Oleg Gawriloff
-
Публикации
55 -
Зарегистрирован
-
Посещение
Сообщения, опубликованные пользователем Oleg Gawriloff
-
-
Таки интересует вопрос прошивки. Что в NetApp что в HP MSA2012. Есть рабочие решения?
PS: Напрягает не стоимость, а срок поставки "фирменных" дисков. Хотя стоимость конечно тоже:)
-
Наверное придется разбивать на группы по pvc. Сейчас на все 3 интерфейса заходит одинаковый набор pvc. Замечено что через MIC + SFP немного позже отвечает на PADI запросы чем через built-in порты.
Про 11.2.4 интересно. Как там с лицензированием для уже существующих обладателей? Слышал что всякие плюшки а-ля CG-NAT отдельно лицензируется.
Как порешали? Ибо действительно данная проблема существует. Трафик на 2/1 и 2/2 как по мегабитам так и по pps в два раза больше чем на 2/3,2/4,2/15,2/16.
Единственное что есть в документации - это pppoe pado delay <delay-value, sec>
Ежели поставить в 4 секунды, как влияет? Кто нибудь проверял?
-
[root@netflow ~]# du -sh /mnt/netflow/
15T /mnt/netflow/
Здесь нетфлоу нашего трафика с начала 2012 года. Внешний канал - десятка...
А как вообще скорость поиска информации? К примеру типовая задачу - за сутки выделить трафик от/к одному ип адресу?
К примере у нас с одного BRAS:
gawriloff@albatros2 ~ $ du -xh /var/tmp/backup/flows/21-02-2013/rtr9
45G /var/tmp/backup/flows/21-02-2013/rtr9
Используем flow-tools-ng и там с этим все печально:
time flow-cat /var/tmp/backup/flows/21-02-2013/ | flow-nfilter -b big -f filter.cfg -F client | flow-print -f 25
real 117m23.177s
user 102m37.970s
-
Гмм. Все же можно ли пример. Т.е. хочется сделать примерно следующее:
ipset create binat-clients hash:ip,port,ip
ipset add binat-clients <внутренний IP A>,0,<внешний IP B>
ipset add binat-clients <внутренний IP A1>,0,<внешний IP B1>
А затем сделать что-нибудь вроде такого:
-A POSTROUTING -m set --match-set binat-clients src -o vlan202 -j SNAT --to-source --match-set binat-clients dst
-
ifTable ifLastChange 1.3.6.1.2.1.2.2.1.9
А собственно говоря где? ZTE ZXR10 2928-SI, Version: V2.0.12.S
RFC1213-MIB::ifLastChange = No Such Instance currently exists at this OID
В первый раз коробку без такого вижу.
-
Заработало по итогу?
И такой вопрос: а как вы генерируете ACLи IX-TO/IX-FROM?
-
Работает. Огромное спасибо!
[gawriloff@new-hawk ~]$ snmpwalk -c <> -v 1 c7206-testlab .1.3.6.1.4.1.9.9.150.1.1.3.1
SNMPv2-SMI::enterprises.9.9.150.1.1.3.1.2.1 = ""
SNMPv2-SMI::enterprises.9.9.150.1.1.3.1.2.7149 = STRING: "TEST_TO_ETH3"
SNMPv2-SMI::enterprises.9.9.150.1.1.3.1.2.7703 = STRING: "TEST_TO_ETH2"
SNMPv2-SMI::enterprises.9.9.150.1.1.3.1.2.7713 = STRING: "TEST_TO_ETH"
SNMPv2-SMI::enterprises.9.9.150.1.1.3.1.3.1 = IpAddress: 0.0.0.0
SNMPv2-SMI::enterprises.9.9.150.1.1.3.1.3.7149 = IpAddress: 10.3.151.202
SNMPv2-SMI::enterprises.9.9.150.1.1.3.1.3.7703 = IpAddress: 10.3.151.194
SNMPv2-SMI::enterprises.9.9.150.1.1.3.1.3.7713 = IpAddress: 10.3.151.190
SNMPv2-SMI::enterprises.9.9.150.1.1.3.1.4.1 = Gauge32: 0
SNMPv2-SMI::enterprises.9.9.150.1.1.3.1.4.7149 = Gauge32: 0
SNMPv2-SMI::enterprises.9.9.150.1.1.3.1.4.7703 = Gauge32: 0
SNMPv2-SMI::enterprises.9.9.150.1.1.3.1.4.7713 = Gauge32: 0
SNMPv2-SMI::enterprises.9.9.150.1.1.3.1.5.1 = INTEGER: 2
SNMPv2-SMI::enterprises.9.9.150.1.1.3.1.5.7149 = INTEGER: 2
SNMPv2-SMI::enterprises.9.9.150.1.1.3.1.5.7703 = INTEGER: 2
SNMPv2-SMI::enterprises.9.9.150.1.1.3.1.5.7713 = INTEGER: 2
SNMPv2-SMI::enterprises.9.9.150.1.1.3.1.6.1 = Gauge32: 0
SNMPv2-SMI::enterprises.9.9.150.1.1.3.1.6.7149 = Gauge32: 0
SNMPv2-SMI::enterprises.9.9.150.1.1.3.1.6.7703 = Gauge32: 0
SNMPv2-SMI::enterprises.9.9.150.1.1.3.1.6.7713 = Gauge32: 0
SNMPv2-SMI::enterprises.9.9.150.1.1.3.1.7.1 = OID: SNMPv2-SMI::zeroDotZero
SNMPv2-SMI::enterprises.9.9.150.1.1.3.1.7.7149 = OID: SNMPv2-SMI::zeroDotZero
SNMPv2-SMI::enterprises.9.9.150.1.1.3.1.7.7703 = OID: SNMPv2-SMI::zeroDotZero
SNMPv2-SMI::enterprises.9.9.150.1.1.3.1.7.7713 = OID: SNMPv2-SMI::zeroDotZero
SNMPv2-SMI::enterprises.9.9.150.1.1.3.1.8.1 = INTEGER: 0
SNMPv2-SMI::enterprises.9.9.150.1.1.3.1.8.7149 = INTEGER: 0
SNMPv2-SMI::enterprises.9.9.150.1.1.3.1.8.7703 = INTEGER: 0
SNMPv2-SMI::enterprises.9.9.150.1.1.3.1.8.7713 = INTEGER: 0
-
И что, у кого-то работает? У меня в этом случае все сервисы отдают с одним и тем же интервалом равным переданному в последний прогруженный сервис.В RADIUS профиле сервиса можно отдавать:Acct-Interim-Interval=300 и cisco-avpair=subscriber:accounting-list=AAALIST соответственно аккаунтинг для каждого сервиса можно включать с определенным интервалом
-
попробуйте вот этим:
Не он (пусто возвращает):
c7206-testlab>sh subscr sess
Current Subscriber Information: Total sessions 1
Uniq ID Interface State Service Identifier Up-time
522 IP/Web-use authen Local Term TEST_TO_ETH 2d00h
524 Traffic-Cl unauthen Ltm Internal TEST_TO_ETH 2d00h
525 Traffic-Cl unauthen Ltm Internal 2d00h
[gawriloff@new-hawk ~]$ snmpwalk -m ALL -c <password> -v 1 c7206-testlab .1.3.6.1.4.1.9.9.32
[gawriloff@new-hawk ~]$
В гугле пишут что никак по SNMP:( http://www.gossamer-threads.com/lists/cisc...a/110434#110434 Соотв. придется telnet/ssh туда лазить чувствую.
-
hiller
Ну Nortel больше уже не существует, теперь это Avaya.
На счёт ***ков - несогласен)))
Авайи впрочем тоже:) Сначала их купил Люсент, а потом Алкатель прикупил Люсент. Так что теперь Alcatel-Lucent. :)
-
1) по какому OID и какой именно сессии вы хотите какую информацию получить? я нормально получаю небольшую инфу о конфигах PPP подключений, так-же, когда-то химичил, получал текущие TCP подключения, как именно - не помню, потому-что эта инфа для меня была неактуальной.
2) вы шейпите или полисите?
вот тут советую покопаться:
Это касается только VPN/VPDN соединений (PPPoE/PPTP/L2TP). В случае ISG там IPoE и в этих таблицах пусто:
CISCO-AAA-SESSION-MIB::casnActiveTableEntries.0 = Gauge32: 1
CISCO-AAA-SESSION-MIB::casnActiveTableHighWaterMark.0 = Gauge32: 4
CISCO-AAA-SESSION-MIB::casnUserId.1 = STRING:
CISCO-AAA-SESSION-MIB::casnIpAddr.1 = IpAddress: 0.0.0.0
CISCO-AAA-SESSION-MIB::casnIdleTime.1 = Gauge32: 0 seconds
CISCO-AAA-SESSION-MIB::casnDisconnect.1 = INTEGER: false(2)
CISCO-AAA-SESSION-MIB::casnCallTrackerId.1 = Gauge32: 0
CISCO-AAA-SESSION-MIB::casnNasPort.1 = OID: SNMPv2-SMI::zeroDotZero
CISCO-AAA-SESSION-MIB::casnVaiIfIndex.1 = INTEGER: 0
CISCO-AAA-SESSION-MIB::casnTotalSessions.0 = Counter32: 236
CISCO-AAA-SESSION-MIB::casnDisconnectedSessions.0 = Counter32: 0
-
Проблема тут.tc filter add dev eth3 protocol ip parent ffff: prio 5 u32 match ip src 192.168.51.126/32 police rate 10240kbit burst 1024k flowid :611Ибо по умолчанию если пакет попадает под шейпер то он реклассифицируется. Т.е. если посмотреть конфигурацию фильтра:
lark ~ # tc filter add dev vlan40 parent ffff: protocol ip prio 50 u32 match ip src 0.0.0.0/0 police rate 128kbit burst 102400
lark ~ # tc -s filter show dev vlan40 parent ffff: protocol ip prio 50
filter u32
filter u32 fh 800: ht divisor 1
filter u32 fh 800::800 order 2048 key ht 800 bkt 0 terminal flowid ??? (rule hit 3 success 3)
match 00000000/00000000 at 12 (success 3 )
police 0x3 rate 128000bit burst 100Kb mtu 2Kb action reclassify overhead 0b
ref 1 bind 1
Если создать фильтр:
lark ~ # tc filter add dev vlan40 parent ffff: protocol ip prio 50 u32 match ip src 0.0.0.0/0 police rate 128kbit burst 102400 action drop
lark ~ # tc -s filter show dev vlan40 parent ffff: protocol ip prio 50
filter u32
filter u32 fh 800: ht divisor 1
filter u32 fh 800::800 order 2048 key ht 800 bkt 0 terminal flowid ??? (rule hit 2 success 2)
match 00000000/00000000 at 12 (success 2 )
police 0x4 rate 128000bit burst 100Kb mtu 2Kb action drop overhead 0b
ref 1 bind 1
Тогда в логах пусто.
-
Указывайте винде что бы не просила выдавать. Точнее выдавайте нулевой.
option wpad code 252 = text;
option wpad "\n\000";
-
Неправильный метод. Нужно выдавать клиенту плеер который умеет выбирать интерфейс в который посылать IGMP Join. IPTV Player либо ProgDVB.
-
На 2626 с прошивкой 10.83 корректно все работает. Обязательно наличие IGMP Querier/PIM на вышестоящем маршрутизаторе/коммутаторе.
# Настройка:
* vlan <номер клиентского влана>
o ip igmp
o no ip igmp querier
# Проверка работы:
* Конфигурация: sh ip igmp conf
* Группы IGMP: sh ip igmp
-
Читать немного смешно. Гик вдруг проснулся и решил поучить окружающий мир. Начнем с цитаты наиболее характеризующей:
>Но вот когда 95% населения тем или иным способом получат доступ в Сеть, начнется качественный скачок экономики.
С чего бы это, откуда такой вывод? Возьмем к примеру Сингапур, где наибольшее проникновение. Скачок начался от того что 95% население получило доступ? © не верю! Или может 90, а может и совсем там и 70 или 60. Но судя по всему автор зациклился на так называемым "информационно развитых странах". Не в этом дело, совсем не в этом.
Темы подняты правильные, но рецепты совсем не там.
-
Кто-нить ставил ?
С первого взгляда выглядит полезным (лучше чем всем заблокировать 25й порт), однако учитывая то что он должен стоять со всей обвязкой в виде кламава и спамассасина на нат-роутере , ибо в доках написано:
TPROXY MODE Linux/netfilter tproxy module support. Not yet usable.
не применим в боевых условиях.
-
Не желательно очень на серверах использовать сетевухи broadcom. У меня 150 kpps и проблем нету, на Gentoo vanilla-2.6.27, стоит две сетевухи intel, прибита каждая к отдельному ядру, а на остальных запущен irqbalance, там в его конфигурации можно исключить определенные прерывания и процессоры (ну в смысле ядра).
Это я уже понял:) Но хотелось бы сначала все испробывать на текущем железе, а потом уже за правильным интелом бежать.
-
будет
Обчитался дальше.
barzog@vulture ~ $ sudo cat /proc/irq/58/smp_affinity
80
barzog@vulture ~ $ sudo cat /proc/irq/57/smp_affinity
02
Вместе с тем по: watch --interval=1 'grep eth /proc/interrupts'
57: 294495918 294403227 294377949 294186519 294390542 294218428 294270130 294257390 PCI-MSI-edge eth2
58: 337394724 337490992 337515441 337226090 337502025 337335655 337627845 337296327 PCI-MSI-edge eth3
Растут равномерно по всем ядрам, это значит что значения выставленные irqbalance не работают. Пишут что для bnx2 и моего чипа принудительно нужно выключать MSI тогда заработает. Не есть гуд. Попробую - результаты сообщу.
-
Запустите perf top (tools/perf в исходниках ядра) и посмотрите что там сверху. У вас правил в iptables не сильно много?
Вот результаты oprofile:
CPU: Core 2, speed 1596 MHz (estimated)
Counted CPU_CLK_UNHALTED events (Clock cycles when not halted) with a unit mask of 0x00 (Unhalted core cycles) count 100000
samples % symbol name
62686 6.5986 bnx2_poll_work
51522 5.4234 __nf_conntrack_find
49060 5.1643 ipt_do_table
46604 4.9058 bnx2_start_xmit
37870 3.9864 nf_conntrack_find_get
35114 3.6963 mwait_idle
34608 3.6430 ip_route_input
31911 3.3591 __hash_conntrack
30026 3.1607 dev_queue_xmit
28325 2.9816 connlimit_mt
25905 2.7269 fn_hash_lookup
19868 2.0914 skb_dma_unmap
18819 1.9810 skb_release_head_state
17069 1.7968 __alloc_skb
15981 1.6822 irq_entries_start
15226 1.6028 bnx2_msi
14985 1.5774 handle_edge_irq
13546 1.4259 __vlan_hwaccel_rx
12698 1.3366 memset_c
12430 1.3084 ip_forward
Особого криминала здесь не вижу. Насчет привязки к CPU. Согласно доке оно работает только для IOAPIC. У меня сетевухи сидят на MSI. Оно вообще будет работать?
-
Кстати, что он получали в ответ на PTR 1.1.16.172.in-addr.arpa ? Часом ли не 500 байтный набор рутовых серверов + все их A записи ? Как вариант может оказаться развитием атаки с многократным увеличением трафика: Запросы идут из другого места, SRC идут для провайдера, на которого флудят, и Вы уже туда отвечаете. запрос на полста байт, ответы на 500. А то многие взялись фильтровать запрос NS .
Хотя не похоже конечно, больше таки похоже на то, что ресолвер стоит Ваш, а клиент уже не Ваш.
А запросы то от них, кроме PTR есть ? тогда что они получают на A www.microsoft.com ? Если не A запись, , то как они пользуются интернетом ? А если www.microsoft.com уже есть в кеше то что ? если запретить allow recursion но не allow query то из кеша ответы они получат, при большом кеше даже интернет будет интернетить более - менее сносно.
И вообще правильнее было бы вообще не отвечать. Даже ошибкой. На любой запрос снаружи, кроме запроса явно прописанных зон, для которых мы NS.
Раньше получила отлуп (NX NOT FOUND), теперь получают if-you-see-this-then-your-resolver-is-bad. тцдумп показал что это не атака, а вполне нормальные клиентские запросы на резолв реверса своих внутренних адресов. Просто их количество наводит на мысли что у них в сети явно что-то не так. Ладно, в принципе дальше понятно что делать.
-
А ведь можно отдавать левый адрес своего вебсервера, и выдавать всем завирусованым клиентам ошибку ВИРУС и много инструкций+теелфон поддержки. Тогда не надо будет отзванивать, сами позвонят.
Так резолвят то не имена, а ип адреса.
-
Как выяснилось было настроено в соотв. с https://www.isc.org/node/315. Сделал что бы отдавало левые адреса (с надеждой что клиенты ответы закешируют). Однако по графику ничего не изменилось:( Посмотрим еще сутки.Левые конечно давайте, пусть спрашивают :)Проанализировав тцпдампом трафик - явно завирусованные клиенты. Значит только обратным отзвоном.
Идея насчет разнесения резолвера конечно правильная, но это вызовет либо смену ип адреса днсов у клиентов (которые этого не переживут), либо смену ип-адресов nsов для нашего хостинга днс, что терпимо в принципе, но не охота лезть. Работает то в принципе нормально.
-
Почему же непонятно. В свое время использовался Cisco CacheEngine с WCPP с 2х BRASов. Эффективность кеширования была 11%.Кеширвание web трафика не считал ибо неопнятно как. Это если вдруг кто будет приводить "реальные" % попадания в кеш действующих систем, а они как мне изветсно кешируют и web и p2p.Отказались из-за огромного геморроя с сайтам с неправильной авторизацией по связкам логин+ип. Т.е. в исключения их надоело вводить. С тех пор много воды утекло, может и починили:).
Новый Named, роутеры не могут ресолвить DNS
в Программное обеспечение, биллинг и *unix системы
Опубликовано · Жалоба на ответ
До 9.10 обновляли? Было такое - в глобальных опциях named поставьте prefetch 0;