Komme mal wieder nicht weiter:
Ich möchte in einem L-1811 die Bandbreite eines LAN-Users zum Internet in Abhängigkeit seines Traffics (einer logischen Verbindung) beschränken. Wenn er zu lange zu viel überträgt, dann wird er gedrosselt.
Habe dafür zwei Regeln in der Firewall angelegt:
1. Diese Regel soll den Traffic pro Verbindung zählen und bei Überschreitung die Pakete markieren, so dass sie mit der zweiten Regel in ihrer Bandbreite beschnitten werden können:
weitere Regeln beachten, nur für empfangene Pakete in logischer Transportrichtung, Trigger (zum Test) auf 8000 kbit absolut, übertragen, Markieren mit Wert "50" (frei gewählt), SNMP + syslog
--> Diese Regel funktioniert insofern, dass eine erfolgreiche Meldung im Lanmonitor ausgegeben wird.
2. Diese Regel soll in Abhängigkeit der Regel 1 die Bandbreite beschränken:
weitere Regeln beachten, Aktion nur bei DiffServ-CP Wert "50", empf. Pakete, logische Richtung, Trigger 1024 kbit/s (für Test), verwerfen, syslog + SNMP
--> Diese Regel funktioniert auch für sich alleine, wenn ich die Bedingung Wert "50" entferne.
Beide Regeln in Kombination greifen leider nicht. Warum? Wo ist mein Denkfehler? Habe auch Regel 2 auf Gateway und Regel 1 auf dahinter liegenden AP getestet - also aufgeteilt - ohne Erfolg.
Bitte um Vorschläge oder andere Lösungsmöglichkeiten.
Danke
Stefan
Bandbreite abhängig vom Traffic beschränken
Moderator: Lancom-Systems Moderatoren
-
stefanbunzel
- Beiträge: 1405
- Registriert: 03 Feb 2006, 13:30
- Wohnort: endlich VDSL-250
Bandbreite abhängig vom Traffic beschränken
GS-2326, 1783VAW, R883VAW, 1781A, 831A, 1781EF+, L-452agn, L-32x, L-54(ag/dual), 1711(+), 1511, 821(+), 3850, 3050, IL-11/2, VP-100 ..., Optionen: CF, PS, WLC
LCS WLAN
LCS WLAN
Hi stefanbunzel
Gruß
Backslash
Der Denkfehler liegt darin, daß eine Regelverkettung "statisch" ist und beim ersten Paket einer Session ausgewertet wird. D.h. es ist nicht möglich während einer Session Pakete zu markieren und dann auf diese Markierung eine zweite Regel matchen zu lassen...Beide Regeln in Kombination greifen leider nicht. Warum? Wo ist mein Denkfehler?
Gruß
Backslash
-
stefanbunzel
- Beiträge: 1405
- Registriert: 03 Feb 2006, 13:30
- Wohnort: endlich VDSL-250
Hallo Backslash,
hm, verstehe. Hatte auch schon soetwas in der Art vermutet.
Und wie könnte ich mein Problem nun lösen? Bin ich der Erste und Einzigste, der dieses Ansinnen vorbringt?
Im Vertrauen auf Lancom war ich immer der Meinung: "Geht nicht - gibts nicht". Wie komme ich auf einem Anderen Weg zum Ziel?
Stefan
hm, verstehe. Hatte auch schon soetwas in der Art vermutet.
Und wie könnte ich mein Problem nun lösen? Bin ich der Erste und Einzigste, der dieses Ansinnen vorbringt?
Im Vertrauen auf Lancom war ich immer der Meinung: "Geht nicht - gibts nicht". Wie komme ich auf einem Anderen Weg zum Ziel?
Stefan
GS-2326, 1783VAW, R883VAW, 1781A, 831A, 1781EF+, L-452agn, L-32x, L-54(ag/dual), 1711(+), 1511, 821(+), 3850, 3050, IL-11/2, VP-100 ..., Optionen: CF, PS, WLC
LCS WLAN
LCS WLAN
-
stefanbunzel
- Beiträge: 1405
- Registriert: 03 Feb 2006, 13:30
- Wohnort: endlich VDSL-250
Da keiner mir eine Lösung meines Problems anbieten konnte, hier noch einmal ein Vorschlag:
Könnte "man" nicht ein Script schreiben, welches in einem Lancom die Accounting-Tabelle ausliest und je nach verbrauchten Traffic einer bestimmten IP dann in der Firewall entsprechende Traffic-Regeln erzeugt / modifiziert?
Mein Problem bezüglich dem "man" ist, dass ich das noch nie probiert habe. Bevor ich mich jetzt stundenlang damit beschäftige, wollte ich vorab wissen, ob das überhaupt realisierbar ist - oder ob es doch noch andere Lösungen geben könnte.
Danke
Stefan
Könnte "man" nicht ein Script schreiben, welches in einem Lancom die Accounting-Tabelle ausliest und je nach verbrauchten Traffic einer bestimmten IP dann in der Firewall entsprechende Traffic-Regeln erzeugt / modifiziert?
Mein Problem bezüglich dem "man" ist, dass ich das noch nie probiert habe. Bevor ich mich jetzt stundenlang damit beschäftige, wollte ich vorab wissen, ob das überhaupt realisierbar ist - oder ob es doch noch andere Lösungen geben könnte.
Danke
Stefan
GS-2326, 1783VAW, R883VAW, 1781A, 831A, 1781EF+, L-452agn, L-32x, L-54(ag/dual), 1711(+), 1511, 821(+), 3850, 3050, IL-11/2, VP-100 ..., Optionen: CF, PS, WLC
LCS WLAN
LCS WLAN
Hi,
rudimaentaer gesehen ist soetwas vorstellbar. Aber du hast als Einschraenkung nur die Spalten TX u RX zur Auswertung pro User/IP und keine kummulierte Gesamtmenge des Traffics zur Verfuegung stehen. Ferner muessen die IP-Adressen der User statisch sein und bei jeder IP-Adresserweiterung musst du die auf maximal 64 Eintraege beschraenkte Aktiontabelle erweitern.
rudimaentaer gesehen ist soetwas vorstellbar. Aber du hast als Einschraenkung nur die Spalten TX u RX zur Auswertung pro User/IP und keine kummulierte Gesamtmenge des Traffics zur Verfuegung stehen. Ferner muessen die IP-Adressen der User statisch sein und bei jeder IP-Adresserweiterung musst du die auf maximal 64 Eintraege beschraenkte Aktiontabelle erweitern.
12x 1621 Anx. B-21x 1711 VPN-3x 1722 Anx. B-7x 1723 VoIP-1x 1811 DSL, 1x 7011 VPN-1 x 7111 VPN-1x 8011 VPN-10er Pack Adv. VPN Client (2x V1.3-3x 2.0)-Hotspot Option-Adv. VoIP Client/P250 Handset-Adv.VoIP Option-4x VPN-Option-2x L-54 dual-2x L54ag-2x O-18a