Есть взрослый микротик, 24 порта ,нужно ограничить скорость каким-нибудь simple queue по физическим портам. Порты ведут на разные этажи здания и в разные конторы, в которых и свичи и роутеры, поэтому ограничение нужно именно на порт. При этом, этажи должны иметь возможность общаться между собой на полной скорости. Последнее, что придумал, дать каждому порту адрес типа 192.168.<1,2,3,4>.1, на каждый порт создавать dhcp-сервер и создавать simple qeue на каждую подсеть. Будет ли работать такая схема? Нельзя ли реализовать красивее?
Микротик служит шлюзом Интернет, скорость ограничивается в Интернет.
порт это L1(порт), а Вам нужно управлять трафиком на уровне L2(mac) или L3(ip), поэтому ограничение будет не по портам, а по MAC или IP, чем Вам удобнее управлять.
У вас одна под-сеть или несколько?
Нужно управлять по l1 номинально, а что там будет внутри - это другое дело. То бишь, человеку даётся провод, а он с ним что хочет, то и делает. Хочет - в свич втыкает, хочет - в роутер. Как это сейчас делается у домашних провайдеров. Они дают провод и небольшую подсетку на несколько ПК, небольшой dhcp-диапазон. Тут задача, чтобы клиент брал провод и получал в нём ограниченную пропускную способность. Т.к. ограничение по порту на микротике работает некорректно (то только в одну второну, а в бридже просто не применятеся), то вижу выходом создавать dhcp-сервер на каждый l1-порт и ограничивать уже подсеть по диапазону этого dhcp
"У вас одна под-сеть или несколько?" сейчас во всём здании одна подсеть 192.168.101.0/24, но при такой конфигурации у нас нет средства, чтобы, грубо говоря, ограничить какой-то скоростью целый этаж, т.к. мы не знает с какого этажа приходят клиенты.
Может как вариант сделать PPPoE? Ведь полюбому позже одному из начальников придет "светлая" мысль продавать скорость чуть больше чем есть базово у всех =)
А вообще да, то что вы написали в виде отдельного dhcp и очереди будет достаточно для такой задачи. Хотя как другой вариант можно убрать очереди и выпускать в инет через правило фаирвола урезая скорость на внешку но как по мне это еще большее зло чем очереди.
Не, никто ничего не продаёт, это административная задача. PPPoE не прокатит, нужно меньше действий. А можете с реализацией подсказать?
Я теоретически понимаю и пробую создавать dhcp на каждом порту, но что потом? По l2 они уже не смогут обмениваться, т.к. чтобы сети видели друг друга мы пишем маршруты? Как правильно писать эти маршруты? 192.168.5.0/24 шлюз 192.168.5.1 (5-й порт)? Опять же, из-за обрезки по l2 микротик начинает брать на себя нагрузку всех свичей. Я бы хотел объединить все порты в бридж и запретить ходить по бриджу dhcp-запросам, но при добавлении в бридж порты ругаются и dhcp-сервер выключается. Видимо, одному бриджу один dhcp. Опять же, добавил такой маршрут, как описал, пинг появился, но маршрут числится как недостижимый, как так? Картинка: https://goo.gl/gHq6VW
zionkv: Объясните полную картину происходящего, исходя из написанного в вопросе я предполагаю что у вас есть здание, этажи которого сдаются в аренду сторонним фирмам и общая задача чтобы у них был интернет и локалка? при том нужно урезать скорость выхода только в инет, кроме того совсем неизвестно будет\есть ли у них свой роутер со своей подсетью? Для тех у кого нет роутеров надо еще и по dhcp вещать хоть чтото?
Еще раз, вам не нужно ограничивать скорость портов, вам нужно ограничить скорость доступа в интернет. Если все клиенты живут в одном L2-сегменте, то создавайте правила по IP-адресам, внутренний трафик клиентов под них попадать не будет, только трафик через L3 интерфейс во внешний мир.
Faight: Мне утром нужно увеличить скорость для первого этажа, а вечером приоритет дать на второй этаж. Как я это сделаю, кроме фильтрации по физическим портам, если у них меняется оборудование? Постоянно новые гостевые мобильники, ноутбуки и т.д.?
Тогда в mangle раскрашиваете сначала весь трафик приходящий/уходящий с порта, потом перекрашиваете трафик, который приходит/уходит с порта и уходит/приходит на аплинк. На вторую метку вешаете ограничение скорости нужное.
Для того чтобы это работало нужно будет порты собрать в бридж и на бридже включить ip-firewall-yes. Заранее скажу, сомневаюсь что у вашего микротика хватит на это ресурсов.
Сложный
