Prototype-X

Два свитча ECS-3510 и ECS4510-28F соединены двумя линками, через каналы L2 арендованые у двух разных операторов. Через одного оператора RSTP видит соседний бридж и происходит выбор ROOT, через другого оператора каждый бридж сам себе ROOT. Это если линки по одному включены в один момент времени, если оба включены петля получается.Вопрос как подебажить данную ситуацию? Так и не нашел как посмотреть статистику по принятым переданным bpdu на порту или в режиме отладки посмотреть что прилетает на свитч.Оператор через которого видимо не ходят bpdu клянется что не в них дело, что они нам предоставляют SP vlan QinQ и там bpdu не дропаются.

Сначала: sudo apt install tftpd-hpa tftp-hpa Правим настройки tftp сервера /etc/default/tftpd-hpa TFTP_USERNAME="tftp" TFTP_ADDRESS=":69" TFTP_OPTIONS="--secure --create --listen --verbose" Перезапускаем tftp сервер service tftpd-hpa restart, можно через модную systemd: systemctl restart tftp.... Из командной строки коммутатора, что то вроде: upload cfg_toTFTP ...бла...бла...бла... apt install snmp Dlink snmp get config

Не все могут себе такое позволить. Делитесь, исходники в студию :)

ExaBGP не умеет BFD. Можно посмотреть еще в сторону PFsense и VyOS, но там тоже нет BFD. BFD есть у Mikrotik CHR, но он платный и там нет синхронизация таблицы соединений, так что придется рассматривать варианты где трафик будет идти симметрично. Вместо BFD можно поиграться с интервалами BGP keepalive и hold, например keepalive = 1с, hold = 3с Скорее всего можно мониторить логи Bird на событие что bgp пир отвалился и дергать CARP. В общем писать свои велосипеды и костыли. использование препендов не дает никаких гарантий что трафик не будет приходить из мира на резервный роутер.

Поднимать на каждом сервере с сервисом ibgp, это слишком. Вариант с CARP(VRRP) для внешних сервисов не рассматривали, получается тоже что и для внутренних сервисов, только без NAT. Нужны будут скрипты что бы если отвалилось ebgp одного из провайдеров, CARP(VRRP) переключил master на живого ISP. Еще один нюанс трафик из LAN -> WAN будет идти через master с активным виртуальным ip, обратно же трафик WAN -> LAN будет идти от обоих роутеров, так как Вы анонсируете сеть двум операторам, т.е. часть пакетов будет приходить в LAN не только с master роутера но и с slave, по идее синхронизация таблицы соединений поможет (pfsync) решает такую проблему. Второй вариант поднять на каждом роутере EBGP к ISP1 и ISP2 и анонсировать сеть PA /24 только с CARP master роутера, при переключении убирать анонс сети и начинать анонсировать сеть на новом master роутере. Таким образом трафик в обе стороны будет ходить симметрично, через один роутер. Третий вариант попробовать vSRX от Juniper, это будет стоить денег. Соберете кластер из двух vSRX.

Находил на github модули к rancid для бэкапа dlink, а вообще rancid древний как говно мамонта. На смену ему давно пришел oxidized написанный смузихлебами, вейперами и хипстерами на Ruby, бесплатный с открытыми исходниками.

Написал на Python свой сборщик CCND, как раз умеет d-link и mikrotik, немного cisco. Описания правда нет, поправлю, есть примеры конфигов. Можно сказать это бета версия. Что умеет: настройки хостов и их параметров хранятся в YAML формате запускается в 32 процесса, можно и больше, за счет этого бекапит сотню железок за минуту. пока умеет хранить конфиги в файловой системе в виде date-time.tar.gz, в git пока не умеет добавление новой железки для бекапа, делается по шаблону, нужны не большие знания python На счет Zabbix интересная идея, по API можно получить всю информацию о хосте, но в Zabbix нет данных о типе подключения к хосту telnet/ssh/snmp, как забрать конфиг tftp/ftp/terminal output

И как работает? Выплыли какие-нибудь косяки? На весь трафик смотрит или только на исходящий? Сейчас рассматриваем что-нибудь из готовых решений. Ecofilter стоит от пол ляма и выше. Если бюджет ограничен то смотрите в сторону СКАТ DPI, если только требования ркн выполнять, лицензия на софт меньше ста тысяч (Entry) + ваш сервер с intel сетевыми картами. Для эффективной блокировки DPI ставят в разрыв (DPI как L2 бридж) или зеркалируют трафик на него.

Тут tuned-adm под Ubuntu https://github.com/Burstaholic/tuned-ubuntu Тут описание профилей tuned-adm: latency-performance и прочих https://wiki.mikejung.biz/CentOS_7 Самое простое использовать ядро в Ubuntu lowlatency kernel вместо generic https://help.ubuntu.com/community/UbuntuStudio/RealTimeKernel

1. Логинитесь сюда https://portal.rfc-revizor.ru 2. Проверяете что ваш агент активен: Выбираете в меню слева "Мои агенты" -> статус агента -> Активен. Последний IP: 1.1.1.1. В сети. 3. Выбираете в меню слева "Мои отчеты по качеству блокировок" -> подать запрос -> выбираете дату отчета 4. Идете на перекур/ковыряетесь в носу/откидываетесь в кресле. 5. Обновляете страничку появляется ссылка на скачивание отчета 6. Profit! DNSSEC сделает это бессмысленным, и скорее всего достаточно скоро. Следуя этой логике системы а ля tor делают всю Вашу систему фильтрации бессмысленой и уже сейчас. ;) Кстати не нужно перенаправлять DNS, ревизор использует dns провайдера. У меня DNS фильтрация https ссылок плюс nfqfilter даёт хороший результат. Хороший это как? Сколько не заблокированных URL?

Проверяли эффективность блокировки ревизором? Использовать BGP что бы заворачивать трафик по IP на nfqfilter, будет не очень эффективно, сейчас если использовать фильтрацию по IP из реестра, не заблокированными остаются сотни URL и у Роскомнадзора возникают вопросы к оператору, использование дополнительно резолвинга доменных имен повышает эффективность, но недостаточно, многие сайты используют CloudFare c их сетью CDN, ip адреса сайтов быстро меняются. Самыми эффективными способами фильтрации с точки зрения Ревизора по убыванию: 1. Установка системы фильтрации в разрыв, где система фильтрации подключена как L2 бридж. Результат близится к 100% (наверно у nfqfilter будет аналогичный результат, если заворачивать весь трафик абонентов) 2. Зеркалирование всего трафика на систему фильтрации, чуть менее эффективно первого варианта (extFilter) 3. Грубая фильтрация трафика по IP с дальнейшим перенаправлением для более точной фильтрации в систему фильтрации. Результат более 95% - высокая вероятность штрафа от РКН. Есть еще вариант с перехватом всех DNS запросов клиентов и перенаправление на свои DNS сервера, хз какой результат.

1. Регаешься тут: https://portal.rfc-revizor.ru " 2. оформляешь заявку на ревизор(ы), насколько знаю аппаратные агенты уже кончились, получишь VM 3. устанавливаешь агента 4. в портале подаешь запрос на отчет В принципе можно не делать отчет. Если все плохо куратор из Роскомнадзора позвонит контактному лицу в Вашей компании, с предупреждением.

Приветствую. Подскажите какова эффективность блокировки с помощью extfilter и nfqfilter? Сколько URL не блокируется?