Negator

Mikrotik CCR1036-8G-2S+EM На нем только нат живет. Натит подсети /24 серых адресов в реальники. Все висит на одном 10G порту. dst nat.

Если вдруг кому вдруг интересно. Микротик уже год стоит и натит 4 гигабита трафика физлиц.(4 Гбита входящего и ~1Гбит исходящего) Никаких проблем не было. Загрузка CPU ~40% Сейчас взяли 1009, будем натить на нем 1-1.5 Гбита. Думаю проблем не будет.

Вот спасибо, прописал адрес в абонентском влане - все взлетело. Прописать можно что угодно :)

Почему не будет? Как по вашему работает механизм DHCP Relay? Мне нужно чтобы голова перехватывала броадкаст запросы в 42 влане от ONU шек и отправляла их на указанный адрес DHCP сервера. В данном примере он в 1000 влане, но может быть где угодно, главное чтобы с головы была связаность с указанным адресом. На обычных коммутаторах эта схема вполне работает, подключены уже тысячи клиентов. Что не так? И зачем там L3?

Не понял? А зачем его пробрасывать? Мне не нужно онушкам 1000 влан давать, мне нужно чтобы голова релеила DHCP запросы из 42 влана в DHCP сервер в 1000 влане. Зачем ip на 42 влане? Голова не должна терминировать трафик онушек, она просто L2 должна все пропускать. Если отключить все релеи и в 42 влане повесить интерфейс DHCP сервера, то онушки адрес получают без проблем. Но мне нужен именно релей, чтобы голова релеила запросы к нужному DHCP серверу.

и еще вопрос. По умолчанию по идее ONT не должны видеть друг друга, хотя успешно пингуются. как этого избежать?

Ковыряю на столе Huawei MA 5608T две ONU завелись без проблем, все более менее понятно Не хочет заводиться DHCP Relay Сама железка живет в 1000 VLAN ip 10.40.4.21/24 Для ONU шек 42 vlan DHCP сервер =10.40.4.10 в том же 1000 vlan Команды: dhcp-server 0 ip 10.40.4.10 interface vlanif 1000 dhcp-server 0 quit interface vlanif 42 dhcp-server 0 quit dhcp mode layer-3 standard undo dhcp mode layer-3 standard vlan 1000 dhcp mode layer-3 standard vlan 42 dhcp relay-interface relay-agent send dhcp relay-interface src-ip send uca-pon(config)#display dhcp-server 0 The primary IP address of DHCP server group 0: 10.40.4.10 The secondary IP address of DHCP server group 0: 0.0.0.0 The third IP address of DHCP server group 0: 0.0.0.0 The fourth IP address of DHCP server group 0: 0.0.0.0 Messages from this server group: 0 Messages to this server group: 0 Messages from clients to this server group: 0 Messages from this server group to clients: 0 DHCP OFFER messages: 0 DHCP ACK messages: 0 DHCP NAK messages: 0 DHCP DECLINE messages: 0 DHCP DISCOVER messages: 0 DHCP REQUEST messages: 0 DHCP INFORM messages: 0 DHCP RELEASE messages: 0 DHCP FORCERENEW messages: 0 uca-pon(config)#display dhcp config { <cr>|vlan<K> }: Command: display dhcp config DHCP relay mode : layer-3 DHCP server select mode : standard DHCP relay-interface src-ip : send DHCP relay-interface relay-agent: send DHCP proxy state : enable DHCP proxy lease-time : not configured ---------------------------- VLAN DHCP server mode ---------------------------- 42 standard 1000 standard ---------------------------- Total: 2 При этом ONU перестают получать адрес от вышестоящего DHCP в 42 влане (это нормально, по идее включился механизм relay и в пользовательском vlan запросы должны блочится). Но на DHCP сервере(10.40.4.10) в дампе пусто, ничего от головы не прилетает, никаких DISCOVER нету. Конфиг: uca-pon(config)#display current-configuration { <cr>|ont<K>|port<K>|section<K>|service-port<K>|simple<K>||<K> }: Command: display current-configuration [MA5600V800R013: 5900] # [sysmode] <sysmode> switch adsl mode to rfc2662 vdsl mode to tr129 xpon mode switch-to profile-mode voice-spec set vag-num 8 voice-spec set sip-account-num 2048 protocol support h248 system ex-mode backup router mode basic # [global-config] <global-config> sysname uca-pon terminal user name buildrun_new_password negator *[Y9#@:-QF$-V`<U\6*5M*J_Q!* 0 2018:12:20:23:21:48 2018:12:20:23:21:48 root 2 "negator admin" trap filter event condition id 0x0a300013 trap filter event condition id 0x0a300015 resource threshold mem 94 dba-profile add profile-id 10 profile-name "UNLIM_500M" type3 assure 1024 max 512000 ont-srvprofile gpon profile-id 11 profile-name "hg8245" ont-port pots 2 eth adaptive port vlan eth 1 translation 42 user-vlan 42 port vlan eth 2 translation 42 user-vlan 42 port vlan eth 3 translation 42 user-vlan 42 port vlan eth 4 translation 42 user-vlan 42 port vlan iphost translation 42 user-vlan 42 commit ont-lineprofile gpon profile-id 100 profile-name "Line_GPON" tcont 4 dba-profile-id 10 gem add 11 eth tcont 4 gem mapping 11 1 vlan 42 commit quit # [device-config] <device-config> board add 0/0 H807GPBH board add 0/4 H801MPWC board add standby sub0 CPCB # [public-config] <public-config> timezone GMT+ 03:00 snmp-agent local-engineid 800007DB035C546D52DCC06A snmp-agent community read %*G:/FOJ_[54Z]ZD-2$`)!Q!!B#A8&)VAB']]F;U$19'2_1!!% snmp-agent sys-info location Office_TEST # [vlan-config] <vlan-config> vlan 42 smart vlan 1000 smart vlan desc 42 description "users" vlan desc 1000 description "manag" port vlan 42 0/2 0 port vlan 1000 0/2 0 # [mcu] <mcu-0/2> interface mcu 0/2 speed 0 1000 speed 1 1000 speed 2 1000 speed 3 1000 # [gpon] <gpon-0/0> interface gpon 0/0 port 0 ont-auto-find enable port 1 ont-auto-find enable ont add 1 1 sn-auth "48575443784FCC3F" omci ont-lineprofile-id 100 ont-srvprofile-id 11 desc "(HUAWEI_white)" ont add 1 2 sn-auth "48575443942AC705" omci ont-lineprofile-id 100 ont-srvprofile-id 11 desc "(Huawei_black)" # [emu-config] <emu-config> emu add 0 fan 0 1 "H831FCBB" # [fan] <fan-0> interface emu 0 fan speed mode auto emu # [bbs-config] <bbs-config> service-port 1 vlan 42 gpon 0/0/1 ont 1 gemport 11 multi-service user-vlan 42 tag-transform translate service-port 2 vlan 42 gpon 0/0/1 ont 2 gemport 11 multi-service user-vlan 42 tag-transform translate # [abs-config] <abs-config> ring check enable ring check resume-interval 30 # [security-config] <security-config> security anti-macduplicate enable # [dhcp-config] <dhcp-config> dhcp mode layer-3 standard dhcp proxy enable dhcp option82 enable # [config] <config> security anti-ipattack enable security anti-icmpattack enable mpls label start 8192 # [dhcp] <dhcp> dhcp-server 0 ip 10.40.4.10 dhcp relay-interface src-ip send dhcp relay-interface relay-agent send # [prevlanif] <prevlanif> interface vlanif42 interface vlanif1000 # [vlanif] <vlanif42> interface vlanif42 dhcp-server 0 # <vlanif1000> interface vlanif1000 ip address 10.40.4.21 255.255.255.0 dhcp-server 0 # [meth] <meth0> interface meth0 ip address 10.11.104.2 255.255.255.0 # [null] <null0> interface null0 # [aaa] <aaa> aaa authentication-scheme "default" # authorization-scheme "default" # accounting-scheme "default" # domain "default" # [post-system] <post-system> ip route-static 0.0.0.0 0.0.0.0 10.40.4.1 ntp-service unicast-server 10.40.4.10 ssh user negator authentication-type password # return

По моему вы все страшно далеки от народа. Пару тезисов: 1. Качество доступа в Интернет давно уже у всех приемлимое. И у физиков и у юриков. Именно приемлимое. Ну не работает пару тройку часов в месяц - большинству похрен. Оборудование и каналы связи это вполне позволяют. Построить оптическую звезду с парой Упсов на узлах несложно. Интернет есть и ладно. Платить больше за качество будут редкие личности/конторы. К ним свой подход, иногда проще не связываться. При этом если падает каждый день - причина поменять провайдера. Те у кого падает каждый день давно уже благополучно отмерли. 2. Физики меняют оператора по 2 причинам: -переезд (кстати переездов реально много) - не устраивает качество. При смене оператора обычно выбирают самого дешевого. Почему? См. п.1. Тут важно попасть в нужный момент в голову абоненту - будь это звонок вовремя или реклама в подьезде или советы друзей. Заниматься активными продажами физикам - спорное решение. С юрлицами все гораздо сложнее и зависит от их местоположения. 2. Клиенту обычно не нужны никакие доп. услуги. Зачем? Условный манготелеком сделает телефонию лучше и дешевле оператора. Видеонаблюдение тоже уже обычно есть и подключено куда то, нужно порты на роутере пробросить и т.д. Исключение составляют новые клиенты. Если клиент только въехал/начал деятельность - тут ему можно что либо продать. И это нужно делать. При этом остается еще довольно много клиентов, которые сидят где то за городом в чистом поле без интернета вообще(не считая мобильного) - вот этот сегмент еще вполне живой. И активные продажи в нем вполне приносят прибыль.

Что бы не родило - это приведет к росту затрат операторов. Вам действительно важно что покупать? Будет оно анализировать трафик на лету, хранить его, или вообще будет площадкой для игры майора в марио - вообще неважно. Придумают очередную железку, обзовут ее очередным комплексом и обяжут поставить. Вопрос только в цене этой самой железки. А результат от всего этого - пшик.

Поймите простой факт - мешанина байтов товарищу майору не нужна. Ему нужны факты кто куда ходил, какие картинки постил и сами тексты с картинками. Если по запросу вы ему в ответ выдадите мешанину байтов - будь она хоть реальным трафиком https, хоть из /dev/random - это ему ничем не поможет. Рано или поздно до этого дойдут и законодатели. И тогда они уже уберут требование хранить весь трафик. Тогда заставят купить очередные железки, которые будут выполнять роль либо анализаторов трафика, либо будут еще какие закономерности отслеживать. Это не важно в конце концов. Важно лишь то, что за эти железки заставят заплатить операторов. Я думаю что ОПСОС-ы и прочий крупняк давно об этом догадываются, поэтому в этом году даже в бюджет ничего не заложили - рановато еще.

Мне вот другое интересно. Если весь трафик шифрованный кто мне мешает на запрос от товарища майора налить рандомных байтов в ответ? Пусть пробуют расшифровать.

А зачем отключать то? Вот представляю как мне приходит бумага из фсб- отключить от интернета Васю Иванова с улица Шишкина д.19 как 999. Ну погашу я ему порт и толку? Его там нет давно. А реальные террористы пойдут и подцепят халявный вайфай у другого человека, или вообще на пару телефонную в соседнем подъезде сядут.

И часто вы выясняете у физиков подобные вещи- заняться нечем?

Есть Mikrotik CCR1036-8G-2S+EM Кто нибудь пробовал NAT на нем? Реально ли отнатить пару гигабит дуплекса на нем? Кроме ната не будет ничего. Обычный абонентский нат для хомячков.

Добрый день. В текущей Cisco Catalyst 4948E нехватает 10 гигабитных портов. Мало нам 4 порта. Всем остальным железка полностью устраивает. Задача - сбор линков с локалки, интерфейсы для BRAS-ов и прочее. Трафика немного - около 5-6 Гиг фулл дуплекса. Нужен L3 коммутатор: -минимум 8 10G портов SFP+ -минимум 24 медных гигабитов. -надежный, лучше всего с 2 БП -хорошие буферы для портов -L3 (немного, локальный трафик и прочие мелочи, никакого BGP не будет) -Нужно иметь возможность отмиррорить несколько портов, в том числе и 10G -нормальная работа с мультикастом. - не ущербный в плане поддержки VLAN Вроде все. Ну и как водится не сильно дорогой, Короче нужна замена надежному как танк 4948E, нехватает десяток