NiTr0

да-да, в фантазиях пионера, настраивающего некротики в шаурменных :) ну и энтерпрайз - это не "офис на 2000-4000 метров", обтянутый соплыми витухи и сохо мыльницами колбаской, энтерпрайз - это крупная компания, с сотнями филиалов и ценой часа даунтайма больше, чем годовая зряплата пионера вроде вас. и именно поэтому пионеров, вносящих "рацпредложения" по установке сохо барахла вместо брендовых железок, гонят из энтерпрайза взашей сразу же. повторяюсь - ваши половые проблемы подключения очередной шаурменной не имеют никакого отношения к энтерпрайзу. и из энтерпрайза вас погонят ссаными тряпками сразу же, как только вы заикнетесь о некротике. какие люди, вы о чем? вы вообще в курсе, что такое корпоративная сеть, как она строится? ну и да, "резервирование людей" - вообще фееричный бред. заставьте бухгалтеров просчитать проект релейной защиты ВЛ 330кВ, ну или проектировщиков свести годовой баланс бухгалтерии - потому что поинеродмин поставил шлакотик, который внезапно издох или был успешно поломан :) повторюсь, ваши пионерские фантазии, основанные на "богатом опыте" построения "корпоративной сети" в шаурменных и наливайках не имеют никакого отношения к энтерпрайзу. т.е. вы голой жопой RDP в мир высовываете? прелестно, прелестно :) и эти люди еще что-то про небезопасность пптп мне рассказывают... для корпоративного админа в крупном энтерпрайзе применение сохо - это таки признак отсутствия мозга и умения лишь мышкой клац-клац по видосикам из ютупчика, потому что взрослую консольку он не осилил. хотя обычно энтерпрайз с таким мегоодмином живет недолго - до первого крупного даунтайма. после чего - либо банкротится, либо - руководство хватается за голову, подсчитав последствия "экономии", и пионера, наплодившего сохо мыльницы вместо корпоративной сети, выкидывают на мороз с выставлением счета за убытки, а вместо него - нанимают нормальных специалистов и строят нормальную энтерпрайз сеть. дайствительно, зачем переплачивать за поддержку, если час простоя будет стоить дороже годовой подписки :) кому нахрен надо оперативное уведомление о выявленных уязвимостях с рекомендациями по их закрытию, кому нахрен надо оперативное исправление багов по созданным тикетам - и так сойдет, говносохо прокатит, зато экономия жиж :) а как навернется все - пионеродмин за каких-то несколько суток восстановит (возможно), а потом - до пенсии будет работать за еду, компенсируя "сэкономленные" убытки фирмы. нет, это - таки проблема лапок индусов, пиливших некротик. и да, чем там пользуются не-дурни в 2019? проприетарным кривым sstp, к которому нет нормальных клиентов под линукс (тот что есть - с некротиком снюхиваться отказался)? или, может, l2tp, который между некротиком 5.26 и 6.40.х не поднимается с какой-то радости, + который вообще не через каждый нат пролазит при наличии нескольких туннелей (через сохо мыльницы второй туннель не ходит к примеру)? а может, eoip который не пролазит через нат и вообще несовместим с динамическими адресами? или openvpn с нахрен не нужной криптовкой, из-за чего скорость внутри него - черепашья? ах да, забыл - RDP же голой жопой в мир :рукалицо:

да пофиг, 2.0 - это 5 гбит на линию. т.е. х4 - это уже 20 гбит tx + 20 гбит rx. pci-e - шина "точка-точка". т.е. на шине может быть только одно устройство (экзотику типа pci-e мультиплексоров не рассматриваем) не может. просто потому, что юсб/hda - они не на pci-e (usb3.0 внешние не рассматриваем). более того - слот х16 (как минимум первый, про извращения вида "х4 в формфакторе х16" не говорим) он даже не с южного моста идет, а напрямую из камня.

весь уровень вашего "ынтырпрайза" :рукалицо: пичаль для пионеров в том, что "ограничить диапазоны ип" (если в настройках сервиса, как это обычно пионеры делают, а не в файрволе белые списки крутить) нихрена не поможет :) ну недоделали индусы, бывает - на то оно и сохо :) :рукалицо: опять влажные фантазии пионеров, которые видели энтерпрайз только на картинках... netflow (который в обязательном порядке у любого энтерпрайза хранится - подвалы "у Ашота" к таковому ессно не относятся), стенды, honeypot'ы вендора, уведомление клиентов о проблеме в момент ее обнаружения - да нахрен надо, возьмем говносохо без какого-либо вменяемого саппорта, и будем ежедневно листать ихний форум с воплями хомяков "аааа помогите неработает", выступающий в роли единственной техподдержки, чтобы не упустить очередную ДЫРЕНЬ халва, халва... индус за 5-10 баксов в час будет говнокодить. латыша на такой рейт еще поискать надо - хотя может криворукого студента и удастся найти... дадада, патч-корды сами в соседний отдел переползут и переткнутся, а заодно и несколько серверных стоек в соседний отдел телепортируются... ох уж эти пионеры с ихней неуемной фантазией :) вот только пичаль для пионеров в том, что vpnfilter - он не только снаружи, он и изнутри ломал шлакотики. да-да, из интрасети с зараженных клиентских роутеров. не, можно конечно огородиться отовсюду, оставив один-единственный выделенный эзернет порт для подключения специального компа с винбоксом - но одмин некротика будет вынужден при этом жить в серверной рядом с этим портом, как раб на галере. ну и да, пионер, обмазывающийся некротиками, так и не понял, что дырень в реализации пптп - это не проблема пптп, а проблема некротика. и не факт, что в горячо любимом пионером sstp или еще какой проприетарной кривой ни с чем не совместимой шляпе нет точно такой же дырени - просто ее пока не успели наковырять. в конце концов - писано одними и теми же индусами :)

обсуждать частоту в отрыве от всего прочего (латентности кешей и т.п.) - бессмысленно. и уж тем более - в отрыве от используемых фич. из личного опыта - довольно старый x3430 в роли бордера спокойно жует 4 гбита с парой фуллвью и парой местных ix, с нагрузкой на проц в районе 50%, с довольно развесистым файрволом, немного ната, есть notrack для белых адресов. и прожует гбит 7 где-то спокойно, может даже 8. в более свежих интелах - все гораздо более радужно будет.

частота играет конечно (если два камня одной и той же микроархитектуры - более высокочастотный ессно будет быстрее, + кеши тоже на частоте ядра работают), но задержки кешей/памяти таки важнее вычислительной производительности.

а я хоть где-то говорил, где именно поднимается пптп? я написал лишь одно - пптп де-факто энтерпрайз стандарт. а то что пионеры типа вас от него бугуртят потому что нат не могут настроить для пптп - так это проблема пионеров. дада, то-то пионеры с некротиками бегали в мыле, когда ихние сохо поделки начали ломать, а фиксов на дырявую роутерось не было :) "все работало как работало", да :) т.е. некротики нужно вообще от интернета отключать? годный "ынтырпрайз", чо. пионер с некротиками даже не догадывается, что в энтерпрайзе никто ручками вланы с ацлями на цисках не конфигурит - это не подвал "у ашота", и никто в здравом уме обезьянью работу по проброске влана через 30-50 свичей (при общем кол-ве их в несколько тысяч) не делает, и штат таких вот обезьянок держать (с учетом стоимости ошибок) обойдется намного дороже, чем купить NMS за много-много денег. потому, повторюсь, не пытайтесь рассказывать о том, что вы видели лишь на картинках. ваши пионерские фантазии на предмет того, "как это делают в энтерпрайзе", выглядят довольно глупо. а саппорт как минимум определит дыру, через которую поломали, даст рекомендации по временному ее прикрытию не в ущерб требуемому функционалу, и даст сроки исправления. ситуации, когда критикал багу с висом системы от частых ssh коннектов фиксят более 4 лет, в энтерпрайзе не встретишь. а вот в сохо типа некротика - легко. взваливать на себя (пускай даже во влажных фантазиях) ответственность за индусский кривокод, убытки от которого компании выльются в сумму на несколько порядков большую, чем покупка нормального не сохо оборудования - удел пионеров, которые даже стоимость простоя своей пионерсети оценить не могут. "дырень" зацепила ископаемые EOS раритеты + свичи доступа/агрегации где какбы все зарезано по самое немогу. в отличие от некротика - где была и дырень в вебфиге, и дырень в винбоксе. к слову, не в курсе в какой там версии втихаря пофиксили remote code execution в pptp сервере? в 5.26 она точно есть, в свежих - вроде нет, а вот ботнеты шерстят 1723 порты регулярно - т.е. явно не только 5.26 зацепило...

ок, обнаружили ДЫРЕНЬ в некротике. саппорта - нет. когда патч ждать - неизвестно. "ответственное лицо" рвет волосы во всех местах, потому что сделать не может ни-че-го, а убытки (исчисляемые десятками, если не сотнями тысяч долларов за час простоя) - будут вычитать из его зарплаты в ближайшие лет 200. нет, SLA нужно для того, чтобы производитель либо прислал патч, либо - возместил убыток, причиненный жопорукостью его индусов. если нет ни того ни другого - это самое что ни на есть сохо, где никто ни за что не отвечает, и каждый кто купил дешман - е**тся сам с его глюками и дырами как может. потому, повторюсь, в нормальном энтерпрайзе некротиками и не пахнет. и пионеров, которые предлагают купить сохо какаху и потом свалить гемор по ее поддержке в сколь-либо работоспособном состоянии на головы админов компании - гонят сразу взашей ссаными тряпками.

открою секрет: они таки поддерживают. как минимум - бдкомы (про совсем уж лютый нонейм не знаю). вот только преимуществ по сравнению с полноценным vlan-per-user с упаковкой абонвланов в svlan - я не вижу никаких. ну разве что контрол плейн от любого колечка будет загибаться...

нет, это вы энтерпрайз (где пптп живее всех живых) свели к подвалам "у Ашота" (в котором вы таки поставили некротик - и от того он стал Ынтырпрайзом). ДТЭК очевидно - недостаточно крупная компания. потому что некротиком там и не пахнет, нигде - ни в шкафах, ни в офисах, ни даже в филиалах на пару десятков компов. а все по одной простой причине: никакого SLA и никакого саппорта. ну т.е. встала сеть раком - и хрен его знает кто виноват и что делать (ну можно конечно пионеродминов, которые мышкой клац-клац, подрючить - да только толку с этого не будет), а бабки-то теряются. напомнить как там в том году некротики ломали через дырень, нет - ДЫРЕНЬ? или позабыли? теперь понятно, почему в последние годы регулярно что-то падает/горит/взрывается :) лепят из гуана пулю - а потом удивляются, что ж этот сохо дешман не работает-то как ожидалось :)

ну какбы выбирать надо в первую очередь проц, а не тип памяти :) если удастся под 1151 найти задешево платы с ддр3 - вполне можно их брать. благое дело, на софтроутере даже 4 гига памяти - это реально дофига (пяток фуллвью, гиг под логи и еще половина свободна будет).

повторюсь - ваше кафе "у Ашота" к энтерпрайзу не имеет никакого отношения, как и вы. и вас с вашими некротиками и прочими мыльничками из любого энтерпрайза погонят ссаными тряпками взашей при любом их упоминании в проектной документации (дада, бурят на оленях, крутящий проводки по наитию принятых накануне мухоморов - это не про энтерпрайз).

дно - это если горе-пионер путает подвальчик "у Ашота" с энтерпрайзом. об чем и речь - весь "энтерпрайз" налицо, к другому пионера не даже подпускали :) угу, и чудо-софт, который работает и с произвольными tcp портами проброшенными через нат, и на перегруженном 3g (где 300-500мс пинг получить - легко, а скорость - от силы пару мегабит, при этом падает намного ниже)... понятно, вы джангу видели так же как и энтерпрайз - на картинке :) сам радиус-протокол примитивный же. аккаунтинг - сотню запросов в секунду обработать вообще не проблема (там по сути 1 апдейт строчки в базе, + возможно инсерт в табличку детализованной статистики), а это при интервале аккаунтинга пускай даже минуту - 6 тыс. онлайн. авторизация - даже если биллинг будет жевать ее секунду (как абиллс), ничего страшного не случится, в конце концов - пачка запросов авторизации таки большая редкость. при этом если нормально подойти (не как в абиллсе) - авторизация не такая уж и ресурсоемкая задача. не, для "больших" биллингов на 20-50-100 тыс. онлайна оно мож и станет критичным, мож даже и twisted не поможет, но для мелких с расчетным онлайном до 10к - я думаю что вполне вытянет.

не факт что от ддр4 будет выигрыш. важна именно латентность подсистемы памяти, а не пропускная способность.

может быть еще какая-нить хитрая загогулина юзающая мультикаст (или бродкаст). но для такого роутинг с проксиарп не прокатит. из сколь-либо стандартизованных л2 туннелей на некротике - только openvpn. l2tpv3 - не умеет, eoip - проприетарная поделка (хоть юзерспейсная реализация под линь и есть, от ядрокота если память не подводит).

:рукалицо: сразу видно пионера, для которого энтерпрайз - это подвальчик "у Ашота", у которого целый некротик купили по совету пионеродмина... в энтерпрайзе (ну том, где сотни филиалов и десятки тысяч рабочих мест) некротиками (как и прочими длинками и зухелями) даже и не пахнет. максимум - радиомост там, где кабель никак (типа козлового крана), и то только из-за практически полного отсутствия альтернатив от топ-3 (циска/джунипер/экстрим). дадада, и постоянно "не дома" пырятся в экран камеры чтобы видеть кто пришел :рукалицо: прямыми руками вяжется любой питон радиус-сервер, хоть pyrad хоть еще что. не, можно конечно и с фрирадиусом увязать, но смысла с этого ноль целых хрен десятых (радиус - нересурсоемкая вещь).