Jump to content
Калькуляторы

IVB

Активный участник
  • Content Count

    172
  • Joined

  • Last visited

Everything posted by IVB


  1. Здравствуйте. Интересует такой вопрос. Существуют ли какие-либо способы предотвратить использование ОНУ другим провайдером? Вот, допустим, пришёл к нашему клиенту другой провайдер и предложил пакет на 5 копеек дешевле. И нашу же ОНУ нашим кабелем подключил к своей сети. Есть ли какая-то возможность сделать так, чтобы ОНУ работали только в нашей сети, а в другой (без дополнительных усилий со стороны того провайдера) не работали? ОЛТы у нас используются P3310B и P3310C. ОНУшки - зоопарк: Pon E107-CF нонейм Gpon Alcatel-Lucent I-010G NGpon E105 Foxgate 1001WZ несколько разных моделей BDCOM... Понимаю, что вопрос достаточно глупый, но вдруг у кого-то есть положительный опыт...
  2. Защита ОНУ

    Нет, с возвратом проблем не было. Но вот клиент несколько месяцев не платит. И даже объясняет, почему (уехал на заработки - не пользуется, вернётся - будет пользоваться дальше). И кто его знает - может, действительно уехал, а, может, на конкурента переключился. Вот и хочется найти какое-то решение, чтобы наше оборудование, которое пока не используется в нашей сети, не использовалось в сети конкурента.
  3. Защита ОНУ

    ОНУ находится у клиента на ответственном хранении, и по расторжении договора клиент обязан ОНУ вернуть. Но, думаю, большинство провайдеров допускают ситуации, когда клиент не расторгает договор - но и не пользуется услугами и не платит за них достаточно длительный период.
  4. Здравствуйте. Настраиваю "выносной" сервер доступа на Микротике. В user manager прописаны МАС-адреса из локальной сети, которые могут получать IP по DHCP. Там же прописаны ограничения скорости. Устройства с прописанными МАС-адресами получают IP по DHCP и доступ за пределы сети. Если МАС отсутствует - адрес не выдаётся, доступа нет. Но если вручную на устройстве из локальной сети прописать IP из пула, из которого выдаются адреса - устройство получает доступ за пределы локалки вне зависимости от его МАС адреса. Как эту лазейку правильно заблокировать? Спасибо.
  5. большое спасибо за помощь! всё очень просто - когда знаешь, как :)
  6. Здравствуйте. На "железных" железках никогда не сталкивался с ситуацией, чтобы интерфейсы "перенумеровывались". А вот сейчас проверяю определённые идеи на виртуалке с РоутерОС - и столкнулся с тем, что у меня в определённый момент "поехали" интерфейсы: порядок интерфейсов в конфиге виртуалки перестал соответствовать порядку интерфейсов "внутри" МикроТика. Т.е. первый интерфейс в виртуалке стал ether2, 2-й - ether3, ..., последний - ether1 (сначала такой чехарды не было). Хочу "прибить" названия интерфейсов к их МАС-адресам. Пробовал set [ find orig-mac-address=XX:XX:XX:XX:XX:XX ] name=myname и set [ find mac-address=XX:XX:XX:XX:XX:XX ] name=myname МикроТик всё равно "переиначивает" эти команды в set [ find default-name=etherX ] Но вот эти X в etherX уже один раз "съехали", и нет никакой гарантии, что они не съедут ещё раз :( Есть какая-то возможность "закрепить" названия интерфейсов, привязав их не к "etherX", а к чему-то более постоянному? Или это особенность реализации RouterOS X86 и остаётся только смириться? (и ни для чего, кроме как для тестов, её не использовать)
  7. Доброго времени суток, господа и дамы. Столкнулся с непонятной проблемой. Прочесть 44 страницы в теме "Linux softrouter" за разумный период времени невозможно, а быстрый поиск в ней ничего не дал - поэтому решил задать вопрос в отдельной теме. Имеем 4-хядерный Intel Xeon E3-1220, имеем 10G сетевушку Intel 82599ES, имеем Gentoo на ядре 3.10.17. В системе есть и другие сетевушки, но трафик там несущественный, поэтому (как показала практика) тем трафиком можно пренебречь. Сетевушка позволяет распределять прерывания (совмещенные - Tx и Rx) по 64 очередям. В нашем случае очереди распределяются по 4-м прерываниям, каждое из которых "прибито" к своему ядру: 1-я очередь - к CPU0, 2-я - к CPU1, и т.д. Сначала картинка была идеальной - графики загрузки всех 4-х CPU шли практически "точка в точку". Но в один не очень прекрасный момент времени загрузка CPU0 стала превышать загрузку каждого из остальных процессоров примерно в 3 раза. Это произошло довольно давно, поэтому связать произошедшее с какими-либо нашими действиями не представляется возможным. А обратили внимание на это недавно, когда загрузка CPU0 в пиках стала достигать 100% - в эти периоды нагрузка на остальные процы резко падает, и общая пропускная способность сервера заметно снижается. Сначала я грешил на остальные сетевушки (4 Intel 82576, собранные в bond), т.к. на них распределение по очередям практически не сказывается - почти все прерывания попадают в первую очередь, на остальные очереди приходится менее 0.1%. Чтобы разгрузить CPU0, который, как мне казалось, перегружен из-за 82576, я перенастроил 82599ES на 3 очереди вместо четырех, и привязал каждую из 3-х очередей к процессорам от 1 до 3, исключив таким образом CPU0 из обработки прерываний от этой сетевушки. Но, как показала практика, я ошибался. Загрузка CPU0 была вызвана именно обработкой прерываний от 10G сетевушки (точнее, прерываний 1-й очереди), т.к. теперь CPU0 загружен на 1%, а CPU1 (обрабатывающий 1-ю очередь) загружен в 3 с лишним раза больше, чем CPU2 и CPU3. И вот теперь, собственно, вопрос: можно ли что-то сделать, чтобы равномерно распределить прерывания по очередям? Или единственный выход в нашей ситуации - замена 4-хядерного проца на 8-миядерный?
  8. Всё понятно, спасибо. Слишком давно разбирался с PPPoE и успел подзабыть реализацию :( Приношу извинения за глупый вопрос.
  9. Есть два БРАСа - "железный" (SE100) и Акцель. SE100 работает давно, Акцель только начинаем внедрять. Почему-то на запросы на получение адреса по протоколу PPPoE отвечает только Акцель. Сложилось впечатление, что SE100 "видит" ответ Акцеля на запрос, и сам даже к Радиусу уже не обращается. Можно ли (если да - то как), сделать так, чтобы к Радиусу для обработки PPPoE запроса обращались оба БРАСа? В случае с IPoE к Радиусу обращаются оба БРАСа, и Радиус определяет, какой из БРАСов должен авторизовать клиента. Такого же поведения хочется добиться и для PPPoE.
  10. # tc filter show dev ipoe0 filter parent 1: protocol ip pref 90 fw filter parent 1: protocol ip pref 90 fw handle 0x30 classid 1: # tc filter show dev ipoe1 filter parent 1: protocol ip pref 90 fw filter parent 1: protocol ip pref 90 fw handle 0x30 classid 1:
  11. Да, этот вариант мне в голову не пришёл. Спасибо за хорошую идею.
  12. -l - это именно data, а не управление (проверено экспериментально) а управление - это -A (тоже проверено) не могу ручаться за реализации всех протоколов (т.к. они выполняются разными демонами), но демон bgpd умеет биндиться не к 0.0.0.0 (к сожалению, он умеет либо к 0.0.0.0, либо к одному конкретному адресу) так что по поводу сорцов - их действительно не мешало бы "допилить", чтобы можно было указывать несколько параметров -A и -l
  13. Это почти то, что нужно. Почти - потому что параметр -l может быть только один (если задать больше одного - игнорируются все, кроме последнего). А мне ведь нужно, чтобы bgpd с разными пирами общался (с разных адресов, естественно), в т.ч. и с bird. Спасибо за информацию - но, похоже, моя хотелка нереализуема.
  14. Спасибо, попробую. (самое интересное - что в man'е этих ключей нет, только в help'е).
  15. В моём случае DNAT не нужен. quagga "общается" с соседями на стандартном порту. bird будет общаться только с нашей quagga, поэтому достаточно настроить bird на нестандартный порт, и в настройках соседа-bird на quagga указать этот же порт. Вот только не взлетает всё равно такая конструкция... (но только это уже отдельная тема, здесь продолжать нет смысла)
  16. Не, файрвол не поможет. Т.к. на другие адреса должен биндиться bird. (вот такой я извращенец)
  17. Есть другой вопрос по bgpd из quagga. Мне нужно, чтобы демон bgpd биндился только на определённые адреса (IPv6), а не на :::179. При старте bgpd параметрами можно задать только порт, но не адреса. В самОм конфиге для каждого соседа задан нужный update-source. Тем не менее - bgpd биндится на :::179. Можно ли как-то заставить bgpd не биндиться на :::179, а только на конкретные IP?
  18. Что-то я запутался... Вот раздел shaper конфига mpu=0 r2q=10 quantum=1500 ifb=ifb0 up-limiter=police down-limiter=htb leaf-qdisc=sfq perturb 10 fwmark=48 verbose=1 Т.е. трафик, который "покрашен" при помощи fwmark, не должен шейпиться. Вот правило файрвола, коорым трафик "красится": iptables -t mangle -A PREROUTING -p tcp -m dscp ! --dscp 48 -j MARK --set-mark 48 На другом моём сервере весь "мировой" трафик помечается значением 48 в поле DSCP, а на сервере с Accel на весь трафик с DSCP, отличным от 48, навешивается fwmark 48. Т.е. весь "не мировой" трафик должен идти мимо шейпера. То, что на правило MARK трафик попадает - видно по счётчику пакетов. Но, очевидно, что-то я делаю не так, потому что у меня шейпится весь трафик - и "украинский", и "мировой". Подскажите, пожалуйста, на что нужно обратить внимание, и что я мог сделать "не так".
  19. Увы. Только эта. На 48-портовых - 3.5, но командами её не слить. Блин, самое главное, как всегда, забыл. Спасибо за ответ!
  20. Доброго времени суток, господа и дамы. Подскажите, пожалуйста, отличаются ли файлы прошивки для коммутаторов 425-24T и 425-48T? У нас успешно эксплуатируются несколько десятков 24T с прошивкой 3.6.3.05. А тут шеф по случаю :) прикупил несколько штучек 48Т. Можно ли на них залить ту же прошивку, которую мы заливаем на 24T? Очень не хочется кирпичик получить... Если прошивки разные - кто-то может поделиться прошивкой именно под 48T? И ещё вопрос (раз уж разговор зашёл). Есть ли более поздние и стабильные прошивки? Нареканий особых на 3.6.3.05 нет - настроил, поставил, забыл. Но кое-какого функционала не хватает. Вдруг в новых прошивках что-то полезное добавилось :)
  21. Доброго времени суток, господа и дамы. Купили две штучки б/у ePMP 1000 (лицензия Lite). С прошивкой 2.6.1. Не самая древняя, но и не последняя. И багов после неё пофиксено приличное количество. С сайта cambiumnetworks (надеюсь, не опечатался - сейчас не под руками сайт) скачал последнюю прошивку 3.0.1. Через веб-морду выбрал локальный файл, кнопка "Update" - окошко "подождите ..." - и всё. В сообщениях добавилось два - "подготовка апдейта" (на английском, но смысл такой) на желтеньком фоне, потом такое же сообщение на красненьком фоне. В журнале - вообще по этому поводу ничего. Кеш браузера чистил (как сказано в руководстве). Пробовал разные браузеры. Пробовал прошивку 2.6.2.1 (последнюю из ветки 2.х). Эффект одинаковый. Вопрос: это я что-то сделал неправильно? Или мы купили неправильное железо? (напомню - лицензия Lite - может, под неё другие прошивки нужны?)
  22. Разобрался сам. Пытался залить .pkg3, а нужно заливать .tar.gz Тему можно закрывать.
  23. Нужна помощь. Тестируем проверку Opt-82 через RADIUS сервер (FreeRADIUS 2.1.11) В Access-Request исправно попадают атрибуты Agent-Remote-Id и Agent-Circuit-Id. В Радиусе, в таблице authcheck_table, должны быть записи с правильными значениями для этих атрибутов. Собственно, вопрос. В каком формате должны храниться эти значения? Поделитесь примерчиком, плиз.
  24. Доброго времени суток, уважаемые господа и дамы. Я пока не придумал нормального решения для задачи, которую опишу ниже - поэтому беру "помощь зала". Мы - провайдерская компания. Есть у нас клиенты, которые подключены без абонплаты. Некоторое количество таких клиентов имеют большой круг лиц, которым разрешено пользоваться интернетом. Хотелось бы для этих лиц показывать свою рекламу - дескать, вы бесплатно пользуетесь интернетом, предоставлямым компанией NNN, и т.д. Как я уже отметил выше - нормального решения я пока не нашел. У "бесплатных" клиентов стоЯт свои роутеры, с которых и раздается интернет по wi-fi и (иногда) ethernet. Можно, конечно, предложить этим клиентам свои роутеры (те же Микротики) и настроить на них hotspot - но это дополнительные затраты, которых необходимо избежать. Все посетители за клиентскими роутерами находятся за NAT'ом роутера, поэтому различать их - наверное, теоретически как-то можно, но на практике я пока не придумал, как. Просто брать и подменять каждый n-ный запрос на 80-й порт - это получится антиреклама (вдруг человек что-то качает - а мы ему свою страничку подсовываем). В общем, нужны разумные идеи. В идеале - новый посетитель у клиента - ему показывается наша реклама - и далее он работает уже без всяких вмешательств с нашей стороны. Я понимаю, что хочу слишком многого - но нужно либо решить поставленную задачу, либо убедиться, что при данных условиях (мы не имеем доступа к клиентским роутерам) задача решения не имеет.
  25. Виртуалка с единственным интерфейсом (я об этом упомянул) Процесс прошивки начинается, но, судя по всему, прошивка на флешке не сохраняется (и об этом я упомянул)