Ograniczenie ruchu wyjściowego do okreslonego hosta

JunOS / Juniper / Netscreen

Moderatorzy: mikrobi, aron, garfield, gangrena, Seba

Wiadomość
Autor
Awatar użytkownika
Bolo
wannabe
wannabe
Posty: 610
Rejestracja: 27 wrz 2006, 10:02

Ograniczenie ruchu wyjściowego do okreslonego hosta

#1

#1 Post autor: Bolo » 11 sie 2017, 12:23

Witam,

Chciałbym się upewnić i podpytać. Mam taki oto przypadek.

Serwer znajduje sie w Data Center. Do niego dostają się komputery z kilku lokalizacji i pobierają dane. Niestety ruch ten zabija lokalne łącza. W każdym z biur znajduje się srx w clustrze.

Próbuje to ograniczyć poprzez zwykły filtr firewallowy poprzez procentowe ograniczenie ale niestety nie mogę tego uzyc w przypadku kiedy mamy interfacey typu: reth.

Pomysł drugi to shapping + schedulers map - nigdy tego nie konfigurowałem. Czy może jakieś wskazówki koledzy podrzucą?

Pozdrawiam

Awatar użytkownika
Bolo
wannabe
wannabe
Posty: 610
Rejestracja: 27 wrz 2006, 10:02

Re: Ograniczenie ruchu wyjściowego do okreslonego hosta

#2

#2 Post autor: Bolo » 11 sie 2017, 15:51


qligowski
wannabe
wannabe
Posty: 172
Rejestracja: 16 maja 2014, 18:35

Re: Ograniczenie ruchu wyjściowego do okreslonego hosta

#3

#3 Post autor: qligowski » 14 sie 2017, 15:00

moze glupie rozwiazenie ale nie mozesz ograniczyc ruchu bezposrednio na serwerze i tam zrobic qos ? Jaki system to jest *nix czy Windows ?

Awatar użytkownika
dud|i
wannabe
wannabe
Posty: 308
Rejestracja: 29 sty 2010, 23:51

Re: Ograniczenie ruchu wyjściowego do okreslonego hosta

#4

#4 Post autor: dud|i » 16 sie 2017, 14:01

Rozumiem, że masz problem z ruchem przychodzącym do lokalizacji. Tzn. duży ruch z Data Center zapycha wolne łącze w oddziale?
Gdzie chcesz skonfugurować ten QoS? W DC czy oddziałach? Ile tych oddziałów?
listen, think, solve ..

Awatar użytkownika
Bolo
wannabe
wannabe
Posty: 610
Rejestracja: 27 wrz 2006, 10:02

Re: Ograniczenie ruchu wyjściowego do okreslonego hosta

#5

#5 Post autor: Bolo » 28 sie 2017, 10:57

Cześć,
Właśnie wróciłem z urlopu. Przepraszam, że tak długo nie odpisywałem.
Tak, ruch ten zabija lokalne łącza a także jeśli kilka lokalizacji na raz ciągnie te dane to i łącze w DC tez jest dość mocno obciążone.

Awatar użytkownika
Bolo
wannabe
wannabe
Posty: 610
Rejestracja: 27 wrz 2006, 10:02

Re: Ograniczenie ruchu wyjściowego do okreslonego hosta

#6

#6 Post autor: Bolo » 19 wrz 2017, 13:00

nie udało mi się

Awatar użytkownika
dud|i
wannabe
wannabe
Posty: 308
Rejestracja: 29 sty 2010, 23:51

Re: Ograniczenie ruchu wyjściowego do okreslonego hosta

#7

#7 Post autor: dud|i » 28 wrz 2017, 18:11

Najprościej zrobić policer na SRXie w DC na interfejsie od strony serwera w kierunku input czyli najbliżej źródła

Definiujesz policery dla oddziałów np:

Kod: Zaznacz cały

firewall {
policer oddzial_1 {
    if-exceeding {
        bandwidth-limit 50m;
        burst-size-limit 150k;
    }
    then discard;
}
policer oddzial_2 {
    if-exceeding {
        bandwidth-limit 10m;
        burst-size-limit 65k;
    }
    then discard;
}
}
Definiujesz firewall filter wskacujący jaki ruch mają przycinać zdefiniowane wcześniej policery

Kod: Zaznacz cały

firewall family inet {
    filter sites_policer {
        term oddzial_1 {
            from {
                source-address {
                    ip_serwera;
                }
                destination-address {
                    podsieć_oddziału_1;
                }
            }
            then {
                policer oddzial_1;
                count oddzial_1;
                accept;
            }
        }
        term oddzial_2 {
            from {
                source-address {
                    ip_serwera;
                }
                destination-address {
                    podsieć_oddziału_2;
                }
            }
            then {
                policer oddzial_2;
                count oddzial_2;
                accept;
            }
        }
        term default {
            then accept;
        }
    }
}
Zapinasz firewall filter na interfejsie od strony serwera w kierunku input np

Kod: Zaznacz cały

set interfaces reth0.0 family inet filter input sites_policer
Weryfikacja

Kod: Zaznacz cały

show firewall
show interfaces reth0.0 extensive
listen, think, solve ..

Awatar użytkownika
Bolo
wannabe
wannabe
Posty: 610
Rejestracja: 27 wrz 2006, 10:02

Re: Ograniczenie ruchu wyjściowego do okreslonego hosta

#8

#8 Post autor: Bolo » 03 lis 2017, 14:17

Dziękuje, jednak ten scenariusz działa, kiedy wiem jakie jest łącze i moge tego pilnować. Jesli jednak mam 250 lokalizacji to tylko % wchodzi w grę

ODPOWIEDZ