NiTr0

весь уровень вашего "ынтырпрайза" :рукалицо: пичаль для пионеров в том, что "ограничить диапазоны ип" (если в настройках сервиса, как это обычно пионеры делают, а не в файрволе белые списки крутить) нихрена не поможет :) ну недоделали индусы, бывает - на то оно и сохо :) :рукалицо: опять влажные фантазии пионеров, которые видели энтерпрайз только на картинках... netflow (который в обязательном порядке у любого энтерпрайза хранится - подвалы "у Ашота" к таковому ессно не относятся), стенды, honeypot'ы вендора, уведомление клиентов о проблеме в момент ее обнаружения - да нахрен надо, возьмем говносохо без какого-либо вменяемого саппорта, и будем ежедневно листать ихний форум с воплями хомяков "аааа помогите неработает", выступающий в роли единственной техподдержки, чтобы не упустить очередную ДЫРЕНЬ халва, халва... индус за 5-10 баксов в час будет говнокодить. латыша на такой рейт еще поискать надо - хотя может криворукого студента и удастся найти... дадада, патч-корды сами в соседний отдел переползут и переткнутся, а заодно и несколько серверных стоек в соседний отдел телепортируются... ох уж эти пионеры с ихней неуемной фантазией :) вот только пичаль для пионеров в том, что vpnfilter - он не только снаружи, он и изнутри ломал шлакотики. да-да, из интрасети с зараженных клиентских роутеров. не, можно конечно огородиться отовсюду, оставив один-единственный выделенный эзернет порт для подключения специального компа с винбоксом - но одмин некротика будет вынужден при этом жить в серверной рядом с этим портом, как раб на галере. ну и да, пионер, обмазывающийся некротиками, так и не понял, что дырень в реализации пптп - это не проблема пптп, а проблема некротика. и не факт, что в горячо любимом пионером sstp или еще какой проприетарной кривой ни с чем не совместимой шляпе нет точно такой же дырени - просто ее пока не успели наковырять. в конце концов - писано одними и теми же индусами :)

обсуждать частоту в отрыве от всего прочего (латентности кешей и т.п.) - бессмысленно. и уж тем более - в отрыве от используемых фич. из личного опыта - довольно старый x3430 в роли бордера спокойно жует 4 гбита с парой фуллвью и парой местных ix, с нагрузкой на проц в районе 50%, с довольно развесистым файрволом, немного ната, есть notrack для белых адресов. и прожует гбит 7 где-то спокойно, может даже 8. в более свежих интелах - все гораздо более радужно будет.

частота играет конечно (если два камня одной и той же микроархитектуры - более высокочастотный ессно будет быстрее, + кеши тоже на частоте ядра работают), но задержки кешей/памяти таки важнее вычислительной производительности.

а я хоть где-то говорил, где именно поднимается пптп? я написал лишь одно - пптп де-факто энтерпрайз стандарт. а то что пионеры типа вас от него бугуртят потому что нат не могут настроить для пптп - так это проблема пионеров. дада, то-то пионеры с некротиками бегали в мыле, когда ихние сохо поделки начали ломать, а фиксов на дырявую роутерось не было :) "все работало как работало", да :) т.е. некротики нужно вообще от интернета отключать? годный "ынтырпрайз", чо. пионер с некротиками даже не догадывается, что в энтерпрайзе никто ручками вланы с ацлями на цисках не конфигурит - это не подвал "у ашота", и никто в здравом уме обезьянью работу по проброске влана через 30-50 свичей (при общем кол-ве их в несколько тысяч) не делает, и штат таких вот обезьянок держать (с учетом стоимости ошибок) обойдется намного дороже, чем купить NMS за много-много денег. потому, повторюсь, не пытайтесь рассказывать о том, что вы видели лишь на картинках. ваши пионерские фантазии на предмет того, "как это делают в энтерпрайзе", выглядят довольно глупо. а саппорт как минимум определит дыру, через которую поломали, даст рекомендации по временному ее прикрытию не в ущерб требуемому функционалу, и даст сроки исправления. ситуации, когда критикал багу с висом системы от частых ssh коннектов фиксят более 4 лет, в энтерпрайзе не встретишь. а вот в сохо типа некротика - легко. взваливать на себя (пускай даже во влажных фантазиях) ответственность за индусский кривокод, убытки от которого компании выльются в сумму на несколько порядков большую, чем покупка нормального не сохо оборудования - удел пионеров, которые даже стоимость простоя своей пионерсети оценить не могут. "дырень" зацепила ископаемые EOS раритеты + свичи доступа/агрегации где какбы все зарезано по самое немогу. в отличие от некротика - где была и дырень в вебфиге, и дырень в винбоксе. к слову, не в курсе в какой там версии втихаря пофиксили remote code execution в pptp сервере? в 5.26 она точно есть, в свежих - вроде нет, а вот ботнеты шерстят 1723 порты регулярно - т.е. явно не только 5.26 зацепило...

ок, обнаружили ДЫРЕНЬ в некротике. саппорта - нет. когда патч ждать - неизвестно. "ответственное лицо" рвет волосы во всех местах, потому что сделать не может ни-че-го, а убытки (исчисляемые десятками, если не сотнями тысяч долларов за час простоя) - будут вычитать из его зарплаты в ближайшие лет 200. нет, SLA нужно для того, чтобы производитель либо прислал патч, либо - возместил убыток, причиненный жопорукостью его индусов. если нет ни того ни другого - это самое что ни на есть сохо, где никто ни за что не отвечает, и каждый кто купил дешман - е**тся сам с его глюками и дырами как может. потому, повторюсь, в нормальном энтерпрайзе некротиками и не пахнет. и пионеров, которые предлагают купить сохо какаху и потом свалить гемор по ее поддержке в сколь-либо работоспособном состоянии на головы админов компании - гонят сразу взашей ссаными тряпками.

открою секрет: они таки поддерживают. как минимум - бдкомы (про совсем уж лютый нонейм не знаю). вот только преимуществ по сравнению с полноценным vlan-per-user с упаковкой абонвланов в svlan - я не вижу никаких. ну разве что контрол плейн от любого колечка будет загибаться...

нет, это вы энтерпрайз (где пптп живее всех живых) свели к подвалам "у Ашота" (в котором вы таки поставили некротик - и от того он стал Ынтырпрайзом). ДТЭК очевидно - недостаточно крупная компания. потому что некротиком там и не пахнет, нигде - ни в шкафах, ни в офисах, ни даже в филиалах на пару десятков компов. а все по одной простой причине: никакого SLA и никакого саппорта. ну т.е. встала сеть раком - и хрен его знает кто виноват и что делать (ну можно конечно пионеродминов, которые мышкой клац-клац, подрючить - да только толку с этого не будет), а бабки-то теряются. напомнить как там в том году некротики ломали через дырень, нет - ДЫРЕНЬ? или позабыли? теперь понятно, почему в последние годы регулярно что-то падает/горит/взрывается :) лепят из гуана пулю - а потом удивляются, что ж этот сохо дешман не работает-то как ожидалось :)

ну какбы выбирать надо в первую очередь проц, а не тип памяти :) если удастся под 1151 найти задешево платы с ддр3 - вполне можно их брать. благое дело, на софтроутере даже 4 гига памяти - это реально дофига (пяток фуллвью, гиг под логи и еще половина свободна будет).

повторюсь - ваше кафе "у Ашота" к энтерпрайзу не имеет никакого отношения, как и вы. и вас с вашими некротиками и прочими мыльничками из любого энтерпрайза погонят ссаными тряпками взашей при любом их упоминании в проектной документации (дада, бурят на оленях, крутящий проводки по наитию принятых накануне мухоморов - это не про энтерпрайз).

дно - это если горе-пионер путает подвальчик "у Ашота" с энтерпрайзом. об чем и речь - весь "энтерпрайз" налицо, к другому пионера не даже подпускали :) угу, и чудо-софт, который работает и с произвольными tcp портами проброшенными через нат, и на перегруженном 3g (где 300-500мс пинг получить - легко, а скорость - от силы пару мегабит, при этом падает намного ниже)... понятно, вы джангу видели так же как и энтерпрайз - на картинке :) сам радиус-протокол примитивный же. аккаунтинг - сотню запросов в секунду обработать вообще не проблема (там по сути 1 апдейт строчки в базе, + возможно инсерт в табличку детализованной статистики), а это при интервале аккаунтинга пускай даже минуту - 6 тыс. онлайн. авторизация - даже если биллинг будет жевать ее секунду (как абиллс), ничего страшного не случится, в конце концов - пачка запросов авторизации таки большая редкость. при этом если нормально подойти (не как в абиллсе) - авторизация не такая уж и ресурсоемкая задача. не, для "больших" биллингов на 20-50-100 тыс. онлайна оно мож и станет критичным, мож даже и twisted не поможет, но для мелких с расчетным онлайном до 10к - я думаю что вполне вытянет.

не факт что от ддр4 будет выигрыш. важна именно латентность подсистемы памяти, а не пропускная способность.

может быть еще какая-нить хитрая загогулина юзающая мультикаст (или бродкаст). но для такого роутинг с проксиарп не прокатит. из сколь-либо стандартизованных л2 туннелей на некротике - только openvpn. l2tpv3 - не умеет, eoip - проприетарная поделка (хоть юзерспейсная реализация под линь и есть, от ядрокота если память не подводит).

:рукалицо: сразу видно пионера, для которого энтерпрайз - это подвальчик "у Ашота", у которого целый некротик купили по совету пионеродмина... в энтерпрайзе (ну том, где сотни филиалов и десятки тысяч рабочих мест) некротиками (как и прочими длинками и зухелями) даже и не пахнет. максимум - радиомост там, где кабель никак (типа козлового крана), и то только из-за практически полного отсутствия альтернатив от топ-3 (циска/джунипер/экстрим). дадада, и постоянно "не дома" пырятся в экран камеры чтобы видеть кто пришел :рукалицо: прямыми руками вяжется любой питон радиус-сервер, хоть pyrad хоть еще что. не, можно конечно и с фрирадиусом увязать, но смысла с этого ноль целых хрен десятых (радиус - нересурсоемкая вещь).

в основном - да, кеш + подсистема памяти. потому как нагрузка - memory-intensive (пакет сначала кладется в системную память через DMA, если повезет и система поддерживает DCA - он при этом окажется и в л3 кеше, после чего - поиск по таблице коннтрака которая целиком в л3 кеш обычно не вмещается, про л1-л2 вообще молчу, после чего - поиск по таблице маршрутизации, а если еще инкапсуляция/декапсуляция - это копирование содержимого пакета в новое место с новыми заголовками, после - копирование в tx ring buffer... это только то, что в голову пришло. при этом средний размер пакета - в районе 700-800 байт. память - двухканал + задержки пониже (ЕСС на роутерах не слишком критична хоть и не помешает), проц - интел (лучше - лга1156 или свежее, можно с атомами свежими поэкспериментировать на малом трафике), ну или амд свежий (зен ядро). не в размере счастье. целерон с его смешным кешем тягается с феномами, у которых и кеша больше, и ядер больше.

перл/пыха5 ничем не лучше по производительности - а биллинги на них таки есть :) у питона скорее загвоздка в многопоточности (вернее, ее отсутствии) - придется multiprocessing крутить для серьезных нагрузок, ну или с twisted заморачиваться если совсем уж по феншую (т.к., думается, основную часть времени там будут жрать именно скл запросы)