Oleg Gawriloff

До 9.10 обновляли? Было такое - в глобальных опциях named поставьте prefetch 0;

Таки интересует вопрос прошивки. Что в NetApp что в HP MSA2012. Есть рабочие решения? PS: Напрягает не стоимость, а срок поставки "фирменных" дисков. Хотя стоимость конечно тоже:)

Как порешали? Ибо действительно данная проблема существует. Трафик на 2/1 и 2/2 как по мегабитам так и по pps в два раза больше чем на 2/3,2/4,2/15,2/16. Единственное что есть в документации - это pppoe pado delay <delay-value, sec> Ежели поставить в 4 секунды, как влияет? Кто нибудь проверял?

А как вообще скорость поиска информации? К примеру типовая задачу - за сутки выделить трафик от/к одному ип адресу? К примере у нас с одного BRAS: gawriloff@albatros2 ~ $ du -xh /var/tmp/backup/flows/21-02-2013/rtr9 45G /var/tmp/backup/flows/21-02-2013/rtr9 Используем flow-tools-ng и там с этим все печально: time flow-cat /var/tmp/backup/flows/21-02-2013/ | flow-nfilter -b big -f filter.cfg -F client | flow-print -f 25 real 117m23.177s user 102m37.970s

Гмм. Все же можно ли пример. Т.е. хочется сделать примерно следующее: ipset create binat-clients hash:ip,port,ip ipset add binat-clients <внутренний IP A>,0,<внешний IP B> ipset add binat-clients <внутренний IP A1>,0,<внешний IP B1> А затем сделать что-нибудь вроде такого: -A POSTROUTING -m set --match-set binat-clients src -o vlan202 -j SNAT --to-source --match-set binat-clients dst

А собственно говоря где? ZTE ZXR10 2928-SI, Version: V2.0.12.S RFC1213-MIB::ifLastChange = No Such Instance currently exists at this OID В первый раз коробку без такого вижу.

Заработало по итогу? И такой вопрос: а как вы генерируете ACLи IX-TO/IX-FROM?

Работает. Огромное спасибо! [gawriloff@new-hawk ~]$ snmpwalk -c <> -v 1 c7206-testlab .1.3.6.1.4.1.9.9.150.1.1.3.1 SNMPv2-SMI::enterprises.9.9.150.1.1.3.1.2.1 = "" SNMPv2-SMI::enterprises.9.9.150.1.1.3.1.2.7149 = STRING: "TEST_TO_ETH3" SNMPv2-SMI::enterprises.9.9.150.1.1.3.1.2.7703 = STRING: "TEST_TO_ETH2" SNMPv2-SMI::enterprises.9.9.150.1.1.3.1.2.7713 = STRING: "TEST_TO_ETH" SNMPv2-SMI::enterprises.9.9.150.1.1.3.1.3.1 = IpAddress: 0.0.0.0 SNMPv2-SMI::enterprises.9.9.150.1.1.3.1.3.7149 = IpAddress: 10.3.151.202 SNMPv2-SMI::enterprises.9.9.150.1.1.3.1.3.7703 = IpAddress: 10.3.151.194 SNMPv2-SMI::enterprises.9.9.150.1.1.3.1.3.7713 = IpAddress: 10.3.151.190 SNMPv2-SMI::enterprises.9.9.150.1.1.3.1.4.1 = Gauge32: 0 SNMPv2-SMI::enterprises.9.9.150.1.1.3.1.4.7149 = Gauge32: 0 SNMPv2-SMI::enterprises.9.9.150.1.1.3.1.4.7703 = Gauge32: 0 SNMPv2-SMI::enterprises.9.9.150.1.1.3.1.4.7713 = Gauge32: 0 SNMPv2-SMI::enterprises.9.9.150.1.1.3.1.5.1 = INTEGER: 2 SNMPv2-SMI::enterprises.9.9.150.1.1.3.1.5.7149 = INTEGER: 2 SNMPv2-SMI::enterprises.9.9.150.1.1.3.1.5.7703 = INTEGER: 2 SNMPv2-SMI::enterprises.9.9.150.1.1.3.1.5.7713 = INTEGER: 2 SNMPv2-SMI::enterprises.9.9.150.1.1.3.1.6.1 = Gauge32: 0 SNMPv2-SMI::enterprises.9.9.150.1.1.3.1.6.7149 = Gauge32: 0 SNMPv2-SMI::enterprises.9.9.150.1.1.3.1.6.7703 = Gauge32: 0 SNMPv2-SMI::enterprises.9.9.150.1.1.3.1.6.7713 = Gauge32: 0 SNMPv2-SMI::enterprises.9.9.150.1.1.3.1.7.1 = OID: SNMPv2-SMI::zeroDotZero SNMPv2-SMI::enterprises.9.9.150.1.1.3.1.7.7149 = OID: SNMPv2-SMI::zeroDotZero SNMPv2-SMI::enterprises.9.9.150.1.1.3.1.7.7703 = OID: SNMPv2-SMI::zeroDotZero SNMPv2-SMI::enterprises.9.9.150.1.1.3.1.7.7713 = OID: SNMPv2-SMI::zeroDotZero SNMPv2-SMI::enterprises.9.9.150.1.1.3.1.8.1 = INTEGER: 0 SNMPv2-SMI::enterprises.9.9.150.1.1.3.1.8.7149 = INTEGER: 0 SNMPv2-SMI::enterprises.9.9.150.1.1.3.1.8.7703 = INTEGER: 0 SNMPv2-SMI::enterprises.9.9.150.1.1.3.1.8.7713 = INTEGER: 0

И что, у кого-то работает? У меня в этом случае все сервисы отдают с одним и тем же интервалом равным переданному в последний прогруженный сервис.

Не он (пусто возвращает): c7206-testlab>sh subscr sess Current Subscriber Information: Total sessions 1 Uniq ID Interface State Service Identifier Up-time 522 IP/Web-use authen Local Term TEST_TO_ETH 2d00h 524 Traffic-Cl unauthen Ltm Internal TEST_TO_ETH 2d00h 525 Traffic-Cl unauthen Ltm Internal 2d00h [gawriloff@new-hawk ~]$ snmpwalk -m ALL -c <password> -v 1 c7206-testlab .1.3.6.1.4.1.9.9.32 [gawriloff@new-hawk ~]$ В гугле пишут что никак по SNMP:( http://www.gossamer-threads.com/lists/cisc...a/110434#110434 Соотв. придется telnet/ssh туда лазить чувствую.

Авайи впрочем тоже:) Сначала их купил Люсент, а потом Алкатель прикупил Люсент. Так что теперь Alcatel-Lucent. :)

Это касается только VPN/VPDN соединений (PPPoE/PPTP/L2TP). В случае ISG там IPoE и в этих таблицах пусто: CISCO-AAA-SESSION-MIB::casnActiveTableEntries.0 = Gauge32: 1 CISCO-AAA-SESSION-MIB::casnActiveTableHighWaterMark.0 = Gauge32: 4 CISCO-AAA-SESSION-MIB::casnUserId.1 = STRING: CISCO-AAA-SESSION-MIB::casnIpAddr.1 = IpAddress: 0.0.0.0 CISCO-AAA-SESSION-MIB::casnIdleTime.1 = Gauge32: 0 seconds CISCO-AAA-SESSION-MIB::casnDisconnect.1 = INTEGER: false(2) CISCO-AAA-SESSION-MIB::casnCallTrackerId.1 = Gauge32: 0 CISCO-AAA-SESSION-MIB::casnNasPort.1 = OID: SNMPv2-SMI::zeroDotZero CISCO-AAA-SESSION-MIB::casnVaiIfIndex.1 = INTEGER: 0 CISCO-AAA-SESSION-MIB::casnTotalSessions.0 = Counter32: 236 CISCO-AAA-SESSION-MIB::casnDisconnectedSessions.0 = Counter32: 0

Проблема тут.Ибо по умолчанию если пакет попадает под шейпер то он реклассифицируется. Т.е. если посмотреть конфигурацию фильтра: lark ~ # tc filter add dev vlan40 parent ffff: protocol ip prio 50 u32 match ip src 0.0.0.0/0 police rate 128kbit burst 102400 lark ~ # tc -s filter show dev vlan40 parent ffff: protocol ip prio 50 filter u32 filter u32 fh 800: ht divisor 1 filter u32 fh 800::800 order 2048 key ht 800 bkt 0 terminal flowid ??? (rule hit 3 success 3) match 00000000/00000000 at 12 (success 3 ) police 0x3 rate 128000bit burst 100Kb mtu 2Kb action reclassify overhead 0b ref 1 bind 1 Если создать фильтр: lark ~ # tc filter add dev vlan40 parent ffff: protocol ip prio 50 u32 match ip src 0.0.0.0/0 police rate 128kbit burst 102400 action drop lark ~ # tc -s filter show dev vlan40 parent ffff: protocol ip prio 50 filter u32 filter u32 fh 800: ht divisor 1 filter u32 fh 800::800 order 2048 key ht 800 bkt 0 terminal flowid ??? (rule hit 2 success 2) match 00000000/00000000 at 12 (success 2 ) police 0x4 rate 128000bit burst 100Kb mtu 2Kb action drop overhead 0b ref 1 bind 1 Тогда в логах пусто.

Указывайте винде что бы не просила выдавать. Точнее выдавайте нулевой. option wpad code 252 = text; option wpad "\n\000";

Неправильный метод. Нужно выдавать клиенту плеер который умеет выбирать интерфейс в который посылать IGMP Join. IPTV Player либо ProgDVB.

На 2626 с прошивкой 10.83 корректно все работает. Обязательно наличие IGMP Querier/PIM на вышестоящем маршрутизаторе/коммутаторе. # Настройка: * vlan <номер клиентского влана> o ip igmp o no ip igmp querier # Проверка работы: * Конфигурация: sh ip igmp conf * Группы IGMP: sh ip igmp

Читать немного смешно. Гик вдруг проснулся и решил поучить окружающий мир. Начнем с цитаты наиболее характеризующей: >Но вот когда 95% населения тем или иным способом получат доступ в Сеть, начнется качественный скачок экономики. С чего бы это, откуда такой вывод? Возьмем к примеру Сингапур, где наибольшее проникновение. Скачок начался от того что 95% население получило доступ? © не верю! Или может 90, а может и совсем там и 70 или 60. Но судя по всему автор зациклился на так называемым "информационно развитых странах". Не в этом дело, совсем не в этом. Темы подняты правильные, но рецепты совсем не там.

С первого взгляда выглядит полезным (лучше чем всем заблокировать 25й порт), однако учитывая то что он должен стоять со всей обвязкой в виде кламава и спамассасина на нат-роутере , ибо в доках написано: TPROXY MODE Linux/netfilter tproxy module support. Not yet usable. не применим в боевых условиях.

Это я уже понял:) Но хотелось бы сначала все испробывать на текущем железе, а потом уже за правильным интелом бежать.

Обчитался дальше. barzog@vulture ~ $ sudo cat /proc/irq/58/smp_affinity 80 barzog@vulture ~ $ sudo cat /proc/irq/57/smp_affinity 02 Вместе с тем по: watch --interval=1 'grep eth /proc/interrupts' 57: 294495918 294403227 294377949 294186519 294390542 294218428 294270130 294257390 PCI-MSI-edge eth2 58: 337394724 337490992 337515441 337226090 337502025 337335655 337627845 337296327 PCI-MSI-edge eth3 Растут равномерно по всем ядрам, это значит что значения выставленные irqbalance не работают. Пишут что для bnx2 и моего чипа принудительно нужно выключать MSI тогда заработает. Не есть гуд. Попробую - результаты сообщу.

Вот результаты oprofile: CPU: Core 2, speed 1596 MHz (estimated) Counted CPU_CLK_UNHALTED events (Clock cycles when not halted) with a unit mask of 0x00 (Unhalted core cycles) count 100000 samples % symbol name 62686 6.5986 bnx2_poll_work 51522 5.4234 __nf_conntrack_find 49060 5.1643 ipt_do_table 46604 4.9058 bnx2_start_xmit 37870 3.9864 nf_conntrack_find_get 35114 3.6963 mwait_idle 34608 3.6430 ip_route_input 31911 3.3591 __hash_conntrack 30026 3.1607 dev_queue_xmit 28325 2.9816 connlimit_mt 25905 2.7269 fn_hash_lookup 19868 2.0914 skb_dma_unmap 18819 1.9810 skb_release_head_state 17069 1.7968 __alloc_skb 15981 1.6822 irq_entries_start 15226 1.6028 bnx2_msi 14985 1.5774 handle_edge_irq 13546 1.4259 __vlan_hwaccel_rx 12698 1.3366 memset_c 12430 1.3084 ip_forward Особого криминала здесь не вижу. Насчет привязки к CPU. Согласно доке оно работает только для IOAPIC. У меня сетевухи сидят на MSI. Оно вообще будет работать?

Раньше получила отлуп (NX NOT FOUND), теперь получают if-you-see-this-then-your-resolver-is-bad. тцдумп показал что это не атака, а вполне нормальные клиентские запросы на резолв реверса своих внутренних адресов. Просто их количество наводит на мысли что у них в сети явно что-то не так. Ладно, в принципе дальше понятно что делать.

Так резолвят то не имена, а ип адреса.

Как выяснилось было настроено в соотв. с https://www.isc.org/node/315. Сделал что бы отдавало левые адреса (с надеждой что клиенты ответы закешируют). Однако по графику ничего не изменилось:( Посмотрим еще сутки.Проанализировав тцпдампом трафик - явно завирусованные клиенты. Значит только обратным отзвоном. Идея насчет разнесения резолвера конечно правильная, но это вызовет либо смену ип адреса днсов у клиентов (которые этого не переживут), либо смену ип-адресов nsов для нашего хостинга днс, что терпимо в принципе, но не охота лезть. Работает то в принципе нормально.

Почему же непонятно. В свое время использовался Cisco CacheEngine с WCPP с 2х BRASов. Эффективность кеширования была 11%.Отказались из-за огромного геморроя с сайтам с неправильной авторизацией по связкам логин+ип. Т.е. в исключения их надоело вводить. С тех пор много воды утекло, может и починили:).