Strona 1 z 1

Ograniczenie ruchu wyjściowego do okreslonego hosta

: 11 sie 2017, 12:23
autor: Bolo
Witam,

Chciałbym się upewnić i podpytać. Mam taki oto przypadek.

Serwer znajduje sie w Data Center. Do niego dostają się komputery z kilku lokalizacji i pobierają dane. Niestety ruch ten zabija lokalne łącza. W każdym z biur znajduje się srx w clustrze.

Próbuje to ograniczyć poprzez zwykły filtr firewallowy poprzez procentowe ograniczenie ale niestety nie mogę tego uzyc w przypadku kiedy mamy interfacey typu: reth.

Pomysł drugi to shapping + schedulers map - nigdy tego nie konfigurowałem. Czy może jakieś wskazówki koledzy podrzucą?

Pozdrawiam

Re: Ograniczenie ruchu wyjściowego do okreslonego hosta

: 11 sie 2017, 15:51
autor: Bolo

Re: Ograniczenie ruchu wyjściowego do okreslonego hosta

: 14 sie 2017, 15:00
autor: qligowski
moze glupie rozwiazenie ale nie mozesz ograniczyc ruchu bezposrednio na serwerze i tam zrobic qos ? Jaki system to jest *nix czy Windows ?

Re: Ograniczenie ruchu wyjściowego do okreslonego hosta

: 16 sie 2017, 14:01
autor: dud|i
Rozumiem, że masz problem z ruchem przychodzącym do lokalizacji. Tzn. duży ruch z Data Center zapycha wolne łącze w oddziale?
Gdzie chcesz skonfugurować ten QoS? W DC czy oddziałach? Ile tych oddziałów?

Re: Ograniczenie ruchu wyjściowego do okreslonego hosta

: 28 sie 2017, 10:57
autor: Bolo
Cześć,
Właśnie wróciłem z urlopu. Przepraszam, że tak długo nie odpisywałem.
Tak, ruch ten zabija lokalne łącza a także jeśli kilka lokalizacji na raz ciągnie te dane to i łącze w DC tez jest dość mocno obciążone.

Re: Ograniczenie ruchu wyjściowego do okreslonego hosta

: 19 wrz 2017, 13:00
autor: Bolo
nie udało mi się

Re: Ograniczenie ruchu wyjściowego do okreslonego hosta

: 28 wrz 2017, 18:11
autor: dud|i
Najprościej zrobić policer na SRXie w DC na interfejsie od strony serwera w kierunku input czyli najbliżej źródła

Definiujesz policery dla oddziałów np:

Kod: Zaznacz cały

firewall {
policer oddzial_1 {
    if-exceeding {
        bandwidth-limit 50m;
        burst-size-limit 150k;
    }
    then discard;
}
policer oddzial_2 {
    if-exceeding {
        bandwidth-limit 10m;
        burst-size-limit 65k;
    }
    then discard;
}
}
Definiujesz firewall filter wskacujący jaki ruch mają przycinać zdefiniowane wcześniej policery

Kod: Zaznacz cały

firewall family inet {
    filter sites_policer {
        term oddzial_1 {
            from {
                source-address {
                    ip_serwera;
                }
                destination-address {
                    podsieć_oddziału_1;
                }
            }
            then {
                policer oddzial_1;
                count oddzial_1;
                accept;
            }
        }
        term oddzial_2 {
            from {
                source-address {
                    ip_serwera;
                }
                destination-address {
                    podsieć_oddziału_2;
                }
            }
            then {
                policer oddzial_2;
                count oddzial_2;
                accept;
            }
        }
        term default {
            then accept;
        }
    }
}
Zapinasz firewall filter na interfejsie od strony serwera w kierunku input np

Kod: Zaznacz cały

set interfaces reth0.0 family inet filter input sites_policer
Weryfikacja

Kod: Zaznacz cały

show firewall
show interfaces reth0.0 extensive

Re: Ograniczenie ruchu wyjściowego do okreslonego hosta

: 03 lis 2017, 14:17
autor: Bolo
Dziękuje, jednak ten scenariusz działa, kiedy wiem jakie jest łącze i moge tego pilnować. Jesli jednak mam 250 lokalizacji to tylko % wchodzi w grę