centralni router - rizeni provozu pomoci Layer 7

[belmorfeus]

Lidi chci si udelat centralni router, kterej mi bude priorizovat na siti provoz pomoci Layer 7. Problem ale je ze na tom routeru mi jde poradne znackovat pouze lokalni provoz a znackovani provozu co uz jednou routoval nejaky stroj hloubeji v siti mi poradne nejede, nevite co se tam musi presne nastavit ?

[matrix]

Lidi chci si udelat centralni router, kterej mi bude priorizovat na siti provoz pomoci Layer 7. Problem ale je ze na tom routeru mi jde poradne znackovat pouze lokalni provoz a znackovani provozu co uz jednou routoval nejaky stroj hloubeji v siti mi poradne nejede, nevite co se tam musi presne nastavit ?

no neviem ako tebe ale ja som skusal Layer7 a nejak mi to moc nefungovalo.Tak ja by som sa asi do toho layer7 moc nehrnul... skusal som napriklad pomocov layer7 povolit input SSH ale neslo to musel som sa vratit spat k povoleniu na port.

[belmorfeus]

Me jde spise o to ze jakekoliv znackovani provozu, i pitomej P2P mark mi nefunguje na centralnim serveru kdyz se jedna o provoz kterej je nekde hloubeji v siti za dalsimi routery (mam routovanou sit). To je pro mne problem.

[Maxik]

taky mame routovanou sit a p2p me to znaci naprosto v pohode na 2.9, jak to funguje / nefunguje v 3.0 netusim a zkouset to nebudu L7 bude fajn vec az bude 3.20 zacnu se o to zajimat

[mashinepistole2]

Mne markovanie tiez funguje aj ked je to routovane , len som klientom musel dat pri makrovani namiesto forward , postrouting .

[belmorfeus]

pockat, to mam na kazdem routeru hloubeji v siti nastavit manglovani provozu a dat tam postrouting ? oni si MK to znackovani provozu predaji takze hranicni router pak bude vedet co s tim delat ?

[Maxik]

to je pekna blbost znacky paketu plati jen v ramci routeru Me to bezvadne znackuje na hranicnim routeru-hlavni brane ve forwardu a sit mam samozrejme take routovanou.

[belmorfeus]

no jo, ale jak to mam udelat kdyz mam treba i 7 nebo 8 routeru za sebou, vsechny routujou a ja potrebuji ridit P2P provoz centralne pro vsechny routery dohromady.
Co pak s tim ? Jak mam oznacit provoz co zacina nekde hluboko v siti tak aby hranicni stroj vedel co s tim? Nejak to snad jit musi, vsechna data prece pres ten hranicni stroj tecou, neni prakticke tohle ridit na kazdem stroji zvlast, ja prave potrebuju pro celou sit vyhradit urcitou konektivitu pro P2P provoz, priorizovat WWW stranky, hry apod. aby to zakaznikum slo pokud mozno co nejlepe.
Na siti pro koncaky pouzivam SQ, ale to ridi vzdy lokalni router.

[Maxik]

tomu routeru je snad jedno z jake a na jakou IP ty data tecou ne,pokud zna cestu tedy routy a ma povoleno ve filtru ty pakety forwardovat ? proste klasicky na hlavni brane ve forwardu oznac konexe ALL p2p nech ho propadnout a dalsi pravidlem vytahni vsechny conn. marky p2p ktere jsi udelal predtim a akce mark paket p2p, popr. jump do chainu p2p a z nej si to muzes vytahat podle src/dst adresy jako download/upload pripadne jeste podle adress listu pro danou skupinu uzivatelu jak proste ..

[belmorfeus]

ja routuju cele bloky IP adres, to neni v connection ve FW ani videt, to je prave ten problem, tam nikde nedelas maskaradu nic, proste jenom posles blok dal, takze mi pak dochazi k situaci kdy treba treti router ma ve FW napsano 10k spojeni ale hranicni stroj mi pise jenom 4k spojeni

[Maxik]

to moc nechapu kam ti zmizi ty spojeni, spojeni je mezi necim v internetu a PC uzivatele, nebo PC-PC v tve siti pokud to umoznujes jako my a nemuze zmizet ani po routovani / NATu, pokud ano tak mi to prosim vysvetli ted si nejak nerozumime.

[belmorfeus]

kdybych vedel co s tim mk dela tak to tady nerozebiram a necekam pomoc.
Proste hranicni router ukazuje ve FW cca 4k spojeni, router za nim treba 8k a ten dalsi uz treba 10k spojeni.
Kdyz se na hranicnim stroji pokousim neco znackovat co nejde primo z toho stroje ale je to poslane pomoci routovaci tabulky na nejaky vzdaleny stroj tak to proste neudela protoze ty spojeni nevidi.
Nedelam NAT, pouzivam routovaci tabulku a provadim zkutecne routovani ne natovani.

PS: Na hranicnim stroji mam 2 distribuce pro koncove zakazniky, na stroji dal 3 distribuce a na dalsim stroji dokonce 5 distribuci (+ na kazdem nekolik uplinku na dalsi routery).

[Maxik]

to muze byt rozdilnym nastaveni TTL konexi mas tam stejne casy ? ja mam treba na TCP 10minut ale default je 24H ! tudiz na routru s 10min nepouzite konexe opadaji za 10min ale na dalsim co je v defaultu se budou drzet 24h, predpokladam ze to bude tim neni mozne aby blize hranicnimu routeru bylo mene konexi nez dal v siti, pokud se mylim opravte me.

[belmorfeus]

tim to nebude, aktualni spojeni pres ktere tecou data mi stroj hloubeji v siti mangluje v poho a hranicni router z toho nic nezachyti. Pes bude zakopanej nekde jinde.

[belmorfeus]

Je nějaký způsob jak by si routery mohly marky předávat ?
Jaký je přesně rozdíl mezi:
Connection mark
Packet mark
Routing mart

?
Jako ja už fakt nevim jak to nastavit aby to fungovalo podle mojich představ, vždyť přece když to vše teče přes hranični router tak to na něm musí jít taky pořádně značkovat a dělat globálně, mělo by přece být jedno kolik routerů ty packety před tím zpracovalo ne ?