|
ru.unix.bsd
- RU.UNIX.BSD ------------------------------------------------------------------
From : Sergey Goryachev 2:5020/400 15 Sep 2004 13:48:48
To : All
Subject : dummynet: separate IPSec from other traffic
--------------------------------------------------------------------------------
Есть такая схемка 2-х подсеток:
______ ______
Net_1 | | | | Net_0
------------+ GW_1 +--64kbps--<INET>--256kbps-+ GW_0 +------------
192.168.1/24|______|10.XX.1.1 10.YY.0.1|______|192.168.0/24
Hа шлюзах GW_0 и GW_1 поднят IPSec в tunnel mode (через gif). Все
работает,
подсетки Net_0 и Net_1 пингуют др.друга и т.д. Помимо IPSec м/у хостами
GW_0 и GW_1 существует и другой обмен (в основном, smtp, но бывают и
pop3/ssh/ntp/lpd).
Проблема в том, что внешний канал от GW_0 в INET часто забит под
завязку.
Соответственно, из первой(Net_1) подсетки работать с Net_0 невозможно.
Мне необходимо на GW_0 выделить трубу для "гарантированного" пропускания
64kbps только IPSec-трафика из Net_1 в Net_0 и обратно.
Видится мне примерно следующая картина:
# sysctl net.inet.ip.fw.one_pass=0
pipe 1 config bw 256Kbit/s
queue 11 config pipe 1 weight 25
queue 12 config pipe 1 weight 75
pipe 2 config bw 256Kbit/s
queue 21 config pipe 2 weight 25
queue 22 config pipe 2 weight 75
add queue 11 esp from 10.YY.0.1 to 10.XX.1.1 out via $oif
add queue 12 all from 10.YY.0.1 to any out via $oif
add queue 21 esp from 10.XX.1.1 to 10.YY.0.1 in via $oif
add queue 22 all from any to 10.YY.0.1 in via $oif
add pass esp from 10.YY.0.1 to 10.XX.1.1
add pass esp from 10.XX.1.1 to 10.YY.0.1
...
...
Поругайте, pls, если не сильно "в ломы" ;)
Что-то мне кажется, что как-то не так я отделяю esp от остального
трафика. А может, и вообще неправильно?
--
/gors
Отправлено через сервер Форумы@mail.ru - http://talk.mail.ru
--- ifmail v.2.15dev5.3
* Origin: Talk.ru (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
