classic.ISPforum.cz

Jakým způsobem by šlo přidělit maximální rychlost pro aktualizace Windowsu? Představoval bych si že bych dal třeba limit AT 0 a max. limit 128k pro veškeré aktualizace windows.
Šlo by to manglovat a následně řídit?

soucez píše:Jakým způsobem by šlo přidělit maximální rychlost pro aktualizace Windowsu? Představoval bych si že bych dal třeba limit AT 0 a max. limit 128k pro veškeré aktualizace windows.
Šlo by to manglovat a následně řídit?

zakazat to neodporucam - hoci som sa aj v minulosti tu pytal na sposob zakazanie aktualizacie. ale koli bezpecnosti je to dobre... je to jak druhy antivirus v pc
ale ako to omanglovat a podobne veci, pripadne mu priradit nizsiu prioritu by som rad vedel aj ja

soucez píše:Jakým způsobem by šlo přidělit maximální rychlost pro aktualizace Windowsu? Představoval bych si že bych dal třeba limit AT 0 a max. limit 128k pro veškeré aktualizace windows.
Šlo by to manglovat a následně řídit?

a inak ked citavas nejake clanky, recencie a odporucania na nete alebo hocikde inde, tak zvacsa sa odporucaju tri body zabezpecenia:

1, pravidelne aktualizovany system (windows update)
2, kvalitny antivirus a dennou aktualizaciou
3, spravne nastaveny firewall
4, nieco na spyware

mato1 píše:

soucez píše:Jakým způsobem by šlo přidělit maximální rychlost pro aktualizace Windowsu? Představoval bych si že bych dal třeba limit AT 0 a max. limit 128k pro veškeré aktualizace windows.
Šlo by to manglovat a následně řídit?

a inak ked citavas nejake clanky, recencie a odporucania na nete alebo hocikde inde, tak zvacsa sa odporucaju tri body zabezpecenia:

1, pravidelne aktualizovany system (windows update)
2, kvalitny antivirus a dennou aktualizaciou
3, spravne nastaveny firewall
4, nieco na spyware

Jasný, ale jde mi o to že na pozadí to stahuje aktualizaci a vytěžuje to linku ke klientovi aniž by si to uvědomoval. No a net mu pak běží samozřejmě pomaleji i ping se zvedne.

Takhle bych tomu přidělil nějakou malinkou rychlost a a se to aktualizuje třeba měsíc ne?

jj to znám .. ale vysvětlil bych mu at si teda on vypne aktualizace pokud je nechce (ale to neporuručuju - viz příspěvek kolegy). Proč to řešit na síti, když to jde vypnout v systému!

soucez píše:Jakým způsobem by šlo přidělit maximální rychlost pro aktualizace Windowsu? Představoval bych si že bych dal třeba limit AT 0 a max. limit 128k pro veškeré aktualizace windows.
Šlo by to manglovat a následně řídit?

Kašli na to , je to dvousečná zbraň, nepovolíš mu aktualizace a do komplu se mu dostane tolik bordelu že ti pak bude ten traffic dělat pořád. Tu linku to zase tak moc nevytěžuje a všimni si že i tak to stahuje docela dlouho.

Dle mýho názoru omezovat stahování důležitých věcí je kokotina. To je něco jako omezovat stahování virových bází do antiviru. Ty občas mají taky několik mega. To máš tak slabou lajnu, že těch pár minut stahování aktualizací ji uplně zahltí?? Navíc linka na windows update je docela vytížená a aktualizace většinou nejedou rychleji jak 128k-256k. Rači nic neomezovat než pak chytat spamery a bacilonosiče.

Já bych to s dovolením otevřel, protože včerejší aktualizace několika kompů W10 ve firmě mi naprosto zablokovala WAN 10M, včetně fungování poboček a IP telefonů. Nejde mi o zastavení aktualizací, ale omezení zabraného pásma pro aktualizace.

- hledal jsem možnost jat to zastavit a ve firewalu jsem založil address lists "W10" do něj dal všechny rozsahy IP adres MS, Akamai a ještě jednoho ISP přes kterého to podle mne teklo (je to přes 1000 rozsahů)
(příklad /ip firewall address-list add address=208.111.184.0/24 list="aktualizaceW10")

- v mangle udělal mark packet na prerouting se src na tento address list a dst address moji WAN IP, passthrough
(/ip firewall mangle add action=mark-packet chain=prerouting comment="oznacovani aktualizaci W10" dst-address=myip new-packet-mark="aktualizace W10" src-address-list=aktualizaceW10)

- udělal simple queue s target WAN, pro tento packet marks (pcq download default) na 3M
(/queue simple add limit-at=3M/3M max-limit=3M/3M name="omezeni rychlosti aktualizace w10" packet-marks="aktualizace W10" queue=pcq-download-default/pcq-download-default target="WAN port" total-queue=default)

Tváří se, že něco omezuje a už jedu, jen to poměrně vytěžuje procesor MKT- ne moc, ale cca do 10% permanentně (předtím zátěž neměřitelná).

1) některé adresy to stejně obejdou nevím jak je to možné - viz mám zadán rozsah 178.79.240.0 / 21, což by mělo být 178.79.240.1 - 178.79.247.254 a adresy 178.79.244.139 /178.79.245.222 + další z tohoto rozsahu klidně "tahají" 5M každá!!!
2) lze to takto udělat a je to správně?
3) lze to udělat nějak jednodušeji (omezit rozsah portů nebo jinej fígl)

Díky

Nastavení sdílení aktualizací v rámci W10 nefunguje? Viz :
http://www.mrpear.net/cz/blog/827/windo ... -uzivatelu

Nebo to byla první věc, kterou jsi vypnul tímto návodem? :
http://www.dasm.cz/clanek/jak-z-windows ... ovy-system

Myslel jsem, že právě sdílení aktualizací W10 v rámci interní sítě docela ušetří šířku pásma a nezabije to linku (u menších firem, které nemají WSUS)...

Jinak problém s fw je v tom, že nikdy nedáš všechny IP, nebo ten seznam prostě budeš muset udržovat (tzn. situace se zabitím linky se může zopakovat).

Zdar Max

díky za odpověď, ale W10 jsem neinstaloval já, ale kolega, jak je nastavil se ho zeptám, ale ať je to tak nebo tak, nemůže to přeci ucpat celou lajnu, to je strašný
přemýšlím o WSUS, ale teď není čas pro jeho nahození, zkusím si to dát do plánu

vím, že nedám nikdy všechny IP do seznamu a také se jistě mění (přibývají a holt občas odchytím nějakou novou), spíš mi šlo o to, zda mám dobře takto nastavená pravidla (in a out, source a target, typ queue ..) a proč mi některé adresy stejně jedou i když je mám v address listu jako ostatní co jim omezení funguje a zda neupeču MKT při stabilním vytížení 10%
(případně zda někdo nezná třeba "hele aktualizace W10 jedou na portech 54000-56000 a nikdy jinde", tak bych omezil queue jen tyhle porty a nebo nějaký podobný nápad ...)

-ještě mne napadlo, zda by nešlo omezit maximální využití linky pro všechny připojené v nějakém rozsahu - třeba rozsah 192.168.1.0/24 by celkem nemohl jet víc než limit

Úprava nastavení W10, aby sdílely mezi sebou lokálně aktualizace je trivialita, obzvláště v AD.
Pokud jde o WSUS, tak počítej s tím, že během relativní chvilky bude mít 100GiB repositář (záleží, co v něm všechno bude, ale W10 + W7 + office a jsi tam).
Windows update jede po http, nepoužívá nestandardní porty.
Zdar Max

díky za odpověď
sdílení nastavím předpokládám přímo ve W10 v aktualizacích, nerozumím co to má společného s AD?
zkusím to tu všude projít a zkontrolovat a jsem zvědavej zda to výrazně pomůže
WSUS nemám žádnou zkušenost, ta velikost co píšeš není malá, ale asi by neměl být přípdně problém

téhle odpovědi jsem se bál, jsi si tím jist - na MKT jsem tedy viděl, že to jede na portech 55000 apod, ale v poměrně velkém rozsahu

weblibor píše:Já bych to s dovolením otevřel, protože včerejší aktualizace několika kompů W10 ve firmě mi naprosto zablokovala WAN 10M, včetně fungování poboček a IP telefonů. Nejde mi o zastavení aktualizací, ale omezení zabraného pásma pro aktualizace.

10Mbit net pro důležitou pobočku s několika PC a ip telefonů? hmmm? kde pak je asi chyba? ne sorry, musel sem si rejpnout, v roce 2016 bych čekal opravdu něco jinýho než 10MBit konekt ale asi stále žiju jinde

Předpokládám, že to je garantovaná linka? nestačilo by tedy použít PCQ s nastavením na rozlišení IP adres a vyřešeno?

Firma, pokud se zrovna nezabývá internetem, videem, nebo třeba nějakým vědeckým výzkumem nepotřebuje stovky megabit tak jako domácí uživatel ... Ty potřeby jsou prostě jiné a rychlost není na prvním místě.

Ale je pravdou, že já osobně bych tam alespoň Squid měl. Byť jeho vliv už nebude takový, jako před patnácti či deseti lety.

hapi:
nechci se dohadovat, ale symetrika 10Mbit je i dost naddimenzovaná pro běžnou střední firmu (50-100PC), VOIP nezabere nic a na posílání emailů, sem tam hledání na netu - pokud se ve firmě pracuje a nepouští video, jde to i s poloviční linkou bez toho, že by někdo pozoroval nekomfort (mám zde ještě z toho i část oddělenou VLAN pro mobily cca 50ks, s limitem 3Mbit pro komplet)
(ještě pro info, to je centrála, pobočka má 2/2 a stačí to na VOIP, emaily, přenos dat v systému, internet ... - není v tom problém - a ano doma je člověk zmlsaný a čekat na stažení velkého souboru o minutu dýl už je skoro tragédie )

jak bys mi tedy poradil s nastavením PCQ - nějaké nastavení na jednotlivé IP a pro každé max rychlost?

Squid vůbec neznám, do toho bych se asi nepouštěl

kuknul by mi někdo na to stávající nastavení (mám to tu s příklady) zda mám dobře a proč mi to někdy nějaká adresa stejně obejde

díky