mlevel

Да, но судя по коду libalias остался нетронутым, и проблема именно в нём. Я просто не хочу отключать всё подряд на сетевой, так как она неплохо справляется и снижает нагрузку на CPU.

Хотелось бы прояснить несколько моментов по поводу ipfw kernel nat (libalias в FreeBSD) и аппаратного оффлоадинга TSO/LRO а так же контрольних сумм (RXCSUM, TXCSUM и VLAN_HWCSUM). Часто в конфигах в Интернете люди отключают всё это вместе на ВСЕХ интерфейсах. Но если верить man 8 ipfw, то: Значит отключать нужно только TSO и то, насколько я понимаю, только на том интерфейсе, где у нас NAT. Нигде не сказано что есть проблема с LRO. Или это подразумевается само собой? Так же, в NetworkPerformanceTuning наоборот рекомендуют включать аппаратные чексуммы: В свою очередь в коде (файл ipfw/ip_fw_nat.c) есть такой кусок: Но мне не совсем понятно что точно нужно отключить. Тут например в статье от 2009 года есть такое: Где же правда?

Есть четыре сервера и балансировка между ними через shared IP. Хотелось попробовать что за зверь такой, внимание привлек тот факт что он держит зону .eu Попробую еще NSD.

Несколько доменов для одного популярного веб-сайта.

Нужно держать несколько доменов, около 200к запросов в секунду суммарно.

А с BIND что не так? Сабж не прбовал. BIND медленный, а yadifa подкупил быстротой. http://www.yadifa.eu/benchmark

Здравствуйте. Кто-то пробовал yadifa.eu в качестве авторитарного DNS сервера? Пока поставил, поганял, нашел пару мелких багов и пока не до конца разобрался с настройкой DNSSEC там, но в общем работает. Интересует может кто уже пускал в продакшин, есть ли какие-то проблемы? Хочеться заменить BIND.

А зачем эта авторизация? Неужели выданного IP по option 82 недостаточно для авторизации клиента в сети? Ну например была гроза, поменяли свитч, переключили абонентов, забыли сверить порты и тд. Такая себе защита от ошибок монтажников.

Тоже планиурем переход на DHCP opt.82 + VLAN на коммутатор. Для себя придумал следующий сценарий: - Выдача IP-адреса по опции 82 (порту комутатора). - WEB-авторизация по логину и паролю персонального кабинета. - По-умолчанию если авторизации еще не было, то етому IP-адресу заблокирован доступ в фаерволе. - Если логин и пароль не совпадает с аккаунтом которому был выдан IP-адрес (IP-адрес берем из HTTP заголовков), доступ не разрешаем, репортим в тех. поддержку. - Если авторизация проходит успешно - разрешаем доступ в фаерволе. - На роутере (у меня FreeBSD) следим за сменой MAC-адреса для каждого IP-адреса (через ARP log или через MAC notification SNMP trap) и автоматически добавляем такие IP-адреса в таблицу для принудительной повторной WEB-авторизации.

А планируеться когда-нибудь написать документацию? Установил, полазил по веб-интерфейсу но так и не понял как настроить что-нибудь толковое.

Да, но они старые. Хочеться посмотреть что в новой версии, а развернуть негде. last modified on 27.06.2013

Сделайте пожалуйста демо-версию или хотя бы скриншоты.

Чтобы не создавать новую тему задам свой вопрос здесь. Есть линк между D-Link DGS-3610-26G и FreeBSD 9.2 Линк работает, но есть ли смысл сменить на FreeBSD lagghash только на l3? Так как получаеться miss-configuration. BORDER#show aggregatePort load-balance Load-balance : Source IP and Destination IP [#router:/usr/home]# ifconfig lagg0 lagg0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500 options=400b8<VLAN_MTU,VLAN_HWTAGGING,JUMBO_MTU,VLAN_HWCSUM,VLAN_HWTSO> ether a0:36:9f:16:d0:9c media: Ethernet autoselect status: active laggproto lacp lagghash l2,l3,l4 laggport: igb1 flags=1c<ACTIVE,COLLECTING,DISTRIBUTING> laggport: igb0 flags=1c<ACTIVE,COLLECTING,DISTRIBUTING>

Есть такой вариант - http://kea.isc.org/ Но пока сырой.

BIND10

Не знаю нюансов, но можно посмотреть как там Luigi реализовал ipfw и dummynet в netmap'e. Приблизительно сколько это займет времени и что по деньгам? Можно создать что-то типа проекта на Kickstarter.

Думаю отдельное приложение не актуально для небольших провайдеров. Действительно, лучше оптимизировать web-версию под мобильные платформы. P. S. Лично меня уже напрягает куча приложений в телефоне для любой мелочи.

Готов скинуться на новый NAT в FreeBSD с netmap. Нужно: 1) 10G 2) SMP 3) Round-robin NAT как в PF

Вот бы NAT допилили еще и L7 фильтр :)

Что-то не похоже на работу студии Лебедева. И в списке работ нет этого сайта.

Еще можете на Brocade NetIron MLX-4 или Brocade NetIron XMR 4000 посмотреть.

Ну так это Mikrotik CCR1036, или что-то другое? Оно хоть что-то из 4 пунктов которые написал ТС поддерживает?

Brocade NetIron CER-2024F-4X как вариант, разве что нет стека и нет MLAG (хотя Multi-Chassis Trunking может ето оно и есть).

UP

Поставьте внешнюю сетевую Intel дополнительно в свободный PCI-E слот и проблем не будет.