Serejka

На мастер-порт вешается. А вилан создаётся отдельно в интерфейсах? у меня как-то не было мастерпортов, все порты в каждом вилане были равнозначны, насколько я помню. Так же на мастер-порт вешается вилан, который будет на всех портах. В простейшем случае стоит рассматривать группу портов нужно рассматривать как неуправляшку, подключенную к мастер-порту. А вот в разделе Switch мы уже можем аппаратно зеркалировать порты, работать в виланами, проходящими через конкретный порт и т.д. Спасибо, будет время - попробую) та GLка в продакшене уже стоит, там в принципе все кроме менеджмент вилана стоят в бриджах на 2 порта, косяков от этого быть не должно.

На мастер-порт вешается. А вилан создаётся отдельно в интерфейсах? у меня как-то не было мастерпортов, все порты в каждом вилане были равнозначны, насколько я помню.

Хотелось бы увидеть возможность авторизации по ssh с использованием сертификатов. Дабы в автоматическом режиме собирать конфиги.

Свитч это сатанизм какой-то, как повесить менеджмент адрес для меня осталось загадкой.

Для теста радиоканала, после замены оборудования - есть необходимость воткнуть проводной роутер RB750GL дабы погонять bandwidth test. В текущей конфигурации на сайте стоит аплинк и 2 убнтшных сектора с некоторым зоопарком виланов, роутер должен стать между аплинком и секторами(банальным коммутатором). По привычке настроил бриджами вида. /interface bridge add name=bridge909 /interface vlan add interface=ether1 l2mtu=1594 name=vlan909_eth1 vlan-id=909 add interface=ether3 l2mtu=1594 name=vlan909_eth3 vlan-id=909 /interface bridge port add bridge=bridge909 interface=vlan909_eth1 add bridge=bridge909 interface=vlan909_eth3 После обновления до 6.27 заметил секцию Switch, которая вроде для этих дел и предназначена. Что за чудо секция Switch и что использовать предпочтительнее?

"Ооооочень задумчивый" это очень мягко сказано, много времени тратится там где это не нужно.

А как именно сносило? у нас есть пара /24 сеток с пптп, всё никак руки не доходят убить их возьни много, древнее это всё.

Для крепления используется что-то типа http://shop.nag.ru/catalog/00009.Besprovodnoe-oborudovanie/11928.Aksessuary/06150.RP-SMA-RP-SMA ? На наге короче найти не смог, может кто подскажет в личку где приобретает пигтейлы? у нас раньше таких вопросов не возникало, пользовались фирменными от убнт, и сейчас ими же крепим, а они не бесконечные.

Оно же помогало Connectorized + Sync Разница между Sync и обычным Connectorized судя по всему в том, что у обычного "имитация" радиатора из пластика. еще несколько отличий: - два банка флеш памяти - ram в два раза больше - гигабит езернет - немножко другой cpu Дмитрий, я имел в виду конструктивное исполнение, а не начинку. Разница в начинке крепить не мешает :)

Оно же помогало Connectorized + Sync Разница между Sync и обычным Connectorized судя по всему в том, что у обычного "имитация" радиатора из пластика.

Решил поделиться опытом, как помогаем подружиться имеющимся RocketDish-5G30 c Epmp1000 Connectorized На старой конструкции дишей была пластмассовая платформа для крепления рокетов(открученная лежит на фото) на её место устанавливаем самодельное крепление с петелькой для камбиума. Это пилотные крепления и отверстия центральные с ошибками, правильное место отмечено крестиком. А как подобные задачи решаете вы?

Взависимости от моделей настройки менеджмент интерфейса могут различаться. При первоначальной настройке закладывай себе бэкдор без тага в мэнэджменте.

Поделитесь опытом шейпинга. Почему-то совсем вилы. По вышеприведённой конфиге трафик маркируется в mangle forward, в обе стороны идёт по нужному пути, выпадает на ветку дерева соответствующую - шейпится нормально только в сторону аплоада от клиента, нисходящий к клиенту корректно не режется.

Память поменяна на заводские 4Gb - проблема осталась. Отвезли на узел, включили напрямую в экстрим, потери пропали сессий переведено 400+. Скорее всего на офисном линксисе начиналась проблема. Основной вопрос снят. В ближайшее время нужно вылизать схему и переводить абонентов на МТ. Дополнительный вопрос возникает, к тем кто познал МТ в продакшене, насколько корректна конфига выложенная выше. Может быть какой-то опыт по использованию железяк в подобных целях. Через какие радиус параметры шейпите вы? Рэйт лимит, аддресс лист или что-то другое?

Подниму немного тему, чтобы не затерялась. Сегодня в планах поставить микротик в ядро, на положенное ему место и проверить производительность, дабы полностью отсечь промежуточные коммутаторы.

Здесь вопрос в другом - до этого с чем работали? Если с цисками, длинками, линуксами и прочими подобными системами, то сложно будет переучиваться на микротиковское мышление. На микротике есть правило - чем проще, тем лучше. Поэтому покажите пример вашего конфига через експорт компакт. У микротика так же настраиваются буферы интерфейсов на портах, можно попробовать поставить там какие-то другие параметры, отличные от стандартных. И естественно прошивку нужно самую последнюю. Работаем с разнородным оборудованием и привычно что философия вендоров может различаться, под конкретную настройку мышление перестраивается, дальше остаются примеры, если в памяти стирается и заметки по ключевым моментам. Сейчас сессии держатся на паре тазиков, и вполне себе успешно. Один из них начал подзагибаться, решено было взять пару микротиков и поднять vrrp. С текущими темпами нужна не пара, а десятка полтора, поэтому хочется разобраться. Прикладываю общий вид конфига. Лишнее поубирал один экземпляр множественных записей оставлен для иллюстрации. /interface bridge add name=bridge1 /interface ethernet set [ find default-name=ether1 ] l2mtu=1590 set [ find default-name=ether2 ] l2mtu=1590 set [ find default-name=ether3 ] l2mtu=1590 set [ find default-name=ether4 ] l2mtu=1590 set [ find default-name=ether5 ] l2mtu=1590 set [ find default-name=ether6 ] l2mtu=1590 set [ find default-name=ether7 ] l2mtu=1590 set [ find default-name=ether8 ] l2mtu=1590 set [ find default-name=sfp-sfpplus1 ] l2mtu=1590 name=sfp-plus1 set [ find default-name=sfp-sfpplus2 ] l2mtu=1590 name=sfp-plus2 /interface vlan #Секция объявления вланов add interface=ether1 l2mtu=1586 name=vlan1 vlan-id=999 /ip firewall layer7-protocol #объявление l7 не используются пока add name=Skype regexp="^..\\x02............." add name=radmin regexp="^\\x01\\x01(\\x08\\x08|\\x1b\\x1b)\$" add name=rdp regexp="rdp\r\ \nrdpdr.*cliprdr.*rdpsnd" add name=http regexp="http/(0\\.9|1\\.0|1\\.1) [1-5][0-9][0-9]|post [\\x09-\\x0d -~]* http/[01]\\.[019]" add name=Jabber regexp="<stream:stream[\\x09-\\x0d ][ -~]*[\\x09-\\x0d ]xmlns=['\"]jabber" add name=GIF_FILE regexp=gif add name=PNG_FILE regexp=png /ip ipsec proposal set [ find default=yes ] enc-algorithms=3des /port set 0 name=serial0 set 1 name=serial1 /ppp profile #набор локальных профилей ppp, для соединений в обход биллинга. set 0 dns-server=,8.8.8.8 local-address=10.0.0.0 use-encryption=no add dns-server=194.54.152.35,8.8.8.8 local-address=10.0.0.0 name=vpn_10Mb rate-limit=10M/10M set 20 local-address=10.0.0.0 /queue type #полтора десятка очередей для ограничения скорости абонов add kind=pcq name=pcq_10M_up pcq-burst-rate=11M pcq-burst-threshold=10M pcq-burst-time=5s pcq-classifier=src-address pcq-rate=10M pcq-total-limit=64k add kind=pcq name=pcq_10M_down pcq-burst-rate=11M pcq-burst-threshold=10M pcq-burst-time=5s pcq-classifier=src-address pcq-rate=10M pcq-total-limit=64k /queue tree # полтора десятка лепестков, переваривающих очереди типа pcq_10M_up add name=Total_upload parent=global priority=1 queue=default add name=Total_download parent=global priority=1 queue=default add name=10M_up packet-mark=packets_shaped_10M_up parent=Total_upload priority=1 queue=pcq_10M_up add name=10M_down packet-mark=packets_shaped_10M_down parent=Total_download priority=1 queue=pcq_10M_down /snmp community add addresses= name= /interface pppoe-server server #десяток интерфейсов, вида add authentication=chap,mschap2 disabled=no interface=vlan1 max-mru=1492 max-mtu=1492 one-session-per-host=yes service-name=nas3 /interface pptp-server server set default-profile=default enabled=yes max-mru=1472 max-mtu=1472 /ip address #перечисление интерфейсов, например add address=172.28.1.3/24 interface=vlan1 network=172.28.1.0 /ip dns set allow-remote-requests=yes /ip dns static add address=192.168.88.1 name=router /ip firewall filter #стандартный фаер, админ доступ, связь с биллингом, форвард абонентских подсетей /ip firewall mangle # полторая десятка цепочек вида: add action=mark-packet chain=forward new-packet-mark=packets_shaped_10M_up passthrough=no src-address-list=10M add action=mark-packet chain=forward dst-address-list=10M new-packet-mark=packets_shaped_10M_down passthrough=no /ip firewall nat # 15 правил вида add action=masquerade chain=srcnat out-interface=Real_IP src-address= /ip proxy set cache-path=web-proxy1 /ip route add distance=1 gateway= /ppp aaa set interim-update=1m use-radius=yes /ppp secret #Секция выгружаемая скриптом для работы в обход биллинга, вида: add comment="Wed Feb 18 16:00:47 2015" disabled=yes local-address=10.0.0.0 name=name1 password=pass1 profile=vpn_2Mb remote-address=IP /radius add accounting-port=port address=address authentication-port=port secret=community service=ppp src-address=address timeout=10s /radius incoming set accept=yes /snmp set contact= enabled=yes location= trap-version=2 /system clock set time-zone-autodetect=no time-zone-name=Europe/Moscow /system identity set name= /system leds set 0 type=interface-speed set 2 type=interface-speed /system ntp client set enabled=yes primary-ntp=31.131.249.26 secondary-ntp= server-dns-names= /system routerboard settings set cpu-frequency=1200MHz memory-frequency=1066DDR /system upgrade upgrade-package-source add address=127.0.0.1 user=admin

И превращается в тыкву от малейшего чиха :) Попробуй выключить маркеры и очереди. У микротика всегда есть дропы на интерфейсах вланов, обычно это не влияет на его работу, и не заметно для клиентов. Проблема началась без маркеров и очередей. Отлов начался, когда было банально поднято 10 vlan, соответственно такое же число серверов pppoe (по 1 на подсеть), радиус авторизация, нат, снмп ридонли и всё. Шейпилось через simple queue

pptp даже не переключал. оттестирована работоспособность и всё. Валится на чистом pppoe.

А можно пример "правильно настроенного оборудования" , например в личку. Если нат снижает производительность в 2 раза, ладно, пусть так, но не до таких же низких значений. Сам понимаю, что должен жевать и текущая загрузка крайне низкая. Какая версия прошивки? И тоже поглядеть бы на секцию основных настроек. Типа маркировки/шейпинга/работы с очередями.

Разнёс клиентов по разным портам микротика. 120 сессий - норма, 0% потерь 200 сессий - 3% потерь

Взяли Mikrotik CCR1036-8G, на борту 16G ОЗУ установлены дилером. Задача держать pppoe/pptp, шейпить, натить. При ~400 сессиях, и скромном трафике до 100 Мбит, вылезают потери порядка 10% в клиентских VLAN, на аплинковом потерь 0 (загрузка ядер примерно на 18 из 36 показывает до 5%, отъедает всего 500 метров оперативки) Грешил на simple queue - правил много, мало ли что. Настроил схему маркировка- pcq шейперы - queue tree. Результата нет. Также страшили что МТ может себя некорректно вести(проблемы с IRQ), если клиенты и мир висят на одном порту. Разнёс - результата нет. Уменьшил число сессий до ~250 - потери остаются те же самые 10%, при ~85 потерь не было, порог начала само собой не отлавливал - клиенты голову оторвут. Пообщался со знакомым, жалуется на подобную проблему. Может быть кто-то встречал и борол эту проблему? Куда копать то. Смущает то что % дропов на 2х значениях нагрузки оказался одиннаковым. Прошивка 6.25 (апнулся до 6.27, ещё не перепроверял - но ченджлоги оптимизма не сулят) Есть костыльные идеи (типа давать МТ нетегированный трафик, поменять порт, разнести клиентскую нагрузку на отдельные порты), но всё это не интеллигентно.

А где собственно вложение? Ничего не вижу. Если входящие корректно работают, а исходящие некорректно - логично предположить что косяки с исходящей маршрутизацией. Там и копать.

Как это организовано у вас? Интересует "самое важное" и просто опыт. Например, есть 3 класса телефонов: а) попроще, пара доп клавиш б) посложнее, порядка 15 клавиш, переключение между ними через меню в) ппц какой-то. Директорский, 27 клавиш программных на самом дисплее, и ещё LCD панель расширения, где штук 60 ещё наверное..

Пробовал, доктор, не помогает.

винда читает таблицу маршрутизации снизу вверх, реинициализация основной сетёвки должна помогать, но это упирается в вилы что порвутся всякие там putty подключения и прочая. Так что предпочтительнее всё же статика.