Проблем с Queue и Bridge

[BO]

Колеги, приятели, надявам се да помогнете с един проблем с който се сблъсквам и не можах да го реша.

Та за какво става въпрос...

Взимаме интернет през един VLAN1

Имаме втори VLAN2 към втора сграда на фирмата ни.

На рутера, който влиза оптиката от доставчика е вдигнат VLAN1 и VLAN2 i всичко работи. От страна на втората сграда е само оптика без нищо, защото  от страна на сградата пакетите са ънтагнати. Тагнати са само от страна на рутера w drugata sgrada и за това не ми е необходим втори рутер в другата сграда.

Имам вътрешна мрежа LAN1 при рутера със всички пуснати услуги разните му ППТП-та ИПСЕК-ове и т.н.

Та, за да станат двете сгради като една обща мрежа, защото така трябва бриджнах VLAN2 и LAN1

Абсолютно всичко със всички сървъри и услуги работят нормално.

Проблема, който имам, че не работят quque и не мога да лимитирам през VLAN2 (компютрите, които се намират във втората сграда, като търсят сървър от първата сграда).

Да речем че случайно ИП 192.168.4.34, което е в сграда 2 търси сървър 192.168.4.2 който е в сграда 1 и той съответно минава през бриджа и задавам кю не работи.

Като там Torch на VLAN2 виждам целия bandwidth виждам, че 192.168.4.34 е направил връзка с 192.168.4.2 виждам, че правят трансфер от порядъка на 50-60Mb ама queue-то не работи, все едно не съществува такава конекция.

Дори едно симпъл кю на таргет адрес 192.168.4.34 ограничено на 1bps не помага.

Преди бриджа всичко работеше коректо, когато интерфейсите са физически, а не са заменени VLAN и bridge.

Ако някой може да помогне нека сподели, че 1 седмица не намерих решение на проблема, а не е като да не съм пробвал всичко, което ми хрумна...

Благодаря.

[111111]

не ми се изясни много ситуацията но поне даи един ех на /que si

[SS7]

Бързо и тъпо решение :

1. Маркираш пакетите в бриджа (не в ip firewall)

2. Шейпиш не по ИП , а по packet mark

Бриджовете не се занивамат с ип адреси - това е L2, затова шейпъра не работи. Трябва да шейпиш по МАК адреси, т.е. номера с packet mark в бриджа

Колеги, приятели, надявам се да помогнете с един проблем с който се сблъсквам и не можах да го реша.

Та за какво става въпрос...

Взимаме интернет през един VLAN1

Имаме втори VLAN2 към втора сграда на фирмата ни.

На рутера, който влиза оптиката от доставчика е вдигнат VLAN1 и VLAN2 i всичко работи. От страна на втората сграда е само оптика без нищо, защото  от страна на сградата пакетите са ънтагнати. Тагнати са само от страна на рутера w drugata sgrada и за това не ми е необходим втори рутер в другата сграда.

Имам вътрешна мрежа LAN1 при рутера със всички пуснати услуги разните му ППТП-та ИПСЕК-ове и т.н.

Та, за да станат двете сгради като една обща мрежа, защото така трябва бриджнах VLAN2 и LAN1

Абсолютно всичко със всички сървъри и услуги работят нормално.

Проблема, който имам, че не работят quque и не мога да лимитирам през VLAN2 (компютрите, които се намират във втората сграда, като търсят сървър от първата сграда).

Да речем че случайно ИП 192.168.4.34, което е в сграда 2 търси сървър 192.168.4.2 който е в сграда 1 и той съответно минава през бриджа и задавам кю не работи.

Като там Torch на VLAN2 виждам целия bandwidth виждам, че 192.168.4.34 е направил връзка с 192.168.4.2 виждам, че правят трансфер от порядъка на 50-60Mb ама queue-то не работи, все едно не съществува такава конекция.

Дори едно симпъл кю на таргет адрес 192.168.4.34 ограничено на 1bps не помага.

Преди бриджа всичко работеше коректо, когато интерфейсите са физически, а не са заменени VLAN и bridge.

Ако някой може да помогне нека сподели, че 1 седмица не намерих решение на проблема, а не е като да не съм пробвал всичко, което ми хрумна...

Благодаря.

[BO]

не ми се изясни много ситуацията но поне даи един ех на /que si

Благодаря за отговора

В момента съм изтрил всички кю-та защото не работят и няма смисъл да ги държа.

Ще се опитам да обясня малко по-добре ситуацията.

Като за начало:

Сграда-1:

МТ-3.18

В рутера влиза интернет с VLAN-112 вдигнат върху WAN порт-а, там адресите и каквото трябва, за да имам интернет.

На втори порт от рутера е закачена вътрешната мрежа Local.

Върху Local си имам необходимите DHCP-та и всичко останало, за да работи вътрешната мрежа и да има интернет.

До този момент си правя всякакви Simple queue и Queue tree и никога не съм имал проблеми.

Идва момента в който строим нова сграда и да речем 50% от компютрите + 50% от сървърите се разпределят между двете сгради.

В новата града изграждам оптично трасе до първата сграда.

От страна на втората сграда оптиката е с ънтагнат VLAN.

От другата страна стига до Сграда-1 и чрез същото оптично влакно само, че в отделен VLAN с номер VLAN-113 се тагват пакетите.

Вдигам в рутера отново на WAN порта VLAN-113 кръстен в рутера "Сграда-2" за улеснение.

Така, по този начин цялата нова сграда като интернет, DHCP и т.н. ще се управлява през VLAN-113 (сграда-2) интерфейса вдигнат върху рутера в старата сграда.

ОК всичко е така и работи.

В последствие ми трябва двата интерфейса VLAN-113 и Local да работят като физически 1 интерфейс. Да се обслужват от един DHCP сървър, да работят всички маскаради всички рутинги и т.н. все едно са общ интерфейс.

За тази цел вдигнах bridge с условно име "АВ"

Членове на въпросния бридж са VLAN-113 и Local.

Пускам всички услуги да слушат/работят вече върху новосъздадения интерфейс "AB".

Всичко работи както трябва, двете сгради са едно цяло и няма проблема.

Обаче намерих проблем, когато ми трябва да лимитирам когато компютър от Сграда-2 търси сървър в Сграда-1.

Когато пусна Torch директно върху интерфейс VLAN-113 виждам всички конекции, който се извършват от Сграда-2 към Сграда-1, все едно си е физически интерфейс, както и трябва да бъде.

Но в този вариант Queue-то не работи така, както до сега е работило с чисти интерфейси, като между Local, WAN, DMZ и всякакви други интерфейси...

Та ако мога да си задам въпроса, как в този вариант мога да вдигна лимити между двете сгради.

Както казах в най-простия вариант както до сега работеше, ако кажем, че мойто ИП на машината ми е 192.168.4.10 и си сложа simple queue на target address 192.168.4.10 към всички интерфейси на 1МБ да речем работи без проблеми, но както описах в по-горния вариант, когато адреса ми е от bridge "AB" по същия начин зададено queue-то вече не ми хваща адреса и не прави нищо.

[BO]

Бързо и тъпо решение :

1. Маркираш пакетите в бриджа (не в ip firewall)

2. Шейпиш не по ИП , а по packet mark

Бриджовете не се занивамат с ип адреси - това е L2, затова шейпъра не работи. Трябва да шейпиш по МАК адреси, т.е. номера с packet mark в бриджа

И това пробвах.

В бриджа добавих chain (всички пробвах - input, output, forward), за да не греша някъде, после избрах src. MAC address въведох МАК адреса на машината, която искам да марквам, и после mark packet.

След това по марк пакет в кю-то и пак не работи.

[SS7]

Ами то шейпъра (нормално) работи само за трафик, който преминава през рутера , т.е. рутира се от един интерфейс(с едно ип)  към друг (с друго ип) .

А пък локалния ти трафик не минава през рутер енджина , минава само през бриджа. А както казах, бриджа от ип адреси не разбира

Пробвай с маркиране и шейпене по марк.

пп.

трябва по dst MAC да маркираш - за трафика от бриджа към шейпената машина.

и по src МАК - за обратния трафик.

правилния chain e "forward".

във филтъра отчита ли ти маркирани пакети ?

pp.s

Коя версия е МТ ?

Сега пробвах при мен на 3.19- не става .

Ето така трябва да го направиш - тука е описано :

http://wiki.mikrotik.com/wiki/TransparentTrafficShaper

[BO]

Ами то шейпъра (нормално) работи само за трафик, който преминава през рутера , т.е. рутира се от един интерфейс(с едно ип)  към друг (с друго ип) .

А пък локалния ти трафик не минава през рутер енджина , минава само през бриджа. А както казах, бриджа от ип адреси не разбира

Пробвай с маркиране и шейпене по марк.

пп.

трябва по dst MAC да маркираш - за трафика от бриджа към шейпената машина.

и по src МАК - за обратния трафик.

правилния chain e "forward".

във филтъра отчита ли ти маркирани пакети ?

Да  сега го пробвам

Все тая.

ДА на forward работи.

Показва ми че маркира трафика, копирам наляво надясно, ето сега имам току що маркирани 239847  пакета от едно копиране, но в кю-то все едно нищо...

[SS7]

Ще го разръчкаме , ще тръгне.... , версията на МТ ?

при мен шейпъра на x.27 и 3.19 се държи по различен начин с бриджовете.

[BO]

МТ 3.17

х.86 Интел 3.3ГХз

[SS7]

Успях да го подкарам, след малко ще постна конфигурацията.

/interface bridge

add admin-mac=00:00:00:00:00:00 ageing-time=5m arp=enabled auto-mac=yes comment="" disabled=no \

   forward-delay=15s max-message-age=20s mtu=1500 name=bridge1 priority=0x8000 protocol-mode=\

   none transmit-hold-count=6

/interface bridge filter

add action=mark-packet chain=forward comment="" disabled=no dst-mac-address=\

   FF:FF:FF:FF:FF:FF/FF:FF:FF:FF:FF:FF new-packet-mark=test-br out-interface=vlan1

/interface bridge port

add bridge=bridge1 comment="" disabled=no edge=auto external-fdb=auto horizon=none interface=\

   ether2 path-cost=10 point-to-point=auto priority=0x80

add bridge=bridge1 comment="" disabled=no edge=auto external-fdb=auto horizon=none interface=\

   WI-FI-2.4 path-cost=10 point-to-point=auto priority=0x80

add bridge=bridge1 comment="" disabled=no edge=auto external-fdb=auto horizon=none interface=\

   WI-FI-5.4 path-cost=10 point-to-point=auto priority=0x80

add bridge=bridge1 comment="" disabled=no edge=auto external-fdb=auto horizon=none interface=\

   vlan1 path-cost=10 point-to-point=auto priority=0x80

/interface bridge settings

set use-ip-firewall=yes use-ip-firewall-for-vlan=yes

и шейпъра:

/queue simple

add burst-limit=0/0 burst-threshold=0/0 burst-time=0s/0s comment="" direction=both disabled=no \

   dst-address=0.0.0.0/0 interface=all limit-at=0/0 max-limit=10000000/10000000 name=queue1 \

   packet-marks=test-br parent=none priority=8 queue=default-small/default-small total-queue=\

   default-small

МТ 3.17

х.86 Интел 3.3ГХз

[BO]

А да те питам по този начин предполагам, че ще шейпваш всички мак адреси.

Предполагам, че мога да сложа конкретен мак адрес.

Утре ще го пробвам и ще кажа какво е станало.

Благодаря ти още веднъж за старанието.

....

   FF:FF:FF:FF:FF:FF/FF:FF:FF:FF:FF:FF new-packet-mark=test-br out-interface=vlan1

.....

[SS7]

Не всички - само броадкаста.

Там слагаш желания МАК адрес. , Ако няма dst-mac=  , тогава шейпиш всичко , което излиза през vlan-a

[BO]

Не всички - само броадкаста.

Там слагаш желания МАК адрес. , Ако няма dst-mac=  , тогава шейпиш всичко , което излиза през vlan-a

Даа.

Много благодаря!

Тук беше проблема:

set use-ip-firewall=yes use-ip-firewall-for-vlan=yes

Просто това съм го пропуснал.

Сега вече работи и с ИП-та както си работи и между "стандартни" физически интерфейси и мога да шейпвам както си искам.

Наистина огромно благодаря!