+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Управление пропускной способностью и беспроводной мост.

Управление пропускной способностью и беспроводной мост., RouterOS

GJS

Guest

14.07.2004 00:17:00

У меня RouterOS V2.8.11 на Routerboard 230, настроено так: Интернет—MT—AP===WB—SW—PC, PC, PC.

MT: Mikrotik
AP: Беспроводная точка доступа
WB: Беспроводной мост
SW: Коммутатор
PC: 3 ПК, подключенные к коммутатору.

Я хочу ограничить входящую и исходящую полосу пропускания для всех ПК, находящихся за беспроводным мостом, а не для каждого ПК по отдельности. Беспроводной мост выполняет трансляцию MAC-адресов, поэтому весь трафик имеет MAC-адрес моста, а не MAC-адрес каждого ПК. У меня настроена маскировка, чтобы ПК получали частный IP-адрес от DHCP-сервера на частной стороне, и есть один публичный IP-адрес на публичной стороне, идущий в Интернет. Маршрутизация настроена так, что каждый ПК может получить доступ в Интернет. Я не могу ограничить полосу пропускания для всех ПК, используя DHCP-сервер, так как сервер видит MAC-адрес каждого ПК (MAC-адрес каждого ПК встроен в пакет запроса DHCP), поэтому мне нужно ограничивать согласно MAC-адресу беспроводного моста.

Пока что я настроил правило mangle, чтобы помечать каждый пакет, поступающий с MAC-адреса беспроводного моста, затем настроил дерево очередей, чтобы ограничивать полосу пропускания в соответствии с меткой.

Вопрос в том, это ли лучший способ ограничить полосу пропускания для всего, что находится за мостом? Или есть другой подход?

Заранее спасибо за любые советы.

Guy

Bill

Guest

14.07.2004 07:36:00

Пытаться маркировать трафик по MAC-адресу кажется сложным способом ограничения полосы пропускания. Просто используйте Simple Queue и ограничьте его по IP-адресу. Вы можете ограничить по отдельным IP-адресам или по группам IP-адресов. Я бы просто поставил недорогой роутер за бриджем и использовал Simple Queue для ограничения по IP-адресу, назначенному роутеру. Роутер раздавал бы IP-адреса и DNS-информацию всем ПК, подключенным к нему.

normis

Guest

14.07.2004 08:35:00

Чтобы это сделать: connection-mark все пакеты от MAC-адреса каждого клиента, используя разные метки для каждого клиента, с действием action=passthrough: `/ip firewall mangle add src-mac-address=01:23:45:67:89:AB mark-connection=AB`
Закомментируйте эти пакеты с flow-mark (снова разные flow-mark для каждого connection-mark): `/ip firewall mangle add connection=AB mark-flow=AB`
Теперь мы можем использовать эти flow-mark в дереве очередей. Хотя это решение должно работать, оно фундаментально ошибочно, так как первый пакет каждого соединения, предназначенный для этих клиентов, не будет учтен.

GJS

Guest

14.07.2004 11:12:00

Спасибо за ответы, господа. Я знаю, что размещение роутера за мостом решит проблему, но я хочу этого избежать из-за стоимости (в сети несколько беспроводных мостов). Также, хотя я могу назначить конкретный IP-адрес каждому клиенту за мостом, как мне помешать клиенту установить статический адрес и обойти контроль полосы пропускания? Используя схему mangle, какое влияние оказывает тот факт, что первый пакет не учитывается? Спасибо, Гай.

Bill

Guest

14.07.2004 16:11:00

Ты избегаешь проблемы, назначая всем статические IP-адреса. Используешь простую очередь для контроля полосы пропускания по IP-адресу или группе IP-адресов, и ставишь неназначенные IP-адреса в очередь с очень низкими настройками скорости. Преимущество здесь в том, что ты всегда знаешь, у кого какой IP-адрес, и знаешь, кого отключить, когда у них подхватит вирус и тормознет всю сеть.

GJS

Guest

14.07.2004 17:55:00

Билл, эта схема будет ограничивать полосу пропускания только для каждого ПК за мостом, а не общую полосу пропускания для всех ПК за мостом. Альтернативой может быть предоставление только одного IP-адреса на мост, а затем требование маршрутизатора для использования более чем одного ПК. Схема маркировки и дерева очередей, похоже, работает, но мне бы хотелось понять "фундаментальный недостаток" в ней. Спасибо, Гай.

lastguru

Guest

14.07.2004 19:18:00

Не переживайте из-за этого, как в случае с TCP — это просто пакет установления соединения, а вся дальнейшая коммуникация маркируется безупречно. Почему это происходит? Дело в том, что первый пакет нового соединения, предназначенный вашему клиенту, не имеет MAC-адреса источника вашего клиента (на самом деле, у него должен быть адрес назначения клиента, но вы знаете, что невозможно сопоставить MAC-адреса назначения в брандмауэре), поэтому он не совпадает ни с правилом маркировки соединения, ни со вторым правилом, которое проверяет марку соединения. Эти правила активируются только, когда клиент отвечает. Обратите внимание, что этот недостаток применяется только к входящим соединениям, то есть, если вы используете маскирование для этого клиента, этот недостаток к вам не относится, так как маскирование по определению предотвращает входящие соединения.

GJS Guest	#8 0 14.07.2004 20:41:00 Спасибо, это хорошие новости. Ещё один вопрос: как ограничить пропускную способность (до низкого или нулевого значения) для трафика, который не соответствует отмеченным MAC-адресам? Guy

Bill

Guest

15.07.2004 00:54:00

Можно использовать простые очереди для контроля по отдельным IP-адресам или по группам IP-адресов. Если ввести 192.168.2.176/32, то назначается очередь пропускной способности для этого IP-адреса. Если ввести 192.168.2.176/28, то назначается очередь пропускной способности, которая разделяется между этой группой IP-адресов (с 176 по 191). Очереди обрабатываются как правила брандмауэра: начиная с верха и двигаясь вниз, пока не найдется совпадение с IP-адресом или не закончатся правила. Можно начинать с верха с отдельными IP-адресами (/32), которые получают особый приоритет, добавлять очереди для определенных групп (/29,/28 и т.д.), а затем добавить правило, которое поймает все остальные (/24), чтобы ограничить любые неназначенные адреса. Попробуйте немного поэкспериментировать. Как только вы поймете принцип, думаю, вам покажется это намного проще, чем пытаться ограничивать по MAC-адресу. Все мои клиенты используют статические IP-адреса. У них либо роутер Trendnet за 35 долларов стоит за бриджованными радиоканалами (Alvarion), либо они используют CPE с функциями роутера, встроенными (Proxim MP.11). У меня есть простая очередь для каждого клиента, чтобы контролировать пропускную способность.

netcomp

Guest

#10

22.07.2004 08:36:00

Чтобы заблокировать все «нежелательные» другие IP-адреса, я бы использовал файрвол/правило/переадресацию, чтобы запретить, скажем, 10.0.0.0/24 (кажется, нужно также заблокировать webcache таким же образом – разрешить тех, кто нужен, запретить остальных) и затем перед этим поставил бы по одному IP, которые хочешь (например) разрешить 10.0.0.100/32, или даже лучше — прописал MAC-адреса в IP/ARP, чтобы никто не мог ничего получить от твоего роутера, если у него нет этого MAC-адреса с этим IP.

GJS

Guest

#11

22.07.2004 14:15:00

Спасибо, netcomp, попробую это. С тех пор, как я в последний раз писал в этой ветке, я использую универсальный клиент для перевода случайного IP-адреса (который я выдаю клиентам по DHCP) в определенный IP-адрес, заданный MAC-адресом беспроводного моста в списке доступа универсального клиента. Затем я применяю формирование полосы пропускания к этому IP-адресу. Какие-нибудь комментарии по поводу этой конфигурации?

netcomp

Guest

#12

22.07.2004 15:01:00

Кто выдает IP-адреса через DHCP, Mikrotik или бридж? Почему случайные IP-адреса? Если у вас небольшое количество клиентов, я не рекомендую DHCP. Знали ли вы, что некоторые бриджи заставляют все ПК «за» бриджем выглядеть так, как будто у них один MAC-адрес, но некоторые — нет, например, бридж d-link, так что с точки зрения точки доступа (AP) вы будете видеть все ПК (MAC-адреса) за бриджем.

GJS Guest	#13 0 22.07.2004 15:29:00 Микротик выдаёт DHCP-адреса. DHCP-адреса случайные или "dummy" (то есть немаршрутизируемые), потому что они сразу же переводятся в "реальную" (маршрутизируемую) сеть универсальным клиентским интерфейсом. На самом деле, я выдаю DHCP-адреса из сети 10.0.0.0/24, а потом перенаправляю их в сеть 192.169.0.0/24, которая маскируется под публичный адрес. Я хочу использовать DHCP, потому что DHCP-клиент — это настройка по умолчанию практически на любой машине с Windows. Кроме того, если DHCP не работает, некоторые клиенты Windows будут автоматически назначать себе IP-адрес, и это тоже будет работать через универсальный клиентский интерфейс. Да, мост, который я использую, переводит MAC-адрес хоста в свой MAC для всех клиентов, находящихся за мостом. К сожалению, протокол DHCP встраивает MAC-адрес запрашивающего клиента в пакет DHCP-запроса, в то время как заголовок пакета получает MAC моста. Поэтому DHCP-сервер выделяет IP-адрес по MAC-адресу клиента, а не моста. Следовательно, я не могу контролировать полосу пропускания по клиенту, только по хосту, используя этот метод. С моей текущей конфигурацией DHCP-сервер просто выдает любой адрес клиенту, если он запрашивает. Статические и автоматические адреса также будут работать. Поскольку универсальный клиентский интерфейс видит MAC моста, я назначаю IP-адрес этому конкретному MAC, используя список доступа универсального клиентского интерфейса. Затем я контролирую полосу пропускания туда и обратно для этого IP-адреса, используя простые очереди. Пока что это кажется рабочим, хотя в документации говорится, что универсальный клиентский интерфейс ломает некоторые протоколы. Мне предстоит ещё много экспериментов.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры