Menggunakan Linux hanya untuk melakukan QOS pada jaringan yang ada

0

Saya memiliki perangkat penyaringan web eksklusif yang juga berfungsi sebagai router NAT. Satu antarmuka memiliki IP publik dan antarmuka lain memiliki IP pribadi. Semua klien lokal terhubung ke antarmuka dengan IP pribadi dan mereka mendapatkan alamat IP melalui DHCP. Saya tidak tahu bagaimana melakukan QOS pada router penyaringan web. Jadi, saya ingin menambahkan kotak Linux di mana saya bisa melakukan QOS. Pada saat yang sama saya ingin mempertahankan perangkat penyaringan web seperti apa adanya. Satu-satunya cara yang mungkin untuk mencapai ini adalah dengan melakukan NATing ganda: Saya akan menghubungkan satu antarmuka dari kotak Linux ke antarmuka LAN dari perangkat penyaringan web. Dan semua klien lokal saya terhubung ke antarmuka kedua dari kotak Linux. Jadi pertanyaan saya adalah, apakah double NATing efisien? Atau ada pengaturan lain untuk mencapai ini?

nixnotwin
sumber

Jawaban:

1

Saya pikir double NATing tidak efisien, apalagi Anda bisa melakukan trik. Asumsikan ip lokal perangkat filter web Anda adalah 192.168.1.1 dan ip adalah gateway default pada klien Anda. Anda dapat mengubahnya ke 192.168.1.254 dan mengatur 192.168.1.1 ke kotak linux Anda.

Pada kotak linux Anda hanya menetapkan 192.168.1.254 sebagai gateway default. Jadi tidak perlu di NAT pada kotak linux sama sekali. Dan Anda dapat menerapkan kebijakan QOS seperti yang Anda inginkan tanpa perlu melakukan perubahan apa pun pada klien.

Dengan adanya

local_clients(192.168.1.0/24) <-----> (192.168.1.1)web filtering device <-----> ISP

Seperti yang akan terjadi

local_clients(192.168.1.0/24) <-----> (192.168.1.1) linux box(192.168.2.1) <---->(192.168.2.2) web filtering device <-----> ISP

Pada kotak linux Anda memerlukan 2 kartu jaringan atau Anda dapat menggunakan VLAN, jika peralatan jaringan Anda mendukung 8021.q

ALex_hha
sumber
Dalam pengaturan ini, paket-paket yang dikirim dari klien lokal akan dikirim melalui kotak Linux. Tetapi paket-paket yang datang dari internet akan langsung dikirim oleh perangkat penyaringan web ke klien lokal.
nixnotwin
Saya telah memperbarui skema dengan sedikit modifikasi
ALex_hha
Saya bisa menerapkan solusi Anda. Saya harus menambahkan rute statis untuk 192.168.1.0/24 subnet di perangkat penyaringan. Saya juga harus melakukan SNAT untuk subnet 192.168.1.0/24. Itu bekerja dengan baik.
nixnotwin
Senang mendengarnya. Tapi mengapa Anda menggunakan SNAT, seperti yang saya mengerti di kotak linux?
ALex_hha
Saya menggunakan SNAT pada perangkat penyaringan dan bukan pada kotak Linux. Kotak Linux hanya melakukan routing. Saya harus melakukan SNAT untuk 192.168.1.0/24 pada perangkat penyaringan karena jaringan tidak tersedia secara langsung ke perangkat penyaringan.
nixnotwin