שלום לכולם.
אצלנו באירגון יש סוויץ' מנוהל מדגם 3Com SuperStack 3 Switch 4500.

אל אחד הפורטים משורשר סוויץ' נוסף שאליו מחוברת אחת המחלקות הטכניות בחברה.
המחלקה הזאת מייצאת תעבורת אינטרנט גבוהה במיוחד וגורמת לאיטיות בגישה לאינטרנט לכולם.

שאלתי היא:
האם ניתן להגביל את רוחב הפס על הפורט שאליו מחוברת מחלקה זו?

תודה לעונים.

* רק הערה קטנה, אני כמובן לא מעוניין להגביל את התעבורה בתוך ה- LAN בפורט המדובר, אלא רק בגישה לאינטרנט.

בשביל זה אתה צריך QoS ברמת IP (בשונה מהגבלת הפורט עצמו, על כל התעבורה שבאה ממנו, שזה ממש פשוט) - אני לא זוכר שראיתי אפשרות כזו שם, ואפילו לא באחיו הגדול, ה 5500...

אבל אולי אני טועה...

אפשרות אחרת שיש - וזה כבר תלוי בסוויץ' האחר שיש לך (אם יש לו יכולות L3 ו VLAN), היא לעשות כך:

לחבר את הסוויצ' השני ל 4500 בשני VLAN-ים שונים וליצור שני VLAN Interface ב 4500 - ולהגדיר שני ניתובים בסוויצ' השני - אחד לרשת ה LAN שלך, דרך פורט אחד, ואחד default route דרך הפורט השני.

וכמובן על הפורט שהולך ל default route, לעשות rate limiting ב 4500 (או בשני, או בשניהם)

ואז - תעבורה ל LAN תלך לפורט הלא מוגבל

וכל שאר התעבורה - דרך הפורט המוגבל

פתרון עקום, אבל...

נמאס לכם לזכור סיסמאות? לחצו כאן!

שימי, קודם כל תודה על התשובה, קראתי והבנתי את מה שהצעת.
יש איזה מודל שחשבתי עליו אבל אני לא בטוח לגבי היישום המעשי שלו:

1. ב- 4500 אצור vlan עבור אותה מחלקה בעייתית.
2. כשאצור את ה- vlan אגדיר גם default gateway וירטואלי (שונה מהנוכחי) שיישב ב- switch.
3. אפעיל מגבלת תעבורה על הצינור בין ה- gateway הוירטואלי לאמיתי.

שתי שאלות:
א. מה דעתך על העניין?
ב. האם ניתן בכלל לבצע את השלב השלישי?

תודה.

אם תסביר למה הכוונה default gateway וירטואלי, אוכל לנסות להבין...

אל תשכח ש default gateway, מטבע הדברים, יושב באותו network שבו יושבות התחנות שמשתמשות בו...

ושכשאתה יוצר VLAN Interface על ה 4500 (לא הבנתי אם זה מה שאתה מתכוון לעשות - אבל אם...) - אזי מה שקורה זה שכל מי שיתקשר איתו ינותב הלאה לכל מקום דרך טבלת הניתוב הרגילה של ה 4500... (ואני יוצא מנק' הנחה שיש לך טבלת ניתוב על ה 4500 כי מי קונה 4500 בלי לעשות L3... )

(ובכל מקרה תזכור שהמטרה שלך היא הפרדה בין תעבורת אינטרנט לתעבורת LAN והקצאת rate-limiting שונה לשתיהן...)

נמאס לכם לזכור סיסמאות? לחצו כאן!

כשבונים vlan על subnet שונה מגדירים גם gateway וירטואלי שיושב בתוך ה- switch, ואותו gateway אכן יושב על אותה net id כמו הרשת.

חשבתי על זה קצת ובתוכנית שלי יש פגם מכיוון שאם אני מגדיר vlan באופן הזה, הרי שלמחשבים של אותה מחלקה לא תהיה תקשורת עם שאר ה- lan וזאת מכיוון שהם ב- net id שונה.

חזרתי למה שאתה הצעת ויש לי שאלה:
נניח שאני אכן מגדיר שני vlan נפרדים ב- switch הראשי.
ב- switch המחלקתי אני מגדיר ניתוב של תעבורת LAN פנימית אל ה- switch הראשי - עד כאן הכל טוב ויפה.

כשאני מגדיר ב- switch המחלקתי Defualt Route ע"מ להגביל את התעבורה על הפורט שדרכו הוא עובר, איך למעשה אני מונע משאר המחשבים במחלקות האחרות מלהשתמש ב- Route הזה?

הרי, למרות שבסוויץ' הראשי יש Route אל ה- Gateway האמיתי, אין שום מניעה משאר המחשבים לצאת דרך ה- Route הנוסף שהגדרתי וכך אגיע למצב שחלק מהמחשבים בחברה יצאו דרך ה- Route הרגיל וחלקם ייצאו דרך ה- Route המוגבל ללא שום שליטה עליהם.

האם אני טועה?

שוב אני לא מבין את המונחים שלך - "בניית vlan על סאבנט" ? vlan זו הגדרה לוגית, לא בונים אותה על שום דבר, היא עצמאית. בתוך VLAN אפשר להגדיר פורטים (Tagged/Untagged/Hybrid) ואף ממשק IP של המתג עצמו (VLAN-Interface) - לא יודע למה אתה קורא net id. הכי טוב שתכתוב לי מה הפקודות שאתה כותב כדי להגיע למה שאתה אומר... (אני מתחיל לחשוב שאתה מדבר על VLAN Isolation?)

לגבי הרעיון שלי, עשית קצת סלט...

כמו שאמרתי קודם - ל 4500 יכולים להיות הרבה VLAN Interface-ים - ובאופן טבעי יהיה ניתוב של תעבורה בין כולם, על פי טבלת הניתוב. אל תשכח שטבלת הניתוב מכילה גם ניתובים שאתה הגדרת עצמאית (כמו DGW) וגם ניתובים שנגזרים כתוצאה מדברים אחרים - למשל - VLAN-Interface-ים כאמור. ככה שכל VLAN-Interface שאתה יוצר, באופן טבעי ידע לנתב תעבורה מה network mask שלו אל כל שאר הרשתות - ובהעדר רשת מתאימה בטבלת הניתוב - ל DGW.

לכן, אם תיצור שני VLAN Interface על שני VLAN-ים שונים, ועל כל VLAN כזה תחבר פורט אחר בסוויצ' המחלקתי - תעבורה שתגיע מהמחלקתי תצא דרך הפורט המתאים בהתאם לטבלת הניתוב של הפורט המחלקתי.

בכיוון ההפוך, זו באמת שאלה מעניינת. התעבורה החוזרת תמיד תחזור דרך פורט מסויים, אותו אחד שקשור ל VLAN שעליו תגדיר את הניתוב ב 4500 לכיוון ה network שמוגדר על המתג של המחלקה ההיא. אלא אם כן תעשה source based routing...

איפה הבעייה שלך, ב upload, ב download, או בשניהם?

דבר נוסף ואולי שהייתי צריך לשאול אותו בהתחלה - מדוע - למען בוראו של עולם - אתה לא עושה QoS פשוט ב DGW שלך ?

נמאס לכם לזכור סיסמאות? לחצו כאן!

בניית vlan על סאבנט, הכוונה ליצור vlan עם subnet שונה מהרשת הנוכחית. זה הכל.
net id - זאת הגדרה מוכרת המתארת את ה"חלק" של הרשת בתוך כתובת ip ( קישור להסבר ).

הבעיה שלי במחלקה הזאת היא גם ב- Upload וגם ב- Download.
ולגבי עניין ה- QOS, אין לי שום בעיה עם הנושא רק אין לי הרבה ניסיון.

תוכל להסביר מה העקרונות בהגדרת ה-QOS שאליו אתה מתכוון?
לפי מה אדע לזהות את התעבורה של המחלקה הבעייתית ומה ההגדרה הכללית צריכה להיות?

יש לי הרגשה שאתה קורא ל network prefix בשם "net id"...

העקרון ב QoS הוא שאתה מגדיר כמה רמות (כמה? לבחירתך / לפי יכולת המקסימום של המוצר שלך). מוצר ה QoS בתורו יקטין את חלון השליחה למשהו קטן למדי - ואז התעבורה בעצם "תתקע" במכונה בעלת הצינור הצר ביותר - זאת שמריצה את ה QoS. וכאן מגיע החלק החשוב - המכונה שעושה את ה QoS עושה classification לתעבורה על פי פרמטרים שאתה מגדיר (כתובת מקור, כתובת יעד, פורטים, פרוטוקולי שכבה 4, גודל פאקטים, הכל הולך...) לרמות עדיפות שונות. ואז המערכת נותנת לתעבורה לעבור בהתאם לעדיפויות. מערכות QoS חכמות גם יאפשרו לך להקצות רוחב פס מובטח לכל עדיפות מסויימת, כך שלא תגיע למצב שבגלל עדיפות לאפליקציה מסויימת, אחרות לא יוכלו לעבוד בכלל (למרות שלעתים זה רצוי - מקובל ש VoIP למשל, קודם לה-כ-ל...)

נמאס לכם לזכור סיסמאות? לחצו כאן!

שימי, אני קורא ומבין, גם לפני כל זה ידעתי ש- QOS נותן עדיפויות לפי פרמטרים.

מה שאני לא מבין, זה איך אני משתמש בזה להשיג את המטרה שלי?
מטרתי היא להגביל את רוחב הפס של האינטרנט למחלקה הזאת.

אני לא מנסה לתת עדיפויות שונות לפרוטוקולים שונים.
אני לא מנסה לקטלג את התעבורה שלהם לפי פורטים או פאקטים.
אני לא מנסה למנוע סוג תעבורה אחד בעוד שאחרת תמיד תקבל גישה החוצה.

אני מנסה להגביל את כלל התעבורה שלהם ב- WAN לרוחב פס צר יותר משיש לי.
עברתי על כל התיעוד הטכני של ה- switch שאכן תומך ב- 8 קיטלוגי QOS ולא מצאתי שום דרך בה אוכל להתייחס לכלל תעבורת ה- WAN המחלקתית ופשוט להגביל אותה.

האם אני מסתכל באופן לא נכון על כל העניין?

לא אמרתי שהסוויצ' תומך בסוג הרצוי של ה QoS - רק שאלתי מדוע אתה לא משתמש ב QoS ברמת ה gateway (פיירוול / נתב NAT ראשי...)

וכתבתי בדיוק איך - אפשר לתת עדיפות נמוכה יותר לתעבורה כלשהיא על פי סימונה באופן מסויים. לצורך העניין, מחלקה מסויימת מגיעה מטווח רשת מסויים (נגיד - 172.29.1.0/24) - אז אפשר לטווח הזה לתת עדיפות נמוכה יותר, ולכל שאר הטווחים, עדיפות גבוהה יותר. מה שזה אומר - כשרק הם ישתמשו באינטרנט, הם יקבלו את כל מה שהם דורשים. כשאחרים ישתמשו באינטרנט, ורוחב הפס לא יספיק, באופן אוטומטי יואט הקצב של 172.29.1.0/24 - עד לרמת עצירה מוחלטת אם יש מספיק דרישה משאר המשתמשים (אא"כ תגדיר עבורם minimal bandwidth reservation)...

אבל שוב, אני חושב של 3com אין תמיכה בזה...

נמאס לכם לזכור סיסמאות? לחצו כאן!

אני עוד אכנס עמוק יותר בעניין ואבדוק אם אצליח לבודד את מקור העומס.
רציתי למסור תודה בינתיים שימי.