Перейти к содержимому
Калькуляторы

tonny_bennet

Пользователи
  • Публикации

    28
  • Зарегистрирован

  • Посещение

О tonny_bennet

  • Звание
    Абитуриент
  1. Здравствуйте. Есть RB1100ahx2. Внешнего USB порта у него нет, а он очень нужен. Внутри рядом с Serial портом на плате есть какая-то двойная гребёнка с 10 штырьками обозначений рядом нет. Есть ли у этой аппаратной ревизии USB порт? Если есть, подскажите где его искать?
  2. Здравствуйте. Есть два офиса (А и Б). В каждом офисе есть по одному подключению к интернету, на МТ настроен NAT и все спокойно ходят в интернет. Потом кто-то решает объединить эти два офиса между собой и строит самый простой GRE туннель, настраивает маршрутизацию, и запускает между офисами VoIP по протоколу IAX2, RDP, и прочие радости. Всё было бы хорошо, но каналы не резиновые, а запросы у пользователей безграничные и в итоге голос начинает "лагать и заикаться", RDP подтупливать. Что делать товарищи? По каким принципам строить очереди и назначать приоритеты? Ведь по сути, канал в интернет в офисе можно занять не только GRE трафиком, но и чем-нибудь пользовательским. Просто кто-то начал что-то качать и занял весь канал, не оставив место для GRE. Если GRE отдать фиксированную полосу пропускания, то мне кажется внутри этой "трубы" можно задавить голос, или когда она будет пустая, пользовательский трафик будет неэффективно канал занимать? Получается будет правильным отдать приоритет GRE на внешнем интерфейсе смотрящем в интернет, а внутри туннеля отдать приоритет, IAX2, RDP, и остальным по мере надобности. Не указывая границ полосы пропускания? Подскажите пожалуйста как быть и что делать? и если это возможно опираясь на MikroTik и RouterOS.
  3. простите не понял о чём речь
  4. Небольшое уточнение: В настройках Proposals я выбрал Auth. Algorithms sha256 и Encr.Algorithms aes256cbc, но вот ещё в настройках каждого пира есть Hash Algorithms и Encryption Algorithms. Что тут выбрать? К слову набор похожий, нехватает cbc,ctr,gcm и т.д.
  5. Спасибо. Попробую изменить и посмотреть на производительность. У меня набор из 1100AHx2, есть пара 2011UiAS-2HnD и пара CCR1009-8G-1S <режим_паники> Ооо нет, они знают мой секрет, и мои адреса!!! Ооо... неет! Срочно всё менять!! Пароли, явки, адреса!!! </режим_паники> P.S. И пароли и адреса заменены на вымышленные, любые совпадения считать случайными ;)
  6. Россия, RDP c сеансами 1C, голос по IAX2, файлы по SMB, печать на сетевые принтеры, 1С в режиме тонкого клиента и может что-то ещё, что быстро не вспомню не понял о каком юридическом статусе идёт речь, но у нас просто ООО, которое занимается оптовыми продажами. Понятно что сойдёт, но если к слову у меня сертификат меняется раз в сутки, а современные методы позволяют его расшифровать за час - то наверное стоит, что-нибудь изменить в настройках.
  7. Здравствуйте. Есть несколько сетей, связанных между собой при помощи GRE туннелей. Настроено IPSec шифрование в транспортном режиме. Всё работает. Возникает вопрос, какие параметры для IPSec выбрать чтобы сбалансировать безопасность и производительность? Я не паникёр и не считаю, что всё поголовно перехватывается и дешифруется, но на всякий случай шифрую трафик, передаваемый по открытым сетям. Понимаю, что срок подбора пароля/ключа/сертификата должен быть гораздо больше времени его жизни, но к сожалению не представляю как именно это всё рассчитать. Туннели построены на MikroTik. Вот настройки одного из пиров. > ip ipsec proposal print 1 name="static_tunnels" auth-algorithms=md5 enc-algorithms=3des lifetime=30m pfs-group=none > ip ipsec peer print 0 ;;; host1 address=5.55.55.164/32 local-address=:: passive=no port=500 auth-method=pre-shared-key secret="7QVwjWVqChwwds0B5mhT" generate-policy=no policy-template-group=default exchange-mode=main send-initial-contact=yes nat-traversal=no proposal-check=obey hash-algorithm=md5 enc-algorithm=3des dh-group=modp1024 lifetime=1d lifebytes=0 dpd-interval=2m dpd-maximum-failures=5 > ip ipsec policy print 1 ;;; host0 - host1 src-address=18.10.0.238/32 src-port=any dst-address=5.55.55.164/32 dst-port=any protocol=gre action=encrypt level=require ipsec-protocols=esp tunnel=no sa-src-address=18.10.0.238 sa-dst-address=5.55.55.164 proposal=static_tunnels priority=0 Подскажите стоит ли что-то менять, и если стоит то что?
  8. LACP Win2012R2 + LACP D-Link

    Разобрался. Логика работы LACP агрегации в большинстве своём лежит на механизме, а именно на алгоритме балансировки. У меня стоит MAC адрес источника и MAC адрес приёмника. Получается, при установке соединения между двумя серверами, пара МАС источник и МАС приёмник одна и та же и коммутатор такое соединение запихивает в один физический порт, который больше гигабита не вывезет. Если параллельно запустить соединение с другого сервера, то пара МАС источник и МАС приёмник будет другая, и коммутатор поместит соединение в другой физический порт. И получится, что сервер будет утилизировать более одного физического порта. Мне удалось с двух разных серверов загрузить канал на Rx: 1.8 Гбит/с Tx: 1.6 Гбит/с
  9. LACP Win2012R2 + LACP D-Link

    Убрал Планировщик пакетов QoS в списке протоколов на LACP интерфейсах серверов. Добился устойчивого 1Гбит/с в каждую сторону. >iperf.exe -c 10.0.17.19 -d ------------------------------------------------------------ Server listening on TCP port 5001 TCP window size: 64.0 KByte (default) ------------------------------------------------------------ ------------------------------------------------------------ Client connecting to 10.0.17.19, TCP port 5001 TCP window size: 64.0 KByte (default) ------------------------------------------------------------ [280] local 10.0.17.10 port 51882 connected with 10.0.17.19 port 5001 [300] local 10.0.17.10 port 5001 connected with 10.0.17.19 port 49771 [ ID] Interval Transfer Bandwidth [300] 0.0-10.0 sec 956 MBytes 800 Mbits/sec [280] 0.0-10.0 sec 1.09 GBytes 933 Mbits/sec Но он, получается, либо через один интерфейс только отправляет, а через второй только получает данные. Или вовсе используется только один интерфейс. Проверил с двумя аналогичными серверами в пределах одной фермы - ситуация такая же.
  10. LACP Win2012R2 + LACP D-Link

    Собрал группу средствами драйвера. Скорость сети по iperf не изменилась, скорость при копировании по сети SMB упала с 50МБ/с до 2 МБ/с. Пересобрал средствами системы - скорость поднялась до 55 МБ/с. Какие ещё будут предложения?
  11. LACP Win2012R2 + LACP D-Link

    По идее встроенные сетевые от Intel умеют делать агрегацию при помощи драйвера, единственное что у меня есть горький опыт: сетевые выпадали по очереди из группы, причин так и не нашёл - съехал на группы на базе ОС. Попробую снова перейти на агрегацию на уровне драйвера.
  12. Здравствуйте. Есть сервер под Win2012R2 на базе МП Supermicro X10DRi, собрана агрегация в ОС из двух встроенных сетевых карт. Подключена в серверную ферму стек D-Link DGS-3420-28TC. В разные юниты, порты в LACP группе. Ферма подключена к ядру сети стек D-Link DGS-3620-28TC. В разные юниты, порты в LACP группе. Ядро сети подключено к другой ферме стек D-Link DGS-3120-24PC + DGS-3120-24TC. В разные юниты, порты в LACP группе. К ферме подключен сервер под Win2012R2 МП Supermicro X10DRi,собрана агрегация в ОС из двух встроенных сетевых карт. Если коротко, два одинаковых сервера подключены через набор коммутаторов агрегированными каналами. Всё в одном vlan. Агрегация собрана, подключена, на коммутаторах все порты в статусе Active. на коммутаторах алгоритм MAC SourceDestinaton, а на Win2012R2 режим балансировки динамический. Хочется скорость в 2Гбит/с между серверами. Получается реально 0.5 - 1 Гбит/с. Подскажите в чём может быть проблема?
  13. Здравствуйте. Развернул ядро сети на базе стека из пары DGS-3620-28TC. Всё бы хорошо, но вот не могу понять логику работы ACL, привык к iptables в Linux (ну и MikroTik её переняла). Есть несколько интерфейсов в разных VLAN. К примеру vlan9 с адресом 10.0.17.129/25 - шлюз для гостевой wi-fi сети. По задумке все устройства в VLAN c ID 9 должны иметь доступ только в интернет к локальному почтовому серверу и DNS серверу. На MT это делается буквально в несколько строк: 2 ;;; acl for Guest-Wi-Fi net chain=forward action=accept src-address=10.0.17.128/25 dst-address=!10.0.0.0/8 in-interface=bridge-vlan9-guest-wi-fi 3 chain=forward action=accept protocol=tcp src-address=10.0.17.128/25 dst-address=10.0.0.5 in-interface=bridge-vlan9-guest-wi-fi port=80,25,465,143,993,53,123,5222 4 chain=forward action=accept protocol=udp src-address=10.0.17.128/25 dst-address=10.0.0.5 in-interface=bridge-vlan9-guest-wi-fi port=80,25,465,143,993,53,123,5222 5 chain=forward action=reject reject-with=icmp-admin-prohibited src-address=10.0.17.128/25 in-interface=bridge-vlan9-guest-wi-fi А как аналогичную схему сделать на D-Link пока понять не могу. Если есть адекватные мануалы о том как у D-Link работает эта система? Или может кто-то на пальцах сможет рассказать как это всё функционирует? А то там 6 профилей, в которых вроде бы задаётся один фильтр, а внутри ещё 256 правил, в которых фильтра нет но начинают работать действия. Пожалуйста помогите разобраться.
  14. Виртуальный интерфейс для OSPF

    Что-то не нашёл упоминаний о этом типе интерфейсов. Можете дать ссылку на статью/пример/мнуал?
  15. Виртуальный интерфейс для OSPF

    Вот снова я вернулся к этому вопросу т.к. до конца не определился. Командой ip addr add 192.168.0.1/30 dev lo можно повесить на интерфейс любой адрес. И у меня это удалось сделать. Я не самый опытный пользователь Ubuntu Server (да и Linux в целом) и я все настройки сетевых интерфейсов прописывал в /etc/network/interfaces, дабы при перезапуске адрес не пропадал. Так вот я не могу понять как мне тут сконфигурировать адрес с префиксом /32 и привязанного к lo интерфейсу. Подскажите пожалуйста.