dmitry_
Пользователи-
Публикации
56 -
Зарегистрирован
-
Посещение
Все публикации пользователя dmitry_
-
Чем организовать?
тему ответил в Megas пользователя dmitry_ в Программное обеспечение, биллинг и *unix системы
через ipset делайте будет и красивее в iptables и проще добавлять/удалять ip-ы из цепочек, +производительность не потеряете если будет несколько тысяч ip а теперь вопрос: у меня такая же схема работает для предупреждения о задолженности, на странице можно нажать кнопку "Продолжить" правило удаляется из ipset-a и пользователь продолжает ходить в сеть на странице запоминается куда абонент пытался достучаться (к примеру на ya.ru) и пытается переадресовать через php header("Location: ...") и вот тут или какой-то кэш или conntrack записи, помнят что была переадресация и по нажатию на кнопку "Продолжить" перекидывает опять на эту же страницу с кнопкой "Продолжить" (запоминается именно 1 адрес куда нужно переадресовывать), тут особенность если попытаться вручную открыть к примеру google.ru все уже успешно открывается никто не сталкивался с такой проблемой? -
tc filter максимум правил ?
тему ответил в martini пользователя dmitry_ в Программное обеспечение, биллинг и *unix системы
не пробовали, идем по схеме размножения шейперов, и деления нагрузки на каждый а у вас судя по нагрузке должен гиг 5-6 прожевать (на 10Г интерфейсе) -
tc filter максимум правил ?
тему ответил в martini пользователя dmitry_ в Программное обеспечение, биллинг и *unix системы
недавно нумерацию классов на hex числа перевел, т.к. может быть только 4 цифры (0xffff) а по теме, как видно: tc -s -d filter show dev eth0.38 parent 1:|grep filter|wc -l 10029 ядро 2.6.38.8 нагрузка на сервер 4хIntel® Core i5 CPU 760 @ 2.80GHz top - 23:00:10 up 1 day, 11:10, 1 user, load average: 0.12, 0.08, 0.06 Tasks: 72 total, 2 running, 70 sleeping, 0 stopped, 0 zombie Cpu0 : 0.0%us, 0.0%sy, 0.0%ni, 52.3%id, 0.0%wa, 0.0%hi, 47.7%si, 0.0%st Cpu1 : 0.0%us, 0.0%sy, 0.0%ni, 50.6%id, 0.0%wa, 0.0%hi, 49.4%si, 0.0%st Cpu2 : 1.1%us, 0.0%sy, 0.0%ni, 53.4%id, 0.0%wa, 0.0%hi, 45.5%si, 0.0%st Cpu3 : 1.1%us, 0.0%sy, 0.0%ni, 54.0%id, 0.0%wa, 0.0%hi, 44.8%si, 0.0%st трафика 700М/с у вас tc qdisc созданы на классы? какие quantum, burst, cburst ставите в классах? -
Nagios оповещение
тему ответил в roofut пользователя dmitry_ в Программное обеспечение, биллинг и *unix системы
через sudo попробуйте стартовать команды -
output buffer failures на cisco 3550
тему ответил в survivor пользователя dmitry_ в Активное оборудование Ethernet, IP, MPLS, SDN/NFV...
используется c3560-advipservicesk9-mz.122-46.SE.bin (скачивался с сайта циски) проверил, таких ошибок не было ни на одном порту трафику в разы больше пробуйте обновиться -
Сэмулировать много ospf-соседей
тему ответил в s.lobanov пользователя dmitry_ в Программное обеспечение, биллинг и *unix системы
xen (linux VM) + DYNAGEN-DYNAMIPS постоянно использую -
Соеденить 2+ входящих канала Интернет
тему ответил в foxtrot пользователя dmitry_ в Программное обеспечение, биллинг и *unix системы
тазик с мозгами -
Кто что думает про RPS/RFS в новом ядре linux?
тему ответил в ThreeDHead пользователя dmitry_ в Программное обеспечение, биллинг и *unix системы
все отлично работает и согласуется с irq affinit ставьте последние дрова для сетевухи, взять их можно на сайте intel-a убедитесь что загрузились и используются именно последние драйвера "ethtool eth0" я собирал так "make CFLAGS_EXTRA=-DCONFIG_E1000E_SEPARATE_TX_HANDLER install" потом делаю echo ffff > /sys/class/net/eth0/queues/rx-0/rps_cpus этой командой балансирую по всем ядрам у меня их 4 вместо ffff можно указать 2^№ядра ядро у меня -
Реально отшейпить 2 Гбит на новом железе?
тему ответил в SokolovS пользователя dmitry_ в Активное оборудование Ethernet, IP, MPLS, SDN/NFV...
Т.е. сервер с шейпером полностью прозрачен по L3 или я не правильно понял? Это даёт выигрышь по производительности? именно такую же схему используем, сетевуха такая же, остальное железо другоечерез бридж проходит ~55kpps также HTB шейпер с хэшами проц: Core2 Quad Q8400 @ 2.66GHz загрузка каждого ядра ~10% -
Господа! Покритикуйте немножко автоматизацию...
тему ответил в kazakru пользователя dmitry_ в Активное оборудование Ethernet, IP, MPLS, SDN/NFV...
да неплохая схема, минус только наверное в настройке абонов (+ наверное может быть несколько IP на порту), когда меняется порт, нужно чистить правила со старого и добавлять на новый -
Поделитесь свежим IOS-ом на 3560G
тему ответил в 911 пользователя dmitry_ в Активное оборудование Ethernet, IP, MPLS, SDN/NFV...
на сайте циски ios-ы для данной модели можно бесплатно скачать (предварительно зарегистрировавшись) недавно и сам обновил такую же модельку -
Gigabit в квартиру
тему ответил в N4cer пользователя dmitry_ в Активное оборудование Ethernet, IP, MPLS, SDN/NFV...
а варианты с GPON не рассматривали? -
Фрагментированные пакеты дропаются
тему ответил в dmitry_ пользователя dmitry_ в Активное оборудование Ethernet, IP, MPLS, SDN/NFV...
eth0 Link encap:Ethernet HWaddr 00:1b:21:58:65:7c inet6 addr: fe80::21b:21ff:fe58:657c/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:48034377038 errors:148 dropped:0 overruns:4320 frame:148 TX packets:49249749948 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:24583307601470 (22.3 TiB) TX bytes:41003923537309 (37.2 TiB) Memory:f7ca0000-f7cc0000 eth1 Link encap:Ethernet HWaddr 00:1b:21:58:65:7d inet6 addr: fe80::21b:21ff:fe58:657d/64 Scope:Link UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX packets:49627375397 errors:599 dropped:0 overruns:500677 frame:346 TX packets:47917000473 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:1000 RX bytes:41369800993374 (37.6 TiB) TX bytes:24444139983394 (22.2 TiB) Memory:f7ce0000-f7d00000 MTU стоят 1500 ping -l 1492 ya.ru -t с пингом до яндекса такая-же ситуация, на eth0 вижу, на eth1 пакетов уже нету -
имеется сетевуха Intel с 2-мя портами [ 1.092357] igb 0000:01:00.0: Intel(R) Gigabit Ethernet Network Connection [ 1.092359] igb 0000:01:00.0: eth0: (PCIe:2.5Gb/s:Width x4) 00:1b:21:58:65:7c [ 1.092433] igb 0000:01:00.0: eth0: PBA No: e43709-003 [ 1.092435] igb 0000:01:00.0: Using MSI-X interrupts. 4 rx queue(s), 4 tx queue(s) порты объединены в бридж shaper1 на интерфейсах стоят настройки: ethtool -k eth0 Offload parameters for eth0: rx-checksumming: on tx-checksumming: on scatter-gather: off tcp segmentation offload: off udp fragmentation offload: off generic segmentation offload: off large receive offload: off ethtool -k eth1 Offload parameters for eth1: rx-checksumming: on tx-checksumming: on scatter-gather: off tcp segmentation offload: off udp fragmentation offload: off generic segmentation offload: off large receive offload: off ethtool -k shaper1 Offload parameters for shaper1: rx-checksumming: on tx-checksumming: on scatter-gather: off tcp segmentation offload: off udp fragmentation offload: off generic segmentation offload: off large receive offload: off с eth0 приходит трафик, с eth1 уходит на uplink пытаюсь пинговать большими пакетами ping -l 1500 ya.ru -t на eth0 вижу пакеты на ya.ru 11:44:25.823916 IP 192.168.0.x > 213.180.204.3: ICMP echo request, id 1024, seq 11962, length 1480 11:44:25.823932 IP 192.168.0.x > 213.180.204.3: icmp на eth1 их уже нету, соответственно они где-то рубятся в чем может быть причина?
-
vrf резервирование
тему ответил в dmitry_ пользователя dmitry_ в Активное оборудование Ethernet, IP, MPLS, SDN/NFV...
разобрался, кому интересно, то в каждой vrf таблица должен быть интерфейс постоянный loopback к примеру далее на border в router bgp 1 добавил redistribute static для того чтобы мой статический маршрут по-умолчанию отдавался по бгп в случае падения одного из интерфейсов (vlan2, vlan3) ну и в бгп на обоих, для шустрости работы timers bgp 2 4 и все заработало как хотелось! -
vrf резервирование
тему ответил в dmitry_ пользователя dmitry_ в Активное оборудование Ethernet, IP, MPLS, SDN/NFV...
да timers bgp 2 4 вроде помогло -
имеется тестовая схема для объединения маршрутов 2-х таблиц, работает на core - bgp, он же и передает маршруты с core на border в случае падения одного из виланов с хоста core (с обоих vrf) пингуется IP 172.16.0.1 бордера (default gw) core#ping vr shaper1 172.16.0.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 172.16.0.1, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 20/57/100 ms core#ping vr shaper2 172.16.0.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 172.16.0.1, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 48/74/156 ms реально эти виланы (2, 3) будут идти по разным линкам между core и border для резервирования добавляю на core статические маршруты с большей метрикой ip route vrf shaper1 0.0.0.0 0.0.0.0 Vlan3 3.3.3.1 200 ip route vrf shaper2 0.0.0.0 0.0.0.0 Vlan2 2.2.2.1 200 пробую уложить один интерфейс vlan2 к примеру. таблица маршрутизации vrf shaper1 до падения: core#sh ip route vrf shaper1 Routing Table: shaper1 Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route Gateway of last resort is 2.2.2.1 to network 0.0.0.0 2.0.0.0/24 is subnetted, 1 subnets C 2.2.2.0 is directly connected, Vlan2 3.0.0.0/24 is subnetted, 1 subnets B 3.3.3.0 is directly connected, 00:20:43, Vlan3 6.0.0.0/32 is subnetted, 1 subnets C 6.1.1.1 is directly connected, Loopback6 O*E2 0.0.0.0/0 [110/1] via 2.2.2.1, 00:21:45, Vlan2 таблица маршрутизации vrf shaper1 после падения: core#sh ip route vrf shaper1 Routing Table: shaper1 Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route Gateway of last resort is 3.3.3.1 to network 0.0.0.0 3.0.0.0/24 is subnetted, 1 subnets B 3.3.3.0 is directly connected, 00:24:10, Vlan3 6.0.0.0/32 is subnetted, 1 subnets C 6.1.1.1 is directly connected, Loopback6 S* 0.0.0.0/0 [200/0] via 3.3.3.1, Vlan3 пинг из vrf shaper1 до 172.16.0.1 пропадает, хотя маршрут по-умолчанию есть vrf shaper2 продолжает работать нармально! core#ping vr shaper1 172.16.0.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 172.16.0.1, timeout is 2 seconds: ..... Success rate is 0 percent (0/5) спустя несколько минут появляются сообщения о падении БГП пира: *Mar 1 00:27:39.259: %BGP-5-ADJCHANGE: neighbor 2.2.2.1 vpn vrf shaper1 Down BGP Notification sent *Mar 1 00:27:39.259: %BGP-3-NOTIFICATION: sent to neighbor 2.2.2.1 4/0 (hold time expired) 0 bytes и пинг начинает проходить из vrf shaper1 до 172.16.0.1 по маршруту по-умолчанию core#ping vr shaper1 172.16.0.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 172.16.0.1, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 68/106/172 ms как можно сократить время падения BGP соседа до нескольких секунд? конфиг core: hostname core ! ip cef ! ip vrf shaper1 rd 1:1 route-target export 1:1 route-target import 1:2 route-target import 1:1 ! ip vrf shaper2 rd 1:2 route-target export 1:2 route-target import 1:1 route-target import 1:2 ! interface Loopback0 ip address 5.1.1.2 255.255.255.255 ! interface Loopback6 ip vrf forwarding shaper1 ip address 6.1.1.1 255.255.255.255 ! interface FastEthernet1/0 switchport mode trunk no ip address duplex full speed 100 ! interface Vlan1 no ip address shutdown ! interface Vlan2 ip vrf forwarding shaper1 ip address 2.2.2.2 255.255.255.0 shutdown ! interface Vlan3 ip vrf forwarding shaper2 ip address 3.3.3.2 255.255.255.0 ! router ospf 1 vrf shaper1 log-adjacency-changes network 2.2.2.0 0.0.0.255 area 1 network 10.0.0.0 0.255.255.255 area 1 ! router ospf 2 vrf shaper2 log-adjacency-changes network 3.3.3.0 0.0.0.255 area 2 network 10.0.0.0 0.255.255.255 area 2 ! router bgp 1 no synchronization bgp router-id 5.1.1.2 bgp log-neighbor-changes no auto-summary ! address-family ipv4 vrf shaper2 redistribute connected redistribute ospf 2 neighbor 3.3.3.1 remote-as 1 neighbor 3.3.3.1 activate no auto-summary no synchronization exit-address-family ! address-family ipv4 vrf shaper1 redistribute connected redistribute ospf 1 neighbor 2.2.2.1 remote-as 1 neighbor 2.2.2.1 activate no auto-summary no synchronization exit-address-family ! ip http server ip classless ip route 0.0.0.0 0.0.0.0 Vlan3 3.3.3.1 200 ip route vrf shaper1 0.0.0.0 0.0.0.0 Vlan3 3.3.3.1 200 ip route vrf shaper2 0.0.0.0 0.0.0.0 Vlan2 2.2.2.1 200 конфиг бордера: hostname border ! ip cef ! interface Loopback0 ip address 172.16.0.1 255.255.255.255 ! interface Loopback1 ip address 172.16.1.1 255.255.255.0 ! interface FastEthernet1/0 switchport mode trunk no ip address duplex full speed 100 ! interface Vlan1 no ip address shutdown ! interface Vlan2 ip address 2.2.2.1 255.255.255.0 ! interface Vlan3 ip address 3.3.3.1 255.255.255.0 ! router ospf 1 log-adjacency-changes network 2.2.2.0 0.0.0.255 area 1 network 3.3.3.0 0.0.0.255 area 2 default-information originate ! router bgp 1 no synchronization bgp log-neighbor-changes neighbor 2.2.2.2 remote-as 1 neighbor 3.3.3.2 remote-as 1 no auto-summary ! ip http server ip classless ip route 0.0.0.0 0.0.0.0 Loopback0
-
схема шейпинга
тему ответил в dmitry_ пользователя dmitry_ в Активное оборудование Ethernet, IP, MPLS, SDN/NFV...
планируется 2 шейпера, и между ними по vrf анонсить разные default route при падении одного весь трафик должен пойти через другого -
схема шейпинга
тему ответил в dmitry_ пользователя dmitry_ в Активное оборудование Ethernet, IP, MPLS, SDN/NFV...
PPPoE нету, есть чистый ethernet да это и имелось в виду, хотел разделять примерно так: 10.0.0.0/9 в одну сторону и 10.128.0.0/9 в другую сторону буду смотреть в сторону vrf -
имеется схема ps: на самом деле бордера 2 и на каждом full-view, на случай падения основного вопросы: * прожует ли циска 3560G трафик, если будет несколько Up link-ов (по 1G) * сможет ли распределять трафик на несколько шейперов к примеру route-map-ами (не сдохнет ли на потоках 500Мбит/с и более в полном дуплексе) * возможно ли сделать так, чтобы машруты для разных сетей приходили по разным виланам, реализуя это на iBGP между бордером и циской несколькими пирами, чтобы не использовать route-map приветствуется любая критика
-
Как настроить доступ в нет пользователям на 2801
тему ответил в cubespace пользователя dmitry_ в Активное оборудование Ethernet, IP, MPLS, SDN/NFV...
это список тех, кто будет подвержен преобразованию NAT, т.e. выйдут в интернет access-list 1 permit 192.168.1.0 0.0.0.255 access-list 1 permit 192.168.2.0 0.0.0.255 тут указывается пул адресов куда будут натиться, пользователи access-list 1 ip nat pool net-20 171.69.233.208 171.69.233.223 netmask <netmask> 255.255.255.240 адрес один можешь сделать ip nat inside source list 1 interface FastEthernet0/0 [overload по желанию] -
Как настроить доступ в нет пользователям на 2801
тему ответил в cubespace пользователя dmitry_ в Активное оборудование Ethernet, IP, MPLS, SDN/NFV...
по первому: чтобы сначала выпустить инет, нужно настраить правильно NAT inside/outside вижу у нас указаны должно получиться нечто подобное ip nat pool net-20 171.69.233.208 171.69.233.223 netmask <netmask> 255.255.255.240 ip nat inside source list 1 pool net-20 ! interface Ethernet0 ip address 171.69.232.182 255.255.255.240 ip nat outside ! interface Ethernet1 ip address 192.168.1.94 255.255.255.0 ip nat inside ! access-list 1 permit 192.168.1.0 0.0.0.255 access-list 1 permit 192.168.2.0 0.0.0.255 если хотите банить по MAC: ACL создаются из серии <700-799> 48-bit MAC address access list, например access-list 700 deny 0800.2000.0000 0000.00FF.FFFF ну и на интерфейсе включается командой bridge-group 1 input-address-list 700 Насчет второго: policy-map вам в помощь -
да с PBI нет проблем, настраивает раз и забывается.
-
имеется локальная сеть предприятия в пределах одного здания, присутствует 3 опорных распределительных пункта. в 2 опорных пунктах стоят 2 свича NORTEL Ethernet Routing Switch 2526T и в 3-м 3com E-net Baseline Switch 2250 Plus хочу все опорные пункты соединиться оптикой в кольцо (расстояние не более 300м), встатив во все свичи по 2 трансивера PLANET MGB-LX, тем самым увеличить скорость до 1Гб/с. оптический кабель будем прокладывать в здании, ориентировочно выбрал одномод - ОПН-ТОН-01-004А04-4,0 физическая схема сети логическая схема сети будет ли работать такая схема? где тут узкие места? какой оптический кабель можете посоветовать?
-
Cosco 871 PPPoE Client Problems
тему ответил в ntil пользователя dmitry_ в Активное оборудование Ethernet, IP, MPLS, SDN/NFV...
говорю это ppp acfc remote reject ppp pfc remote reject ppp acfc local forbid ppp pfc local forbid в конфиге все нормально, эти строки отображаются PFC (0x0702) - удаляется, а ACFC (0x0802) - нет может поэтому косяки (ACFC and PFC Handling During PPP Negotiation) хотя я же меняю эти параметры, такие они и должы применяться, значит гдето еще фича, которая блокирует ACFC, потомучто пробовал загружать такойже комфиг на другой такой-же роутер