Jump to content
Калькуляторы

Нужен совет по организации трафика и биллингу.

Имеется такая сеть.post-102391-047237300 1398297938_thumb.jpg

Хочу вместо Traffic Inspectora (TI) поставить имеющийся в наличии Mikrotik RB2011UAS и разобраться с приоритизацией трафика и настроить биллинг.

Интернет канал - спутниковый с негарантированной скоростью 2048/512.

На этом канале VoIP телефония, ИТР и рядовые "серфингисты". Всего - около 200 пользователей.

Привелигированные пользователи (ИТР) имеют круглосуточный доступ в интернет, а рядовые - по расписанию.

Естественно, все органичены шейпером TI.

Приоритетной задачей является обеспечение нормальной телефонной связи без "бульканий" и "кваканий", а так же максимально удобной (быстрой) работы ИТР с программой, запускаемой посредством терминального подключения. Еще хотелось бы избавиться от паразитного трафика (системные обновления, обновления скайпа, обновления всевозможного ПО) и максимально утилизировать канал.

Существующий биллинг используется не по прямому назначению (так так счета пользователям не выставляем), а для того, чтоб пользоваться расписанием для предоставления доступа, шейпингом и встроенными фильтрами баннеров.

В связи с задумкой такого перехода возникают вопросы:

1. С чего все начинать? :)

2. Как авторизировать пользователей?

3. Какой биллинг использовать для наших нужд и как его прикрутить к Mikrotik?

Заранее спасибо за советы.

Share this post


Link to post
Share on other sites

1. С чего все начинать? :)

 

Поставить микротик.

 

2. Как авторизировать пользователей?

 

Через PPPoE - будут изолированные каналы до каждого, вы сможете удобно делать приоритеты просто по IP, т.к. важным абонентам дадите например 10.10.0.х а низкоприоритетным 10.11.0.х и легко распределите трафик. Поменять адреса сможете легко и не понадобится трогать оборудование абонентов.

 

3. Какой биллинг использовать для наших нужд и как его прикрутить к Mikrotik?

 

Биллинг Carbon в режиме управления оборудования.

 

Естественно, если у вас спутниковый канал, то можно рассмотреть упаковку трафика со сжатием во время передачи, для этого нужен еще один микротик на сети кабельного оператора, до которого ваш будет поднимать туннель через интернет. Так вы сможете увеличить скорость существующего канала.

Share this post


Link to post
Share on other sites

Интернет канал - спутниковый с негарантированной скоростью 2048/512.

Всего - около 200 пользователей.

Хорошо не будет никак.

Кто подключен по беспроводной сети? Только серфингисты или все?

Если это работники, а не клиенты, зачем биллинг?

Share this post


Link to post
Share on other sites

Через PPPoE

если организация - то читый идиотизм

Share this post


Link to post
Share on other sites

Хорошо не будет никак.

Кто подключен по беспроводной сети? Только серфингисты или все?

Это точно - в такой ситуации всем не угодишь. Хочется в первую очередь обеспечить нормальное качество IP-телефонии и работы приложения в терминальном подключении. Все остальные "хотелки" менее приоритетны.

По беспроводной сети подключены все - ИТР, рядовые пользователи. Причем с разношерстными девайсами - ноуты, планшеты, телефоны.

 

Если это работники, а не клиенты, зачем биллинг?

Это артель - геологи, добытчики, работающие в полевых условиях. Единственная связь с миром - это спутниковый канал связи.

Плату не берем, но некоторые возможности системы биллинга используем - фильтры, планировщик.

Сейчас, возможно, прийдется брать плату - слишком увеличились аппетиты до шарового интернета.

 

если организация - то читый идиотизм

Это толпа народа в лесотундре :) И хочется сделать канал управляемым, а не стихийным. Тут все средства хороши.

Edited by konst37

Share this post


Link to post
Share on other sites

Это толпа народа в лесотундре :) И хочется сделать канал управляемым, а не стихийным. Тут все средства хороши.

Тогда так, пилить полосу согласно качеству голоса, исходя из худшего 64Кбит, умножая на количество одноврененных разговоров. Это отдать голосовой сети, остальной - остальное, что достанется. Но для нормального разговора голосом вам придется таки пообщаться с провайдером, вы способны ограничить исходящий траффик, но входящий - вам неподвластен, захотят - заддосят, захотят - торрентами угробят, где-то так...

Share this post


Link to post
Share on other sites

IP-телефония это отдельные устройства (терминалы), подключенные отдельно?

Или это программные клиенты на компьютерах?

Если первое, то попробовать приоритезировать трафик можно.

Share this post


Link to post
Share on other sites

Но для нормального разговора голосом вам придется таки пообщаться с провайдером, вы способны ограничить исходящий траффик, но входящий - вам неподвластен, захотят - заддосят, захотят - торрентами угробят, где-то так...

Входящего 30-70Кбит хватает - труба одна, никаких одновременных разговоров. Торренты пока контролируем визуально - по монитору загрузки в TI

 

IP-телефония это отдельные устройства (терминалы), подключенные отдельно?

Отдельное. На схеме изображено.

 

Меня больше волнует это...

Через PPPoE - будут изолированные каналы до каждого, вы сможете удобно делать приоритеты просто по IP, т.к. важным абонентам дадите например 10.10.0.х а низкоприоритетным 10.11.0.х и легко распределите трафик. Поменять адреса сможете легко и не понадобится трогать оборудование абонентов.

Есть еще локальная сеть - хорошо бы предоставить доступ ноутам и стационарам доступ к общим ресурсам.

К примеру, настрою DHCP на выдачу адресов из диапазона 192.168.1.2- 192.168.1.254 (локалка)

Если на ноуте и стационарном компе можно настроить PPPoE для подключения к сети 10.10.0.х и к 10.11.0.х, то

как тогда определить приоритетность клиента с планшетом или телефоном, получившим адрес по DHCP?

Share this post


Link to post
Share on other sites

Тогда лучше оставить TI.

IP-телефон и VIP-клиентов пустить через NAT.

Всех остальных пускать только через HTTP-прокси, тогда можно будет не допускать перегрузки входящего канала.

Share this post


Link to post
Share on other sites

IP-телефон и VIP-клиентов пустить через NAT.

Тут не понял. Это в разрыв Спутнивовый модем - TI подключить микротик, а к нему IP-телефон? Это можно сделать, а вот VIP клиентов пустить через микротик сложнее - если б они подключались только к одной AP, то можно. А так они и по кабелю и по любой из AP могут подключиться (с ноута или планшета).

Для начала попробую в разрыв подключить микротик и на нем настроить приоритет для телефонного трафика и подключения по 443 порту для пользователей терминала.

 

 

Всех остальных пускать только через HTTP-прокси, тогда можно будет не допускать перегрузки входящего канала.

Уж очень не хочется бегать по всем клиентам и на каждой железке прописывать проксик. Может можно как-то силами микротика запретить обновления skype, антивирусов, windows и android?

Share this post


Link to post
Share on other sites

ерез HTTP-прокси, тогда можно будет не допускать перегрузки входящего канала.

прозрачный прокси, с кешированием данных, с таким каналом и таким кол-вом пользователей, наверно будет проще организовать прозрачный прокси на писюке, винты будете менять раз в год-два, зато за счёт кеша получите прирост

Уж очень не хочется бегать по всем клиентам и на каждой железке прописывать проксик. Может можно как-то силами микротика запретить обновления skype, антивирусов, windows и android?

это и на трафик инспекторе можно

Share this post


Link to post
Share on other sites

Все IP телефоны поддерживают подключение по PPPoE.

 

Если каждый абонент будет подключаться так же через PPPoE, то можно сделать им и локалку через сервер. Иначе кто-то один зафлудит сеть и она перестанет работать, если конечно везде управляемые коммутаторы не стоят=)

 

С PPPoE сможете выделить отдельную сеть для телефонов с приоритетами, остальные просто интернет + локалка поверх PPPoE, самая удобная схема в таких сетях.

Share this post


Link to post
Share on other sites

Уж очень не хочется бегать по всем клиентам и на каждой железке прописывать проксик.

Если проблема только в этом, то можно и прозрачный прокси сделать.

 

Это можно сделать, а вот VIP клиентов пустить через микротик сложнее - если б они подключались только к одной AP, то можно. А так они и по кабелю и по любой из AP могут подключиться (с ноута или планшета).

Я считал, что VIP-ы подключены проводом.

Но раз випы и обычные пользователи в одном сегменте, то значит авторизация нужна по логину/маку.

Если есть локалка, PPPoE я бы использовать не советовал, обслуживать будет неудобно.

Share this post


Link to post
Share on other sites

Если есть локалка, PPPoE я бы использовать не советовал, обслуживать будет неудобно.

 

Как раз удобно - вся локалка через центр, легко контролировать и отключать в случае проблем. Если локалку дать прямо так, например раздав адреса автоматом, или дать это на откуп клиентам, будет большая помойка и рассадник вирусов.

Share this post


Link to post
Share on other sites

Уважаемые, Saab95, alibek, что-то я запутался.

Знаний у меня пока маловато для полноценного революционного перехода на связку Mikrotik (в качестве NAS) и какого-либо linux-based биллинга. Микротик, как впрочем и основы линукса, у меня пока на стадии освоения.

Может оставить в качестве биллинга TI, а в роли NASа подключить микротик? И прописывать правила для приоритезации трафика для каждого пользователя? Вижу плюс в том, что можно "на гарячую", (при работе TI) пробовать "причесать" трафик от клиентов. На крайний случай всегда можно воспользоваться шейпером TI. А как прочувствую "на пальцах" работу микротика, так и избавлюсь от TI.

Share this post


Link to post
Share on other sites

Тогда заводите всех клиентов на микротике, а биллинг ТИ будет делать НАТ и резать скорость. Такая схема вполне рабочая. Но новые версии ТИ могут вроде как управлять сторонним оборудованием, можно и этой возможностью воспользоваться.

Share this post


Link to post
Share on other sites

Тогда заводите всех клиентов на микротике, а биллинг ТИ будет делать НАТ и резать скорость.

А может сразу в тетради в клеточку "биллинг" вести? Чего уж мелочиться :)

Ну и да, непонятно накой тут микротик, если с ним работать будет ровно так же как и без него - только гемора вдвое больше.

Share this post


Link to post
Share on other sites

А может сразу в тетради в клеточку "биллинг" вести? Чего уж мелочиться :)

Ну и да, непонятно накой тут микротик, если с ним работать будет ровно так же как и без него - только гемора вдвое больше.

 

Микротик будет пропускать трафик через себя и освободит ТИ от решения не профильных задач.

Share this post


Link to post
Share on other sites

Микротик будет пропускать трафик через себя и освободит ТИ от решения не профильных задач.

А какой тогда смысл в приоритезации трафика на микротике, если он попадет далее на TI и тот с ним поступит на свое усмотрение? И на выходе с микротика получим трафик преобразованный NATом c адресом назначения = WAN микротика? Или не пропускать через NAT микротика?

Share this post


Link to post
Share on other sites

А какой тогда смысл в приоритезации трафика на микротике, если он попадет далее на TI и тот с ним поступит на свое усмотрение? И на выходе с микротика получим трафик преобразованный NATом c адресом назначения = WAN микротика? Или не пропускать через NAT микротика?

 

Когда давным давно работал с ТИ, то перед ним стоял микротик, а нат делал ТИ, потому что иначе он тогда не мог вести учет трафика и отключать клиентов. Такая схема была намного более эффективная, чем пускать клиентов напрямую в ТИ, т.к. весь мусор оставался на микротике и на ТИ ничего лишнего не летело. Собственно когда микротика не было, ТИ зависал примерно раз в неделю=)

Share this post


Link to post
Share on other sites

Когда давным давно работал с ТИ, то перед ним стоял микротик, а нат делал ТИ, потому что иначе он тогда не мог вести учет трафика и отключать клиентов. Такая схема была намного более эффективная, чем пускать клиентов напрямую в ТИ, т.к. весь мусор оставался на микротике и на ТИ ничего лишнего не летело. Собственно когда микротика не было, ТИ зависал примерно раз в неделю=)

Точно моя ситуация, особенно с подвисающим ТИ. :)

Определились с тем, что ставлю микротик перед ТИ. Теперь буду мучить наводящими вопросами :).

Как лучше авторизировать пользователей на микротике чтоб настроить приоритезацию трафика?

Share this post


Link to post
Share on other sites

Если у вас клиенты по радио в виде наносов/микротиков, то самое удобное это PPPoE.

 

Приоритезацию трафика вы конечно можете попробовать сделать, но надо будет указать скорость процентов на 15 меньше, чем скорость входящего канала.

Share this post


Link to post
Share on other sites

Если у вас клиенты по радио в виде наносов/микротиков, то самое удобное это PPPoE.

 

Создал на интерфейсе ether8_VPN PPPoE сервер. Клиент подключается. Но до ТИ пинг не догодит.

Вот интерфейсы микротика

0   192.168.1.33/32    192.168.1.0     ether9_test                            
1   192.168.10.1/32    192.168.10.0    ether8_VPN                             
2 D 192.168.1.33/32    192.168.1.101   <pppoe-test> 

ether9_test - интерфейс для подключения к ТИ. Пользователи 192.168.1.33 и 192.168.1.101 есть в ТИ, но подключения не видит.

Вот маршруты

0 A S  0.0.0.0/0                          ether9_test               1
1 ADC  192.168.1.0/32     192.168.1.33    ether9_test               0
2 ADC  192.168.1.101/32   192.168.1.33    <pppoe-test>              0
3 ADC  192.168.10.0/32    192.168.10.1    ether8_VPN                0

Думаю, к ТИ должны приходить пакеты от 192.168.1.101 чтоб можно было управлять подключением?

Share this post


Link to post
Share on other sites

Вам надо на ТИ включить службу маршрутизация и удаленный доступ если он на винде 2003 сервер (или аналогичной) а на XP например прописать статические постоянные маршруты в сторону микротика, иначе трафик и не пойдет.

 

То есть надо на ТИ прописать адрес 192.168.0.1, на микротике на порту, подключенному в сторону ТИ адрес 192.168.0.2. На винде указываете маршрут на 192.168.0.0/16 на адрес 192.168.0.2, а на микротике маршрут 0.0.0.0/0 на адрес 192.168.0.1.

 

Соответственно ТИ будет отправлять запросы на всю сеть 192.168.0.0/16 на микротик и вы можете использовать ее для клиентской адресации и адресации оборудования.

Share this post


Link to post
Share on other sites

Сейчас работает схема, как на РИС1. Хочется перейти на схему, как на РИС2, чтоб ТИ мог управлять пользователями, подключившимися по PPPоE.

post-102391-045971300 1399156009_thumb.jpg

Edited by konst37

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this