dmitry_

через ipset делайте будет и красивее в iptables и проще добавлять/удалять ip-ы из цепочек, +производительность не потеряете если будет несколько тысяч ip а теперь вопрос: у меня такая же схема работает для предупреждения о задолженности, на странице можно нажать кнопку "Продолжить" правило удаляется из ipset-a и пользователь продолжает ходить в сеть на странице запоминается куда абонент пытался достучаться (к примеру на ya.ru) и пытается переадресовать через php header("Location: ...") и вот тут или какой-то кэш или conntrack записи, помнят что была переадресация и по нажатию на кнопку "Продолжить" перекидывает опять на эту же страницу с кнопкой "Продолжить" (запоминается именно 1 адрес куда нужно переадресовывать), тут особенность если попытаться вручную открыть к примеру google.ru все уже успешно открывается никто не сталкивался с такой проблемой?

не пробовали, идем по схеме размножения шейперов, и деления нагрузки на каждый а у вас судя по нагрузке должен гиг 5-6 прожевать (на 10Г интерфейсе)

недавно нумерацию классов на hex числа перевел, т.к. может быть только 4 цифры (0xffff) а по теме, как видно: tc -s -d filter show dev eth0.38 parent 1:|grep filter|wc -l 10029 ядро 2.6.38.8 нагрузка на сервер 4хIntel® Core™ i5 CPU 760 @ 2.80GHz top - 23:00:10 up 1 day, 11:10, 1 user, load average: 0.12, 0.08, 0.06 Tasks: 72 total, 2 running, 70 sleeping, 0 stopped, 0 zombie Cpu0 : 0.0%us, 0.0%sy, 0.0%ni, 52.3%id, 0.0%wa, 0.0%hi, 47.7%si, 0.0%st Cpu1 : 0.0%us, 0.0%sy, 0.0%ni, 50.6%id, 0.0%wa, 0.0%hi, 49.4%si, 0.0%st Cpu2 : 1.1%us, 0.0%sy, 0.0%ni, 53.4%id, 0.0%wa, 0.0%hi, 45.5%si, 0.0%st Cpu3 : 1.1%us, 0.0%sy, 0.0%ni, 54.0%id, 0.0%wa, 0.0%hi, 44.8%si, 0.0%st трафика 700М/с у вас tc qdisc созданы на классы? какие quantum, burst, cburst ставите в классах?

через sudo попробуйте стартовать команды

используется c3560-advipservicesk9-mz.122-46.SE.bin (скачивался с сайта циски) проверил, таких ошибок не было ни на одном порту трафику в разы больше пробуйте обновиться

xen (linux VM) + DYNAGEN-DYNAMIPS постоянно использую

тазик с мозгами

все отлично работает и согласуется с irq affinit ставьте последние дрова для сетевухи, взять их можно на сайте intel-a убедитесь что загрузились и используются именно последние драйвера "ethtool eth0" я собирал так "make CFLAGS_EXTRA=-DCONFIG_E1000E_SEPARATE_TX_HANDLER install" потом делаю echo ffff > /sys/class/net/eth0/queues/rx-0/rps_cpus этой командой балансирую по всем ядрам у меня их 4 вместо ffff можно указать 2^№ядра ядро у меня

Т.е. сервер с шейпером полностью прозрачен по L3 или я не правильно понял? Это даёт выигрышь по производительности? именно такую же схему используем, сетевуха такая же, остальное железо другоечерез бридж проходит ~55kpps также HTB шейпер с хэшами проц: Core2 Quad Q8400 @ 2.66GHz загрузка каждого ядра ~10%

да неплохая схема, минус только наверное в настройке абонов (+ наверное может быть несколько IP на порту), когда меняется порт, нужно чистить правила со старого и добавлять на новый

на сайте циски ios-ы для данной модели можно бесплатно скачать (предварительно зарегистрировавшись) недавно и сам обновил такую же модельку

а варианты с GPON не рассматривали?

eth0 Link encap:Ethernet HWaddr 00:1b:21:58:65:7c inet6 addr: fe80::21b:21ff:fe58:657c/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:48034377038 errors:148 dropped:0 overruns:4320 frame:148 TX packets:49249749948 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:24583307601470 (22.3 TiB) TX bytes:41003923537309 (37.2 TiB) Memory:f7ca0000-f7cc0000 eth1 Link encap:Ethernet HWaddr 00:1b:21:58:65:7d inet6 addr: fe80::21b:21ff:fe58:657d/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:49627375397 errors:599 dropped:0 overruns:500677 frame:346 TX packets:47917000473 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:41369800993374 (37.6 TiB) TX bytes:24444139983394 (22.2 TiB) Memory:f7ce0000-f7d00000 MTU стоят 1500 ping -l 1492 ya.ru -t с пингом до яндекса такая-же ситуация, на eth0 вижу, на eth1 пакетов уже нету

имеется сетевуха Intel с 2-мя портами [ 1.092357] igb 0000:01:00.0: Intel(R) Gigabit Ethernet Network Connection [ 1.092359] igb 0000:01:00.0: eth0: (PCIe:2.5Gb/s:Width x4) 00:1b:21:58:65:7c [ 1.092433] igb 0000:01:00.0: eth0: PBA No: e43709-003 [ 1.092435] igb 0000:01:00.0: Using MSI-X interrupts. 4 rx queue(s), 4 tx queue(s) порты объединены в бридж shaper1 на интерфейсах стоят настройки: ethtool -k eth0 Offload parameters for eth0: rx-checksumming: on tx-checksumming: on scatter-gather: off tcp segmentation offload: off udp fragmentation offload: off generic segmentation offload: off large receive offload: off ethtool -k eth1 Offload parameters for eth1: rx-checksumming: on tx-checksumming: on scatter-gather: off tcp segmentation offload: off udp fragmentation offload: off generic segmentation offload: off large receive offload: off ethtool -k shaper1 Offload parameters for shaper1: rx-checksumming: on tx-checksumming: on scatter-gather: off tcp segmentation offload: off udp fragmentation offload: off generic segmentation offload: off large receive offload: off с eth0 приходит трафик, с eth1 уходит на uplink пытаюсь пинговать большими пакетами ping -l 1500 ya.ru -t на eth0 вижу пакеты на ya.ru 11:44:25.823916 IP 192.168.0.x > 213.180.204.3: ICMP echo request, id 1024, seq 11962, length 1480 11:44:25.823932 IP 192.168.0.x > 213.180.204.3: icmp на eth1 их уже нету, соответственно они где-то рубятся в чем может быть причина?

разобрался, кому интересно, то в каждой vrf таблица должен быть интерфейс постоянный loopback к примеру далее на border в router bgp 1 добавил redistribute static для того чтобы мой статический маршрут по-умолчанию отдавался по бгп в случае падения одного из интерфейсов (vlan2, vlan3) ну и в бгп на обоих, для шустрости работы timers bgp 2 4 и все заработало как хотелось!

да timers bgp 2 4 вроде помогло

имеется тестовая схема для объединения маршрутов 2-х таблиц, работает на core - bgp, он же и передает маршруты с core на border в случае падения одного из виланов с хоста core (с обоих vrf) пингуется IP 172.16.0.1 бордера (default gw) core#ping vr shaper1 172.16.0.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 172.16.0.1, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 20/57/100 ms core#ping vr shaper2 172.16.0.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 172.16.0.1, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 48/74/156 ms реально эти виланы (2, 3) будут идти по разным линкам между core и border для резервирования добавляю на core статические маршруты с большей метрикой ip route vrf shaper1 0.0.0.0 0.0.0.0 Vlan3 3.3.3.1 200 ip route vrf shaper2 0.0.0.0 0.0.0.0 Vlan2 2.2.2.1 200 пробую уложить один интерфейс vlan2 к примеру. таблица маршрутизации vrf shaper1 до падения: core#sh ip route vrf shaper1 Routing Table: shaper1 Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route Gateway of last resort is 2.2.2.1 to network 0.0.0.0 2.0.0.0/24 is subnetted, 1 subnets C 2.2.2.0 is directly connected, Vlan2 3.0.0.0/24 is subnetted, 1 subnets B 3.3.3.0 is directly connected, 00:20:43, Vlan3 6.0.0.0/32 is subnetted, 1 subnets C 6.1.1.1 is directly connected, Loopback6 O*E2 0.0.0.0/0 [110/1] via 2.2.2.1, 00:21:45, Vlan2 таблица маршрутизации vrf shaper1 после падения: core#sh ip route vrf shaper1 Routing Table: shaper1 Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route Gateway of last resort is 3.3.3.1 to network 0.0.0.0 3.0.0.0/24 is subnetted, 1 subnets B 3.3.3.0 is directly connected, 00:24:10, Vlan3 6.0.0.0/32 is subnetted, 1 subnets C 6.1.1.1 is directly connected, Loopback6 S* 0.0.0.0/0 [200/0] via 3.3.3.1, Vlan3 пинг из vrf shaper1 до 172.16.0.1 пропадает, хотя маршрут по-умолчанию есть vrf shaper2 продолжает работать нармально! core#ping vr shaper1 172.16.0.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 172.16.0.1, timeout is 2 seconds: ..... Success rate is 0 percent (0/5) спустя несколько минут появляются сообщения о падении БГП пира: *Mar 1 00:27:39.259: %BGP-5-ADJCHANGE: neighbor 2.2.2.1 vpn vrf shaper1 Down BGP Notification sent *Mar 1 00:27:39.259: %BGP-3-NOTIFICATION: sent to neighbor 2.2.2.1 4/0 (hold time expired) 0 bytes и пинг начинает проходить из vrf shaper1 до 172.16.0.1 по маршруту по-умолчанию core#ping vr shaper1 172.16.0.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 172.16.0.1, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 68/106/172 ms как можно сократить время падения BGP соседа до нескольких секунд? конфиг core: hostname core ! ip cef ! ip vrf shaper1 rd 1:1 route-target export 1:1 route-target import 1:2 route-target import 1:1 ! ip vrf shaper2 rd 1:2 route-target export 1:2 route-target import 1:1 route-target import 1:2 ! interface Loopback0 ip address 5.1.1.2 255.255.255.255 ! interface Loopback6 ip vrf forwarding shaper1 ip address 6.1.1.1 255.255.255.255 ! interface FastEthernet1/0 switchport mode trunk no ip address duplex full speed 100 ! interface Vlan1 no ip address shutdown ! interface Vlan2 ip vrf forwarding shaper1 ip address 2.2.2.2 255.255.255.0 shutdown ! interface Vlan3 ip vrf forwarding shaper2 ip address 3.3.3.2 255.255.255.0 ! router ospf 1 vrf shaper1 log-adjacency-changes network 2.2.2.0 0.0.0.255 area 1 network 10.0.0.0 0.255.255.255 area 1 ! router ospf 2 vrf shaper2 log-adjacency-changes network 3.3.3.0 0.0.0.255 area 2 network 10.0.0.0 0.255.255.255 area 2 ! router bgp 1 no synchronization bgp router-id 5.1.1.2 bgp log-neighbor-changes no auto-summary ! address-family ipv4 vrf shaper2 redistribute connected redistribute ospf 2 neighbor 3.3.3.1 remote-as 1 neighbor 3.3.3.1 activate no auto-summary no synchronization exit-address-family ! address-family ipv4 vrf shaper1 redistribute connected redistribute ospf 1 neighbor 2.2.2.1 remote-as 1 neighbor 2.2.2.1 activate no auto-summary no synchronization exit-address-family ! ip http server ip classless ip route 0.0.0.0 0.0.0.0 Vlan3 3.3.3.1 200 ip route vrf shaper1 0.0.0.0 0.0.0.0 Vlan3 3.3.3.1 200 ip route vrf shaper2 0.0.0.0 0.0.0.0 Vlan2 2.2.2.1 200 конфиг бордера: hostname border ! ip cef ! interface Loopback0 ip address 172.16.0.1 255.255.255.255 ! interface Loopback1 ip address 172.16.1.1 255.255.255.0 ! interface FastEthernet1/0 switchport mode trunk no ip address duplex full speed 100 ! interface Vlan1 no ip address shutdown ! interface Vlan2 ip address 2.2.2.1 255.255.255.0 ! interface Vlan3 ip address 3.3.3.1 255.255.255.0 ! router ospf 1 log-adjacency-changes network 2.2.2.0 0.0.0.255 area 1 network 3.3.3.0 0.0.0.255 area 2 default-information originate ! router bgp 1 no synchronization bgp log-neighbor-changes neighbor 2.2.2.2 remote-as 1 neighbor 3.3.3.2 remote-as 1 no auto-summary ! ip http server ip classless ip route 0.0.0.0 0.0.0.0 Loopback0

планируется 2 шейпера, и между ними по vrf анонсить разные default route при падении одного весь трафик должен пойти через другого

PPPoE нету, есть чистый ethernet да это и имелось в виду, хотел разделять примерно так: 10.0.0.0/9 в одну сторону и 10.128.0.0/9 в другую сторону буду смотреть в сторону vrf

имеется схема ps: на самом деле бордера 2 и на каждом full-view, на случай падения основного вопросы: * прожует ли циска 3560G трафик, если будет несколько Up link-ов (по 1G) * сможет ли распределять трафик на несколько шейперов к примеру route-map-ами (не сдохнет ли на потоках 500Мбит/с и более в полном дуплексе) * возможно ли сделать так, чтобы машруты для разных сетей приходили по разным виланам, реализуя это на iBGP между бордером и циской несколькими пирами, чтобы не использовать route-map приветствуется любая критика

это список тех, кто будет подвержен преобразованию NAT, т.e. выйдут в интернет access-list 1 permit 192.168.1.0 0.0.0.255 access-list 1 permit 192.168.2.0 0.0.0.255 тут указывается пул адресов куда будут натиться, пользователи access-list 1 ip nat pool net-20 171.69.233.208 171.69.233.223 netmask <netmask> 255.255.255.240 адрес один можешь сделать ip nat inside source list 1 interface FastEthernet0/0 [overload по желанию]

по первому: чтобы сначала выпустить инет, нужно настраить правильно NAT inside/outside вижу у нас указаны должно получиться нечто подобное ip nat pool net-20 171.69.233.208 171.69.233.223 netmask <netmask> 255.255.255.240 ip nat inside source list 1 pool net-20 ! interface Ethernet0 ip address 171.69.232.182 255.255.255.240 ip nat outside ! interface Ethernet1 ip address 192.168.1.94 255.255.255.0 ip nat inside ! access-list 1 permit 192.168.1.0 0.0.0.255 access-list 1 permit 192.168.2.0 0.0.0.255 если хотите банить по MAC: ACL создаются из серии <700-799> 48-bit MAC address access list, например access-list 700 deny 0800.2000.0000 0000.00FF.FFFF ну и на интерфейсе включается командой bridge-group 1 input-address-list 700 Насчет второго: policy-map вам в помощь

да с PBI нет проблем, настраивает раз и забывается.

имеется локальная сеть предприятия в пределах одного здания, присутствует 3 опорных распределительных пункта. в 2 опорных пунктах стоят 2 свича NORTEL Ethernet Routing Switch 2526T и в 3-м 3com E-net Baseline Switch 2250 Plus хочу все опорные пункты соединиться оптикой в кольцо (расстояние не более 300м), встатив во все свичи по 2 трансивера PLANET MGB-LX, тем самым увеличить скорость до 1Гб/с. оптический кабель будем прокладывать в здании, ориентировочно выбрал одномод - ОПН-ТОН-01-004А04-4,0 физическая схема сети логическая схема сети будет ли работать такая схема? где тут узкие места? какой оптический кабель можете посоветовать?

говорю это ppp acfc remote reject ppp pfc remote reject ppp acfc local forbid ppp pfc local forbid в конфиге все нормально, эти строки отображаются PFC (0x0702) - удаляется, а ACFC (0x0802) - нет может поэтому косяки (ACFC and PFC Handling During PPP Negotiation) хотя я же меняю эти параметры, такие они и должы применяться, значит гдето еще фича, которая блокирует ACFC, потомучто пробовал загружать такойже комфиг на другой такой-же роутер