چطور pcq رو برای چند تا lan پیاده سازی کنیم

**mthm** · 2014-05-14, 07:57 AM

سلام

واقعا ممنونم از وقتی که میذارید.
یه سوال هم داشتم که آیا اصلا تصور من درسته که بتونم کل پهنای باندم رو بین همه share کنم؟ به عبارتی اگر فقط یکی از گروههای کاربریم تو شبکه بودند، اونها بتونن تا سقف پیش برند؟ در حالی که میخوام هر کدوم یه سقف تضمین شده داشته باشن؟ یعنی میخوام وقتی از همه گروهها کاربر online دارم یه گروه بتونه 2/3 پهنای باند رو داشته باشه و وقتی فقط یک نوع از این گروهها online هستند همه پهنای باند رو داشته باشند؟

یه مشکل دیگهforward رو هم که میذارم، هیچ ترافیکی مارک نمیشه!

باز هم ممنونم از راهنماییتون

**mostafaa** · 2014-05-15, 11:39 AM

سلام
بله فکر میکنم که بشه... یه کانفیگ نمونه براتون نوشتم، امیدوارم که با این مشکلتون حل بشه..

کد:

/ip address
add address=192.168.10.1/24 interface=lan1 network=192.168.10.0
add address=10.10.10.1/24 interface=lan2 network=10.10.10.0
add address=172.17.1.1/24 interface=wan network=172.17.1.0

/ip firewall mangle
add action=mark-connection chain=prerouting in-interface=lan1 new-connection-mark=lan1-conn
add action=mark-connection chain=prerouting in-interface=lan2 new-connection-mark=lan2-conn
add action=mark-packet chain=prerouting connection-mark=lan1-conn in-interface=wan new-packet-mark=lan1-download
add action=mark-packet chain=prerouting connection-mark=lan2-conn in-interface=wan new-packet-mark=lan2-download

/ip firewall nat
add action=src-nat chain=srcnat src-address=192.168.10.0/24 to-addresses=172.17.1.1
add action=src-nat chain=srcnat src-address=10.10.10.0/24 to-addresses=172.17.1.1
/ip route
add distance=1 gateway=172.17.1.2

/queue tree
add max-limit=30M name=MainDownload parent=global queue=pcq-download-default
add limit-at=20M max-limit=30M name=lan1-download packet-mark=lan1-download parent=MainDownload queue=pcq-download-default
add max-limit=30M name=lan2-download packet-mark=lan2-download parent=MainDownload priority=7 queue=pcq-download-default

**mthm** · 2014-05-19, 08:05 AM

سلام

این که توی mangle برای هر دوتا in-interface مشخص کردیم، درسته؟ اگر in-interface رو ether-lan بذاریم مگه مربوط به upload نیست؟

ممنون

**mostafaa** · 2014-05-19, 08:40 AM

سلام
خیر، لوزماً اینطور نیست که اگه اینترفیس های lan رو به عنوان ورودی انتخاب کنی یعنی داریم Upload رو مارک میکنیم. فایروال میکروتیک هم مثل خیلی از فایروالهای دیگه میتونه firewalling رو به صورت Stateful انجام بده (Stateful firewall - Wikipedia, the free encyclopedia) به این معنی که وقتی کانکشن های خروجی از یک اینترفیس رو مارک میکنی هم پکت های خروجی مربوط به اون کانکشن مارک میشن و هم پکت های که در مسیر برگشت هستند(همون کاری که ما انجام دادیم).
در واقع من کانکشن های مربوط به هر lan رو مارک کردم و در مسیر برگشت هم packet های مربوط به هر lan که با connection مارک مشخص شده بود رو مارک کردمشون.
در پایان اگه دوست داشتید میتونید در مورد Connection tracking و Stateful firewalling بیشتر تحقیق کنید.

**mthm** · 2014-05-19, 10:00 AM

ممنون از لطفتون. حدس زدم statefull باشه ولی چون عملی کار نکرده بودم نمیدونستم اینطوری پیاده سازی میشه.ولی باز هم نه با forward مارک میکنه نه با prerouting.

**mostafaa** · 2014-05-19, 10:12 AM

سلام
من خودم تستش کردم و به درستی کار میکنه.... اگه کانفیگتون رو اصلاح کردید، خروجیش رو اینجا بزارید تا براتون بررسیش کنم.

**mthm** · 2014-05-21, 07:59 AM

سلام
ببخشید میدونید مشکل اینه که کاربرا توی lan ابه صورت dhcp، IP میگیرن و بعد با توجه به گروهشون وقتی vpn میزنن به میکروتیک برای اتصال به اینترنت، از IBS،IP میگیرن به خاطر همینه که من به IP برای تصمیم گیری نیاز دارم و در mangle چه از forward استفاده کنم چه از prerouting بسته ها مارک نمیشن.

**mostafaa** · 2014-05-21, 08:41 AM

سلام
مشکل اینه که شما مسئله تون رو کامل شرح ندادین.!!!!! از اول اگه توپولوژی شبکه تون رو کامل شرح بدین اینقدر پست ها طولانی نمیشه و زود تر به جواب میرسید.
طبیعیه که وقتی کاربرای شبکه تون به روترتون VPN میزنن شما نمیتونید ترافیک اونها رو با مارک کردن ترافیک توی رنج اینترفیس های lan هاتون مارک کنید. در واقع شما باید رنج Pool های VPN رو توی Mangle مارک کنید.

**mthm** · 2014-05-21, 09:00 AM

شما درست میفرماید ولی قبلا عرض کردم که vpn استفاده میکنم. اما خودم از همون اول با همون IP های VPN چک کردم و جواب نگرفتم.

**mostafaa** · 2014-05-21, 09:15 AM

سلام
لطفا خروجی کانفیگتون رو کامل بزارید.
رنج Pool های گروه های مختلفت VPN تون رو هم بزارید اینجا.

**mthm** · 2014-05-21, 10:32 AM

;;; dorm
chain=prerouting action=mark-connection new-connection-mark=bs-conn passthrough=yes in-interface=bridge10

1 ;;; dorm_download
chain=prerouting action=mark-packet new-packet-mark=bs_download passthrough=yes in-interface=ether3(internet) connection-mark=bs-conn

2 ;;; employee_download
chain=forward action=mark-connection new-connection-mark=employee passthrough=no src-address=10.10.12.0/22 in-interface=ether4(LAN)

3 ;;; employee
chain=forward action=mark-packet new-packet-mark=employee_download passthrough=yes in-interface=ether3(internet) connection-mark=employee

IP که در رنج 10.10 هست IP VPN هست. دو تا rule اول مارک میکنه اما دومی که VPN هست نه.

**mostafaa** · 2014-05-21, 11:19 AM

سلام
ظاهرا دوست ندارید که خروجی کانفیگتون رو کامل بزارید...
به هر صورت اشکالی که توی رول سومتون هست اینه که توش in-interface رو lan انتخاب کردید. قسمت in-interface رو کلا بردارید(چون src-address رو انتخاب کردید دیگه نیازی نیست بهش) و chain=prerouting قرار بدید.

**mthm** · 2014-05-24, 08:16 AM

سلام

ممنون آره درسته اونم داره مارک میشه. سوء تفاهم نشه، من فعلا mangle رو پیاده سازی کردم منتظر بودم مشکل این حل بشه تا بعد برم سراغ tree.
باز هم ممنونم از لطفتون. یه سوال این انتظار اشتباهی هست که تعداد بسته هایی که توی rule اول مارک میشن با rule دوم برابر باشه؟ الان اینطور نیست، چرا؟
ممنونم

- - - ادامه - - -

**mostafaa** · 2014-05-24, 08:18 AM

سلام
بله این انتظار اشتباهیه به این علت که Connection mark توی رول اول شامل همه پکتها در مسیر رفت و برگشت میشه ولی توی رول دوم با مشخص کردن in-interface شما به روتر میگید که پکت هایی با یک Connection مارک مشخص و در یک مسیر مشخص(اگه مسیر بسته ها رو از داخل شبکه به بیرون در نظر بگیریم در واقع در مسیر بازگشت) رو براتون مارک کنه.

**mthm** · 2014-06-07, 08:46 AM

[admin@Core-Router] > ip firewall mangle print
Flags: X - disabled, I - invalid, D - dynamic
0 X ;;; dorm
chain=prerouting action=mark-connection new-connection-mark=bs-conn passthrough=no in-interface=bridge10

1 X ;;; dorm_download
chain=prerouting action=mark-packet new-packet-mark=bs_download passthrough=yes in-interface=ether3(internet) connection-mark=bs-conn

2 X ;;; employee
chain=prerouting action=mark-connection new-connection-mark=employee-conn passthrough=no src-address=10.10.12.0/22

3 X ;;; employee_download
chain=prerouting action=mark-packet new-packet-mark=employee_download passthrough=yes in-interface=ether3(internet) connection-mark=employee-conn

4 X ;;; faculty
chain=prerouting action=mark-connection new-connection-mark=faculty_conn passthrough=no src-address=10.10.10.0/23

5 X ;;; faculty_download
chain=prerouting action=mark-packet new-packet-mark=faculty_download passthrough=yes in-interface=ether3(internet) connection-mark=faculty_conn

6 X ;;; ms_core
chain=prerouting action=mark-connection new-connection-mark=ms_core_conn passthrough=no src-address=10.12.0.0/22

7 X ;;; ms_core_download
chain=prerouting action=mark-packet new-packet-mark=ms_download passthrough=yes in-interface=ether3(internet) connection-mark=ms_core_conn

8 X ;;; bs_core
chain=prerouting action=mark-connection new-connection-mark=bs_core_conn passthrough=no src-address=10.11.0.0/16

9 X ;;; bs_core_download
chain=prerouting action=mark-packet new-packet-mark=bs_download passthrough=yes in-interface=ether3(internet) connection-mark=bs_core_conn

[admin@Core-Router] > queue tree print
Flags: X - disabled, I - invalid
0 name="Main_download" parent=global packet-mark="" limit-at=0 queue=pcq-download-default priority=8 max-limit=12M burst-limit=12M burst-threshold=12M
burst-time=10s

1 name="faculty" parent=Main_download packet-mark=faculty_download limit-at=5M queue=pcq-download-default priority=1 max-limit=12M burst-limit=0
burst-threshold=0 burst-time=10s

2 name="bs" parent=Main_download packet-mark=bs_download limit-at=3M queue=pcq-download-default priority=5 max-limit=12M burst-limit=0 burst-threshold=0
burst-time=10s

3 name="ms" parent=Main_download packet-mark=ms_download limit-at=2M queue=pcq-download-default priority=3 max-limit=12M burst-limit=0 burst-threshold=0
burst-time=10s

4 name="employee" parent=Main_download packet-mark=employee_download limit-at=2M queue=pcq-download-default priority=4 max-limit=12M burst-limit=0
burst-threshold=0 burst-time=10s
[admin@Core-Router] >

با سلام
ببخشید مدتی بیمار بودم، حالا دارم ادامه میدم. کانفیگ رو براتون فرستادم. لطف میکنید چک بفرمایید، اگر مشکلی داره برطرف کنم.

کلا پهنای باند 12M هست و بین گروههای مختلف میخوام تقسیم کنم.passthrough رو نمیدونم yes باشه یا no? به گروهی که باید اولویت بیشتر بدم عدد کمتری رو به priority دادم.

موضوع: چطور pcq رو برای چند تا lan پیاده سازی کنیم

پیوند

ابزارهای موضوع

نمایش

کلمات کلیدی در جستجوها:

http:forum.persiannetworks.comf90t65109-new.html

bridge پیاده سازی

محدودیت در روز و شب میکروتیک

برچسب برای این موضوع

مجوز های ارسال و ویرایش