 |
|
|
|
| Autor |
Nachricht |
stefanbunzel
Anmeldungsdatum: 03.02.2006
Beiträge: 593
Wohnort: Jauernick-Buschbach bei Görlitz
|
 Verfasst am:
Di 16 Okt, 2007 12:17 |
  |
|
Komme mal wieder nicht weiter:
Ich möchte in einem L-1811 die Bandbreite eines LAN-Users zum Internet in Abhängigkeit seines Traffics (einer logischen Verbindung) beschränken. Wenn er zu lange zu viel überträgt, dann wird er gedrosselt.
Habe dafür zwei Regeln in der Firewall angelegt:
1. Diese Regel soll den Traffic pro Verbindung zählen und bei Überschreitung die Pakete markieren, so dass sie mit der zweiten Regel in ihrer Bandbreite beschnitten werden können:
weitere Regeln beachten, nur für empfangene Pakete in logischer Transportrichtung, Trigger (zum Test) auf 8000 kbit absolut, übertragen, Markieren mit Wert "50" (frei gewählt), SNMP + syslog
--> Diese Regel funktioniert insofern, dass eine erfolgreiche Meldung im Lanmonitor ausgegeben wird.
2. Diese Regel soll in Abhängigkeit der Regel 1 die Bandbreite beschränken:
weitere Regeln beachten, Aktion nur bei DiffServ-CP Wert "50", empf. Pakete, logische Richtung, Trigger 1024 kbit/s (für Test), verwerfen, syslog + SNMP
--> Diese Regel funktioniert auch für sich alleine, wenn ich die Bedingung Wert "50" entferne.
Beide Regeln in Kombination greifen leider nicht. Warum? Wo ist mein Denkfehler? Habe auch Regel 2 auf Gateway und Regel 1 auf dahinter liegenden AP getestet - also aufgeteilt - ohne Erfolg.
Bitte um Vorschläge oder andere Lösungsmöglichkeiten.
Danke
Stefan |
_________________
7100VPN, mehrfach: 1722, 1711, 1721, 1823, R800+, ES-2126, 1811, 322agn, 321agn, 315agn, 310agn, L-54dual, L-54a(g), PS-Option, 7011, 821, 3050, 3850, IL-2, IL-11
VDSL50, 5 x DSL-16.000, 2 x IPCop, Ipoque PRX-1100 / PRX-20
>370 Haushalte WLAN-DSL |
|
     |
|
Guest
|
| Verfasst am:
|
|
|
|
|
|
backslash
Moderator
Anmeldungsdatum: 08.11.2004
Beiträge: 4571
Wohnort: Aachen
|
| Verfasst am:
Di 16 Okt, 2007 15:08 |
|
|
Hi stefanbunzel
| Zitat:
|
|
Beide Regeln in Kombination greifen leider nicht. Warum? Wo ist mein Denkfehler?
|
Der Denkfehler liegt darin, daß eine Regelverkettung "statisch" ist und beim ersten Paket einer Session ausgewertet wird. D.h. es ist nicht möglich während einer Session Pakete zu markieren und dann auf diese Markierung eine zweite Regel matchen zu lassen...
Gruß
Backslash |
|
|
|
|
stefanbunzel
Anmeldungsdatum: 03.02.2006
Beiträge: 593
Wohnort: Jauernick-Buschbach bei Görlitz
|
| Verfasst am:
Di 16 Okt, 2007 15:31 |
|
|
Hallo Backslash,
hm, verstehe. Hatte auch schon soetwas in der Art vermutet.
Und wie könnte ich mein Problem nun lösen? Bin ich der Erste und Einzigste, der dieses Ansinnen vorbringt?
Im Vertrauen auf Lancom war ich immer der Meinung: "Geht nicht - gibts nicht". Wie komme ich auf einem Anderen Weg zum Ziel?
Stefan |
_________________
7100VPN, mehrfach: 1722, 1711, 1721, 1823, R800+, ES-2126, 1811, 322agn, 321agn, 315agn, 310agn, L-54dual, L-54a(g), PS-Option, 7011, 821, 3050, 3850, IL-2, IL-11
VDSL50, 5 x DSL-16.000, 2 x IPCop, Ipoque PRX-1100 / PRX-20
>370 Haushalte WLAN-DSL |
|
|
|
stefanbunzel
Anmeldungsdatum: 03.02.2006
Beiträge: 593
Wohnort: Jauernick-Buschbach bei Görlitz
|
| Verfasst am:
Do 01 Nov, 2007 10:27 |
|
|
Da keiner mir eine Lösung meines Problems anbieten konnte, hier noch einmal ein Vorschlag:
Könnte "man" nicht ein Script schreiben, welches in einem Lancom die Accounting-Tabelle ausliest und je nach verbrauchten Traffic einer bestimmten IP dann in der Firewall entsprechende Traffic-Regeln erzeugt / modifiziert?
Mein Problem bezüglich dem "man" ist, dass ich das noch nie probiert habe. Bevor ich mich jetzt stundenlang damit beschäftige, wollte ich vorab wissen, ob das überhaupt realisierbar ist - oder ob es doch noch andere Lösungen geben könnte.
Danke
Stefan |
_________________
7100VPN, mehrfach: 1722, 1711, 1721, 1823, R800+, ES-2126, 1811, 322agn, 321agn, 315agn, 310agn, L-54dual, L-54a(g), PS-Option, 7011, 821, 3050, 3850, IL-2, IL-11
VDSL50, 5 x DSL-16.000, 2 x IPCop, Ipoque PRX-1100 / PRX-20
>370 Haushalte WLAN-DSL |
|
|
|
ittk
Anmeldungsdatum: 27.04.2006
Beiträge: 1006
|
| Verfasst am:
Do 01 Nov, 2007 15:19 |
|
|
Hi,
rudimaentaer gesehen ist soetwas vorstellbar. Aber du hast als Einschraenkung nur die Spalten TX u RX zur Auswertung pro User/IP und keine kummulierte Gesamtmenge des Traffics zur Verfuegung stehen. Ferner muessen die IP-Adressen der User statisch sein und bei jeder IP-Adresserweiterung musst du die auf maximal 64 Eintraege beschraenkte Aktiontabelle erweitern. |
_________________
12x 1621 Anx. B-21x 1711 VPN-3x 1722 Anx. B-7x 1723 VoIP-1x 1811 DSL, 1x 7011 VPN-1 x 7111 VPN-1x 8011 VPN-10er Pack Adv. VPN Client (2x V1.3-3x 2.0)-Hotspot Option-Adv. VoIP Client/P250 Handset-Adv.VoIP Option-4x VPN-Option-2x L-54 dual-2x L54ag-2x O-18a |
|
 |
|
|
|
|
|
| |
|
|
