Kształtowanie w systemie Linux (vlan + nat + in / out)?

Autor:anggraini

Wiem, że napisano o tym wiele artykułów, ale niestety, jak dotąd, wszystkie one nie przyniosły żadnej jasności. = (

Istnieje router linuxowy (w małym domowym dostawcy, distro - gentoo), rozpowszechniający Internet ponad 150 użytkowników.

Konieczne jest zapewnienie ograniczenia prędkości zarówno dla użytkowników, jak i dla nich, zgodnie z taryfami.

Każdy dom ma swój własny vlan, a następnie wszystkie te vlany przychodzą do routera. Przy wyjściu, jeden interfejs eth do Internetu. Wszyscy użytkownicy siedzą pod adresem.

Schemat wygląda następująco:

{vlan1, vlan2, ..., vlann} eth0 = & gt; (pc-router) [nat] = & gt; eth1

Konieczne jest zatem ograniczenie prędkości zarówno przychodzących, jak i wychodzących dla każdego użytkownika zgodnie z jego TP.

Nie oferuję: Separacja dla różnych samochodów, tsiska.

Musisz to zrobić na jednej taczce. Przynajmniej fryakh z tym zadaniem w innym segmencie radzi sobie z hukiem (pójdę do niego, jeśli nadal nie opanuję shaper w Linuksie, ale nadal nie mam ochoty się poddawać)

Teoretycznie musisz stworzyć wirtualny interfejs ifb, ale nie mogę wymyślić, jak zaprzyjaźnić się z nim w + out + nat + vlan.

Odpowiedzi

marcela
A jaki, w rzeczywistości, problem? Oznacz za pomocą iptables w mangle :: FORWARD, a następnie zwykle HTB na vlan * i eth1, za pomocą filtru ruchu ruchu sieciowego Fw wg. klasy.
Kształt będzie wynikał odpowiednio z interfejsu. NAT nie jest absolutnie przeszkodą, ponieważ przed nim występuje kolorowanie ruchu.
Odpowiedzi:
Jako VLAN sporo, chciałbym pozbyć się potrzeby uwzględnienia wszystkich interfejsów shaper, również trzeba obliczyć co rozmówca zawiesza interfejsu, tak aby nie zmuszać jądra, aby szukać użytkownikowi, gdzie nie jest.
Więcej czytałem gdzieś, że nie może być więcej niż 255 etykiet, choć może to było w starszych jąder.

Ogólnie rzecz biorąc, chcę znaleźć prostszy sposób. - flissc
michelle mcgrath
Szczerze mówiąc, shaper w ipfw jest DUŻO wygodniejszy niż iproute2, więc całkiem możliwe jest przejście na fryahu po całej właściwej decyzji ... Chociaż sam użytkownik Linuksa, ale wciąż.
Odpowiedzi:
To jest tak. Powodem, który skłonił go do spróbowania przejścia na Linuksa, jest znacznie wygodniejsza zapora ogniowa niż ipfw, chociaż jest to prawdopodobnie kwestia gustu.
Ale osobiście mam doświadczenie z używaniem ipfw całkiem sporych rozmiarów i po odczuwaniu i budowaniu iptables, zrozumiałem, że iptables jest setki razy bardziej przejrzysty i prosty w konfiguracji. - ollie latham
Co ciekawe, mam całkiem przeciwne doświadczenie z używaniem iptables, a po wypróbowaniu ipfw uznałem to za wygodniejsze ... hmm) - sueann
anita harris
Shaper w systemie Linux jest poważny. Składnia tc tylko przyczynia się do tego. Szczególnie jeśli chcesz uczciwie podzielić nadchodzący zespół, nie znam prostego natywnego sposobu na zrobienie tego. Tylko z kulami w postaci IFB lub IMQ, lepiej niż IFB jest ideologicznie poprawny, a nawet wydaje się, że nie trzeba krosować jądra i iptables. Ruch wychodzący (przechodząc z routera do użytkowników w Vilanie) kształtowałbym bezpośrednio na ich interfejsach sieciowych. Skrzynka odbiorcza od użytkowników oznaczona tagami i zapakowana w IFB. W IFB drzewo klasy HTB jest zawieszone, a użytkownicy są filtrowani według marki, każdy na swoim liściu. Mój ruch zostanie przekierowany tutaj przez ten wspaniały zespół.
$ TC filter dodaj dev $ VLAN parent ffff: protokół ip prio 1 u32 match u32 0 0 flowid 1: 1 action ipt -j MARK - set-mark $ VID akcja mirred egress redirect dev $ IFB
Krótko mówiąc, umieść tam fryahu, jeśli go zrozumiesz, będzie łatwiejsze i bardziej niezawodne dla użytkowników.
Zadzwoń na gwiazdkę i zagraj w mp3? :: Konta Google :: Nowy projekt od twórcy Habr :: Brakujący klucz z backportów debiana. Gdzie szukać? :: VOIP GSM z modemu 3G, który ma doświadczenie?
Zostaw odpowiedź
Linki