Форум Kerio-rus

Вернуться   Форум Kerio-rus > Продукты > Kerio Control (бывший Winroute Firewall)

Важная информация

Ответ
 
Опции темы
Старый 19.05.2009, 15:35   #1
Leshiy
Пейсатель професеонал
 
Аватар для Leshiy
 
Регистрация: 21.12.2007
Сообщений: 1,118
По умолчанию 2,3,4,100500 провайдеров. Балансировка нагрузки ручная\автоматическая.

В силу того, что темы про "Как мне SMTP пустить через одного провайдера, а HTTP через другого?" плодятся быстрее чем весенние кролики, решил создать step-by-step с картинками.
Рассматривается двупровайдерная схема как наиболее распространённая, тем более что для любого количества провайдеров всё делается аналогичным образом. В этом step-by-step даются только базовые понятия Routing Policy, за более подробными сведениями обращайтесь к инструкции.

***

Вариант 1. Автоматическая балансировка нагрузки.
В этом случае Wiinroute сам распределяет потоки данных по интернет-интерфейсам ориентируясь на указанную вами скорость интернет-соединения, если же скорости равны, то приоритетным становится то интернет-соединение в котором время отклика на ping меньше. В общем мультилинк.

Интерфейсы подключенные к интернету перенести в группу "Интернет интерфейсы" (это делается в свойствах интерфейсов), установить скорости интерфейсов согласно скоростям ваших интернет-соединений. В выпадающем списке "Укажите как Межсетевой Экран подключен к Интернет" выберите "Несколько подключений к Интернет - Распределение нагрузки на каналы".

[Для просмотра данной ссылки нужно зарегистрироваться]

Настройте Политики Траффика и Трансляцию согласно скриншоту. В Источнике вместо Доверенный/Локальный можно указать Пользователей, Группы пользователей, определённые интерфейсы, IP адреса. В Службах можно оставить "Любой", а можно указать лишь нужные службы.

[Для просмотра данной ссылки нужно зарегистрироваться]

[Для просмотра данной ссылки нужно зарегистрироваться]

Теперь Winroute сам выбирает наименее загруженный интернет канал и направляет в него траффик. Но что если нам требуется определённые службы исключить из автобалансировки и направить их через конкретного провайдера? Для этого изменим правила "Политик траффика" и настройки трансляции для созданного правила "НАТ_определённые_сервисы"

[Для просмотра данной ссылки нужно зарегистрироваться]

[Для просмотра данной ссылки нужно зарегистрироваться]

В этом случае через правило "НАТ_определённые_сервисы" пойдёт ICMP/HTTP/POP3/SMTP траффик. Траффик по всем остальным протоколам будет обрабатываться правилом "Общий НАТ", при этом интерфейс через который пойдёт этот траффик будет выбран автоматически, это может быть Провайдер_1, а может быть и Провайдер_2. Галочка "Разрешить использование другого интерфейса если данный интерфейс недоступен" установлена для того, чтобы в случае падения связи с Провайдер_1 ваши пользователи не остались без почты и не лишились возможности просматривать Web-страницы.

***
Leshiy вне форума   Ответить с цитированием Вверх
Старый 19.05.2009, 15:46   #2
Fix
Песака
 
Аватар для Fix
 
Регистрация: 19.01.2009
Адрес: //РФ.ЮФО/
Сообщений: 70
По умолчанию

....давно пора.


Leshiy, зачёт Вам)
Fix вне форума   Ответить с цитированием Вверх
Старый 19.05.2009, 15:46   #3
Leshiy
Пейсатель професеонал
 
Аватар для Leshiy
 
Регистрация: 21.12.2007
Сообщений: 1,118
По умолчанию

Вариант 2. Ручная балансировка нагрузки.
Всё вышеописанное хорошо и прекрасно, но гораздо чаще администраторы в нашей стране сталкиваются с ситуацией "Безлимитный дешёвый и медленный, Лимитный дорогой и быстрый" и от них требуется сделать так, чтобы низкоприоритетный траффик шёл только через безлимитный канал, а высокоприоритетный траффик уходил в мир через лимитный быстрый канал. Или, к примеру, нужно БигБоссу дать быстро и дорого, а всем остальным медленно и дёшево.
В этих случаях следует использовать ручную балансировку которая, в принципе, отличается от автоматической балансировки лишь тем, что:
  1. В свойствах Лимитного-Дорогого интерфейса следует установить скорость равную 0 (нулю)
  2. В свойствах Трансляции Безлимитного-Дешёвого интерфейса _НЕ_ устанавливать галку "Разрешить использование другого интерфейса если данный интерфейс недоступен"
  3. В свойствах NAT выбирать не настройки по умолчанию, а NATить всегда в интерфейс выбранный вручную

***

В "Интерфейсах" дорогому провайдеру назначаем скорость=0

[Для просмотра данной ссылки нужно зарегистрироваться]

Создаём правила Политики Траффика.

[Для просмотра данной ссылки нужно зарегистрироваться]

И указываем трансляцию в конкретные интерфейсы.

[Для просмотра данной ссылки нужно зарегистрироваться]

***

Последний раз редактировалось Leshiy; 19.05.2009 в 15:59.
Leshiy вне форума   Ответить с цитированием Вверх
Старый 21.05.2009, 17:01   #4
mracosos
 
Аватар для mracosos
 
Регистрация: 12.05.2009
Сообщений: 5
По умолчанию

А кому нибуть хоть раз удалось запустить керио на 4 провайдера и одну локалку ? (сам просто умаялся)
mracosos вне форума   Ответить с цитированием Вверх
Старый 21.05.2009, 18:36   #5
adm_art
Пейсатель професеонал
 
Аватар для adm_art
 
Регистрация: 22.02.2007
Адрес: Донецк ДНР
Сообщений: 1,100
По умолчанию

mracosos, так в чем именно проблема?
[Для просмотра данной ссылки нужно зарегистрироваться], прилагай всё что надо и будем думать.
__________________
керио
------------
adm_art вне форума   Ответить с цитированием Вверх
Старый 22.05.2009, 10:01   #6
crayzer
ТрудоГолик
 
Аватар для crayzer
 
Регистрация: 27.10.2006
Адрес: Ростов-на-Дону
Сообщений: 1,215
По умолчанию

mracosos, работает с 4-мя ППоЕ )) версия 6.5.2
__________________
Любовь, крепкие хозяйственники и массовые расстрелы спасут Родину (с)
crayzer вне форума   Ответить с цитированием Вверх
Старый 25.05.2009, 14:54   #7
mracosos
 
Аватар для mracosos
 
Регистрация: 12.05.2009
Сообщений: 5
Восклицание

Миль пардон !!! Версии просто таким как я просто обновлять надобно , я проспал реально проспал , на 6.5.0 оказвается уже работало, блин
mracosos вне форума   Ответить с цитированием Вверх
Старый 25.05.2009, 15:35   #8
naliman
Администратор
 
Аватар для naliman
 
Регистрация: 19.06.2006
Адрес: оттуда
Сообщений: 14,390
По умолчанию

Leshiy, Респект
__________________
Общество свободных людей – совсем не то же, что толпа одиноких расчётливых эгоистов, безразличных к общему благу
naliman вне форума   Ответить с цитированием Вверх
Старый 31.05.2009, 22:16   #9
EnMan
Телепат-тугодум
 
Аватар для EnMan
 
Регистрация: 11.05.2006
Адрес: Lipetsk
Сообщений: 4,586
По умолчанию

Цитата
Сообщение от mracosos Посмотреть сообщение
А кому нибуть хоть раз удалось запустить керио на 4 провайдера и одну локалку ? (сам просто умаялся)
пять.
1. ComStar
2. Corbina
3. Akado
4. Stream
5. MGTS
6. Ыыыыы. Ди! А! Лап!

Леший - кросафчег полюбас.
__________________
керио
EnMan вне форума   Ответить с цитированием Вверх
Старый 13.06.2009, 10:45   #10
chpr
Навичёг
 
Аватар для chpr
 
Регистрация: 24.07.2008
Сообщений: 25
Печаль

При ручной балансировке, как указано выше, все равно съедается около 60Мб в день, а это почти 2 гига в месяц.
chpr вне форума   Ответить с цитированием Вверх
Старый 22.06.2009, 15:04   #11
gavrosh
Песака
 
Аватар для gavrosh
 
Регистрация: 18.12.2006
Адрес: Пенза, Россия
Сообщений: 63
По умолчанию

По-любому красавелла. Предлагаю администрации вынести это дело в инструкции KWF. Тем более всё уже оформлено.
__________________
Хочу быть чугунной батареей, потому что ей всё похуй!
gavrosh вне форума   Ответить с цитированием Вверх
Старый 24.06.2009, 22:37   #12
CenT
Песака
 
Аватар для CenT
 
Регистрация: 23.10.2007
Сообщений: 177
По умолчанию

А пардон, а ежели мне надо что бы часть адресов назначения ходила через один интерфейс, а всё остальное через другой. То есть балансировка не по службам или юзерам а по адресам назначения. Просто у меня на неделе возникнет ситуация когда будет 2 провайдера : у одного огромнейшая внутрисеть с кучей ресурсов и на скорости до 98 мбит (реально) с определённым диапазоном адресов, а второй неограниченный инет но всё же медленнее чем первый. Или в моём случае создать стандартное правило нат, а те адреса забить маршрутами в таблицу маршрутизации ?
CenT вне форума   Ответить с цитированием Вверх
Старый 25.06.2009, 09:12   #13
gavrosh
Песака
 
Аватар для gavrosh
 
Регистрация: 18.12.2006
Адрес: Пенза, Россия
Сообщений: 63
По умолчанию

CenT, да
__________________
Хочу быть чугунной батареей, потому что ей всё похуй!
gavrosh вне форума   Ответить с цитированием Вверх
Старый 25.06.2009, 11:15   #14
Leshiy
Пейсатель професеонал
 
Аватар для Leshiy
 
Регистрация: 21.12.2007
Сообщений: 1,118
По умолчанию

Цитата
Сообщение от CenT Посмотреть сообщение
А пардон, а ежели мне надо что бы часть адресов назначения ходила через один интерфейс, а всё остальное через другой. То есть балансировка не по службам или юзерам а по адресам назначения. Просто у меня на неделе возникнет ситуация когда будет 2 провайдера : у одного огромнейшая внутрисеть с кучей ресурсов и на скорости до 98 мбит (реально) с определённым диапазоном адресов, а второй неограниченный инет но всё же медленнее чем первый. Или в моём случае создать стандартное правило нат, а те адреса забить маршрутами в таблицу маршрутизации ?
Необязательно в таблицу маршрутизации. В текущих версиях винроута траффик полиси может заменять таблицу маршрутизации.
То есть перенаправлять траффик в разные интерфейсы в зависимости от источника, назначения, или протокола.
Создаешь группу IP адресов, ставишь её в "Назначение" и НАТишь в нужный интерфейс.
Leshiy вне форума   Ответить с цитированием Вверх
Старый 28.06.2009, 20:49   #15
dimsoft
 
Аватар для dimsoft
 
Регистрация: 20.05.2009
Сообщений: 11
По умолчанию

подскажите по ситуации с 3 провайдерами
ПР1 - лимит1 - IP1 (pppoe)
ПР2 - лимит2 - IP2 (pppoe)
ПР3 - анлим - IP3 (pppoe)
как правильно использовать в качестве доступа снаружи к сервисам внутри сети ПР2, в качестве выхода всех ПР3 (это пока понятно), а вот вопрос хочеться использовать ПР1 как резерв ПР2, то есть если нет ПР3 переходим на ПР2, если и его нет то на ПР1

PS с одним резервным - там все понятно
dimsoft вне форума   Ответить с цитированием Вверх
Старый 29.06.2009, 11:00   #16
crayzer
ТрудоГолик
 
Аватар для crayzer
 
Регистрация: 27.10.2006
Адрес: Ростов-на-Дону
Сообщений: 1,215
По умолчанию

dimsoft, резервирование снаружи для внутренних ресурсов - керио тут ни при чем
Вот смотри у тебя 2 внешних адреса на ПР1 и ПР2 . Один упал. Тот кто будет соединяться снаружи должен знать что у тебя еще есть ПР2 с другим адресом. Что тебе сделает керио? ))
Тебе поможет round robin dns. Это как раз твой случай.
__________________
Любовь, крепкие хозяйственники и массовые расстрелы спасут Родину (с)
crayzer вне форума   Ответить с цитированием Вверх
Старый 29.06.2009, 14:38   #17
dimsoft
 
Аватар для dimsoft
 
Регистрация: 20.05.2009
Сообщений: 11
По умолчанию

crayzer, я писал что первая часть мне понятно
я не знаю как сделать 3 pppoe как резерв
если есть используем анлим, если его нет переходим на ПР2 (это еще понятно), а вот если и анлим и ПР2 не работают = как перейти на ПР1 ?
dimsoft вне форума   Ответить с цитированием Вверх
Старый 30.06.2009, 23:18   #18
dimsoft
 
Аватар для dimsoft
 
Регистрация: 20.05.2009
Сообщений: 11
По умолчанию

подскажите, если IP источника 1 и IP потребителя трафика 1
то керио не сможет объединить каналы ?
dimsoft вне форума   Ответить с цитированием Вверх
Старый 01.07.2009, 08:09   #19
gavrosh
Песака
 
Аватар для gavrosh
 
Регистрация: 18.12.2006
Адрес: Пенза, Россия
Сообщений: 63
По умолчанию

dimsoft, что-то как-то не совсем понятно
__________________
Хочу быть чугунной батареей, потому что ей всё похуй!
gavrosh вне форума   Ответить с цитированием Вверх
Старый 01.07.2009, 13:31   #20
dimsoft
 
Аватар для dimsoft
 
Регистрация: 20.05.2009
Сообщений: 11
По умолчанию

gavrosh, качаем 1 файл с 1 сервера (сервер поддерживает докачку) на суммарной скорости всех подключений
dimsoft вне форума   Ответить с цитированием Вверх
Ответ


Опции темы

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход


Текущее время: 05:57. Часовой пояс GMT +3.


Powered by vBulletin® Version 3.8.12 by vBS
Copyright ©2000 - 2019, vBulletin Solutions Inc. Перевод: zCarot
© Kerio-rus.ru
Фонарёвка: всё о фонарях