Modelagem em linux (vlan + nat + in/out)?

Sei, sobre o que é escrito uma enorme variedade de artigos, mas, infelizmente, até que todos eles clareza não fizeram. =(


É o linux-roteador (na pequena домовом fornecedor, дистр — gentoo), раздающий enão 150+ usuários.

A necessidade de garantir o limite de velocidade como in e out para os usuários de acordo com suas tarifas.

Cada casa tem o seu vlan, diante de todos esses vlan-s vêm em um roteador. Na saída de uma interface eth na internet. Todos os usuários estão sentados atrás de um nat.


O esquema dá é essa:

{vlan1,vlan2,...,vlann}eth0 => (pc-router)[nat] => eth1


De acordo limitar a velocidade de entrada e saída para cada um dos usuários de acordo com o seu ESTATUTO.


Não oferecer: Distribuição por várias тачкам, циску.

Você precisa fazer isso em um carrinho de mão. Pelo menos фряха com essa tarefa em outro segmento de lida com os elogios (para ela e passaria, se ainda não осилю шейпер em linux, mas ainda desistir tão simplesmente, não gosta).


A idéia precisa fazer virtual ifb interface, só não consigo entender como o seu подружить com a in+out+nat+vlan.


Answers 3:

Share:


Paul Garcia
Answer 1

Mas que, de fato, é um problema? Marque através do iptables no mangle::FORWARD, depois que o normal HTB para vlan* e eth1, através do filter fw nós esgotar o tráfego na acc. as classes.
Шейпить vai conformidade com o êxodo de interface. NAT não é absolutamente um obstáculo porque a coloração de tráfego acontece antes.


THE SNIPER VENOM
Answer 2

Francamente шейпер no ipfw é MUITO mais fácil do que iproute2, de modo que é possível a transição para фряху ainda a decisão certa... Embora o próprio линуксоид, mas ainda assim.


Jenn Smith
Answer 3

Шейпер no linux extremo. A sintaxe tc isso só contribui. Principalmente quando você honestamente dividir a entrada pista, simples нативного maneiras de fazer isso eu não sei. Somente com muletas na forma de IFB ou IMQ, melhor IFB ele ideologicamente correcto, e ainda, como não é necessário corrigir o kernel e iptables. O tráfego de saída (vem com o roteador, para os usuários em виланы) eu шейпил reto em sua rede интрефейсах. Entrada do usuário, marcou e заворачивал no IFB. No IFB pendurada árvore de classes HTB e filtros de marcas de usuários caem, cada um em sua folha(leaf). Tenho редиректится tráfego por esta maravilhosa equipe
$TC filter add dev $VLAN parent ffff: protocol ip prio 1 u32 match u32 0 0 flowid 1:1 ação ipt -j MARK --set-mark $VID action mirred egresso redirect dev $IFB
Em suma, coloque o фряху lá, se você entende, assim será mais fácil e usuários confiáveis