yakuzzza

Да в общем-то флоу там не спасает положения, когда что-то из-под твоего нат лезет на ферму типа майлвру... И все вроде есть, вот только сессий в это время не одна, а пара сотен... Почему? Скажете: в указанное время с мейлру работало 300 абонентов из моей сети. И фловы отдавайте. Ну и не стоит забывать о том, что в 1 момент даже 1000 сессий, но у каждой будет свой SRC порт.

На тплинке включить НАТ. Включить порт-форвардинг. Как-то так: http://portforward.com/english/routers/por...-8800/eMule.htm http://www.zultrax.com/forward-port/tp-link-td-8800.htm PS: срочно научиться пользоваться Гуглом.

А вот вопрос. Чем плохо рубить входящие сессии? Думаю это самое правильное решение. Для пула под хомяков рубать весь вход. Надо порты - дополнительная услуга. Надо нат 1 в 1 - дополнительная услуга. Надо статик реалIP - допуслуга. Надо антивирус - допуслуга. Надо контент сканнер - допуслуга. Надо открыть смпт - выдать IP из пула, где не запрещены коннекты на 25 порт TCP. Вроде все логично.

Гнать с работы бригадира бригады, который документацию не ведет. Неужели сложно 1 раз пройти и нанести на карту? Гуглмапс и гаджет, определяющий ваше местоположение - все.

Этапять! Читал. Рыдал. Снимайте нахрен пока никого не убило ей богу.

to ivan999 Объясняю на пальцах еще раз тему про 2 нетфлова. Есть внешний интерфейс и внутренние интерфейсы браса. Предполагаем, что PPPoE/VPN/IPoE терминируем на этом брасе. Снимаем нетфлов статистику с внешнего интерфейса. В ней хранится src с нашими реальными IP и какой-то dst и то же самое наоборот. Снимаем стасистику с внутренних интерфейсов/интерфейса. В ней src нашего абонента с серым IP и dst какого-то ресурса сети Интернет. Самое главное - ответ на вопрос, как найти клиента с серым IP по src нашего браса (это наш некий реальный IP)? Берем затребованный реальный src - это src браса. Смотрим статистику нетфлов и ищем все, что касается нашего требуемого src. Получаем, что в 1 момент dst и по внешнему интерфейсу и по внутреннему - одинаковые. По этому признаку получаем кто из абонентов подключался в Интернет с использованием затребованного реального IP (это и есть интересующий src нашей сети). Здесь необходимо также иметь ввиду, что для однозначного определения абонента придется логгировать и выдачу серых IP-адресов, в случае использования динамического назначения IP-адресов для абонентов из пула серых IP. В случае привязки серого IP к абоненту статически такой необходимости нет. Это позволит отвечать на вопросы уполномоченных органов и не тратить деньги на PI-блоки. А уж какую вы политику подключения проводите у себя в сети не должно интересовать уполномоченные органы. Вы никаких стандартов не нарушаете. PS: реальных адресов на всех все равно не хватит, тем более с тенденцией массового внедрения AS+PI-блок даже у мелких провайдеров. Cisco/Juniper/Alcatel-Lucent/Ericsson и прочие вендоры не зря вышли с новыми продуктами на рынок, в которых реализован NAT на огромное количество сессий.

У самих 2 Эджа, но использоваться будут исключительно как Л2 агрегация. Л3 - только cisco. 3750G.

Если не секрет то в качестве чего? L3? А какие требования и исходгые данные? ACL? Протоколы маршрутизации? Количество вланов?

Да зачем тролю вилка!? Пусть жрёт руками! :) Пятничное на Наге ;)

+100500. Полностью поддерживаю.

Да, dst совпадает. А если они не говорят dst, только src ? : ) Троллите?! Включайте уже мозг же!

Смотрите, у вас есть исчерпаемый ресурс - реальные IP. У вас есть возможность вести нетфлов на внешнем интерфейсе и как правильно подсказали на внутренних. В случае прихода (гыгы) людей в черном вы просто отдаете 2 нетфлова - и пусть ***ся и сопоставляют. Если их и это не устроит - написать простецкий скрипт по отлавливанию соответствия внутреннего src и внешнего src по dst. Dst одинаковый же будет хоть на внешнем интерфейсе хоть на внутреннем.

Думаю там подскажут. http://ix.net.ua/specs.phtml

Вести 2 нетфлова?

И получите огромный ботнет это раз. Вирусы на компах клиентов(а виновать в этом будет конечно провайдер :)) - это два Увеличение трафика на аплинках -это три Это по минимуму А разве НАТ в таком случае панацея? Что мешает блокировать входящие TCP setup на клиентов? Что мешает правильно зафильтровать все? Да ничто и никто! На западе тыщи организаций с внутренними реальными IP и работают. И работают. Внимательнее надо будет работать - ага. Для реальников надо перестраивать инфраструктуру и смотреть в сторону ISG. Ведь до сих пор весь мусор и вирусня болталась внутри сети.

ja-ja.

Ноутбук - это "чисто прикол". ПО ориентировано на работу начиная с неттопов и miniITX матерей, с процессором Atom. То, что оно запустилось на ноутбуке - это просто весело. Практическая польза от этого не очень велика. Разве какой-либо оперативной службе это может пригодиться. О, понял.Как инструмент для диагностики. Типа пришел по просьбе проверить систему. Подключил - протестил.

никто про зарезание трекеров не говорит. речь о другом. весь p2p трафик, не классифицированный как "полезный" (пример полезного - skype), можно гонять в последнюю очередь, оставляя минимум полосы (например 10% от всего канала). Именно.

3750-Eесли не хотите 3750 - можно 3560-E серию - например Cisco Catalyst 3560E-12D - 12 X2 10 Gigabit Ethernet ports или Cisco Catalyst 3560E-12SD - 12 SFP Gigabit Ethernet ports and 2 X2 10 Gigabit Ethernet ports О, дякую, про Э-серию я и забыл. Еще раз спасибо.

Угу, и футбольное поле со стойками для СХД ;) По сути вопроса уже правильно сказали - расширять канал, жать p2p, можно ограничивать количество сессий на соединение. Я бы не рекомендовал прозрачный прокси, разве что с WCCP в связке. Но лучше нуегонафик. Всем они надоели в свое время.

Разве в 3750G есть 10G порты? Вроде как только в 3750X.

Где-то уже видел. Можно прилепить внешние винчестеры - тогда действительно получится правильно. Потому что за несколько лет эксплуатации стандартных видеосерверов с платой видеозахвата и аналоговыми камерами чаще всего летят винчестеры, блоки питания и ИБП. Ноутбук хуже обслуживать. Отсюда и решение на внешних винчестерах. А так вытянул из кармана проблемный винчестер, вставил новый, массив пошел синхронизироваться дальше и все (у нас на видеосерверах везде RAID1). Промышленное предприятие, штук 15 серверов, точно уже и не помню. Проходные как для людей так и грузовые.

dump + chflags nodump /path/to/dir. Для dump использовать 0 и более 0 (для инкрементного копирования) уровни dump. Потом можно еще и bzip2 -9.

Обогнал! +100500 ;)

Грусть в том, что ACL-а там нет. DHCP, которое там было (увы, оказалось, умеет всего 5k статиков, что мало и о чем везде умалчивается), убрано на *BSD. Если туда ещё ACL добавить... Боюсь, оно издаст адские вопли :) Вы не первый здесь, кто решается на DHCP сервис на активном оборудовании, а не на выделенном сервере. Почему так люди делают - мне до сих пор не понять. Неудобно, плохо администрируемо, тяжело отлавливаемо... Фу кароче ;)Вариант заменить железяку есть еще один: если вы покажете расчетные данные, когда бралось это конкретное железо и существующие данные будут показывать, что вы перешли за предел расчетных показателей - можно смело требовать замены оборудования. Но опять же, все должно быть аргументированно. У нас недавно скандал начался, мол SQL-сервер тормозит основной. Работу работать не успевают. Заткнули скандал просто: подняли документацию, где были приведены расчеты потребления памяти и нагрузки на дисковую подсистему и все. Прописано было до 500 одновременных пользователей максимум, сейчас 560-570 и полезли в своп. Ждем апгрейда. PS: а кто реально решился брать AT и под что, как по мне довольно специфичные и жуткие девайсы.