snark

http://forum.bitel.ru/viewtopic.php?p=89280#p89280

На тарифах в 64к их могут быть тысячи, а вот на тарифах в 10++ Мбит "все не так однозначно"(с).

Купить какой-нить DFL-260E и прикрыть jеппу его сертификатом ФСТЭК или не взлетит?

stunnel openssl м?

Я слишком часто слышал эту фразу, чтобы не усвоить одно - "сегодня" нужны только VLAN, "завтра" будут нужны ACL, а "послезавтра" будет нужно еще что-то ... Хорошенько обдумайте что именно вам нужно, хотя бы, "завтра" и посмотрите на тему, указанную нашим уважаемым Butch3r.

За цену этого свича с модулями, скорее всего, можно взять DGS-3100-24TG в котором будет больше оптических портов. Не могу не согласиться с предыдущими ораторами, которые рекомендуют DGS-3120-24SC - он значительно лучше всех указанных выше свичей и особенно пригодится, когда вам захочется странного, например Q-in-Q. Проще говоря: DGS-3100-24TG - дешево и сердито. DGS-3120-24SC - не очень дешево, но очень сердито.

max-reserved-bandwidth м?

Он и не должен. В Cisco Service Control URL Blacklisting Solution Guide только про HTTP и нет ни одного слова касательно HTTPS. Как вы себе представляете заглядывание SCE внутрь шифрованного пакета? HTTPS можно резать с помощью прокси сервера, где делать подмену сертификата, но в этом случае кол-во звонков в ТП на предмет ругательства браузеров запросто может быть пропорционально кол-ву килобит в портах вашей SCE :) В принципе можно попробовать получить для своей прокси хороший, годный сертификат, но я не вскрывал эту тему настолько глубоко. Капитан Очевидность, добро пожаловать, мы вас заждались :)

http://wiki.mikrotik.com/wiki/Hairpin_NAT

Заточенная под частое юзание ;) Не помню точно (в доку лень лезть) но вроде бы там by default лизы нигде не хранятся, поэтому на 100500 устройств можно честно выдавать один и тот же адрес, т.к. состояние адреса не известно.

ip dhcp database nvram:dhcp.txt Дабы флешко не насиловать.

У меня от частого использования хрустальный шар помутнел, поэтому я этого в нем не увидел. Если говорить про access LAG, то там балансировка идет по PVC и если у вас всего один VLAN, то трафик пойдет только по одному порту.

У меня, а если судить по форуму - не только у меня, все нормально балансируется #sh conf link Building configuration... Current configuration: ! link-group uplink dot1q description uplink mac-address auto dot1q pvc 21 bind interface UPLINK CTX1 dot1q pvc 22 bind interface UPLINK CTX2 dot1q pvc 23 bind interface UPLINK CTX3 maximum-links 3 lacp active ! ! card carrier 2 mic 1 ge-2-port mic 2 ge-2-port port ethernet 2/1 encapsulation dot1q link-group uplink ! ! card carrier 2 mic 1 ge-2-port mic 2 ge-2-port port ethernet 2/2 encapsulation dot1q link-group uplink ! ! card carrier 2 mic 1 ge-2-port mic 2 ge-2-port port ethernet 2/3 encapsulation dot1q link-group uplink ! end

1. Выставляем "SNMP Version" в 1 2. Жмакаем "Create Graphs for this Host" 3. Опрашиваем свич на предмет интерфейсов 4. Ставим напротив нужных портов галочки и выбираем (sic!) "In/Out Bits (64-bit Counters)" 5. Выставляем "SNMP Version" в 2 6. ??? 7. ПРОФИТ! Опрашиваю несколько таких свичей раз в минуту со стандартным таймаутом - все пучком.

Тут этого обмена опытом можно не напрягаясь несколько тем найти с массой примеров под конкретное железо. Если уж сильно нужено, то вот пример закрытия портов указанных в Объединение в сеть домашних компьютеров, работающих под управлением разных версий Windows create access_profile ip tcp dst_port 0xffff profile_id 2 config access_profile profile_id 1 add access_id auto_assign ip tcp dst_port 139 port 1-28 deny config access_profile profile_id 1 add access_id auto_assign ip tcp dst_port 445 port 1-28 deny config access_profile profile_id 1 add access_id auto_assign ip tcp dst_port 2869 port 1-28 deny config access_profile profile_id 1 add access_id auto_assign ip tcp dst_port 3587 port 1-28 deny config access_profile profile_id 1 add access_id auto_assign ip tcp dst_port 5357 port 1-28 deny config access_profile profile_id 1 add access_id auto_assign ip tcp dst_port 5358 port 1-28 deny create access_profile ip udp dst_port 0xffff profile_id 2 config access_profile profile_id 2 add access_id auto_assign ip udp dst_port 67 port 1-24 permit config access_profile profile_id 2 add access_id auto_assign ip udp dst_port 68 port 1-28 deny config access_profile profile_id 2 add access_id auto_assign ip udp dst_port 137 port 1-28 deny config access_profile profile_id 2 add access_id auto_assign ip udp dst_port 138 port 1-28 deny config access_profile profile_id 2 add access_id auto_assign ip udp dst_port 1900 port 1-28 deny config access_profile profile_id 2 add access_id auto_assign ip udp dst_port 3540 port 1-28 deny config access_profile profile_id 2 add access_id auto_assign ip udp dst_port 3702 port 1-28 deny config access_profile profile_id 2 add access_id auto_assign ip udp dst_port 5355 port 1-28 deny

SE = 100 - нет. SE > 100 (SE600 и т.д.) - умеет, но только со спец платой в которую влазит совсем не много URL.

Посмотрите здесь, возможно это то, что вы ищите.

Нет. Представьте, что человек годами использовался РРРоЕ и решил перейти к IPоЕ. Представьте, что он не хочет сломать текущую модель предоставления услуг для всех своих пользователей и плавно переходить от РРРоЕ к IPoE. Представили? Теперь понимаете, что РРРоЕ в Q-in-Q вполне имеет право на жизнь?

ifHCInOctets

Что именно, кроме зуда в 5-й точке, заставлет пользоваться супер-дупер новыми версиями? Попробуйте поставить что-то древнее как г-но мамонта и, возможно, ваша проблема исчезнет (-:

Перебирайте IOS-ы, возможно ваша проблема в какой-то версии не проявится, как это было, например, здесь.

На DES-3526, DES-3028, DES-1228 точно работает (проверено годами юзанья), на DES-1210-28/ME/В2, походу, тоже (сислог молчит, но на этих свичах и абонов мало). Дело в том, что лупдетект, стп и мультикаст (возможно еще что-то, но не уверен) - это тот функционал свича, на который не стоит тратить ACL, т.к. это бесполезно - оно тупо идет мимо. Если мультик еще как-то можно прикрыть, то стп (лупдетек оттуда вырос, если помните) точно все пофигу, т.к. by design это жизненно необходимая для свича вещь (даже если оно тебе и не надо).

В этом правиле нет необходимости, т.к. лупдетект/стп не попадают под действие ACL. На DES-3526 можно не создавать "profile_id 17", а просто, вместо него, включить PPPoE Circuit Id Insertion: config pppoe circuit_id_insertion ports 1-24 state enable config pppoe circuit_id_insertion state enable Это создаст такой ACL: #sh acce p 1 Command: show access_profile profile_id 1 Access Profile Table Access Profile ID : 1 Type : Packet Content ================================================================================ Owner : PPPoE_Circuit_ID_Insertion Masks : Offset 16-31 : 0xffff0000 00000000 00000000 00000000 Access ID: 1 Mode: Owner : PPPoE_Circuit_ID_Insertion Port : 1 ---------------------------------------------------- Offset 16-31 : 0x88630000 00000000 00000000 00000000 На DES-3526 для чистого РРРоЕ я годами использовал такой конфиг (1-24 - клиенты, 26 - аплинк): # сегментация config traffic_segmentation 1-26 forward_list 26 config traffic_segmentation 26 forward_list 1-26 # loopback detection config loopdetect ports all state disable config loopdetect ports 1-24 state enabled enable loopdetect # PPPoE Circuit Id Insertion config pppoe circuit_id_insertion ports 1-26 state disable config pppoe circuit_id_insertion ports 1-24 state enable config pppoe circuit_id_insertion state enable # PPPoE (0x8863 разрешается в profile_id 1 который создается при включении PPPoE Circuit Id Insertion) create access_profile ethernet ethernet_type profile_id 2 config access_profile profile_id 2 add access_id auto_assign ethernet ethernet_type 0x8864 port 1-24 permit # DHCP (IP адрес выдается только чтобы венда сетевушку не гасила) create access_profile ip udp src_port_mask 0xffff dst_port_mask 0xffff profile_id 3 config access_profile profile_id 3 add access_id auto_assign ip udp src_port 68 dst_port 67 port 1-24 permit # deny all create access_profile ethernet source_mac 00-00-00-00-00-00 profile_id 4 config access_profile profile_id 4 add access_id auto_assign ethernet source_mac 00-00-00-00-00-00 port 1-24 deny Может кому пригодится.

Я бы использовал nginx + apache + mod_php. Почему? nginx-ом хорошо отдавать статику, т.е. всякие статические странички и прочие картинки, а вот mod_php, кто бы чего не говорил, все же более гибко настраивается. Адепты php-fpm, безусловно, меня освистают, но перед этим, надеюсь, расскажут смогут ли они быстро, "здесь и сейчас" изменять настройки так же легко, как это делается в .htaccess.

Не думаю, что кого-либо интересует торрент трафик, а вот ТСР 25, 80, 110, 443 и т.п. вполне себе интересны.