe.

в итоге маркировка работает:

# CHAIN ACTION BYTES PACKETS

0 forward mark-packet 40891943 45991

 

а ограничение скорости нет:

0 name="queue1" parent=global packet-mark=3802 rate=0 packet-rate=0 queued-bytes=0 queued-packets=0 bytes=0 packets=0 dropped=0

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

 

/interface bridge settings

set use-ip-firewall=yes

 

 

А если добавить

set use-ip-firewall=yes use-ip-firewall-for-vlan=yes

И указать сам vlan

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А если добавить

set use-ip-firewall=yes use-ip-firewall-for-vlan=yes

И указать сам vlan

пробовал, не помогло.

 

в итоге проблема решилась изменением parent=global на parent=vpls3802. Логика мне не понятна вообще... если указывать parent'ом Gi0/1.3802 то не работает. Видимо нужно углубиться в теорию очередей на RouterOS

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Разве нельзя дать на каждый влан свою скорость?

 

так долго шел к тому, что бы сделать свой влан на дом, а теперь не могу дом ограничить скоростью, только по IP

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Поставь FreeBSD, там такое легко несколькими способами :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

для того чтобы ограничить скорость на влан нужно просто понимать как бегает трафик и работают очереди в микрике, совсем не сложно, и способов тоже несколько :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Извините, я понимаю что тут каждый профессионал и нет желания делится тем, что вы копили многие годы, но вы ведь то же не сразу стали разбираться во всем. Буквально и я так же пару лет назад не знал вообще что такое микротик, а сейчас я уже знаю что такое винбокс и пару кнопок в роутерОС.

 

Если вы знаете какое либо решение в этом направлении, пжлст направьте в нужном направлении меня, был бы при много благодарен за какого либо рода пример либо ссылочку на подобное решение.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вообще делается просто - в бридже ставятся галочки что бы файрвол работал, далее в шейпере создается правило и указывается интерфейс, на котором резать скорость и ограничение, все работает. Если указанный интерфейс отсутствует на микротике, например хотите ограничить проходящий через маршрутизатор влан, то его ограничить нельзя. В этом случае надо прекратить транзитный пропуск трафика, создать вланы на микротике, объединить через бриджи и т.п.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Все вланы созданы на этом же роутере на котором и хочу ограничить. Сейчас ограничение на каждый IP, но это как бы не очень, в одном доме(vlan на дом) до ходит до 10-15 устройств

 

 

ЗЫ Сейчас по пробовал создал влан и создал бридж, влан в бридж, в Simple Queues создал правило где в поле General/target указал бридж, ограничение работает, если указать влан, не работает. Но у меня бридж на деревню в котором куча домов со своими вланами

Изменено пользователем RDEM

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ЗЫ Сейчас по пробовал создал влан и создал бридж, влан в бридж, в Simple Queues создал правило где в поле General/target указал бридж, ограничение работает, если указать влан, не работает. Но у меня бридж на деревню в котором куча домов со своими вланами

 

Сейчас у вас скорость ограничивается на бридже, а не на влане, если через бридж пойдет транзитный трафик, ограничиваться ничего не будет, вот пример рабочей схемы ограничения:

 

/interface vlan
add interface=ether1 name=vlan_L2 vlan-id=123
/queue simple
add interface=vlan_L2 max-limit=2M/2M name=L2
/queue simple
add max-limit=2M/2M name=L2 target=vlan_L2 target-addresses=""

 

Все отлично ограничивается, версия ПО 6-я. В 5-й ограничение работает только в одну сторону, если указывать интерфейс.

Первая строчка шейпера для 5, вторая для 6.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ограничивается на бридже, а не на влане, если через бридж пойдет транзитный трафик, ограничиваться ничего не будет,

а не подскажите как правильно полисить транзитный влан?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

а не подскажите как правильно полисить транзитный влан?

 

Если он заведен на микротике как входящий и как исходящий, объединены через бридж, то правильно создать 2 правила, первое режет исходящий трафик одного влана, второй исходящий трафик другого.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

версия ПО 6-я.

 

Версия 6.26 и нельзя выбрать interface, нет такого меню, я так понимаю они заменили на target, но указав там влан, правило не ограничивает

 

Правило по ИП

add max-limit=640k/6M name=user_D5_251 target=10.0.5.251/32

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Версия 6.26 и нельзя выбрать interface, нет такого меню, я так понимаю они заменили на target, но указав там влан, правило не ограничивает

 

 

Я поправил предыдущее сообщение. Что бы ограничивалось, нужно создать влан на бридже или объединить его в бридж, соответственно в настройках бриджа нужно поставить галочки, разрешающие использование файрвола.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В настройках бриджа(на главном роутере кто режет скорость) указал галочки Use Ip Firewall

Создал правило add max-limit=256k/512k name=201 target=vlan_201

target-addresses="" не дает вписать система

 

на другом роутере в сети создал влан на общем бридже и запихал его и вайфай интерфейс в отдельный бридж, подключаюсь телефоном к нужному вайфаю и мерю скорость на спидтест, входящий не ограничивает а исходящий режет как надо.

 

Не понимаю немного где собака по рылась

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Так у вас в одну сторону ограничение по влану, а в другую сторону прием на роутер. Сделайте это ограничение на промежуточном роутере и увидите что оно работает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Как бы не совсем правильное решение, ставить еще один роутер только для ограничения скорости по влан, я стремился к обратному, собрать все в одной железке

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Как бы не совсем правильное решение, ставить еще один роутер только для ограничения скорости по влан, я стремился к обратному, собрать все в одной железке

 

Так делать нельзя, т.к. если начнутся разного рода странности, будете гадать что приводит к их появлению, ведь все задачи решает одно устройство.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.

Войти сейчас