ограничение трафика при условии, что шлюз это роутер перед mikrotik'ом

Обсуждение оборудования и его настройки
Ответить
Ziko
Сообщения: 4
Зарегистрирован: 30 янв 2023, 13:09

Есть существующая сеть с роутером L3, который получает интернет и занимается маршрутизацией vlan'ов и раздачей DHCP. За роутером стоит коммутатор L3, и уже за ним идут коммутаторы L2. В разрыв между роутером и первым коммутатором ставлю mikrotik, с тем условием, что хочу переложить на него функции DHCP и ограничение скорости доступа в интернет для хостов.
Для теста создал на роутере vlan и на этом интерфейсе забил IP 10.10.118.1 будет выступать шлюзом. Дальше на mikrotik тоже создал такой же vlan, дал ему адрес 10.10.118.250, поднял DHCP которое задает шлюз хостам 10.10.118.1. Создал бридж в который запихнул этот vlan и 2 порта. Первый транковый порт смотрит на роутер, второй транковый на коммутатор. С этим все хорошо, хосты получают ip адреса, видят остальные доступные для них vlan'ы и ходят в интернет. Но проблема в том, что я не могу ограничить скорость доступа в интернет.
Попробовал маркировать для этого трафик но mikrotik его не видит. И тут у меня 2 варианта: 1 я не то делаю, что скорее всего, потому что не хочется верить, что mikrotik на это не способен. 2 mikrotik не маркирует пакеты и не ограничивает скорость хостам, потому что не является для них шлюзом.
Подскажите пожалуйста куда копать. С mikrotik'ом столкнулся второй раз в жизни, в первый была очень простая задача по сравнению с этой.

Код: Выделить всё

# RouterOS 6.48.6
# model = CRS317-1G-16S+
/interface bridge
add admin-mac=18:FD:74:0F:05:EE auto-mac=no dhcp-snooping=yes frame-types=\
    admit-only-vlan-tagged ingress-filtering=no name=B1 vlan-filtering=yes
/interface vlan
add interface=B1 name=NET vlan-id=22
add interface=B1 name=TT vlan-id=118
/interface lte apn
set [ find default=yes ] ip-type=ipv4 use-network-apn=no
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=117 ranges=10.10.117.1-10.10.117.220
add name=118 ranges=10.10.118.2-10.10.118.249
/ip dhcp-server
add add-arp=yes address-pool=118 interface=TT lease-time=1d10m name=TT-118
/port
set 0 name=serial0
/queue tree
add disabled=yes max-limit=20M name=Download parent=global
/queue type
add kind=pcq name=pcq-download-5M pcq-classifier=dst-address pcq-rate=5M
add kind=pcq name=pcq-upload-5M pcq-classifier=src-address pcq-rate=5M
add kind=pcq name=download-5Mb pcq-burst-rate=2M pcq-burst-threshold=768k \
    pcq-burst-time=32s pcq-classifier=dst-address pcq-rate=1M
add kind=pcq name=upload-5M pcq-burst-rate=2M pcq-burst-threshold=768k \
    pcq-burst-time=32s pcq-classifier=src-address pcq-rate=1M
/queue simple
add max-limit=100M/100M name=1 queue=ethernet-default/ethernet-default \
    target=TT
add dst=B1 max-limit=20M/20M name=2 packet-marks=QS-20M parent=1 queue=\
    default/default target=TT
/routing bgp template
set default disabled=no output.network=bgp-networks
/routing ospf instance
add disabled=no name=default-v2
/routing ospf area
add disabled=yes instance=default-v2 name=backbone-v2
/interface bridge filter
# in/out-bridge-port matcher not possible when interface (TT) is not slave
add action=mark-packet chain=forward in-interface=TT new-packet-mark=QS-20M-B \
    out-bridge=B1
/interface bridge port
add bridge=B1 frame-types=admit-only-vlan-tagged ingress-filtering=no \
    interface=sfp-sfpplus3
add bridge=B1 frame-types=admit-only-vlan-tagged ingress-filtering=no \
    interface=sfp-sfpplus1
/interface bridge settings
set use-ip-firewall=yes use-ip-firewall-for-vlan=yes
/ip neighbor discovery-settings
set discover-interface-list=!dynamic
/ip settings
set max-neighbor-entries=8192
/ipv6 settings
set disable-ipv6=yes max-neighbor-entries=8192
/interface bridge vlan
add bridge=B1 tagged=B1,sfp-sfpplus1,sfp-sfpplus3 vlan-ids=118
add bridge=B1 tagged=B1,sfp-sfpplus1,sfp-sfpplus3 vlan-ids=22
/interface ovpn-server server
set auth=sha1,md5
/ip address
add address=10.10.31.249/23 disabled=yes interface=NET network=10.10.30.0
add address=10.10.118.250/24 interface=TT network=10.10.118.0
/ip dhcp-client
add disabled=yes interface=ether1
/ip dhcp-server network
add address=10.10.118.0/24 dns-server=8.8.8.8,8.8.4.4 gateway=10.10.118.1
/ip firewall address-list
add address=10.10.118.0/24 list=TT-118
/ip firewall filter
add action=accept chain=input protocol=icmp
add action=accept chain=forward protocol=icmp
add action=accept chain=input connection-state=established,related
add action=accept chain=forward connection-state=established,related
add action=drop chain=input connection-state=invalid
add action=drop chain=forward connection-state=invalid
add action=drop chain=input disabled=yes in-interface=ether1
add action=accept chain=forward disabled=yes in-interface=!ether1 \
    out-interface=ether1
add action=drop chain=forward
/ip firewall mangle
add action=mark-packet chain=forward in-interface=B1 new-packet-mark=QS-20M \
    out-interface=TT passthrough=no src-address-list=TT-118
add action=mark-packet chain=forward dst-address-list=TT-118 in-interface=TT \
    new-packet-mark=QS-20M out-interface=B1 passthrough=no
/ip service
set telnet disabled=yes
set ftp disabled=yes
set www disabled=yes
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/system clock
set time-zone-name=Europe/Minsk
/system identity
set name=RouterOS
/system package update
set channel=long-term
/system routerboard settings
set boot-os=router-os


Ziko
Сообщения: 4
Зарегистрирован: 30 янв 2023, 13:09

Вот решение вопроса, может кто наткнется на этот форум, где нет людей))

Код: Выделить всё

/interface bridge
add admin-mac=18:FD:74:0F:05:EE auto-mac=no dhcp-snooping=yes frame-types=\
    admit-only-vlan-tagged ingress-filtering=no name=B1 vlan-filtering=yes
/interface vlan
add interface=B1 name=NET vlan-id=22
add interface=B1 name=TT vlan-id=118
/interface ethernet switch
set 0 l3-hw-offloading=yes
/interface ethernet switch port
set 0 l3-hw-offloading=no
set 2 l3-hw-offloading=no
set 3 l3-hw-offloading=no
/interface lte apn
set [ find default=yes ] ip-type=ipv4 use-network-apn=no
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip pool
add name=117 ranges=10.10.117.1-10.10.117.220
add name=118 ranges=10.10.118.2-10.10.118.249
/ip dhcp-server
add add-arp=yes address-pool=118 interface=TT lease-time=1d10m name=TT-118
/port
set 0 name=serial0
/queue tree
add max-limit=90M name=1parent=sfp-sfpplus1 queue=\
    default
add max-limit=21M name=2 packet-mark=QS-20M-F parent=1
add max-limit=90M name=3 parent=sfp-sfpplus3 queue=\
    default
add max-limit=21M name=4 packet-mark=QS-20M-F1 parent=3
/routing bgp template
set default disabled=no output.network=bgp-networks
/routing ospf instance
add disabled=no name=default-v2
/routing ospf area
add disabled=yes instance=default-v2 name=backbone-v2
/interface bridge filter
add action=mark-packet chain=forward in-interface=sfp-sfpplus1 mac-protocol=\
    vlan new-packet-mark=QS-20M-F1 out-interface=sfp-sfpplus3 vlan-id=118
add action=mark-packet chain=forward in-interface=sfp-sfpplus3 mac-protocol=\
    vlan new-packet-mark=QS-20M-F out-interface=sfp-sfpplus1 vlan-id=118
/interface bridge port
add bridge=B1 frame-types=admit-only-vlan-tagged hw=no ingress-filtering=no \
    interface=sfp-sfpplus3
add bridge=B1 frame-types=admit-only-vlan-tagged hw=no ingress-filtering=no \
    interface=sfp-sfpplus1
/ip neighbor discovery-settings
set discover-interface-list=!dynamic
/ip settings
set max-neighbor-entries=8192
/ipv6 settings
set disable-ipv6=yes max-neighbor-entries=8192
/interface bridge vlan
add bridge=B1 tagged=B1,sfp-sfpplus1,sfp-sfpplus3 vlan-ids=118
add bridge=B1 tagged=B1,sfp-sfpplus1,sfp-sfpplus3 vlan-ids=22
/interface ovpn-server server
set auth=sha1,md5
/ip address
add address=10.10.31.249/23 disabled=yes interface=NET network=10.10.30.0
add address=10.10.118.250/24 interface=TT network=10.10.118.0
/ip dhcp-client
add disabled=yes interface=ether1
/ip dhcp-server network
add address=10.10.118.0/24 dns-server=8.8.8.8,8.8.4.4 gateway=10.10.118.1
Может конечно сделал не все по фэн-шую, поэтому если будут идеи по оптимизации, то буду рад идеям.


Ответить