تفکیک ترافیک اینترنت از ترافیک مربوط به دوربین های مدار بسته

[love_inrai]

باسلام خدمت دوستان

سناریو شبکه اینگونه است که دو تا ساختمان که توسط لینک بهم متصل هستن کاربران هم با یوزر منیجر میکروتیک اکانتینگشون انجام میشه وقتی میخوام دوربین های ساختمان دیگه رو چک کنم اگه یوزر به اینترنت کانکت باشه میکروتیک از ترافیک مشخص شده در یوزرمنیجر کم میکنه و ترافیک یوزر سریع تمام میشه درحالی که روت دارم و نیاز به اینترنت نیست برا چک کردنشون
با منگل هم یه کارایی کردم جواب نگرفتم اگه امکانش هست منو راهنمایی کنین

ممنون

---

موضوعات مشابه:

• پشتيبان شبكه در يك شركت هستم .براي انتقال تصاوير از فيبر نوري به سوييچ 2960از چه ماژولي استفاده كنم؟
• نحوه استفاده عملی win server2008 وتوانستن استفاده از رولها بدون اتصال به سیستم های دیگر
• استفاده از انتی ویروس داخل ویندوز مجازی برای استفاده در سیستم اصلی
• آموزش کامل شبیه سازی JunOS برای استفاده از دستگاه های Juniper در محیط GNS3 با استفاده از Qemu
• راه حلی برای استفاده یک یوزر از فلش در محیط دامین وقتی پورت ها بسته هستند

---

[shahani]

سلام
میتونید در Firewall یک Filter Rule اضافه کنید و Chain اون رو forward قرار بدین .
Dst Address رو رنج آدرس ip های دوربین های خودتون قرار بدین .
و اکشن رو روی Fasttrack Commection تنظیم کنید .
این رول رو به اولین خط فایروال خودتون منتقل کنید تا تمام بسته هایی که مقصد اونها دوربین هاست ، بلافاصله از روتر عبور کنند.

[love_inrai]

ممنون اینم نوشته بودم قبلا بازم تست کردم ولی جواب نداد

[mojtaba461]

این مورد به روتر ارتباطی ندارد. باید روی سیستم ها روت بنویسید تا ترافیک مربوط به دوربین ها یا شبکه داخلی از کانکشن عبور نکند.

[love_inrai]

یعنی توی هر سیستم برم روت بنویسم توی روتر نمیشه ترافیک ها رو از هم جدا کرد؟

[javadkey]

این مورد به روتر ارتباطی ندارد. باید روی سیستم ها روت بنویسید تا ترافیک مربوط به دوربین ها یا شبکه داخلی از کانکشن عبور نکند.

به جز دوربین حتما در شبکه داخلی هم این مشکل هست یعنی اگر در شبکه داخلی بین سیستم ها فایل رد و بدل بشه بازم از ترافیک کاربران کم میشه و زود تموم میشه. منم در شبکمون این مشکل رو دارم ولی هنوز نتونستم حل کنم . البته باید این مشکل در روتر حل بشه نه در سیستمها. چون اگه در شبکه ۱۰۰ یا بیشتر سیستم باشه باید روی هر کدوم روت بنویسیم. چطوریش حالا بماند

[shahani]

نمیدونم والا تعجبه
من یک شبکه 20 کلاینتی دارم و یک سرور از یک رنج ip دیگه که به پورت خارج از پوشش هات اسپات متصل هست
دوتا کار انجام دادم ، اول اینکه در Walled Garden IP List رنج های مجاز داخلی رو وارد کردم تا اگه کلاینت ها لاگین نبودن با استفاده از اون به سرور و دیگران دسترسی داشته باشند .
دوم نوشتن چندتا رول در فایروال هست برای جداسازی ترافیک داخلی از ترافیک مصرفی اینترنت ، در زمانی که کاربران لاگین هستند .

به خوبی کار میکنه ، شبکه داخلی با سرعت بالا بدون محاسبه ترافیک در رنج های مختلف درحال کار هست و همزمان استفاده از اینترنت محدود شده به سرعت و ترافیک مشخص با هات اسپات و یوزرمنیجر میکروتیک .

نمیدونم چرا من این راه حل رو به هرکی گفتم نتونسته انجامش بده ، یکم برام عجیبه
ممکنه نسخه های قدیمی روتر os چنین مشکلی داشتن اما در حال حاضر حل شده
تنظیمات روتر من خیلی ساده هست ، کار پیچیده ای انجام ندادم که بگم یک کار دیگه انجام دادم و به اون دقت نداشتم ...

- - - ادامه - - -

آدرس ip تمام کلاینت هایی که در هر دو ساختمان از میکروتیک اینترنت میگیرند به همراه تمامی دوربین ها ، همگی را در همان رنج پورت میکروتیک که روی آن هات اسپات فعال است تغییر دهید.
بطوری که تمام دستگاه ها ارتباط لایه دو داشته باشند و همگی دارای یک رنج ip باشند.
(هات اسپات را طوری تنظیم کنید که دستگاه ها بعد از اتصال تغییری در آدرس ip آنها انجام نشود)
باید مشکلتون حل بشه

[love_inrai]

ممنون از راهنمایی شما ولی من هات اسپات ندارم

[javadkey]

نمیدونم والا تعجبه
من یک شبکه 20 کلاینتی دارم و یک سرور از یک رنج ip دیگه که به پورت خارج از پوشش هات اسپات متصل هست
دوتا کار انجام دادم ، اول اینکه در Walled Garden IP List رنج های مجاز داخلی رو وارد کردم تا اگه کلاینت ها لاگین نبودن با استفاده از اون به سرور و دیگران دسترسی داشته باشند .
دوم نوشتن چندتا رول در فایروال هست برای جداسازی ترافیک داخلی از ترافیک مصرفی اینترنت ، در زمانی که کاربران لاگین هستند .

به خوبی کار میکنه ، شبکه داخلی با سرعت بالا بدون محاسبه ترافیک در رنج های مختلف درحال کار هست و همزمان استفاده از اینترنت محدود شده به سرعت و ترافیک مشخص با هات اسپات و یوزرمنیجر میکروتیک .

نمیدونم چرا من این راه حل رو به هرکی گفتم نتونسته انجامش بده ، یکم برام عجیبه
ممکنه نسخه های قدیمی روتر os چنین مشکلی داشتن اما در حال حاضر حل شده
تنظیمات روتر من خیلی ساده هست ، کار پیچیده ای انجام ندادم که بگم یک کار دیگه انجام دادم و به اون دقت نداشتم ...

- - - ادامه - - -

آدرس ip تمام کلاینت هایی که در هر دو ساختمان از میکروتیک اینترنت میگیرند به همراه تمامی دوربین ها ، همگی را در همان رنج پورت میکروتیک که روی آن هات اسپات فعال است تغییر دهید.
بطوری که تمام دستگاه ها ارتباط لایه دو داشته باشند و همگی دارای یک رنج ip باشند.
(هات اسپات را طوری تنظیم کنید که دستگاه ها بعد از اتصال تغییری در آدرس ip آنها انجام نشود)
باید مشکلتون حل بشه

ترافیک داخلی رو با اینترنت چطوری جدا کردید؟

[javadkey]

نمیدونم والا تعجبه
من یک شبکه 20 کلاینتی دارم و یک سرور از یک رنج ip دیگه که به پورت خارج از پوشش هات اسپات متصل هست
دوتا کار انجام دادم ، اول اینکه در Walled Garden IP List رنج های مجاز داخلی رو وارد کردم تا اگه کلاینت ها لاگین نبودن با استفاده از اون به سرور و دیگران دسترسی داشته باشند .
دوم نوشتن چندتا رول در فایروال هست برای جداسازی ترافیک داخلی از ترافیک مصرفی اینترنت ، در زمانی که کاربران لاگین هستند .

به خوبی کار میکنه ، شبکه داخلی با سرعت بالا بدون محاسبه ترافیک در رنج های مختلف درحال کار هست و همزمان استفاده از اینترنت محدود شده به سرعت و ترافیک مشخص با هات اسپات و یوزرمنیجر میکروتیک .

نمیدونم چرا من این راه حل رو به هرکی گفتم نتونسته انجامش بده ، یکم برام عجیبه
ممکنه نسخه های قدیمی روتر os چنین مشکلی داشتن اما در حال حاضر حل شده
تنظیمات روتر من خیلی ساده هست ، کار پیچیده ای انجام ندادم که بگم یک کار دیگه انجام دادم و به اون دقت نداشتم ...

- - - ادامه - - -

آدرس ip تمام کلاینت هایی که در هر دو ساختمان از میکروتیک اینترنت میگیرند به همراه تمامی دوربین ها ، همگی را در همان رنج پورت میکروتیک که روی آن هات اسپات فعال است تغییر دهید.
بطوری که تمام دستگاه ها ارتباط لایه دو داشته باشند و همگی دارای یک رنج ip باشند.
(هات اسپات را طوری تنظیم کنید که دستگاه ها بعد از اتصال تغییری در آدرس ip آنها انجام نشود)
باید مشکلتون حل بشه

ضمنا من عین گفته شما رول در فایروال ایجاد کردم با همان تنظیماتی که شما گفتید و خوشبختانه نتیجه گرفتم ولی یه موردی که هست در شبکه هم رنج هیچ حجمی استفاده نشد ولی در دو شبکه متفاوت به مقدار کیلوبایت حجم کم میکنه که نمیدونم برای چیه؟
مثلا ما در هات اسپات یک یوزر داریم که 100 مگابایت بهش حجم دادیم. وقتی یک فایل 10 گیگابایتی رو در شبکه هم رنج از یک کامپیوتر به کامپیوتر دیگر انتقال میدیم هیچ حجمی مصرف نمیشه ولی همان فایل را وقتی به یک کامپیوتر در یک رنج شبکه دیگه انتقال میدیم با اینکه که حجم رو کلا مصرف نمیکنه که 100 مگابایت کاربر تموم بشه ولی برحسب کیلوبایت حجم مصرف میشه. نمیدونم این مصرف بر حسب کیلو بایت برای چه چیزی هست؟

[shahani]

وقتی یک فایل 10 گیگابایتی رو در شبکه هم رنج از یک کامپیوتر به کامپیوتر دیگر انتقال میدیم هیچ حجمی مصرف نمیشه ولی همان فایل را وقتی به یک کامپیوتر در یک رنج شبکه دیگه انتقال میدیم با اینکه که حجم رو کلا مصرف نمیکنه که 100 مگابایت کاربر تموم بشه ولی برحسب کیلوبایت حجم مصرف میشه. نمیدونم این مصرف بر حسب کیلو بایت برای چه چیزی هست؟

اگه اون رنج دیگه از کامپیوتر های داخلی شما خارج از هات اسپات قرار داره ،
یعنی یک پورت میکروتیک که هات اسپات روی اون نیست و مثلا به مودم یا غیره وصل هست ، چون ارتباط لایه سه برقرار میشه با اون رل های فایروال دورزده خواهد شد و معمولا نباید هیچ مصرفی نشان داده بشه (هرچند ثانیه در حد بایت طبیعی هست)

اما اگر رنج دوم شما تحت پوشش هات اسپات قرار داره و شما در یک شبکه لایه دو که سویچ و غیره هست از دو رنج همزمان استفاده کردین این مسئله برای شما وجود داره ، موضوع بر سر این هست که دیتا ورودی قبل از رسیدن به رول های فایروال در هات اسپات محاسبه میشه .
بخاطر دقت؛ چارت شرکت میکروتیک بصورتی است که ابتدا ترافیک ورودی در هات اسپات محاسبه شده و بعد وارد بخش های پردازشی دیگر از جمله فایروال و منگل میشود.
در این صورت تنها راه چاره این هست که در شبکه داخلی خود ، تنها و تنها از یک رنج ای پی استفاده کنید که ip پورت یا بریج هات اسپات نیز از همان رنج است.

- - - ادامه - - -

ممنون از راهنمایی شما ولی من هات اسپات ندارم

خب در اینصورت به هر روش دیگه ای مثل VPN کاربرها از اینترنت استفاده میکنند هر پاکت داده ای که وارد روتر شود مورد محاسبه قرار خواهد گرفت و محدودیت های سرعت و ترافیک برای آن کاربر لحاظ خواهد شد .
این مراحل قبل از اینکه رول های فایروال و منگل بررسی شوند ، اجرا میگردند در نتیجه راه چاره ای وجود ندارد مگر اینکه ترافیک عبوری شما از روتر نگذرد.
همانطور که دوست خوبمون جناب مجتبی اشاره کردند شما باید در مبدا روی کامپیوتر ها روت نویسی انجام دهید که اصلا بسته های داده شما وارد کانکشن اینترنت(مثلا VPN) از ابتدا نشوند ، در غیر اینصورت حتما محاسبه خواهند شد.
این موضوع فقط مربوط به دوربین ها نمیشود ، دستگاه های کامپیوتر متصل به اینترنت در شبکه شما وقتی با یک دیگر ارتباط برقرار کنند نیز سرعت و ترافیک آنها محدود خواهد شد.

[javadkey]

ضمنا من عین گفته شما رول در فایروال ایجاد کردم با همان تنظیماتی که شما گفتید و خوشبختانه نتیجه گرفتم ولی یه موردی که هست در شبکه هم رنج هیچ حجمی استفاده نشد ولی در دو شبکه متفاوت به مقدار کیلوبایت حجم کم میکنه که نمیدونم برای چیه؟
مثلا ما در هات اسپات یک یوزر داریم که 100 مگابایت بهش حجم دادیم. وقتی یک فایل 10 گیگابایتی رو در شبکه هم رنج از یک کامپیوتر به کامپیوتر دیگر انتقال میدیم هیچ حجمی مصرف نمیشه ولی همان فایل را وقتی به یک کامپیوتر در یک رنج شبکه دیگه انتقال میدیم با اینکه که حجم رو کلا مصرف نمیکنه که 100 مگابایت کاربر تموم بشه ولی برحسب کیلوبایت حجم مصرف میشه. نمیدونم این مصرف بر حسب کیلو بایت برای چه چیزی هست؟

این روش عمل کرد ولی به یه مشکل دیگه برخورد کردیم. این که ما اینترانت هم داریم و با ایجاد این رول اینترات سرعتش به شدت پایین میاد و با غیرفعال کردنش برطرف میشه

[shahani]

این روش عمل کرد ولی به یه مشکل دیگه برخورد کردیم. این که ما اینترانت هم داریم و با ایجاد این رول اینترات سرعتش به شدت پایین میاد و با غیرفعال کردنش برطرف میشه

من این رول ها را برای دسترسی بدون محدودیت کاربران تحت پوشش هات اسپات به سرور 192.168.1.106 که خارج از هات اسپات است نوشته ام .
(این سرور به پورت مودم متصل است و یک پورت دیگر مودم به روتر متصل است که سرویس اینترنت از روی آن ارائه می شود.)



یعنی اگر شما چنین سروری روی اینترنت و یا خارج از هات اسپات ندارید که نیاز به نامحدود کردن آن داشته باشید ، به این رول ها احتیاج ندارید .
اگر آنها را حذف کنید ؛ همچنان در شبکه داخلی لایه دو خود بدون محدودیت ترافیک باید تمامی کاربران بتوانند با یکدیگر تبادل اطلاعات کنند.

====
برای اینترانت نیز باید دقیقا برنامه داشته باشید ، روت هایی بنویسید که ترافیک آن از هات اسپات نگذرد .
میتوانید اگر همگی به یک کابل وصل هستند DHCP Server دستگاه اینترانت را خاموش کنید و آدرس ip آن را برابر با مقداری در رنج تمام شبکه داخلی خودتون قرار دهید ، که به روش لایه دو و مک آدرس ارتباط با آن برقرار باشه.

بطور کلی همانطور که مشاهده کردین ، انجام چنین تنظیماتی که شبکه منظم و دقیقی داشته باشید ، غیر ممکن نیست .
فقط باید اطلاعات و دقت زیادی داشته باشید و در بعضی مواقع نادر صحیح و خطا انجام دهید تا در نهایت به نتیجه دلخواه دست پیدا کنید.

[javadkey]

من این رول ها را برای دسترسی بدون محدودیت کاربران تحت پوشش هات اسپات به سرور 192.168.1.106 که خارج از هات اسپات است نوشته ام .
(این سرور به پورت مودم متصل است و یک پورت دیگر مودم به روتر متصل است که سرویس اینترنت از روی آن ارائه می شود.)



یعنی اگر شما چنین سروری روی اینترنت و یا خارج از هات اسپات ندارید که نیاز به نامحدود کردن آن داشته باشید ، به این رول ها احتیاج ندارید .
اگر آنها را حذف کنید ؛ همچنان در شبکه داخلی لایه دو خود بدون محدودیت ترافیک باید تمامی کاربران بتوانند با یکدیگر تبادل اطلاعات کنند.

====
برای اینترانت نیز باید دقیقا برنامه داشته باشید ، روت هایی بنویسید که ترافیک آن از هات اسپات نگذرد .
میتوانید اگر همگی به یک کابل وصل هستند DHCP Server دستگاه اینترانت را خاموش کنید و آدرس ip آن را برابر با مقداری در رنج تمام شبکه داخلی خودتون قرار دهید ، که به روش لایه دو و مک آدرس ارتباط با آن برقرار باشه.

بطور کلی همانطور که مشاهده کردین ، انجام چنین تنظیماتی که شبکه منظم و دقیقی داشته باشید ، غیر ممکن نیست .
فقط باید اطلاعات و دقت زیادی داشته باشید و در بعضی مواقع نادر صحیح و خطا انجام دهید تا در نهایت به نتیجه دلخواه دست پیدا کنید.

شبکه ای که هات اسپات داشت رو از رول حذف کردم مشکل حل شد. با سپاس از شما .