Есть 2 офиса, собрана схема DFL-210-Ipsec-DFL-210. Провайдер один, он утверждает, что канал между офисами равен 10 Мбит.
Требуется между тремя ip из одной сети и тремя ip другой сети обеспечить гарантированный канал в 20 kbps, но именно в рамках созданного VPN-туннеля.
Я читал мануал по шейпингу трафика и форум, там говорится, что сначала требуется создать правило с определением общей полосы пропускания, затем определить гарантированную. При этом говорится, что ограничение не может быть более всей доступной ширины полосы пропускания.
Вопрос вот в чем. Я не могу точно знать пропускную способность VPN-туннеля между офисами. Конечно, я замерял с секундомером, получалось в среднем от 5 до 6 Мбит/сек. Но что в данном случае принимать за общую ширину? То, что обещает провайдер или то среднее значение, которое я посчитал сам (но весьма и весьма грубо). И вообще, получится ли ограничивать трафик именно в рамках VPN?

Ограничить можно по интерфейсу и по IP. По поводу производительности устройство по IPSec, оно составляет примерно 25mbps

Сергей, но я ведь все равно должен определять pipe для общего канала? Мне немного непонятно тогда, что указывать в качестве общей ширины канала.

Это значение вам надо расчитать так, чтоб оно было чуть меньше ширины канала между вашими офисами из этого значения вычтите пропускную полосу вашего интернета, и получившееся значение будет total

Простите за тупость, но именно VPN, или того, что обещает провайдер?

up

В общем, у меня сейчас фактически только один вопрос к общественности остался

Вот мои настройки:
Traffic Shaping - Pipes:
Name Grouping GroupingNetworkSize LimitKbpsTotal LimitPPSTotal Comments
std-in None 9800
std-out None 9800

Внутри каждой "трубы" для highest (7) выбрано 20 kbps.

Pipe Chains:

# Name SourceInterface SourceNetwork DestinationInterface DestinationNetwork Service Comments
1 VoipIn wan all-nets lan ip_ats_group ats_group
2 VoipOut lan ip_ats_group wan all-nets ats_group
3 ToInternet lan lannet wan all-nets all_services
4 FromInternet wan all-nets lan lannet all_services

Здесь ip_ats_group - моя группа из 3х ip, ats_group - группа сервисов, для которой определяется полоса.

Соответственно, на вкладке Traffic Shaping:

VoipIn Forward-std-in Return-std-out
VoipOut Forward-std-out Return-std-in
ToIntenet Forward-std-out Return-std-in
FromIntenet Forward-std-in Return-std-out

Для VoipIn и VoipOut выбрано Use Fixed Precedence (7), для ToInternet и FromInternet - Use Fixed Precedence (5).

На втором DFL-210 полностью аналогичная группа правил.

Меня более всего волнует вопрос, верно ли я указал dst/src interface/network для цепочек. Мне надо, чтобы трафик органичивался по VPN - имеет ли значение, что я указал wan/wannet, или надо было указывать ipsec/remotenet? Ведь по идее трафик все равно идет по wan... Подскажите, верно ли?