GoldenLine
Zaloguj się
Michał Z.

Michał Z. Network Engineer

Temat: Traffic Shaping na SSG

Chcę stworzyć ograniczenie ruchu dla ruchu z Untrust do Trust.

Mam stworzoną politykę która przepuszcza ruch dla danego adresu z Trust do Untrust i tam mam włączoną opcję Traffic Shaping -> Maximum Bandwidth. Jak wiadomo nie trzeba na Juniperze robić polityki zwrotnej gdyż firewall zapisuje w pamięci nawiązane sesje i pozwala na ruch zwrotny dla danej sesji.

Czy ograniczenie dla takiej polityki jest rownoznaczne z ograniczeniem w drugą stronę? Czy trzeba robic politykę w "drugą stronę"?

W Raportach w zestawieniu Interface Bandwidth mam podaną wartość "Total Utilized Bandwidth" jest to wartość dla ruchu w obie strony?
Link do wypowiedziLink

konto usunięte

Temat: Traffic Shaping na SSG

AFAIK, to niestety tak nie zadziała. Tzn, nie będzie działać "cięcie" ruchu powrotnego. Raczej cięcie dotyczy ruchu "wychodzącego": ile użytkownicy mogą wygenerować żądań do sieci internet po stronki www.

Tak, w raportach dotyczy wszystko ruchu "przechodzącego" przez interfejs. Czyli zarówno wchodzącego do interfejsu, jak również wychodzącego z interfejsu.

Po za tym, czy sprawdzałeś w kb.juniper.net na ten temat?

No i jeszcze można sprawdzić sobie poprzez uruchomienie jakiegoś cacti, czy innego MRTG, aby upewnić się, że nie plotę dyrdymałów :-)
Link do wypowiedziLink

konto usunięte

Temat: Traffic Shaping na SSG

Krzysztof Stryjek:
Tak, w raportach dotyczy wszystko ruchu "przechodzącego" przez interfejs. Czyli zarówno wchodzącego do interfejsu, jak również wychodzącego z interfejsu.
Tu się chyba pospieszyłem. Przyjrzałem się raportom na NS-25B (ale w SSG będzie pewno analogicznie), że jednak pokazany jest ruch *WCHODZĄCY* do interfejsu... Tak więc jakiś zewnętrzny monitoring Twoim przyjacielem.
Link do wypowiedziLink
Michał Z.

Michał Z. Network Engineer

Temat: Traffic Shaping na SSG

hmmm...
Rzeczywistość jest inna niż to co piszesz bo:

1. W "Total Utilized Bandwidth" widzę np ruch na poziomie 1-2Mbit/s
2. A w tym samym momencie w "Traffic count for policy" jest non stop 10Mbit/s

Polityka z trust do untrust... więc wątpię żeby zapytania generowały ruch większy niż "sciąganie stron"... ???
Link do wypowiedziLink

konto usunięte

Temat: Traffic Shaping na SSG

Akurat nie mam założonego licznika per polityka, ale sprawdziłem sobie licznik dla interfejsu... I nie wiem, czy przypadkiem *Counter* nie będzie pokazywać liczby bajtów?

Po drugie popatrzyłem sobie chwilkę na Reports > Interface Bandwidth. Magiczny guzik Refresh powoduje co chwilę pokazywanie innych wartości... Sprawdziłem jeszcze dla pewności w Pomocy dla tego ekranu. Co prawda pomoc jest bardzo uboga, i trudno się domyśleć, co autor (Juniper) miał na myśli.

Natomiast mój poprzedni post wynikł z sugestii: zajarzałem sobie do cacti i jednocześnie na w/w raport. Wartości ściągania danych przez użytkowników pokrywały się ze sobą...

Cóż nadal nie ma rozwiązania problemu postawionego w pierszym poście: czyli jak ograniczyć ruch "powrotny" dla polityki przy ruchu wychodzącym... Patrzyłeś może w bazie wiedzy?
Link do wypowiedziLink

konto usunięte

Temat: Traffic Shaping na SSG

W Raportach w zestawieniu Interface Bandwidth mam podaną wartość > "Total Utilized Bandwidth" jest to wartość dla ruchu w obie
strony?

Powinna być w obie.
Traffic shaping na ScreenOS nakłada Maximum bandwidth dla ruchu przechodzącego w obie strony w ramach danej reguły polityki.
Proponuję wspomagać się np. wget-em :) Zwłascza jeśli na interfejsach przechodzi jakiś inny ruch.
Warto też z linii poleceń sprawdzić:
get traffic-shaping mode
get traffic-shaping interface ...
Link do wypowiedziLink
Michał Z.

Michał Z. Network Engineer

Temat: Traffic Shaping na SSG

Dzięki za sugestie...

Po zmianie urządzenia na SSG-550 zaobserwowałem iż ustawienie shapingu na polityce trust->untrust ogranicza ruch także w drugą stronę. Zaczęło też sensowniej działać "traffic priority" :)

Najwidoczniej soft na ssg-140 był "niedoskonały" ;)
Link do wypowiedziLink
Tomasz Zieliński

Tomasz Zieliński Ignorant IT

Temat: Traffic Shaping na SSG

Michał Zajkowski:
Dzięki za sugestie...

Po zmianie urządzenia na SSG-550 zaobserwowałem iż ustawienie shapingu na polityce trust->untrust ogranicza ruch także w drugą stronę. Zaczęło też sensowniej działać "traffic priority" :)

Najwidoczniej soft na ssg-140 był "niedoskonały" ;)

To mogę potwierdzić :)

Ja sobie jeszcze pomagam ograniczając bandwidth w Network > Interfaces, ale to już do zastosowań w konkretnych przypadkach.
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy


Następna dyskusja:

Juniper SSG i VPN




Wyślij zaproszenie do
Anuluj