Хочу попросить уважаемое сообщество помочь мне разобраться с шейперами на Mikrotik RB 1100 AHx2 в условиях нескольких локальных подсетей.
Итак, что мы имеем:
- интерфейс ether1, который имеет адрес 85.х.х.х и смотрит к провайдеру.
- интерфейс ether2, который имеет адрес 192.168.2.2 и смотрит во VLAN2 офисной сети, где ограничиваем скорость выхода в интернет значением 3 Мб/сек, у всех клиентов адреса статические
- интерфейс ether3, который имеет адрес 192.168.3.2 и смотрит во VLAN3 офисной сети, где нет ограничений по скорости, подсеть для избранных, у всех клиентов адреса статические
- интерфейс ether4, который имеет адрес 192.168.4.2 и смотрит во VLAN4, где сидят арендаторы и где скорость зарезана на 2 Мб/сек, там же поднят DHCP и нам на них наплевать
- в сети присутствует домен-контроллер, который имеет две сетевухи с адресами 192.168.2.200 и 192.168.3.200 и смотрит, соответственно сразу в два VLAN
Что необходимо получить в итоге:
- Зарезать арендаторам скорость до 2 Мб/сек.
- Зарезать одному из офисных VLAN скорость на 3 МБ/сек.
- Второму офисному VLAN оставить канал без ограничений, за исключением некоторых индивидов.
- В тоже время, сделать так, чтоб VLAN2 (ether2) и VLAN3 (ether3) могли общаться с домен-контроллером и между собой без вмешательства шейперов
Теперь приведу почти полную конфигурацию Микротика, убраны только не относящиеся к делу моменты:
Код: Выделить всё
# oct/18/2013 16:38:04 by RouterOS 5.24
# software id = MQS2-AHDN
#
# Именуем интерфейсы и назначаем IP-адреса
/ip address
add address=85.x.x.x/24 comment="WAN port" interface=ether1
add address=192.168.2.2/24 comment="LAN Office Limited" interface=ether2
add address=192.168.3.2/24 comment="LAN Office Unlimited" interface=ether3
add address=192.168.4.2/24 comment="LAN Others Superlimited" interface=ether4
# Задаем главный маршрут, чтоб все подсети в интернет ходили
/ip route
add distance=1 gateway=85.x.x.x
# Назначаем DNS, первый - внутренний домен-контроллер, второй - провайдера
/ip dns
set allow-remote-requests=yes servers=192.168.2.200,85.x.x.x
# Задаем правила файервола, чтоб подсети могли выходить в интернет и общаться между собой
/ip firewall nat
add action=masquerade chain=srcnat out-interface=ether1 to-addresses=0.0.0.0
add action=masquerade chain=srcnat out-interface=ether3
add action=masquerade chain=srcnat out-interface=ether4
add action=masquerade chain=srcnat out-interface=ether2
# Делаем пул адресов для DHCP в подсети арендаторов
/ip pool
add name=vlan4pool ranges=192.168.4.20-192.168.4.100
# Настраиваем DHCP-сервер на вышеназначенный пул
/ip dhcp-server
add add-arp=yes address-pool=vlan4pool always-broadcast=yes authoritative=yes disabled=no interface=ether4 name=vlan4dhcp
/ip dhcp-server network add address=192.168.4.0/24 dns-server=192.168.4.2,85.x.x.x gateway=192.168.4.2 netmask=24
# ДАЛЬШЕ НАЧИНАЕТСЯ БЛОК, НЕ СОВСЕМ ПОНЯТНЫЙ ДЛЯ МЕНЯ, ОН ПРИЗВАН ПОРЕЗАТЬ СКОРОСТЬ В ИНТЕРНЕТ, НО НЕ ТРОГАТЬ ЛОКАЛКУ
# Делаем адрес-листы сетей, при обращении к которым скорость резать НЕ НАДО
/ip firewall address-list
add address=192.168.2.0/24 list=of-vlan2
add address=192.168.3.0/24 list=of-vlan3
# Маркируем пакеты в сети, которые, как я понимаю, не относятся к VLAN 2 и 3
/ip firewall mangle
add action=mark-packet chain=prerouting dst-address=0.0.0.0/0 dst-address-list=!of-vlan2 new-packet-mark=of-vlan2-mark
add action=mark-packet chain=prerouting dst-address=0.0.0.0/0 dst-address-list=!of-vlan3 new-packet-mark=of-vlan3-mark
# Режем скорость трафика
/queue simple
add max-limit=2M/2M name="Queue LAN Others Superlimited" queue=ethernet-default/ethernet-default target-addresses=192.168.4.0/24 total-queue=ethernet-default
add max-limit=3M/3M name="Queue LAN Office Limited" packet-marks=of-vlan2-mark queue=ethernet-default/ethernet-default target-addresses=192.168.2.0/24 total-queue=ethernet-default
add max-limit=1M/1M name=vorobiev1 packet-marks=of-vlan3-mark queue=ethernet-default/ethernet-default target-addresses=192.168.3.16/32 total-queue=ethernet-default
# КОНЕЦ НЕ СОВСЕМ ПОНЯТНОГО БЛОКА
Конфигурацию в свое время мне помогали создать здесь, на форуме, за что ребятам отдельное ОГРОМНОЕ спасибо! Сам бы я до такого не смог додуматься.
В чем суть момента? Суть в том, что если в Simple Queue мы просто поставим ограничение по скорости, то оно применится ко всему трафику, включая локальный, что допустить нельзя.
Мне посоветовали и показали как сделать такую штуку - маркируем ВЕСЬ трафик, который проходит через Микротик, за исключением локального трафика в сети 192.168.2.х и потом этот трафик режем по скорости.
Первая строка Simple Queue add max-limit=2M/2M name="Queue LAN Others Superlimited" queue=ethernet-default/ethernet-default target-addresses=192.168.4.0/24 total-queue=ethernet-default тупо режет канал арендатором. На их локальный трафик нам плевать, поэтому такое правило полностью устраивает и абсолютно рабочее.
Последняя строка режет трафик одному индивиду, который хоть и сидит в привилегированной подсети, но задолбал качать постоянно видео.
Строка add max-limit=1M/1M name=vorobiev1 packet-marks=of-vlan3-mark queue=ethernet-default/ethernet-default target-addresses=192.168.3.16/32 total-queue=ethernet-default режет весь трафик, помеченный марком of-vlan3-mark, это весь трафик, кроме локального для этого чувака - 192.168.3.х
Вопрос по средней строке - add max-limit=3M/3M name="Queue LAN Office Limited" packet-marks=of-vlan2-mark queue=ethernet-default/ethernet-default target-addresses=192.168.2.0/24 total-queue=ethernet-default
Она режет весь трафик, который помечен марком of-vlan2-mark, а это весь трафик, кроме локального для этой группы - 192.168.2.х И вроде бы все правильно, все хорошо..... Но что-то я в пятницу заметил, сидя в web-интерфейсе, Микротика, что периодически на ограниченном офисном интерфейсе VLAN2 (ether2) взлетает трафик аж выше 10 Мб/сек и, соответственно сажает весь интернет трафик просто ниже плинтуса, скорость даже до 1 Мб/сек в привилегированной сети не поднимается.
Почему так происходит? Вроде же не должно так быть? Самое интересное, что если я поменяю эту среднюю строчку так -
add max-limit=3M/3M name="Queue LAN Office Limited" packet-marks=of-vlan2-mark,of-vlan3-mark queue=ethernet-default/ethernet-default target-addresses=192.168.2.0/24 total-queue=ethernet-default
т.е., добавлю туда марк of-vlan3-mark, теперь режется только трафик, который не относится ни к сети 192.168.2.х, ни к 192.168.3.х, то таких всплесков не случается, скорость в ограниченном офисном VLAN не поднимается выше запланированных 3 Мб/сек.
Не понимаю, почему так происходит. Не успел проверить, но опасаюсь, не режется ли теперь и локальный трафик?
Уважаемый, посмотрите на конфиг, может, подскажите чего?
Заранее спасибо!
С уважением, Алексей
P.S. а какой прогой можно смотреть скорость скачивания по внешнему интерфейсу по всем IP локальной сети на основе, допустим, NetFlow? У меня раньше на одном компе стоял NetFlow Traffic Analyzer. Отличная прога, но вот именно с тем, чтоб посмотреть какой IP сейчас с кайо скоростью качает - вот с этим у нее как-то не очень. Вот объемы скачивания и куда кто ходил - в ней просто классно смотреть. Ну или я не разобрался, как ее настроить