crank

Мегафон тоже недавно предложил включить их защиту от DDoS. Сейчас решаем всё с помощью fastnetmon + blackhole community. Обещали дать потестировать. По результатам отпишусь.

Пик за вчера показал 7.40 Гбит из GGC, а 2.18 Гбит в GGC.

Я с вами полностью согласен, что эта железка не для бордера, но если нет возможности поставить под эту задачу что-то нормальное, то как вариант сойдёт. Из вами перечисленных проблем не спотыкался пока только о проблему с нехваткой памяти. Предполагаю, что это больше касается SE100. В рамках же этой темы тоже рекомендую циску или джун. Сейчас сам присматриваюсь на что лучше поменять наш бордер в виде SE600.

Ну это уже не так. Есть версия софта SEOS 12.1.1.12p15, в которой данный баг пофиксили. Не вводите, пожалуйста, других в заблуждение. У нас стоит SE600 на бордере. Были проблемы с апдейтами на предыдущих версиях. После обновления попросил аплинков снять фильтрацию всех анонсов к нам и всё прекрасно работает.

@alibek , а какой регион?

Анонсить можно только сеть целиком, а один адрес не получится. Статик роут с /32 маской вам не поможет, т.к. local интерфейс перекроет его и анонс не уйдёт. Из всего вышесказанного возможно взлетит такой вариант (сейчас нет под рукой железок, чтобы проверить). 1. Создаёте лупбэк 192.168.12.1 с маской 32 2. Вешаете этот лупбэк как unnumbered ip не нужный интерфейс 3. Прописываете нужную вам сеть через этот же интерфейс (к пример 192.168.12.0/24) 4. Анонсируете через eigrp connected маршрут лупбэка Но мне эта схема кажется костыльной и я бы не рекомендовал так делать.

@AleXX75RUS , отправил в личку.

Что-то у вас всё вперемешку. Давайте разбираться Если хотите рулить входящим трафиком, то: Нет никакой разницы принимаете вы Full View или только default. Важно только то, что и как вы анонсируете своим провайдерам. Чем вас не устраивает анонсирование одинаковых префиксов аплинкам? Напишите хотя бы какой канал у вас от каждого из них и сколько от каждого вы получаете, если проанонсируете только одну подсеть целиком обоим. Про исходящий трафик: Если вы от одного аплинка принимаете Full View, а от другого только default, то что ни делайте, но трафик в 99% случаях пойдёт через кто вам присылает Full View. Тут не помогут ни local preference, ни что другое кроме, разве что, pbr. Это очень даже влияет. Почитайте что делает эта системная переменная. Надо обязательно отключать на BGP роутере если у вас более одного аплинка. Их никто не режет, но более 3-5 практически не дают результата.

Создал пул реквест на гитхабе. Сделал внешний тег настраиваемым для sflow через конфиг. https://github.com/pavel-odintsov/fastnetmon/pull/736

Добрый день, Павел. Установили в своей сети fastnetmon и настроили сбор sflow. В ядре сети используем коммутаторы Extreme. Некоторые стыки у нас дотянуты по сети через QinQ и при этом в sflow прилетает пакет с двумя vlan, которые fastnetmon не умеет разбирать. Можете сделать функционал распаковки двойного vlan? Беглым взглядом по исходникам нашёл вот этот кусок в sflow_collector.cpp, который нужно исправить) void decode_link_layer(SFSample* sample) { ... if (type_len == 0x8100) { /* VLAN - next two bytes */ uint32_t vlanData = (ptr[0] << 8) + ptr[1]; uint32_t vlan = vlanData & 0x0fff; uint32_t priority = vlanData >> 13; ptr += 2; /* _____________________________________ */ /* | pri | c | vlan-id | */ /* ------------------------------------- */ /* [priority = 3bits] [Canonical Format Flag = 1bit] [vlan-id = 12 bits] */ // sf_log(sample,"decodedVLAN %u\n", vlan); // sf_log(sample,"decodedPriority %u\n", priority); sample->in_vlan = vlan; /* now get the type_len again (next two bytes) */ type_len = (ptr[0] << 8) + ptr[1]; ptr += 2; } ... }

Нарисуйте лучше схему. Если у вас в каждом филиале и главном офисе по одному микротику и больше никакого оборудования типа управляемых свичей нет, то не понятно совсем зачем вам vlan'ы. По VRRP. Он создаётся на интерфейсах той сети, для которой настраиваете резервирование. Скажем если у вас сеть 192.168.10.0/24, то адреса микротиков должны быть 2 и 3, а адрес интерфейса VRRP - 1. Если именно про маршрутизацию, то настройте лучше OSPF.

Получали подобные опросники от Мегафона и Ростелекома. Проигнорировали обоих.

Вопрос в догонку. Что можете сказать про вот эту железку - https://shop.nag.ru/catalog/02392.Cisco/11842.Nexus/11846.N5K-C5010P-BF

Подниму тему. Нужен 10G коммутатор в ЦОД для подключения хостов с виртуалками, c unicast TV и прочего серверного железа. По требованиям сейчас всё скромно: 16-24 порта будет достаточно, голый L2, обязательно с двумя БП. Присматриваемся к нексусам, конкретно к этой моделе - https://shop.nag.ru/catalog/02392.Cisco/11842.Nexus/14596.N3K-C3064PQ-10GE Ранее с нексусами не работали, поэтому хотелось бы узнать подводные камни, а именно: 1. Как обстоят дела с лицензиями. 2. Как обстоят дела с софтом. Можно ли найти и поставить новый софт без всяких проблем и приключений. 3. Всеядна ли железка по модулям 10G

На компьютерах только default (для VPC4 - 192.168.1.1).