Archiv pro rubriku: Sítě

Mikrotik, Sítě

Mikrotik: Blokování a omezení multicast provozu

Napsat komentář 
Mikrotik mini-howto? Krátce ze života s RouterOS.

Mikrotik blokování/omezení multicast

Nedávná realizace VPN tunelu pro zákazníka nás přivedla k jednomu drobnému problému, požadavek na začátku byl plně transparentní L2 tunel spojující dvě lokality, za normálních okolností je rozumné vyhnout se L2 bridge sítím přes VPN, raději děláme klasickou routovanou VPN.

Problem nastal po zjištění, že v lokalitě 1 je zdroj multicast provozu, který díky bridge proléza do druhé lokality přes VPN, dle zjišťování Mikrotik stále dosud neumí IGMP snooping (viz. kňučení zde http://forum.mikrotik.com/viewtopic.php?t=62073), který by tomu mohl zabránit.

Podobný problém jsem zaznamenal i v případě multicast provozu služby IPTV, který přicházel do Mikrotiku přes uplink port (typicky ether1-gateway) a díky výchozí konfiguraci zbytku portů routeru jako switche v kombinaci s bridgem bezdrátového rozhraní WLAN docházelo k šíření multicasti do WiFi, ± 10Mbit provoz trvale zaplavující wifi není ideální, zvláště pokud ho tam nikdo nechce.

Co je to Multicast?

IP multicast je metoda přeposílání IP datagramů z jednoho zdroje skupině více koncových stanic. Multicast adresy lze vcelku dobře identifikovat cílové adresa je v rozsahu třídy D (224.0.0.0 – 239.255.255.255), zdrojová adresa je unicast adresa odesílatele.

unicast-vs-multicast-1

Co je to IGMP snooping?

IGMP snooping je funkce dobřé známá z chytřejších switchů, kdy dochází ke zkoumání IGMP zpráv procházející switchem, zařízení si na jejich základě udržuje tabulku jakou multicast adresu posílat na jaký port, tedy data putují pouze tam kam mají a nezahlcují trasu kam nepatří, velmi zjednodušeně řečeno.

Multicast IGMP snooping
Multicast IGMP snooping

 

Hledané řešení je triviální

Varianta 1. Úplné blokování multicast provozu

/interface bridge filter add chain=output out-interface=wlan1 packet-type=multicast action=drop

Varianta 2. Omezení multicast provozu

Zapneme firewall na bridge, aby provoz prošel až na firewall/CPU a bylo možné s ním něco udělat.

/interface bridge settings set use-ip-firewall=yes

Markujeme(označíme) pakety multicastu.

/ip firewall mangle add chain=prerouting action=mark-connection new-connection-mark=multimark passthrough=yes dst-address-type=multicast

/ip firewall mangle add chain=prerouting connection-mark=multimark action=mark-packet new-connection-mark=multimark_packet passthrough=no

Máme označen multicast provoz, pomocí fronty omezíme jednoduše jeho rychlost na např. 512kbit.

/queue tree add parent=wlan1-parent packet-mark=multimark_packet max-limit=512k name="wlan1-limit-multicast"

A to je vše, takto nám to funguje.

Díky za pozornost. František Havel, MOJEservery.cz.

Linux, Sítě

LibreNMS, tak trochu lepší Observium pro dohled sítě.

Napsat komentář

Dohled v IT je klíčovým nástrojem pro fungování, chtělo by se “zakřičet” král je mrtev ať žije král, ale není to tak přímočaré, pojďme se spolu podívat na jeden z nastupujích nástrojů pro network monitoring.

librenms-single-logoLibreNMS je fork komunitní verze dohledováno nástroje Observium, který v posledních měsících má značný úspěch, komunitní verze je zdarma, má 6 měsíční vývojový realease cyklus a postráda některé důležité funkce oproti placené variantě (zejména alerting, thresholdy), zde nastupuje právě LibreNMS, které staví na Observium community edici a značně vylepšuje její možnosti.

Mamé aktuálně LibreNMS nainstalované, prošlo interním několika měsíčním testování a nakonec podle plánu ho rozšíříme na všechny servery a jako bonus pokud dojde k úspěšné dohodě tak budeme celé řešení nasazovat do sítě o cca 100 aktivních prvcích pro zákazníka kousek od Prahy.

LibreNMS

  • Autodiscovery pomocí protokolů L2 a L3 vrstvy (ARP, CDP, FDP, LLDP, OSPF, BGP, SNMP)
  • Alerting (notifikační systém), flexibilní, email, SMS, irc, scriptovatelný
  • API rozhraní, výborná vlastnost, lze přistupovat k datům jež jsou v LibreNMS, kolega například udělal jednoduchý projekt s Arduino displejem, který zobrazuje zátež serveru, obsazení disků a výužití sítě, možnosti jsou nekonečné
  • Billing systém, nevyužíváme, ale lze udělat např. automatizované platby podle přenesených dat nebo obsazenosti místa na serverů
  • Automatické updaty
  • Plugin systém
  • Distribuovaný monitoring (horizontální škálování, dohled roste s velikostí Vaší sítě)

Další příjemné vlastnosti, větší podpora zařízení, nativní Unix agent, slušné UI dostupné i z mobilu, authentizace uživatelů proti MySQL a LDAP.

Ukázková (plně funkční demoverze), viz odkaz nebo kliknětě na obrázek.

https://demo.librenms.org

Username: admin
Password: admin

libreNMS-demo-login

Vývoj je pěkně aktivní, sledujte např. twitter @librenms , IRC Freenode ##librenms nebo Google Groups.

Dokumentace pěkně zpracována zde http://docs.librenms.org.

K dispozici jsou migrační nástroje pro přechod z Observia, tak co říkáte, dáte LibreNMS šanci?

Zajímáte se o dohled své sítě, přemýšlíte nad jeho realizace či modernizaci? Poskytuje služby v této oblasti Monitoring počítačové sítě.

František Havel, MOJEservery.cz