vyatta@vyatta# show service nat rule 30
destination {
     port 22222
}
inbound-interface pppoe0
inside-address {
     address 192.168.1.186
}
protocol tcp
type destination
[edit]
vyatta@vyatta#

二、防火墙里放行

vyatta@vyatta# show firewall name OnWAN rule 15
action accept
destination {
     port 22222
}
protocol tcp
[edit]
vyatta@vyatta#

2,configure pptp
#vim /etc/pptpd.conf

localip 192.168.42.122
remoteip 192.168.42.123-200

#vim /etc/ppp/pptpd-options

ms-dns 8.8.4.4
ms-dns 208.67.222.222
plugin /usr/lib/pppd/2.4.4/radius.so
radius-config-file /etc/radiusclient/radiusclient.conf

3,configure radius
#vim /etc/freeradius/client.conf

client 127.0.0.1 {
 secret  = mysecret
 nastype     = other
}

#vim /etc/freeradius/users

myusername Cleartext-Password := “mypassword”
 Service-Type = Framed-User,
 Framed-Protocol = PPP,
 Framed-IP-Address = 192.168.42.123,
 Framed-IP-Netmask = 255.255.255.0,
 Framed-Routing = Broadcast-Listen,
 Framed-Filter-Id = “std.ppp”,
 Framed-MTU = 1500,
 Framed-Compression = Van-Jacobsen-TCP-IP
 
 
4,configure radclient
#vim /etc/radiusclient

127.0.0.1           mysecret
 
#vim /etc/radiusclient/dictionary.microsoft

add content from http://wiki.freeradius.org/PopTop

#vim /etc/radiusclient/dictionary

INCLUDE /etc/radiusclient/dictionary.microsoft
INCLUDE /etc/radiusclient/dictionary.merit
5,test radius
#radtest myusername mypassword 127.0.0.1 0 mysecret

6,if OS not exist /dev/ppp device,creat it
#mknod /dev/ppp c 108 0

前因：
在DES3026上设置两个vlan，PC、非网管交换机和samba服务器接在相同vlan的端口。

现象：
在PC里把samba共享目录映射成win盘符后，每次登录第一次打开这个盘符会弹出警告对话框：“本地设备名已在使用中。此连接尚未还原。”

分析：
故障前后PC和samba服务器没有经过任何改动，唯一的变动是交换机划分了vlan，于是至电dlink客服，得到的回答是划分vlan后，连接另一台非网管交换机，把它当成一台PC就可以了。
后来尝试把samba服务器连接在非网管交换机上，这时故障解除。

原因：
不明。

具体过程如下：

一、交换机设置

有人说在交换机上做好vlan后，把连接m0n0的端口设置trunking，但是我的3026交换机做不到。

所以改为这种方法：

vlan10:             2-19 untag
                             20 tag

vlan20:                  20 tag
                        21-26 untag

m0n0连接到3026的20端口

二、m0n0设置

1,Interfaces –> (assign) –> vlans

在这里添加vlan10和vlan20

2,Interfaces –> (assign) –> Interface assignments

在这里指定vlan 10的接口为vlan10，vlan 20的接口为vlan20

(其实这里只是点+号而已)

3.1,Interfaces –> (assign) –> OPT1
在这里激活vlan10的接口

"description"填写为"vlan10"
打勾"enable optional 1 interface"
"bridge with"选为"none"
"ip address"填为"192.168.0.2/24"

3.2,Interfaces –> (assign) –> OPT2
在这里激活vlan20的接口

"description"填写为"vlan20"
打勾"enable optional 2 interface"
"bridge with"选为"none"
"ip address"填为"192.168.5.2/24"

4.1 Firewall –> Rules –> vlan10
这里要添加允许vlan10网段上网的规则
vlan互访限制也在这里设置，这里的规则直接影响到vlan间的互访

同时要限制vlan10客户端的上网行为也是这里设置规则

4.2 Firewall –> Rules –> vlan20
这里要添加允许vlan20网段上网的规则
vlan互访限制也在这里设置，这里的规则直接影响到vlan间的互访

同时要限制vlan20客户端的上网行为也是这里设置规则

题外话：
以上方法虽然实现了我的要求，但跟我想象中的效果相差很大。

我的想法是：
只是在交换机上划分vlan，原来所有客户端不做更改，还是原来的IP，原来的网关，各客户机都能上网，但不同vlan的客户端不能互访。

tcp包头：

udp包头：

icmp包头：

数据包流程：

tcp连接状态：

tcp关闭状态：

icmp ping状态：

udp连接状态：

第一个是invoke-rc.d

这个命令可以停止或启动服务，比如：

invoke-rc.d exim4 stop

invoke-rc.d nfs-common start

第二个是update-rc.d

这个命令可以启用或禁止服务自启动

update-rc.d –f exim4 remove

update-rc.d nfs-common start 20 3 4 5

我把匹配的地址改为192.168.0.5/32之后，限速生效了，0.5的下载速度大约在180k，其它的IP下载速度大约在40k，当我把匹配的IP改为192.168.0.5/24后，限速又不生效了。

不知道vyatta的out和in是怎么定义的，如果它是如下所定义的话：

download: internet ===> (in)Vyatta(out) ===> client
up: internet <=== (out)Vyatta(in) <=== client

那么当我在LAN接口的out方向做限速时，匹配的IP位置就应该是destination而非source,但是我在官方文档上所看到的实例以及网上一些文章都指定为source，不得其解。
根据上面的定义，是不是可以在WAN接口的out方向做限速，从而达到做上传限速呢？

另外vyatta 5.0.2也开始支持in的限速了，类型是traffic-limiter，不过它没有default class，有时间用它在WAN接口上测试一下下载的限速。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41

vyatta@vyatta# show qos-policy
 traffic-shaper ALL {
     bandwidth 2mbit
     class 10 {
         bandwidth 2mbit
         burst 3k
         ceiling 2mbit
         match IP5 {
             ip {
                 destination {
                     address 192.168.0.5/32
                 }
             }
         }
     }
     default {
         bandwidth 512kbit
         burst 1k
         ceiling 512kbit
     }
 }
[edit]
vyatta@vyatta# show interfaces
 ethernet eth0 {
     address 192.168.0.2/24
     hw-id 00:05:5d:72:ed:**
     qos-policy {
         out ALL
     }
 }
 ethernet eth1 {
     duplex auto
     hw-id 00:05:5d:72:ed:**
     pppoe 1 {
         default-route auto
         password *********
         user-id ********
     }
 }
[edit]
vyatta@vyatta#

把下面这段脚本放到一个命名为ddns的脚本文件里去

#!/bin/bash
wget -q -O- ‘http://username:password@members.3322.org/dyndns/update?system=dyndns&hostname=domainname.3322.org’
 

然后加上可执行属性，再扔进/etc/ppp/ip-up.d/目录下去就可以了。

这就意味着限速成功，2号实验速度为110k，原因是它没有匹配class 10规则，所以就应用了default的规则。

下面是1号实验的相关配置

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45

interfaces {
      ethernet eth0 {
          address 192.168.1.1/24
          duplex auto
          hw-id 00:0c:29:98:9e:cf
          qos-policy {
              out OFFICE
          }
          speed auto
      }
      ethernet eth1 {
          address 192.168.8.16/24
          duplex auto
          hw-id 00:0c:29:98:9e:d9
          speed auto
      }
  }
  protocols {
      static {
      }
  }
  qos-policy {
      traffic-shaper OFFICE {
          bandwidth 2mbit
          class 10 {
              bandwidth 512kbit
              burst .5k
              ceiling 512kbit
              match IP2 {
                  ip {
                      destination {
                          address 192.168.1.2/24
                      }
                  }
              }
              queue-type fair-queue
          }
          default {
              bandwidth 1mbit
              burst 1k
              ceiling 1mbit
              queue-type fair-queue
          }
      }
  }