Bridge filtering

RIP, OSFP, BGP, MPLS/VPLS
Ответить
timonsterrr
Сообщения: 70
Зарегистрирован: 05 мар 2017, 17:33

Bridge filtering

Сообщение timonsterrr » 13 мар 2018, 06:43

Всех приветствую. Хочу с помощью правил бриджа на микроте ограничить рейт мультикаста и броадкаста. Но не могу найти внятного описания как это работает.

Сделал так:
/interface bridge filter
add action=drop chain=forward comment="Limit multicast Local bridge" in-bridge=\
!loopback0 limit=15,20 out-bridge=!loopback0 packet-type=multicast
add action=drop chain=forward comment="Limit Broadcast Local bridge" in-bridge=\
!loopback0 limit=50,60 out-bridge=!loopback0 packet-type=broadcast
Пока что не понятно корректно ли я понимаю принцип, а понимаю я так: если количество пакетов в секунду в пределах лимита то они проходят прозрачно, если лимит превышен, то все что более него - дроп.

Кто нить конфигурил эти параметры?

Аватара пользователя
Chupaka
Сообщения: 2156
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Bridge filtering

Сообщение Chupaka » 13 мар 2018, 08:33

Параметр limit срабатывает не более, чем с указанной частотой. Т.е. данные правила будут дропать первые 15 пакетов в секунду (с burst 20 пакетов за первую секунду), а остальные - пропустят.

Чтобы реализовать лимит с вашим описанием, можно пойти двумя путями.

Простой: делать limit=15,20 action=accept (разрешаем пакеты, подходящие под лимит; дальнейшие правила не обрабатываются), затем остальным пакетам action=drop.

Если же надо после лимита другими правилами обрабатывать пакеты - тогда способ сложнее: делаем правило chain=forward action-jump jump-target=limit-mcast; в данной цепочке разрешаем нужный пакетрейт chain=limit-mcast limit=15,20 action=return (это правило вернёт обработку обратно в chain=forward к оставшимся правилам), а остальное блокируем chain=limit-mcast action=drop

timonsterrr
Сообщения: 70
Зарегистрирован: 05 мар 2017, 17:33

Re: Bridge filtering

Сообщение timonsterrr » 13 мар 2018, 14:02

/interface bridge filter
add action=accept chain=forward comment="Limit multicast Local bridge" \
in-bridge=!loopback0 limit=15,20 out-bridge=!loopback0 packet-type=\
multicast
add action=accept chain=forward comment="Limit Broadcast Local bridge" \
in-bridge=!loopback0 limit=50,60 out-bridge=!loopback0 packet-type=\
broadcast
add action=drop chain=forward comment="Drop excessive multicast" packet-type=\
multicast
add action=drop chain=forward comment="Drop excessive Bcast" packet-type=\
broadcast


Сделал так, я все правильно понял?

Аватара пользователя
Chupaka
Сообщения: 2156
Зарегистрирован: 29 фев 2016, 15:26
Откуда: Минск
Контактная информация:

Re: Bridge filtering

Сообщение Chupaka » 13 мар 2018, 14:26

Ну, я бы ещё in-bridge=!loopback0 out-bridge=!loopback0 убрал, потому то слабо представляю себе ситуацию, когда пакеты будут коммутироваться в рамках loopback-бриджа :)

timonsterrr
Сообщения: 70
Зарегистрирован: 05 мар 2017, 17:33

Re: Bridge filtering

Сообщение timonsterrr » 13 мар 2018, 15:17

Chupaka писал(а):
13 мар 2018, 14:26
Ну, я бы ещё in-bridge=!loopback0 out-bridge=!loopback0 убрал, потому то слабо представляю себе ситуацию, когда пакеты будут коммутироваться в рамках loopback-бриджа :)
Спасибо, поправил)).

Ответить