Jump to content
Калькуляторы

vasya_petrovich

Пользователи
  • Content Count

    97
  • Joined

  • Last visited

Everything posted by vasya_petrovich


  1. D - dynamic. onhold - название листа. Он создается автоматически при наступлении условий указанных в Firewall. Ищите в правилах firewall
  2. Всем привет. Коллеги, как микротик обрабатывает поиск в address-list? Тупой линейный поиск или по октетам, или бинарный поиск? Имеем список подсетей вида: 192.168.5.0/24 192.168.100.0/24 10.0.0.0/24 10.0.10.0/24 Лучше разбить на разные листы каждую подсеть и туда добавлять хосты и подсети или можно в одном листе хосты и подсети прописать? Подсети могут быть к примеру /30 или /29
  3. Всем привет. Коллеги, кто может поделиться практическим опытом эксплуатации 1036 или 1072 + шейп от 3000 правил? Какая нагрузка на цпу, ппс, задержка и т.д.
  4. CCR-10?? + qos

    С PCQ мне все понятно, меня интересует идеология дерева на симплах. Задача: Имеется канал 100 мегабит/с, распилить на 500 абонентов, часть с гарантированной полосой, а часть не с гарантированной.
  5. CCR-10?? + qos

    Почитал на медне эту тему, оказывается у микротика действительно проблема с деревьями, причем она связана с тем, что юзается в дерево всего одно ядро. Возникает вопрос, а что мешает создать дерево в simple q? В такой схеме будет нагрузка размазываться по ядрам или залипнет на какое-то ядро?
  6. Коллеги, можно ли в firewall создать правило, которое соответствует следующим критериям: 1. В динамический address list добавляется src ip, по превышению pps. На 10 секунд. 2. Далее проверяется, что src ip в этом листе не генерит пакеты более чем на 10 разных хостов/секунду. Если с первым условием все понятно, то реально ли второе сделать средствами роутерос?
  7. CCR-10?? + qos

    А что у него с деревьями?
  8. А кто и как решает проблему с приоритезацией трафика? Например в htb есть опция prio
  9. Насчет мирроринга и нетфлоу разобрался. У вас на офф сайте сказано, что комьюнити версия работает с 1г миррорингом, а что будет, если комьюнити версию натравить на 10г интерфейс? Можно немного подробнее про эти фишки: Arbitrary attack detection Ability to block only malicious traffic ?
  10. Павел, не могу понять, FNM анализирует mirroring трафик или netflow будет достаточно? FNM может детектить с внешней ботнет сети (множество хостов) на мой диапазон ip адресов (множество хостов) тупой syn_flood?
  11. Павел, FNM Advanced умеет детектить входящий ддос к моим ипникам из внешки?
  12. @Victor Tkachenko, я говорю про коммутаторы серии S2995G. Даже при зеркалировании только rx все равно дает потери.
  13. Добрый день. Есть задача, в одном коммутаторе в 1 и 23 порту подключены 2 клиента, надо резрешить им пропускать вланы через SNR-S2985G с 100 по 200 с оберткой внутри коммутатора в 1000 влан. Отдавать клиентам с двойным тегированием нельзя. Настроил следующим образом: Не работает, где туплю?
  14. Еще учитывайте, что у данного коммутатора функция мирроринг - исключительно в тестовых целях (дает потери)!
  15. @Victor Tkachenko а почему не работает конфигурация с selective vlan? Это баг в фирмваре?
  16. @Victor Tkachenko , подскажите, что еще можно сделать, чтобы заработало?
  17. Перенастроил по Вашей рекомендации, mtu уже был выставлен в 9000. К сожалению не помогло. Вот текущий конфиг: Вот что мне выдает tcpdump: Видимо метка 1000 не снимается. Куда еще можно копнуть?
  18. Коллеги, подскажите. По умолчанию в свитче все порты находятся в дефолтном влане 1. К примеру я создал 2 влана с тегами 100 и 200. В 100 влан я транком пропихнул порт 10, а в 200 вогнал транком порт 20. Возникает вопрос, что у 10 и 20 порта нативный влан остается 1, а я не хочу, чтобы порты 10 и 20 видели друг-друга через нативный влан. Возможно ли разрулить не прибегая к acl и прописыванием нативного влана в какой-нибудь влан заглушку? Аналогичная фишка есть в длинк, она называется not member.
  19. Господа, просвятите в порт мирроринге на порт-ченел. Создал port-group 16 Создал влан 4000: настроил мирроринг: Но трафик не зеркалируется. Пробовал просто в обычный порт зеркалить, все ок. Где я туплю? И еще попутно вопрос, в чем разница между цпу миррорингом и порт-миррорингом? P.S.> мануал https://shop.nag.ru/article/snr-switch-monitor-session читал.
  20. Да, действительно надо было еще добавить reflector-port и засунуть его в vlan, в котором также присутствует port-channel интерфейс.
  21. Всем привет! Недавно начала проявляться проблема с высокой нагрузкой цпу. Perf сказал, что грузит native_queued_spin_lock_slowpath. На машине крутится 32-х ядерный АМД 6282se, прерывания по картам прибиты, bonding + htb + skbprio + ifb + iptables. Трафика порядка ~1Gbp/s и около 2 000 классов. В какую сторону копать?
  22. В данном примере я с каждой tx очереди сетевой карты делаю редирект на ifb0. И на ifb0 нарезаю как мне надо исходящий трафик.
  23. Под mq имелось ввиду именно mq, не multiq. Hfsc предлагалось использовать, как альтернативу htb, т.к. предполагалось, что из-за него (htb) растет нагрузка native_queued_spinlock.