faq обучение настройка
Текущее время: Ср авг 06, 2025 12:29

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 34 ]  На страницу Пред.  1, 2, 3  След.
Автор Сообщение
 Заголовок сообщения:
СообщениеДобавлено: Сб мар 14, 2009 21:56 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow
Я Вам прошивку и рекомендации выслал.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вс мар 15, 2009 14:24 
Не в сети

Зарегистрирован: Ср ноя 09, 2005 14:26
Сообщений: 808
Откуда: Alma-Ata
Иван, snark, ваши прошивки получил.
Спасибо!
Пока не работает. Разбираюсь.
У меня попутно еще один вопрос возник. Как посмотреть счетчики для флоу_метра?
Код:
DGS-3627G:5#sh flow
Command: show flow_meter

Flow Meter Information
---------------------------------

Profile ID:1     Access ID:1     Mode : trTCM
CIR:64(64Kbps)     CBS:1(Kbyte)     PIR:65(64Kbps)     PBS:2(Kbyte)
Action:
      Conform : Permit                        Counter: Enabled
      Exceed  : Drop                          Counter: Enabled
      Violate : Drop                          Counter: Disabled

Profile ID:1     Access ID:3     Mode : trTCM
CIR:64(64Kbps)     CBS:1(Kbyte)     PIR:65(64Kbps)     PBS:2(Kbyte)
Action:
      Conform : Permit                        Counter: Enabled
      Exceed  : Drop                          Counter: Enabled
      Violate : Drop                          Counter: Disabled





Total Entries: 2


DGS-3627G:5#

Вот эти самые, которые "Counter: Enabled"?

дополнение:
snark, в Вашей прошивке в вебе не работает секция мониторинг - пакеты - RX. Вам оно, конечно, не важно (да и мне тоже, просто я искал то место, где мне покажут счетчики для флоуметра), но для истории может пригодиться.


Последний раз редактировалось GreatFoolDad Вс мар 15, 2009 16:16, всего редактировалось 1 раз.

Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вс мар 15, 2009 16:13 
Не в сети

Зарегистрирован: Ср ноя 09, 2005 14:26
Сообщений: 808
Откуда: Alma-Ata
Так, нашел я, где собака порылась!
Вот такая конструкция работает!
Код:
create access_profile profile_id 2 ip source_ip_mask 255.255.255.255
config access_profile profile_id 2 add access_id auto_assign ip source_ip 10.68.21.6  port 22 permit rx_rate 8
config access_profile profile_id 2 add access_id auto_assign ip source_ip 10.68.21.4  port 22 permit rx_rate 4
config access_profile profile_id 2 add access_id auto_assign ip source_ip 10.68.21.2  port 22 permit rx_rate 2
config access_profile profile_id 2 add access_id auto_assign ip source_ip 10.68.20.2  port 22 permit rx_rate 1
config access_profile profile_id 2 add access_id auto_assign ip source_ip 10.68.20.14  port 22 permit rx_rate 16
config access_profile profile_id 2 add access_id auto_assign ip source_ip 10.68.20.16  port 22 permit rx_rate 32
create access_profile profile_id 3 ip destination_ip_mask 255.255.255.255
config access_profile profile_id 3 add access_id auto_assign ip destination_ip 10.68.21.6  port 23 permit rx_rate 8
config access_profile profile_id 3 add access_id auto_assign ip destination_ip 10.68.21.4  port 23 permit rx_rate 4
config access_profile profile_id 3 add access_id auto_assign ip destination_ip 10.68.21.2  port 23 permit rx_rate 2
config access_profile profile_id 3 add access_id auto_assign ip destination_ip 10.68.20.2  port 23 permit rx_rate 1
config access_profile profile_id 3 add access_id auto_assign ip destination_ip 10.68.20.14  port 23 permit rx_rate 16
config access_profile profile_id 3 add access_id auto_assign ip destination_ip 10.68.20.16  port 23 permit rx_rate 32

на прошивках:
Build 2.40.B77 (от И.Демина)
Build 2.20-B35 (с FTP)
Build 2.40.B75 (моя текущая)
Build 2.40.B55 (от snark-а)
Т.е. Иван и snark, приношу свои пардоны! При возможности, залью их вам пивом!
Не работало у меня по 2-м причинам.
1. когда в начале я пробовал все 10-м профилем сделать, у меня был еще 4-й профиль - для ДХЦП-запрсов
Код:
create access_profile profile_id 4 ip udp src_port_mask 0xFFFF dst_port_mask 0xFFFF
config access_profile profile_id 4 add access_id 22 ip udp src_port 68 dst_port 67  port 22 permit rx_rate no_limit
config access_profile profile_id 4 add access_id 53 ip udp src_port 67 dst_port 68  port 24 permit rx_rate no_limit
.
Я не знаю, почему после него рейт-лимит не пахал.
Как только сделал профили до 4-го - все начало получаться
2. Когда я добавил вилан в профиль, "хотел как лучше, получилось как обычно" - у меня клиентский вилан 68-й. а после 23-го порта идет точка-точка! т.е. там не 68-й вилан.
Короче! 100% мои косяки! ну....... не знаю, как оно так получилось!
Спасибо вам, господа!
И все же, вопросы остались:
1. Как посмотреть счетчики для флоу_метра?
2. У меня получится порядка 1000 рейт-лимитов (по 500 туда и обратно) - не загнется ли от этого 3627-й?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вс мар 15, 2009 17:43 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow
Рад слышать! По поводу кол-ва записей Per Flow Bandwidth control не загнётся они здесь полностью аппаратные. По поводу счётчиков в show packet ports нет?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пн мар 16, 2009 07:52 
Не в сети

Зарегистрирован: Ср ноя 09, 2005 14:26
Сообщений: 808
Откуда: Alma-Ata
Нашел! Вот тут они:
Код:
DGS-3627G:5#sh acce pr 3
Command: show access_profile profile_id 3

Access Profile Table

Total Unused Rule Entries:122
Total Used Rule Entries  :6


Access Profile ID: 3                                      Type : IP
================================================================================
Owner       : ACL
MASK Option :
Dst. IP MASK
255.255.255.255
---------------

Access ID : 1              Mode: Permit               RX Rate(64Kbps): 8
Ports: 23
---------------
10.68.21.6
================================================================================


Access ID : 2              Mode: Permit               RX Rate(64Kbps): 4
Ports: 23
---------------
10.68.21.4
================================================================================


Access ID : 3              Mode: Permit               RX Rate(64Kbps): 2
Ports: 23
---------------
10.68.21.2
================================================================================


Access ID : 4              Mode: Permit               Flow Meter
Ports: 23
Green Counter:5081                   Red Counter:646
---------------
10.68.20.2
================================================================================


Access ID : 5              Mode: Permit               RX Rate(64Kbps): 16
Ports: 23
---------------
10.68.20.14
================================================================================


Access ID : 6              Mode: Permit               RX Rate(64Kbps): 32
Ports: 23
---------------
10.68.20.16
================================================================================
Unused Entries: 122

DGS-3627G:5#   

в 4-м правиле флоу_метр используется, в остальных - просто RX Rate.
А вообще, есть ли разница, что использовать? И что лучше использовать, если я желаю ограничить скорость клиенту "туда" и "обратно" (предполагаю не ограничивать скорость в 10-й сетке, а в остальной - считай-интернет - ограничить, к примеру, 256К"). Чем-то же отличаются flow_meter от RX Rate? Что предпочтительнее использовать?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вт мар 17, 2009 02:04 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пт май 13, 2005 15:49
Сообщений: 20616
Откуда: D-Link, Moscow
Рад слышать! Базируются они на одном механизме и могут ограничивать скорость только на вход по порту. Поэтому по сути без разницы. Обратное направление можно ограничивать по входу с uplink.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вт мар 17, 2009 14:25 
Не в сети

Зарегистрирован: Пн сен 27, 2004 18:18
Сообщений: 1642
Откуда: Vault 13
GreatFoolDad писал(а):
Чем-то же отличаются flow_meter от RX Rate?

в flow_meter есть возможностью задать cir/pir/burst, в то время как rx_rate только cir ... что лучше использовать? все зависит от скоростей ... например для Ваших гипотетических 256k эти механизмы лучше вообще не применять, т.к. будет довольно большой процент переприема трафика, а на скоростях выше мегабита используя flow_meter (если конечно все что там заявлено будет нормально работать и кто нить туда напильник не всунет в очередной бете) можно обеспечить гораздо более меньшую пилу чем при использовании rx_rate ... хотя вполне может статься что они действуют одинаково и все эти красно-желто-зеленые цвета ни на что не влияют ... вообще использовать свич не знающий о шейпинге (для 256k только шейпинг!) для ограничения скорости при раздаче инета - это, IMHO, mauvais ton ...

_________________
с уважением, БП


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Ср мар 18, 2009 07:07 
Не в сети

Зарегистрирован: Ср ноя 09, 2005 14:26
Сообщений: 808
Откуда: Alma-Ata
mauvais ton - дурной тон?
(ну не изучал я французского)
Вообще, идея у меня благородная - освободить цискин маршрутизатор от резки скорости клиентам (посредством rate-limit-ов). Да и лишний трафик прибить "на районе" и не таскать его через всю сетку к маршрутизатору.
А насчет пилы - это я по наличию времени погляжу - сравнить, как скачет скорость закачки при использовании разных способов шейпинга.
Хотя с первого взгляда видно, что чисто технически проще пользоваться ацл-ом с rx limit-ом - заводить проще (для инженеров).


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Ср мар 18, 2009 13:55 
Не в сети

Зарегистрирован: Пн сен 27, 2004 18:18
Сообщений: 1642
Откуда: Vault 13
GreatFoolDad писал(а):
mauvais ton - дурной тон?
(ну не изучал я французского)

да, "дурной тон" ... я тоже не изучал французского т.к. образования у меня всего 2 класса + корридор :)

GreatFoolDad писал(а):
Вообще, идея у меня благородная - освободить цискин маршрутизатор от резки скорости клиентам (посредством rate-limit-ов).

идея более чем благородная, но неужели rate-limit-ы так сильно грузят? если бы речь шла о GTS или полиси-марах, то тогда да, тогда подгужают, но чтоб полисеры ... кстати, что мешает вынести шейпинг на отдельный РС тазик?

GreatFoolDad писал(а):
Да и лишний трафик прибить "на районе" и не таскать его через всю сетку к маршрутизатору.

это без сомнения правильно! но тогда и резать надо в -х местах:
- на порту клиента - дабы зарезать исходящий трафик
- в ядре - дабы к клиенту шла уже его полоса
подумайте над тазиком под шейпинг и резаньем скорости сразу на порту - так оно будет и кошерней и удебнее, т.к. сам тазик сможет при изменении шейпера зайти на свич и поправить там ACL ;)

_________________
с уважением, БП


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Ср мар 18, 2009 14:27 
Не в сети

Зарегистрирован: Ср ноя 09, 2005 14:26
Сообщений: 808
Откуда: Alma-Ata
что посоветуете в кач-ве "тазика под шейпинг"?
естессно, под nix*-ами (лучше конечно линуксовое че-нить, но фрю тоже можно)
на порту резать - не проканает.
я ведь хочу резать скорость, например, на 256К. А у 3526/3550 шаг мегабит.
да, есть, конечно и 3028/3052 с шагом 64 К. Но основное кол-во - это 35-е


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Ср мар 18, 2009 15:02 
Не в сети

Зарегистрирован: Пн сен 27, 2004 18:18
Сообщений: 1642
Откуда: Vault 13
GreatFoolDad писал(а):
что посоветуете в кач-ве "тазика под шейпинг"?
естессно, под nix*-ами (лучше конечно линуксовое че-нить, но фрю тоже можно)

т.к. линух мне не очень нравится то посоветую строить на freebsd где использовать связку ipfw + таблицы, но можно и ng_car поюзать ... насчет железа - тут все упирается в _хорошие_ сетевушки от Intel, т.к. все остальное - откровенное Г (прости меня, D-Link), ну а железо ... если есть что нить безхозное двухядерное - на этом и поставьте, заодно и глянете, вдруг его хватит и тратиться не надо будет ...
захотите сделать все через РРРоЕ/РРТР - маякуйте, я вам помогу собрать NAS на фре с шейпингом, netflow и прочими полезными и не очень вещами ;)

GreatFoolDad писал(а):
на порту резать - не проканает.
я ведь хочу резать скорость, например, на 256К. А у 3526/3550 шаг мегабит.
да, есть, конечно и 3028/3052 с шагом 64 К. Но основное кол-во - это 35-е

а кто сказал что резать можно только на них? да, это более правильно, но, в конце концов, можно же и до ближайшего 36-го свича трафик догнать (лишние пересылки дропнутых пакетов по гигабитной магистрали - ерунда, согласитесь) где собсно и зарезать скорость ... от такого решения есть немалая польза, т.к. все органичения будут ровно в 2-х местах - на шейпере в ядре и на ближайшем к юзеру свиче, а не раскиданы по сотне юзерских свичей ...

_________________
с уважением, БП


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Ср мар 18, 2009 15:42 
Не в сети

Зарегистрирован: Ср ноя 09, 2005 14:26
Сообщений: 808
Откуда: Alma-Ata
Собственно, и пришли к тому, с чего начинали.
Скорость резать на 36-м.
Что касается PPPoE. У меня есть готовая схема с использованием FreeNIBS (NIBS+FreeRADIUS+CISCO). Все классно режет.
(про PPTP ничего умного не скажу - не пробовал).
Просто у меня есть жгучее желание построить сетку на именно на IP.
Т.е. вся авторизация будет именно по IP (естессно, 82-я опция DHCP, IP-MAC-binding с использованием того же DHCP). Что-то мне подсказывает, что это должно быть интересно.
И еще есть один фактор, который делает использование PPPoE невозможным. У нас изрядная часть клиентов уже подключена через PPPoE, но к другому провайдеру - наша сеть используется тем провом в кач-ве последней мили. Вот дать им доступ во всякие "вкусные" сервиса у нас в сетке можно только не по PPPoE


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Ср мар 18, 2009 17:11 
Не в сети

Зарегистрирован: Пн сен 27, 2004 18:18
Сообщений: 1642
Откуда: Vault 13
GreatFoolDad писал(а):
Что касается PPPoE. У меня есть готовая схема с использованием FreeNIBS (NIBS+FreeRADIUS+CISCO). Все классно режет.

нибс? надо же ... еще жив курилка :) сам когда-то юзал, но после того как я увидел более мощный и надежный биллинг - конвертер был написан за пол дня ...
т.к. кошаки способные переварить все и вся стоят чуть меньше самолета, то я принял решение реализовавать все на фре с мпд, о чем в общем то не жалею ...

GreatFoolDad писал(а):
(про PPTP ничего умного не скажу - не пробовал).

тот же МТС, только вид в профиль ...

GreatFoolDad писал(а):
Просто у меня есть жгучее желание построить сетку на именно на IP.
Т.е. вся авторизация будет именно по IP (естессно, 82-я опция DHCP, IP-MAC-binding с использованием того же DHCP). Что-то мне подсказывает, что это должно быть интересно.

этакое жгучее желание страстного секса? да, оно будет работать! но такого удобства в управлении юзерами как в случае с РРРоЕ Вы не получите, зато получите взамен подмены IP/МАС-ов и т.п. болячки езернета ...

GreatFoolDad писал(а):
И еще есть один фактор, который делает использование PPPoE невозможным. У нас изрядная часть клиентов уже подключена через PPPoE, но к другому провайдеру - наша сеть используется тем провом в кач-ве последней мили. Вот дать им доступ во всякие "вкусные" сервиса у нас в сетке можно только не по PPPoE

использование другим провом вашей сети для разливания инета - это такая разновидность благотворительности? впрочем это не мое дело ... про выбор РРРоЕ клиентом сервера на основе его имени рассказать или Вы в курсе?

_________________
с уважением, БП


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт мар 19, 2009 07:25 
Не в сети

Зарегистрирован: Ср ноя 09, 2005 14:26
Сообщений: 808
Откуда: Alma-Ata
Цитата:
про выбор РРРоЕ клиентом сервера на основе его имени рассказать или Вы в курсе?

Ооооооочень интересно послушать/почитать - не в курсах я.
Единственное что, те клиенты (что используют нас как последнюю милю) должны коннектиться через их (той компании, что имеет нас в качестве последней мили), чтобы попадать в инет.
хм........
Или Вы предлагаете для того клиента такой вариант - хочешь инет - авторизуешься на одном сервере, хочешь че-нить вкусного из нашей сетки, авторизуешься на другом (нашем сервере)?
Что до цискиного роутера, то он у нас есть, даже не один. Стало быть грех его не задействовать по уму. Сейчас он, реально, шейпит и натит клиентов. Больше, по большому счету, он ничем не занят.
Цитата:
этакое жгучее желание страстного секса? да, оно будет работать! но такого удобства в управлении юзерами как в случае с РРРоЕ Вы не получите, зато получите взамен подмены IP/МАС-ов и т.п. болячки езернета ...

типа того...... - секса.....
подмены ip/mac быть не должно.
ip - раздается через дхцп. подмена убирается на акксесных коммутаторах этой штукой
Код:
# IPBIND
config address_binding ip_mac ports 1-24 state enable
config address_binding ip_mac ports 1-24 allow_zeroip enable
config address_binding ip_mac ports 1-24 forward_dhcppkt disable
disable address_binding acl_mode
enable address_binding trap_log
enable address_binding dhcp_snoop
config address_binding dhcp_snoop max_entry ports 1-24 limit 5
config address_binding dhcp_snoop max_entry ports 25-26 limit no_limit
config address_binding ip_mac ports 1-24 stop_learning_threshlod 5

mac - ip раздается через дхцп с 82-й опцией, т.е. клиентский МАС тут вообще не играет.
На самом деле, если я что-то упустил, Вы мне об этот пренепременно скажите - профессиональный взгляд со стороны - весьма полезная штука для выявления всяких недочетов.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт мар 19, 2009 14:10 
Не в сети

Зарегистрирован: Пн сен 27, 2004 18:18
Сообщений: 1642
Откуда: Vault 13
GreatFoolDad писал(а):
Цитата:
про выбор РРРоЕ клиентом сервера на основе его имени рассказать или Вы в курсе?

Ооооооочень интересно послушать/почитать - не в курсах я.
...
Или Вы предлагаете для того клиента такой вариант - хочешь инет - авторизуешься на одном сервере, хочешь че-нить вкусного из нашей сетки, авторизуешься на другом (нашем сервере)?
Что до цискиного роутера, то он у нас есть, даже не один. Стало быть грех его не задействовать по уму. Сейчас он, реально, шейпит и натит клиентов. Больше, по большому счету, он ничем не занят.

да, именно это и предлагаю ... обратимся к RFC 2516, где увидим:
RFC 2516 писал(а):
5.2 The PPPoE Active Discovery Offer (PADO) packet

The PADO packet MUST contain one AC-Name TAG containing the Access
Concentrator's name, a Service-Name TAG identical to the one in the
PADI, and any number of other Service-Name TAGs indicating other
services that the Access Concentrator offers.


5.3 The PPPoE Active Discovery Request (PADR) packet

Since the PADI was broadcast, the Host may receive more than one
PADO. The Host looks through the PADO packets it receives and
chooses one. The choice can be based on the AC-Name or the Services
offered. The Host then sends one PADR packet to the Access
Concentrator that it has chosen.

после этого обратимся к KB 283070 где русским по белому написано:
Microsoft писал(а):
В поле "Service Name" выберите название службы, поддерживаемую Вашим Интернет-провайдером (Internet service provider - ISP), и нажмите кнопку "Next".

за разъяснениями поведения виндового клиента обращаемся к статье в M$ TechNet, где читаем:
Microsoft писал(а):
By default, a Windows XP PPPoE connection has a blank service name.
...
If a specific service name is required, a service name can be configured on the General tab from the properties of the PPPoE connection.

т.е. таки да, РРРоЕ клиент может выбирать куда подключаться по имени сервиса, но как это поможет? а поможет это вот так:
Cisco писал(а):
The PPPoE Service Selection feature uses service tags to enable a PPP over Ethernet (PPPoE) server to offer PPPoE clients a selection of services during call setup. The customer chooses one of the services offered, and the service is provided when the PPPoE session becomes active. This feature enables service providers to offer a variety of services and to charge customers according to the service chosen.
...
PPPoE service selection works through the exchange of service tags during the PPPoE discovery phase. When a client initiates a call with a PPPoE Active Discovery Initiation (PADI) packet, the PPPoE server responds with a PPPoE Active Discovery Offer (PADO) packet that advertises a list of available services. The client selects a service and sends a PPPoE Active Discovery Request (PADR) packet that indicates the service name that was selected.

как видите вбивая в клиенте разные имена сервисов можно предоставлять им разные услуги, а в общем виде - отделить Ваших клиентов от не Ваших, т.е. если хочет подключиться к Вам - вбивает Ваше имя скрвиса, не к Вам - вбивает другое ...

_________________
с уважением, БП


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 34 ]  На страницу Пред.  1, 2, 3  След.

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 78


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB