tonny_bennet

Здравствуйте. Есть RB1100ahx2. Внешнего USB порта у него нет, а он очень нужен. Внутри рядом с Serial портом на плате есть какая-то двойная гребёнка с 10 штырьками обозначений рядом нет. Есть ли у этой аппаратной ревизии USB порт? Если есть, подскажите где его искать?

Здравствуйте. Есть два офиса (А и Б). В каждом офисе есть по одному подключению к интернету, на МТ настроен NAT и все спокойно ходят в интернет. Потом кто-то решает объединить эти два офиса между собой и строит самый простой GRE туннель, настраивает маршрутизацию, и запускает между офисами VoIP по протоколу IAX2, RDP, и прочие радости. Всё было бы хорошо, но каналы не резиновые, а запросы у пользователей безграничные и в итоге голос начинает "лагать и заикаться", RDP подтупливать. Что делать товарищи? По каким принципам строить очереди и назначать приоритеты? Ведь по сути, канал в интернет в офисе можно занять не только GRE трафиком, но и чем-нибудь пользовательским. Просто кто-то начал что-то качать и занял весь канал, не оставив место для GRE. Если GRE отдать фиксированную полосу пропускания, то мне кажется внутри этой "трубы" можно задавить голос, или когда она будет пустая, пользовательский трафик будет неэффективно канал занимать? Получается будет правильным отдать приоритет GRE на внешнем интерфейсе смотрящем в интернет, а внутри туннеля отдать приоритет, IAX2, RDP, и остальным по мере надобности. Не указывая границ полосы пропускания? Подскажите пожалуйста как быть и что делать? и если это возможно опираясь на MikroTik и RouterOS.

простите не понял о чём речь

Небольшое уточнение: В настройках Proposals я выбрал Auth. Algorithms sha256 и Encr.Algorithms aes256cbc, но вот ещё в настройках каждого пира есть Hash Algorithms и Encryption Algorithms. Что тут выбрать? К слову набор похожий, нехватает cbc,ctr,gcm и т.д.

Спасибо. Попробую изменить и посмотреть на производительность. У меня набор из 1100AHx2, есть пара 2011UiAS-2HnD и пара CCR1009-8G-1S <режим_паники> Ооо нет, они знают мой секрет, и мои адреса!!! Ооо... неет! Срочно всё менять!! Пароли, явки, адреса!!! </режим_паники> P.S. И пароли и адреса заменены на вымышленные, любые совпадения считать случайными ;)

Россия, RDP c сеансами 1C, голос по IAX2, файлы по SMB, печать на сетевые принтеры, 1С в режиме тонкого клиента и может что-то ещё, что быстро не вспомню не понял о каком юридическом статусе идёт речь, но у нас просто ООО, которое занимается оптовыми продажами. Понятно что сойдёт, но если к слову у меня сертификат меняется раз в сутки, а современные методы позволяют его расшифровать за час - то наверное стоит, что-нибудь изменить в настройках.

Здравствуйте. Есть несколько сетей, связанных между собой при помощи GRE туннелей. Настроено IPSec шифрование в транспортном режиме. Всё работает. Возникает вопрос, какие параметры для IPSec выбрать чтобы сбалансировать безопасность и производительность? Я не паникёр и не считаю, что всё поголовно перехватывается и дешифруется, но на всякий случай шифрую трафик, передаваемый по открытым сетям. Понимаю, что срок подбора пароля/ключа/сертификата должен быть гораздо больше времени его жизни, но к сожалению не представляю как именно это всё рассчитать. Туннели построены на MikroTik. Вот настройки одного из пиров. > ip ipsec proposal print 1 name="static_tunnels" auth-algorithms=md5 enc-algorithms=3des lifetime=30m pfs-group=none > ip ipsec peer print 0 ;;; host1 address=5.55.55.164/32 local-address=:: passive=no port=500 auth-method=pre-shared-key secret="7QVwjWVqChwwds0B5mhT" generate-policy=no policy-template-group=default exchange-mode=main send-initial-contact=yes nat-traversal=no proposal-check=obey hash-algorithm=md5 enc-algorithm=3des dh-group=modp1024 lifetime=1d lifebytes=0 dpd-interval=2m dpd-maximum-failures=5 > ip ipsec policy print 1 ;;; host0 - host1 src-address=18.10.0.238/32 src-port=any dst-address=5.55.55.164/32 dst-port=any protocol=gre action=encrypt level=require ipsec-protocols=esp tunnel=no sa-src-address=18.10.0.238 sa-dst-address=5.55.55.164 proposal=static_tunnels priority=0 Подскажите стоит ли что-то менять, и если стоит то что?

Разобрался. Логика работы LACP агрегации в большинстве своём лежит на механизме, а именно на алгоритме балансировки. У меня стоит MAC адрес источника и MAC адрес приёмника. Получается, при установке соединения между двумя серверами, пара МАС источник и МАС приёмник одна и та же и коммутатор такое соединение запихивает в один физический порт, который больше гигабита не вывезет. Если параллельно запустить соединение с другого сервера, то пара МАС источник и МАС приёмник будет другая, и коммутатор поместит соединение в другой физический порт. И получится, что сервер будет утилизировать более одного физического порта. Мне удалось с двух разных серверов загрузить канал на Rx: 1.8 Гбит/с Tx: 1.6 Гбит/с

Убрал Планировщик пакетов QoS в списке протоколов на LACP интерфейсах серверов. Добился устойчивого 1Гбит/с в каждую сторону. >iperf.exe -c 10.0.17.19 -d ------------------------------------------------------------ Server listening on TCP port 5001 TCP window size: 64.0 KByte (default) ------------------------------------------------------------ ------------------------------------------------------------ Client connecting to 10.0.17.19, TCP port 5001 TCP window size: 64.0 KByte (default) ------------------------------------------------------------ [280] local 10.0.17.10 port 51882 connected with 10.0.17.19 port 5001 [300] local 10.0.17.10 port 5001 connected with 10.0.17.19 port 49771 [ ID] Interval Transfer Bandwidth [300] 0.0-10.0 sec 956 MBytes 800 Mbits/sec [280] 0.0-10.0 sec 1.09 GBytes 933 Mbits/sec Но он, получается, либо через один интерфейс только отправляет, а через второй только получает данные. Или вовсе используется только один интерфейс. Проверил с двумя аналогичными серверами в пределах одной фермы - ситуация такая же.

Собрал группу средствами драйвера. Скорость сети по iperf не изменилась, скорость при копировании по сети SMB упала с 50МБ/с до 2 МБ/с. Пересобрал средствами системы - скорость поднялась до 55 МБ/с. Какие ещё будут предложения?

По идее встроенные сетевые от Intel умеют делать агрегацию при помощи драйвера, единственное что у меня есть горький опыт: сетевые выпадали по очереди из группы, причин так и не нашёл - съехал на группы на базе ОС. Попробую снова перейти на агрегацию на уровне драйвера.

Здравствуйте. Есть сервер под Win2012R2 на базе МП Supermicro X10DRi, собрана агрегация в ОС из двух встроенных сетевых карт. Подключена в серверную ферму стек D-Link DGS-3420-28TC. В разные юниты, порты в LACP группе. Ферма подключена к ядру сети стек D-Link DGS-3620-28TC. В разные юниты, порты в LACP группе. Ядро сети подключено к другой ферме стек D-Link DGS-3120-24PC + DGS-3120-24TC. В разные юниты, порты в LACP группе. К ферме подключен сервер под Win2012R2 МП Supermicro X10DRi,собрана агрегация в ОС из двух встроенных сетевых карт. Если коротко, два одинаковых сервера подключены через набор коммутаторов агрегированными каналами. Всё в одном vlan. Агрегация собрана, подключена, на коммутаторах все порты в статусе Active. на коммутаторах алгоритм MAC SourceDestinaton, а на Win2012R2 режим балансировки динамический. Хочется скорость в 2Гбит/с между серверами. Получается реально 0.5 - 1 Гбит/с. Подскажите в чём может быть проблема?

Здравствуйте. Развернул ядро сети на базе стека из пары DGS-3620-28TC. Всё бы хорошо, но вот не могу понять логику работы ACL, привык к iptables в Linux (ну и MikroTik её переняла). Есть несколько интерфейсов в разных VLAN. К примеру vlan9 с адресом 10.0.17.129/25 - шлюз для гостевой wi-fi сети. По задумке все устройства в VLAN c ID 9 должны иметь доступ только в интернет к локальному почтовому серверу и DNS серверу. На MT это делается буквально в несколько строк: 2 ;;; acl for Guest-Wi-Fi net chain=forward action=accept src-address=10.0.17.128/25 dst-address=!10.0.0.0/8 in-interface=bridge-vlan9-guest-wi-fi 3 chain=forward action=accept protocol=tcp src-address=10.0.17.128/25 dst-address=10.0.0.5 in-interface=bridge-vlan9-guest-wi-fi port=80,25,465,143,993,53,123,5222 4 chain=forward action=accept protocol=udp src-address=10.0.17.128/25 dst-address=10.0.0.5 in-interface=bridge-vlan9-guest-wi-fi port=80,25,465,143,993,53,123,5222 5 chain=forward action=reject reject-with=icmp-admin-prohibited src-address=10.0.17.128/25 in-interface=bridge-vlan9-guest-wi-fi А как аналогичную схему сделать на D-Link пока понять не могу. Если есть адекватные мануалы о том как у D-Link работает эта система? Или может кто-то на пальцах сможет рассказать как это всё функционирует? А то там 6 профилей, в которых вроде бы задаётся один фильтр, а внутри ещё 256 правил, в которых фильтра нет но начинают работать действия. Пожалуйста помогите разобраться.

Что-то не нашёл упоминаний о этом типе интерфейсов. Можете дать ссылку на статью/пример/мнуал?

Вот снова я вернулся к этому вопросу т.к. до конца не определился. Командой ip addr add 192.168.0.1/30 dev lo можно повесить на интерфейс любой адрес. И у меня это удалось сделать. Я не самый опытный пользователь Ubuntu Server (да и Linux в целом) и я все настройки сетевых интерфейсов прописывал в /etc/network/interfaces, дабы при перезапуске адрес не пропадал. Так вот я не могу понять как мне тут сконфигурировать адрес с префиксом /32 и привязанного к lo интерфейсу. Подскажите пожалуйста.

OKyHb, да у меня вроде тоже получилось. #ip addr add 192.168.0.1/30 dev lo # ip -4 a ls dev lo 1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default inet 127.0.0.1/8 scope host lo valid_lft forever preferred_lft forever inet 192.168.0.1/30 scope global lo valid_lft forever preferred_lft forever Но получается, что на lo вешается вся сеть - оба адреса и 192.168.0.1 и 192.168.0.2. И почему-то эта сеть не появляется в таблице маршрутизации. OSPF c таким интерфейсом соможет работать? (я пока не тестировал) Я пробовал создавать алиас lo:1 и вешать на него адрес 192.168.0.1. Пробовал пинговать его с соседнего компа 192.168.0.2 и он отвечал. Отвечал алиас lo интерфейса. Мне показалось это очень странным. Сделал tap0 интерфейс. Повесил на него адрес. Он и с соседнего компа не доступен и в таблице маршрутизации появился. Вроде то, что мне нужно.

Здравствуйте. Есть сервер на Debian-подобной ОС. У сервера один физический интерфейс, несколько GRE тунелей с адресацией 192.168.20.*/30. Сети GRE туннелей добавлены в OSPF область. Хочется поднять виртуальный интерфейс, никак не связанный с физическими, но доступный для объявления в OSPF. Чтобы до сервера всегда можно было достучаться по адресу этого интерфейса, даже если остался только один рабочий туннель. У CISCO на loopback можно вешать по несколько адресов, в Linux так сделать не получилось. Подскажите пожалуйста как решить проблему.

Здравствуйте. Собрал сервер. Вставил в него две сетевые карты: Intel Original EXPI9301CTBLK. Запихнул их в агрегацию LACP. Всё поднялось и во время тестов всё прекрасно работало. Перевели сервер в продакшн. Агрегация стала разваливаться. Одна, а затем и другая сетевая отключается. В диспетчере "Система Windows остановила это устройство, так как оно сообщило о возникновении неполадок. (Код 43)"; на порту коммутатора 10Мбит/с. Помогает перезапуск сетевой карты. Нагуглили статью на хабре с одной стороны радость, что это похоже на наш случай, с другой стороны непонятно как его решать. Перевели работу сервера на встроенные в материнку интерфейсы. Эти две запихнули в отдельный vlan. Решили попробовать намеренно положить его именно таким пакетом, дабы понять наш ли это случай. ссылка из статьи. Пока пробовали хоть что-то отправить сетевая отвалилась. Продолжаем пытаться понять в чём может быть проблема. Вопрос мой вот в чём. В статье всё красиво расписано, как искали и как нашли. Даже указано у какого производителя проблемы с прошивкой. А я так и не понял как эту проблему решить? Перешивать EEPROM? Помогите пожалуйста разобраться.

Да, я просто админ большой конторы с филиаллами и не очень большим бюджетом. Спасибо. Так и сделаю, вроде выше уже отписался. Пока не буду отказываться. В чём именно вы видите контроль доступа? Внутренние белые адреса сотрудникам ни к чему. В каждом офисе обязательно не только белый адрес, но и кабельный провайдер (пару раз нахлебался от беспроводных ISP). USB модемы не используем. Самый простой пример - телефония. В моей идеалогии она должна быть локальной в каждом офисе, дабы звонок между соседними комнатами не шёл через "Усть-Бобруйск". Соответсвенно звонки между филиалами не за чем пускать через центр, да и терминировать городские номера от провайдера проще локально. RB1100AHx2 на сайте стоит 349$. Если у меня 4 филиала по 2 канала в каждом это 2 792$. По сути весь функционал бордера с несколькими каналами он может держать один. Покупать лишние железки для получения физической отказоустойчивости - резонно, а для того чтобы просто включить в каждую свой канал, и упростить настройки каждого - я смысла не вижу.

Тут вопрос уже расходования ресурсов. Если будет 100 офисов я наверное перееду на Cisco и DMVPN или подобные Full Mesh VPN-решения. А так если мы гоним трафик в 10 мбит/с из офиса1 в офис2 через центральный офис, то получается что канал центрального офиса загружен на 20 мбит/с (10 туда и 10 обратно). А при наличии канала между офисом1 офисом2 мы экономим пропускную способность внешнего канала центального офиса. Дешевле поднять один туннель нежели увеличить расходы на канал в центральном офисе. У меня в нескольких офисах по два канала. Это два лишних правила в таблице маршрутизации. Два правила в правилах маршрутизации. Шесть правил в таблице mangle. - это всё настраивается 1 раз. Если хочу кого-то выпустить в сеть через определённый канал +1 правило в mangle. Сказать, что это неудобно не возьмусь, ибо всё достаточно прозрачно и понятно. Сказать, что это не пракично - тоже не факт, всё работает и дорабатывается без особых трудностей. А ради каждого канала покупать отдельную железку, может это и верно, но боюсь не под каждый бюджет подходит. P.S. Вы работаете у провайдера?

Тогда трафик между нецентральными офисами будет идти через центральный тразитом создавая ненужную нагрузку на канал и лишние задержки трафика. А почему нельзя в один маршрутизатор подключит сразу несколько каналов? Вопрос только в отказоустойчивости роутера? DMVPN (англ. Dynamic Multipoint Virtual Private Network — динамическая многоточечная виртуальная частная сеть) — технология для создания виртуальных частных сетей, разработанная Cisco Systems. Хм... не могу представить ситуации, в которой это может понадобиться. Тут, я думаю, стоит делать оговорки на трафик и количество клиентов. В моём случае, как мне кажется, хватит производительного ядра сети и одного пограничного маршрутизатора с натом, тунелями и прочими внешними делами.

Спасибо за уточнение. В этом видимо и кроется прична моей проблемы. В итоге тонкое место между свитчем и процессором. Посмотрел на диаграмму и прозрел. Скажите пожалуйста, 11 и 12 порты указаны как bypass group. С отдельным каналом до процессора в 1Gbit/s. В сети нет чёткого определения что это такое и для чего нужно. Может у форумчан будут догадки?

Посмотрел на порты, кторые в агрегации - вроде всё нормально. Потерь или ошибок на интерфейсе нет. Я где-то встречал что у RB есть разные порты, но там не так страшно что один отдаёт гигабит, а другой делает вид что отдаёт гигабит а сам отдаёт только 300 мбит/с.

Спасибо. От тазиков в таких задачах я решил отказываться. У меня сейчас четыре филиала, и у некоторых уже по несколько внешних каналов. Соответсвенно между двумя филиалами у меня четыре тунеля: isp1 - isp1, isp2 - isp2, isp1 - isp2, isp2 - isp1. При падении любого из интерфейсов у любого из провайдеров OSPF перестраивается быстро и ничего не отваливается т.к. все соединения уже есть. Я не параноик но в IpSec можно тончайшими нитями настраивать шифрование, хотя по-моему L2TP тоже профили IpSec использует. С L2TP нужно будет на каждой точке и сервер держать и клиентов и так же настраивать куда и как подключаться. Да согласен меньше проблем с адресацией тунельных интерфейсов в L2TP отдал пул и забыл, но мне кажется других заморочек там хватает. Пока сделано так, если что-то перестанет устраивать - переделаю :). Я просто думаю, если МТ может утилизировать 2 Гбит/с трафика через 2 порта средствами всего лишь маршрутизации (+/- тегирование VLAN), то может я как-нибудь просто выключу все правила. Выключу IpSec и прочее и просто проверю. Он по идее должен разогнаться? Или всё-таки не в этом дело?

Спасибо за рекомендацию. Попробую развернуть ядро на нём. Правда на D-Link-ах маршрутизацию поднимать не приходилось. У меня шифорованного трафика не больше чем величина внешних каналов (20-30Мбит/с). Вопрос скорее о "ядерной маршрутизации". Соглашусь с вами. Но эта железка была закуплена в замен "говнокомпу" который натил трафик и держал пару туннелей. А уже потом было принято решение попробовать развернуть на нём ядро сети. GRE-туннель не требует процедуры авторизации. IpSec прозрачно шифрует GRE пакеты. Поверх всего этого стройно разворачивается OSPF. site-to-site. Думаю, что в клиент-серверной модели L2TP это было бы не так просто. L2TP я использую для подключения сотрудников к офису (client-to-site) Поясните пожалуйста что в вашем понимании нормальный роутер?