Шейпер трафика что это

Шейпер трафика что это

Главное меню

Последние статьи

Счетчики

htb.init — это скрипт, который с помощью утилит ip, tc настраивает пропускную способность канала.
Адрес проекта HTB.init http://sourceforge.net/projects/htbinit/

Немного теории:

Шейпер может ограничивать только ИСХОДЯЩИЙ трафик, распределяя его по разным очередям.
Пакеты, не помещающиеся в очередь, отбрасываются. Данные из очереди выдаются на сетевой интерфейс и далее к клиенту.

Каждый конфигурационный файл описывает очередь, это заложено в самом названии файла, который имеет формат:
$HTB_PATH/ — (: ).
или если "по-русски":
$HTB_PATH/ — (: ).

clsid — задается цифровыми значениями от 0x2 до 0xFFFF (записывается без приставки 0x)
Сам интерфейс описывается файлом только с именем ifname. Например:

eth0 имеет идентификатор класса clsid=0.
eth0-2 — основной (корневой) класс с clsid=2
eth0-2:3 — класс очереди clsid=3, унаследует ограничения от родительского clsid=2
eth0-2:3:4 — класс очередь clsid=4, унаследует ограничения от родительского clsid=3 и 2, т.е. накладываются еще более жесткие ограничения.

Параметры

DEFAULT=30 : указывает номер класса, куда попадает трафик не попавший ни под одно правило.
R2Q=10 : точность шейпера.
RATE=5Mbit : выделенная (гарантированная) пропускная способность очереди, задается в Kbit, Mbit или bps (bytes per second)
CEIL=6MBit : максимальная пропускная способность очереди. если не указывать, то по умолчанию CEIL=RATE
BURST= : количество байт без ограничения скорости
PRIO= : приоритет трафика очереди к другим очередям в классе. Чем меньше число, тем выше приоритет. По умолчанию 0
LEAF= правило распределения внутри самой очереди. default "none". LEAF=sfq — равномерное распределение между участниками очереди.
RULE= : правило, определяющее трафик, который должен проходить через данную очередь. В одном файле могут присутствовать сразу несколько правил.
RULE=[[source_addr][:port[/mask]],][destination_addr][:port[/mask]]
Если трафик попадает по условиям в очередь -2:10 (например где правило задано по маске), то дальше он уже не будет проверять условия в -2:20 (где допустим будет описано правило с конкретно этим ip), -2:30
MARK= : трафик имеющий метку. Например если надо ограничить исходящий трафик от клиента в лок. сети, находящегося за NATом, RULE не прокатит, нужно использовать MARK, и метить нужные пакеты в фаерволе примерно так:
iptables -t mangle -A PREROUTING -s 192.168.0.1 -j MARK –set-mark 101
TIME : временные параметры. TIME=18:00-06:00;256Kbit

Для корректной работы скрипта, сумма всех RATE дочерних классов (очередей) не должна превышать RATE корневого класса, а значение CEIL в каждой очереди не должно превышать значение в корневом классе.

Установка htb.init

Качаем скрипт htb.init который будет генерировать вам правила шейпера согласно созданным вами файлам конфигурации. Сайт проекта http://sourceforge.net/projects/htbinit/ .
Переименуем покороче скачанный скрипт, назовем например просто htb и поместим в директорию /usr/sbin. Разрешим выполнение этого скрипта:

chmod +x /usr/sbin/htb

По желанию можно добавить скрипт в автозагрузку системы, например добавив в rc.local строку
/usr/sbin/htb start

Теперь надо создать директории и файлы необходимые для правильной работы скрипта.

mkdir /etc/sysconfig
mkdir /etc/sysconfig/htb
touch /var/cache/htb.init

Теперь можно приступать к написанию конфигурационных файлов нашего шейпера.

cd /etc/sysconfig/htb

На сервере имеется локалка на интерфейсе eth0, интернет на eth1. Используется NAT. Скорость интернет-канала 30Мбитс. Необходимо обеспечить гарантированную скорость доступа по rdp (на сервере проброшены порты к некоторым компам) и ограничить скорость интернет для некоторых компьютеров в сети, при этом не ограничивая скорость в локалке (на сервере еще файлопомойка).

Создаем конфигурационные файлы:

Для входящего трафика:

sudo touch eth0 # Описываем интерфейс eth0
sudo nano eth0

DEFAULT=10 # метка на файл, создаваемый ниже, eth0-2:10.dfl
R2Q=100 # точность ограничений

sudo touch eth0-2.root # корневой класс
sudo nano eth0-2.root

RATE=100Mbit # гарантированная пропускная способность
CEIL=100Mbit # максимальная пропускная способность
BURST=15k # первые 15k без ограничений

sudo touch eth0-2:10.dfl # сюда попадает трафик, не попадающий ни в одно из правил ниже
sudo nano eth0-2:10.dfl

RATE=1024Kbit # гарантированная пропускная способность
CEIL=99Mbit # максимальная пропускная способность
LEAF=sfq # равномерное распределение между участниками очереди.

sudo touch eth0-2:20.rdp # гарантированный канал для rdp
sudo nano eth0-2:20.rdp

RATE=1Mbit # гарантированная пропускная способность
CEIL=2Mbit # максимальная пропускная способность
BURST=15k # первые 15k без ограничений
LEAF=sfq # равномерное распределение между участниками очереди.
RULE=*:3389, # Применять правило для трафика, у которого исходящий порт — rdp-порт

sudo touch eth0-2:30.87 # ограничиваем скорость для ip 10.10.10.87
sudo nano eth0-2:30.87

RATE=64Kbit # гарантированная пропускная способность
BURST=15k # максимальная пропускная способность
LEAF=sfq # равномерное распределение между участниками очереди.
MARK=87 # применять правило для пакетов, маркированных меткой 87

Для корректной работы надо добавить правило в фаервол:

sudo iptables -A FORWARD -d 10.10.10.87 -j MARK —set-mark 87
пакеты маркируются в цепочке форвард, поэтому на локалку это правило не действует.

sudo touch eth0-2:31.137 # ограничиваем скорость для ip 10.10.10.137
sudo nano eth0-2:31.137

RATE=64Kbit # гарантированная пропускная способность
BURST=15k # максимальная пропускная способность
LEAF=sfq # равномерное распределение между участниками очереди.
MARK=137 # применять правило для пакетов, маркированных меткой 137

Для корректной работы надо добавить правило в фаервол:

sudo iptables -A FORWARD -d 10.10.10.137 -j MARK —set-mark 137

Для исходящего трафика:

sudo touch eth1 # Описываем интерфейс eth1
sudo nano eth1

DEFAULT=10 # метка на файл, создаваемый ниже, eth1-2:10.dfl
R2Q=100 # точность ограничений

sudo touch eth1-2.root # корневой класс
sudo nano eth1-2.root

RATE=30Mbit
# гарантированная пропускная способность
CEIL=30Mbit # максимальная пропускная способность
BURST=15k # первые 15k без ограничений

sudo touch eth1-2:10.dfl # сюда попадает трафик, не попадающий ни в одно из правил ниже
sudo nano eth1-2:10.dfl

RATE=256Kbit # гарантированная пропускная способность
CEIL=29Mbit # максимальная пропускная способность
LEAF=sfq # равномерное распределение между участниками очереди.

sudo touch eth1-2:20.rdp # гарантированный канал для rdp
sudo nano eth1-2:20.rdp

RATE=1Mbit # гарантированная пропускная способность
CEIL=2Mbit # максимальная пропускная способность
BURST=15k # первые 15k без ограничений
LEAF=sfq # равномерное распределение между участниками очереди.
RULE=*:3389 # Применять правило для трафика, у которого порт назначения — rdp-порт

sudo touch eth1-2:30.87 # ограничиваем скорость для ip 10.10.10.87
sudo nano eth1-2:30.87

RATE=64Kbit # гарантированная пропускная способность
BURST=15k # максимальная пропускная способность
LEAF=sfq # равномерное распределение между участниками очереди.
MARK=87 # применять правило для пакетов, маркированных меткой 87

Для корректной работы надо добавить правило в фаервол:
sudo iptables -t mangle -A PREROUTING -s 10.10.10.87 -j MARK —set-mark 87

sudo touch eth1-2:31.137 # ограничиваем скорость для ip 10.10.10.137
sudo nano eth1-2:31.137

RATE=64Kbit # гарантированная пропускная способность
BURST=15k # максимальная пропускная способность
LEAF=sfq # равномерное распределение между участниками очереди.
MARK=137 # применять правило для пакетов, маркированных меткой 137

Для корректной работы надо добавить правило в фаервол:
sudo iptables -t mangle -A PREROUTING -s 10.10.10.137 -j MARK —set-mark 137

Осталось запустить скрипт:

sudo htb compile # тест. можно посмотреть какие правила будут сформированы и ошибки, если есть.
sudo htb start # запуск
sudo htb stop # остановка
sudo htb restart # перезапуск после внесения изменений в файлы конфигурации

You are viewing an old version of this page. View the current version.

« Previous Version 3 Next »

Условно работу шейпера в Ideco ICS можно представить как набор правил с указанием скорости по определенным направлениям прохождения трафика, разделенный на две основные группы: группа правил, действующих на основании "профилей доступа в Интернет" и другая группа правил в которую входят правила с указаниями скорости, настроенные в системном или пользовательском Firewall, использующих действие "Шейпер" или "QoS". Для каждой из этих двух групп шейперов в системе можно настроить глобальные указания по гарантированной скорости всех правил в группе и максимально возможной скорости.

Трафик проходит сначала через правила профиля, потом через правила системного Firewall, а потом через правила пользовательского Firewall.

Читайте также:  Лучшие игры на ps4 2018 года рейтинг

Общее правило такое — каждое следующее правило написанное для того же трафика переопределяет предыдущее. Таким образом если для одного и того же трафика написаны правила в профиле, в системном Firewall и в пользовательском Firewall, то работать будет ограничение из пользовательского Firewall.

Шейпер на сервере Ideco ICS

Если планируется разделить канал провайдера между пользователями в определенном соотношении на постоянной основе, то нужно создать соответствующие профили выхода в Интернет с назначенными ограничениями по скорости на внешние сети в этом профиле. Механизм шейпинга в профилях выхода в Интернет работает так, что каждый профиль с заданной полосой пропускания для определенных сетей делит выделенную ему часть ширины канала провайдера (Например, 512 Килобайт) между всеми пользователями, которым назначен этот профиль в равных долях. Таким образом каждый профиль с ограничением скорости на шлюзе нужно воспринимать как "контейнер", пропускающий трафик от N пользователей и делящий доступный ему канал между этими пользователями на N равных частей. Неверным будет полагать что каждый пользователь, подключенный к Интернету по профилю с ограничением полосы пропускания в 1024 Килобайта будет иметь гарантированную ширину канала в 1024 килобайта. Это возможно только если этот пользователь — единственный, кто подключен к данному профилю выхода в Интернет в данный момент времени.

Правила ограничения скорости, создаваемые в системном или пользовательском фаерволе преследуют выполнение более частных задач. Например ограничение скорости доступа всех пользователей локальной сети к определенному ресурсу сети Интернет. Или, ограничение скорости клиентов одной локальной сети к определенному серверу в соседней локальной сети, при условии что межсетевой трафик проходит через сервер Ideco ICS. В системном фаерволе должны присутствовать правила, общие для всех пользователей, или явно указывающие на IP-адрес ресурса или пользователя. Такие правила созданы и работают в единственном экземпляре, представляющие одно единственное правило шейпинга в сетевой подсистеме сервера. В пользовательском же фаерволе лучше создавать правила, которые впоследствии могут быть применены нескольким пользователям во вкладке "Ограничения" в настройках пользователя.

QoS на сервере Ideco ICS

Правила QoS тоже работают на основе механизма шейпинга трафика и настраиваются в этом разделе. Технология QoS позволяет создавать правила с разным приоритетом по скорости и ширине полосы прохождения трафика, в зависимости от протокола передачи данных, порта подключения или IP-адреса пользователя. Технология используется для указания какому трафику отдавать приоритет в прохождении через сервер Ideco ICS в случае когда полоса пропускания канала от провайдера или доступная ширина канала, согласно правилам шейпинга подходит к концу.

В отличии от правил шейпинга, правила приоретизации трафика можно создавать только в фаерволе, так как приоретизация трафика сильно зависит от типа трафика и конкретного потребителя. Правила в фаерволе позволяют подробно описать тип приоретизируемого трафика, чего нельзя сделать с помощью профилей выхода в Интернет, предназначенных в основном для роутинга пользователей в тот или иной канал провайдера с указанием возможности доступа к тем или иным сетям.

Общесистемные настройки шейпера на сервере Ideco ICS

Перед тем как создавать свои правила ограничения скорости или приоретизации трафика нужно глобально задействовать и произвести настройку базовых параметров механизма шейпинга в системе. Это можно сделать в разделе административного интерфейса, перейдя на вкладку "Сервер — Сетевые параметры — QoS и шейпер".

[скриншот вкладки Сервер — Сетевые параметры — QoS и шейпер с заполненными полями]

Включить QoS и Шейпер — Включает возможность создания и удаления правил шейпинга и QoS глобально в системе. Заметьте, что если правила QoS или шейпинга были созданы в профилях выхода в Интернет или фаерволе ранее, но этот функционал отключен в системе, то при загрузке сервера, правила не будут задействованы, а администратор получит уведомление на электронную почту.

Сети провайдера без ограничения скорости — позволяет явно указать сети доступные на внешнем интерфейсе Ideco ICS, которые будут всегда доступны без каких-либо ограничений скорости.

Физическая ширина канала до провайдера, Кбит/с — здесь необходимо задать скорость на интерфейсе, соединение по которой осуществляет провайдер. Часто это называется интерфейсной скоростью или скоростью аплинка. Обычно зависит от оборудования провайдера и клиента. Как правило это 100 или 10 мегабит, но может и отличаться в отдельных случаях, например если вы подключены к провайдеру через радио-канал. Это не скорость соединения с Интернетом по тарифу провайдера.

Несколько распространённых примеров интерфейсных скоростей:

ADSL: 8/1: 8000 Кбит/сек

LAN 10Mbit: 10000 Кбит/сек

LAN 100Mbit: 100000 Кбит/сек

Максимальная скорость Интернет по тарифам провайдера, Кбит/с — здесь необходимо задать максимально доступную скорость соединения, предоставляемую провайдером по тарифу исходя из договора об оказании услуг связи. В случае если провайдер гарантирует входящую скорость на уровне до 5Мбит/сек, скорость в данном параметре должна быть указана как 5000 Кбит/сек.

На основе этого и предыдущего параметра рассчитываются относительные величины шейперов в системе. Поэтому необходимо правильно задать эти значения сразу, перед началом использования правил ограничения скорости и приоретизации трафика.

Резервировать для приоритетного трафика в процентах, % — процент ширины канала Интернет предоставляемого провайдером, который будет всегда доступен (зарезервирован) для низкоскоростного интерактивного трафика. Помогает ускорить открытие веб-страниц при общей загруженности канала. Выделяемое таким образом часть ширины канала провайдера никогда не будет использоваться остальными видами трафика. Не рекомендуются величины свыше 15%.

[скриншот вкладки Сервер — Сетевые параметры — доп. настройки QoS с заполненными полями]

Дополнительные общесистемные настройки работы механизма ограничения скорости в системе могут пригодиться крупным организациям, работающим в больших вычислительных сетях, насчитывающих от 1000 клиентов и имеющим дело с большими объемами разнородного трафика. В остальных случаях изменять эти настройки, как правило, не возникает необходимости.

Выделить для безлимитных профилей, Кбит/с — гарантированная полоса пропускания для группы правил шейпинга, определенных в профилях. Действует суммарно на все правила сразу.

Ограничить общую скорость безлимитных профилей, Кбит/с — верхний лимит по скорости для группы правил шейпинга, определенных в профилях. Действует суммарно на все правила сразу.

Выделить для шейперов Firewall, Кбит/с — гарантированная полоса пропускания для правил шейпинга трафика заданных в фаерволе. Действует суммарно на все правила сразу.

Ограничить общую скорость для шейперов Firewall, Кбит/с — верхний лимит по скорости для группы правил шейпинга, определенных в фаераоле. Действует суммарно на все правила сразу.

Использовать упрощенный шейпер — этот параметр включает особый алгоритм работы шейпера в системе который сможет значительно снизить нагрузку на сервер. Включать этот параметр имеет смысл только если клиентов, на которых действуют правила шейпинга, (в профилях или в фаерволе) больше 1000 и если в профилях используется не более одного правила шейпинга, при том это правило должно действовать на сеть ALL (внешний трафик 0.0.0.0) Рекомендуется использовать в крайнем случае и только в крупных организациях. Обратитесь за консультацией в техническую поддержку.

Ускорить проверку пакетов в профилях и firewall — позволяет уменьшить нагрузку на фаервол в системе при значительных объемах проходящего через Ideco ICS трафика. Ускорение происходит за счет того, что фаервол в системе проверяет выборочно каждый n-ный пакет проходящего трафика. Периодичность задается пунктом ниже. Контентная фильтрация фаервола по ключевым словам при этом работать не будет.

Проверять только каждый n-й пакет сессии — чем больше число, тем меньше нагрузка на фаервол в Ideco ICS. Не рекомендуется выставлять больше 3000. При бОльших значениях может дать погрешность в учете трафика до нескольких мегабайт.

Читайте также:  Разносторонний тупоугольный треугольник картинки

Использовать ускоренный алгоритм шейперов — позволяет уменьшить нагрузку на систему при работе с шейперами. Проверяется каждый n-ный пакет проходящего трафика. Периодичность задается пунктом ниже. Работает только когда включено ускорение работы фаервола выше.

Проверять смену шейпера только через n пакетов — чем больше число, тем меньше нагрузка на фаервол в Ideco ICS. Не рекомендуется выставлять больше 500. При бОльших значениях смена шейпера у пользователя может произойти спустя некоторое время после срабатывания условия в профиле.

Примеры правил ограничения скорости с помощью фаервола.

Пример правила ограничивающего скорость к сети (группе компьютеров) при превышении объёма трафика, скачанного за сессию.

Достаточно часто возникает необходимость искусственно ограничить скорость получения (или отдачи) трафика для группы компьютеров или одного компьютера в зависимости от объёма ранее переданных данных.

1. Для начала нужно определить кому и в каком направлении может быть необходимо принудительное ограничение скорости. В данном примере ограничивается входящая скорость трафика из любых сетей (0.0.0.0/0) в сторону локальной сети 172.16.0.0/255.255.255.0.

2. Затем создать правило, включающее в себя следующие данные о трафике: адрес сети или компьютера источника (Source), адрес сети или компьютера назначения (Destination), путь Forward и действие Шейпер.

3. Указать максимальную скорость которую получит группа компьютеров или один компьютер.

4. Указать условие срабатывания правила при достижении определенного объема сессии (в данном примере размер сессии 256000 Кбайт (примерно 256Мбайт)). Этот параметр находится на вкладке "Дополнительные параметры" в оснастке создания правила фаервола.

Пример правила ограничивающего скорость от сети (от группы компьютеров) в Интернет.

В некоторых случаях может потребоваться ограничение исходящей скорости для трафика направленного в Интернет от группы компьютеров или одного компьютера. К наиболее частому применению такого правила можно отнести лимитирование исходящей пропускной способности для пользователей, чьи компьютеры могут являться сомнительными в плане защищённости от вирусов и могут входить в бот-сети учавствующие в распределённых DOS-атаках. К этим же случаям можно причислить и пользователей другими агрессивными типами трафика (Torrent, EDonkey и прочие файлообменные сети).

1. Для начала необходимо определить сеть, порождающую трафик, скорость которого нужно лимитировать. В данном примере взята сеть 172.16.0.0/255.255.255.0.

2. Создать правило, включающее в себя следующие данные о трафике: адрес сети или компьютера источника (Source), адрес сети или компьютера назначения (Destination), путь Forward и действие Шейпер. Так как в данном случае желательно ограничивать скорость трафика в сторону сети Интернет, то указываем все сети (0.0.0.0/0)

3. Указываем максимальную скорость в Кбит/сек.

Примеры правил ограничения скорости в профилях выхода в Интернет.

Профиль выхода в Интернет в котором пользователям предоставляется 1Гб трафика на скорости 1Мбит/с, а при скачивании больше 1Гб скорость лимитируется до 128кбит/с.

1. Для начала нужно создать новый профиль, в котором будем ограничивать скорость доступа к Интернет. Раздел административного интерфейса "Профили".

2. Добавить правило(а) для локальной сети. Оно должно идти первым, вслед за ним правила для дополнительных сетей, если требуется, например для городских сетей.

3. В конце должны быть правила для внешних сетей. Настроим ограничение скорости для первое из них с условиями "скачано не менее чем, Мб = 1024" и "Скорость Вх, Кбит = 1000", указать нужную стоимость и другие параметры по желанию.

4. Добавить еще одно правило для внешних сетей с условиями "скачано более чем, Мб = 1024" и "Скорость Вх, Кбит = 128", указать нужную стоимость и другие параметры по желанию.

Наглядный пример ограничения скорости для внешних сетей по двум критериям и общий вид описанного выше профиля проиллюстрирован ниже.

По причине выхода релиза новой версии firmware, мы вновь возвращаемся к теме ADSL-модемов серии x22. Краткие характеристики и отличия модемов этой серии приведены в таблице:

Модель Возможности Цена
ACORP Sprinter@ADSL LAN122 1 порт Ethernet 10/100
1 порт USB 1.1
Н/Д(0)
ACORP Sprinter@ADSL LAN422 4 порта Ethernet 10/100 Н/Д(0)
ACORP Sprinter@ADSL W422G 4 порта Ethernet 10/100
1 порт Wlan 802.11b.g
Н/Д(0)

Все модемы собраны на специализированном процессоре TNETD7200, работающем на частоте 212 MHz, и оснащены 16 МБ SDRAM. Внешне, модели отличаются числом светодиодов на передней панели и наличием несъемной антенны у модели 422G. Соответственно, изменения в firmware применимы ко всем модемам серии. Релизом является firmware версии v.2.03.RU.01112007, именно оно установлено на всех новых модемах с завода.

Список изменений в релизе:

  • Полностью переработан html-код, веб-интерфейс теперь работает корректно под разными браузерами. Изменена логика сохранения изменений.
  • Новый шейпер. Используемый ранее TI NSP Framework QoS полностью удален. Новый шейпер на основе iproute2 включен в ядро встроенного linux.
  • Добавлена возможность назначать ip для pppox подключений.
  • Добавлен PPTP-клиент для связи с провайдером и (или) с удаленным PPTP-сервером поверх существующих соединений.
  • Добавлены опции Passthrough IPTV и Passthrough DNS & DHCP в Bridge Filters, которые позволяют пропускать IPTV, DHCP и DNS запросы для локальных пользователей в не зависимости от правил в Bridge Filters.
  • Новая версия PPTP-сервера, добавлена возможность организации VPN-каналов между устройствами x22. Добавлены дополнительные настройки в Advanced VPN Access Control. В LAN Clients встроена возможность прописывать VPN-соединения. Добавлен новый транспорт для VPN-клиента — PPP-over-SSL.
  • Добавлен в веб-интерфейс параметр установки MTU для Static-соединения.
  • Заменен NTP-клиент новой версией, Добавлена работа Day Light на всех основных временных зонах для Российской Федерации в соответствии с информацией на Greenwich Mean Time.
  • Много исправлений в busybox, добавлена поддержка формата последней версии tar, добавлен top, встроена поддержка gzip, ungzip и dos2unix.
  • Добавлена возможность отключения Multicast Forwarding в LAN Configuration, включая тем самым полное прохождение мультикастов в выбранной лан-группе.
  • Полностью переделана логика работы IP Account.
  • Изменен алгоритм работы UPnP-сервиса, теперь UPnP не сбрасывает правила проброски портов после переподключений, отключена привязка к внешнему ip-адресу и добавлена защита от дублирования этих правил.

Firmware модемов продолжает активно разрабатываться, за три месяца после релиза выпущены следующие исправления и доработки:

  • Добавлена возможность включить NAT & Firewall для лан-групп.
  • Добавлена возможность установить VPN-соединение через определенную LAN-группу.
  • Добавлена поддержка TCP MSS (Enforce MTU) для PPPoA.
  • Доработан шейпер, увеличено количество записей классов и фильтров до 9, добавлена возможность редактирования параметров классов, добавлена автозапись параметров класса шейпера в поля ввода.
  • Небольшие доработки и исправления в html-коде.
  • Исправлено некоторое количество мелких багов.
  • Добавлен сброс UDP-связей в таблице соединений после каждого переподключения. Необходим для правильной работы VoIP-телефонов.
  • Добавлена привязка UPnP к WAN-интерфейсу.
  • Annex A/B DSP код теперь можно выбрать в закладке Modem. *
  • Добавлены утилиты sed, awk и cron.
  • Добавлен IP QoS из базовой прошивки TI.
  • Добавлена возможность привязывать MAC-адрес к IP для LAN Client.
  • Удалена службы TR-069.

* — Следует учитывать, что AnnexB-модемы, переключенные в режим AnnexA, по причине встроенного фильтра, не работают в режиме AnnexM.

Как видим, изменения весьма серьезны. Практически, модемы переходит в следующий сегмент рынка, и становятся интересны продвинутым пользователям и организациям. Подробного рассмотрения заслуживают две вещи, это встроенный VPN клиент/сервер и шейпер трафика. Рассмотрим эти возможности более подробно:Встроенный VPN SSL Клиент/Сервер

Предположим, вам нужно объединить в локальную сеть головной офис и два филиала. Существует множество решений, но все они предполагают наличие выделенного VPN-сервера. В случае использования для выхода в интернет модемов x22 серии, никакого дополнительного оборудования не понадобится.

Читайте также:  Стоит ли ставить файл подкачки на ssd

На модеме, установленном в головном офисе, надо сделать следующее:

Разрешить VPN-сервер для подключения интернет. Нужно выбирать учетную запись своего провайдера, а для безопасности есть возможность принимать входящие соединения от определенного адреса или подсети. Модему, который будет сервером, должен предоставляться IP-адрес сети Интернет, в терминологии провайдеров — белый или прямой IP.

Через меню LAN Clients следует определить IP-адреса, логины/пароли и маршруты VPN-клиентов.

На модемах, установленных в филиалах, надо сделать следующее:

Создаем новое VPN-соединение, используя транспорт SSL через соединение с провайдером. Отключаем для этого соединения NAT и Firewall, указываем адрес VPN-сервера (белый IP головного офиса) и логин/пароль.

Прописать маршрутизацию к локальной сети головного офиса, через вновь созданное VPN-соединение.

Подобное решение может быть интересным и для домашнего применения. Если вы с другом живете в одном районе, пользуетесь модемами серии x122 и общим провайдером и подключены на безлимитные тарифы, то, возможно, вам будет небезынтересно установить соединение VPN Клиент/Сервер. Во-первых, вы сможете получить доступ в расшаренные папки друг друга, используя Microsoft Network. Во-вторых, скорость передачи данных может быть значительно выше, это связано с тем, что скорость для безлимитных тарифов обычно ограничивается не на PPPoE-сервере, а на роутере/NAT. Трафик, к сожалению, обычно (но не всегда!) считается на PPPoE сервере, посессионно. Для этих экспериментов от провайдера потребуются внутренние, "серые" адреса локальной сети.Шейпер трафика

Весьма часто возникает необходимость в ограничении входящего и/или исходящего интернет-трафика. Предыдущая версия firmware включала в себя TI NSP Framework QoS, средство управления качеством обслуживания для процессоров TNETD. Шейпер не всегда работал корректно, для настройки требовал профессиональных знаний стека TCP/IP, не имел возможности управления входящим трафиком. И вот, команда разработчиков Acorp пошла на серьезный шаг — полностью переписала шейпер. За основу был взят пакет iproute2, синтаксис команд сохранен, и любители Linux смогут в командной строке управлять им через tc. Для менее искушенных пользователей предусмотрено конфигурирование через веб-интерфейс.

Что может и чего не может шейпер

Шейпер может

  • Гарантировать полосу пропускания для IP-адресов и/или портов.
  • Динамически менять полосу пропускания в соответствии с приоритетными IP адресами и/или протоколами.
  • Поделить полосу поровну между IP-адресами или соединениями.
  • Замедлить интернет и увеличить накладные расходы.

Шейпер не может

  • Ускорить ваш интернет весь и сразу. *
  • Приоритезировать трафик в активном окне. *
  • Приоритезировать трафик в между LAN-клиентами.
  • Динамически менять правила.
  • Приоритезировать трафик в зависимости от приложений. **
  • Самостоятельно определять максимальную пропускную способность канала.

* — отмеченное не может никакой шейпер, остальное не может данная, конкретная реализация
** — приоритезация трафика конкретных приложений принципиально возможна двумя способами. Учитывая используемые порты и протоколы, а также анализируя содержимое пакетов. Шейпер модемов x22, использует оба метода, анализ содержимого пакетов выполняется средствами IPP2P.

Следует учесть, что в данном шейпере любое ограничение входящего трафика происходит путем выбрасывания полученного, посчитанного провайдером и оплаченного пользователем IP-пакета. Пакеты отбрасываются в ожидании того, что в силу особенности TCP/IP сетей их будут реже посылать. Более разумным способом, является ограничение исходящего трафика, который представляет собой запрос на получение. Среднее соотношение при веб-серфинге составляет 1:10, соответственно, для ограничения таким способом исходящей скорости, необходимо зажимать более чем в десять раз, по сравнению с пропускной полосой входящего канала. Метод является гораздо менее надежным, а для некоторых приложений неэффективен или неприменим. Решение о применении шейпера, каждый принимает самостоятельно, важно понимать, какой результат, и за какую цену вы получаете. Старый шейпер, TI NSP Framework QoS, своим конфигом представлял хорошую защиту "от дурака". Новый шейпер допускает использование неискушенным пользователем.

Шейпер необходим, когда:

  • Требуется предоставить определенному ПК/сервису гарантированную полосу пропускания, вне зависимости от загрузки канала.
  • Например, определить VoIP-трафик, как приоритетный, и выделить ему скорость, достаточную для комфортного разговора без задержек.
  • Требуется равномерно разделить полосу пропускания между ПК, вне зависимости от количества используемых соединений.
    • Например, два ПК, один производит закачку в один поток (загрузка файла по ftp), второй — в 50 (торрент). Если шейпер настроен с балансировкой полосы по методу SRR, тогда независимо от количества используемых соединений, оба ПК получат равные доли полосы пропускания. Без использования шейпера, второй ПК практически полностью займет всю полосу.
    • Необходимо ограничить скорость для ПК и/или сервиса.
      • Например, для P2P-трафика, вне зависимости от количества одновременно работающих клиентов в локальной сети, выделить определенной ширины полосу пропускания.
      • Необходимо динамически регулировать для ПК/сервиса полосу пропускания.
        • Например, в случае свободного канала предоставить P2P-клиентам всю полосу пропускания и урезать ее до установленного минимального предела, в случае наличия другой сетевой активности (веб-серфинг, voip, и т.д.).
        • Не рекомендуется применять шейпер в следующих случаях

          • Широкополосный интернет (скорость не ограничена). Проблему излишнего расхода трафика p2p-клиентов следует решать конфигурацией клиентского ПО.
          • Лимитированный по скорости интернет-канал с широкополосным доступом к локальным ресурсам.
          • Лимитированный по скорости интернет-канал, проседающий более чем на 15-20% в часы наибольшей загрузки.

          Использования шейпера

          Первый шаг в конфигурировании шейпера, определение скорости (полосы) вашего интернет-соединения. Для этого зайдите на сервер измерения скорости и проведите серию измерений. Если результат стабилен, и отклонение составляют не более 10% в течение суток, отнимите от среднего результата 20%, а если результат нестабилен, отнимите от худшего значения 10%. Таков будет ваш Max Rate. Начните конфигурирование шейпера с установки этого параметра.

          Вторым шагом необходимо определить классы трафика. Класс — это совокупность трафика, который удовлетворяет заданным правилам и приоритезируется определенными для этого класса параметрами.

          • Rate — минимальная гарантированная скорость трафика, попадающего под условия данного класса. Сумма Rate для всех классов не должна превышать значение Max Rate.
          • Cell — минимальная гарантированная скорость трафика, попадающего под условия данного класса. Не может превышать значения Max Rate.
          • Priority — приоритет обработки правил данного класса. 0 — высший, 7 — минимальный.
          • Algo — алгоритм распределения полосы внутри каждого класса.
          • SRR — Simple Round Robin, распределяет полосу равномерно между всеми компьютерами (IP-адресами).
          • SFQ — Stochastic Fairness Queuing, распределяет полосу равномерно между всеми соединениями. Рекомендуем для VoIP.
          • NONE — Не использовать какое-либо распределение полосы внутри класса.

          Следующим шагом мы должны создать правила для трафика каждого класса. Предположим, у нас есть свой компьютер и соседский. Необходимо сделать так, чтобы сосед нам не мешал. Пропишем для каждого класса IP-адрес компьютера, трафик которого должен попадать под данный класс.

          Настройки для Shaper Out должны быть сделаны по аналогии.

          Заключительный шаг, включение шейпера в настройках соединения.

          Получить совет вы всегда можете на форуме технической поддержки компании Acorp, а скачать новую прошивку модема и документацию со странички McMCC.

          В заключение, хотим сказать о высокой надежности работы модема. Модем ACORP Sprinter@ADSL LAN 122 используется для доступа в интернет небольшого офиса. Обслуживается около 40 машин в двух подсетях. Зависаний нет, перегружается модем только после перепрошивки.

          На нижеприведенном скриншоте, модем, работая месяц, принял 17 Гигабайт при 20 ошибках в канале DSL.

          Мы желаем фирме Acorp дальнейших творческих успехов на ниве изготовления недорогих и функциональных сетевых «железок».

          Ссылка на основную публикацию
          Что такое экспоненциальная форма записи числа
          Запись (значения) — Учётная запись Нотная запись Демо запись Двойная запись Запись MX Алфавитная запись Клятвенная запись Экспоненциальная запись Обратная...
          Что мне задали завтра на русский
          Проверка орфографии на 5-ege.ru (введите текст в форму ниже): Если нужно проверить пунктуацию, воспользуйтесь сервисом Проверка пунктуации онлайн. Наш сервис...
          Что лучше газель некст или фиат дукато
          На прошлой неделе Газель-Некст была признана лучшим автомобилем года в России. Эксперты коммерческого транспорта оценили ее в 2–3 раза выше,...
          Что такое чувырла википедия
          Чувырла - почётный дворянский титул, даётся чучундрам заособые заслуги. Этот вопрос уже закрыт. Вы не можете на него ответить. Ответы...
          Adblock detector