Jump to content
Калькуляторы

dmvy

VIP
  • Content Count

    1417
  • Joined

  • Last visited

Everything posted by dmvy


  1. А какой смысл? Ну смотрит у вас 10 гбит на вход и на выход, 4 проца например, по 4 очереди на каждую сетевуху. Так вот, не будет балансировки , сетевуха , которая слушает pppoe , все свалится на одну очередь и забьет один cpu до 100процентов . Остальные будут курить . Только на выходе будет балансировать http://www.intel.com/support/network/adapter/pro100/sb/CS-027574.htm . Сколько процов , стольико и портов нужно делать. 4 проца , значит 4 порта. по 2 порта в аггрегацию. Каждый проц , будет обрабатывать свой порт. не соглашусь... современные карты (особенно x520) поддерживают несколько очередей. по умолчанию создается столько же очереей, сколько ядер в системе. после этого прерывания карточки раскладываются на все ядра. http://forum.nag.ru/forum/index.php?showtopic=81814&hl=soft&st=0 Но я за аппаратные решения BRAS - это не только железо, а еще и готовый софт.
  2. в ЧНН запустите mtr до внешнего ресурса. будет 100% и нформация, что дропы начинаются на стыке с вашим апстримом или наоборот, что не виноват и потери либо начинаются уже у вас, либо у конечного узла. поставьте в крон раз в 30 минут делать трассировку - будете видеть к тому же увеличение задержки - признак нахождения пакета в буфере коммутатора/маршрутизатора.
  3. вы хотите использовать ether type для qinq s-VLAN 0x8100? Да. Это возможно. т.е. чтобы проключить qinq на транзитных коммутаторах не обязательно его включать. достаточно включить jumbo и коммутировать как обычный vlan.
  4. Могу предположить, что коммутатора не нравится порядок опций в пакете или лишние опции. У нас было такое, когда для iptv приставок передавали дополнительные опции.http://forum.dlink.ru/viewtopic.php?f=2&t=152801&p=815145&hilit=address#p815145
  5. Route map или prefix нужно писать в address family ipv6
  6. Объясните, что вы продукте ip связность, а протоколы L4 уровня реализует ПО абонента или сервера где-то в интернете. Можно налить на них флуд 100мбит и в диспетчера задач на вкладке сеть увидят, что интерфейс утилизированы на 100%
  7. решение программное и для мультикаста я бы не советовал его применять. потери пакетов будут сильно влиять на качество картинки. надежнее делать такие штуки на wire-speed девайсах.
  8. И сколько же это займет дискового пространства? сколько попадет на интерфейс сервера, столько и будет на диске занимать (с условием, что tcpxtract увидит типы файлов, которые описываются у него в конфиге - для экономии можно что-то отключить). это некоторый аналог древнего givemetoo. но на самом деле wireshark тоже умеет на лету http захватывать и сохранять... правда он тяжелее и медленно работает.
  9. если в сети есть банально vlan и канал нужен точка-точка, то на крайних точках заварачивайте во внешний тэг, а на всех остальных коммутаторах проключайте как обычный vlan (не забыв включить jumbo frame). на агистрали можно даже выключить изучение мак-адресов в этом vlan. останется решить вопрос с резервированием и все...
  10. можно убрать аттенюатор. а вообще, проблема в настройке оборудования. конфиги в студию.
  11. TCPXTRACT(1) User Commands TCPXTRACT(1) NAME tcpxtract - extract files from captured network packets SYNOPSIS tcpxtract [OPTIONS] [[-d <DEVICE>] [-f <FILE>]] DESCRIPTION Valid options include: --file, -f <FILE> to specify an input capture file instead of a device --device, -d <DEVICE> to specify an input device (i.e. eth0) --config, -c <FILE> use FILE as the config file --output, -o <DIRECTORY> dump files to DIRECTORY instead of current directory --version, -v display the version number of this program --help, -h display this lovely screen не совсем элегантно, но сложит все html, картинки, архивы, видео по файлам. это по вопросу как разобрать трафик а отзеркалировать можно и на каком-нибудь d-link с Packet content filter.
  12. В момент авторизации абонента, не? Я думаю тут основной момент не авторизация как раз. А как так сделать чтобы в нормальном состоянии БРАС не слушал запросы с чужих вланов. Тут надо искать, пытаться, а может и отказаться. сессия инициируется по DHCP discovery. а его не будет, пока лиза не протухнет и соответственно связи у абонента не будет. Единственный выход - делать короткие лизы, чтобы максимум через 5 минут после failover одного браса абоненты подключились ко второму. альтернативный вариант сейчас есть у Ericsson non-dhcp-clips, где инициация сессии происходит по ip-пакету, но и здесь не все так просто (ощущения сессионности как в dhcp нет - все по timeout). Нужно согласиться, что в IPOE failover не так хорош, как в PPPoE или PPP. Но и не нужно на этом зацикливаться - у ipoe есть плюсы, которые это компенсируют!
  13. на BRAS интерфейс поднимется только после прохождения AAA. В зависимости от от ваших предпочтений можете дать белый адрес, можете дать серый и повесить NAT policy, а если на порту не должно быть абонента, то дайте ему серый адрес и перенаправление на заглушку, где предложить связаться с техподдержкой (вдруг монтажник/ремонтник переткнул в другой порт абонента). С DHCP легко наладить автоматическую привязку - достаточно у dhcp-сервера спросить кому сейчас выдан адрес с которого производится активация... Да никуда оно не ушло. Если вы сделали IPoE на пару десятков тысяч сабскрайберов, то это вообще ни о чём. В IPoE есть проблемы с резервированием брасов и перетеканием/балансировкой сессий, есть нюансы в dual-stack'е (которых нет в ppp, ибо v4 и v6 согласовывается в рамках одной и той же сессии) И кстати, DSL=PPP(oE) это стереотип. На DSL-е точно также можно делать IPoE (на некоторых дсламах можно сделать vlan-per-user, где-то есть и opt82). В SE можно авторизовать v4 и v6 в рамках одного SVID:CVID или mac-адреса на PVC и абонент по обоим протоколам получит один тариф и одно ограничение скорости. Резервирование можно сделать уменьшением времени лизы (на SE продление DHCP-сессии аппаратно происходит) вплоть до 5 минут.
  14. включать trace на авторизацию и pppoe. можно поискать changelog на разницу между версиями. а лучше остаться на 11.4 - для BRAS самая стабильная.
  15. Ищите мануалы по настройке работы радиуса с брусом. Уверен, что стандартные опции ответа радиуса.
  16. В таком случий все MAC адреса протащим по всей сети до БРАС-а? и пропускная способность БРАС-а должна быть соответствующая, т.е. получается дорого?. По ссылке я так понял что ASR1000 не умеет работать с L3 connected абонентов, а в случае L2 connected не должно быть проблем или я что не так понял? Касательно ASR9000 к сожалению не поддерживает учет трафика. Если будет много оптики, то сводить все в центр с узлов, которые делают заворот в SVLAN. Т.е. в пределах L2-аггрегирующего узла vlan'ы уникальные, а дальше в ябре уже не важно. Для транзита можно отключать mac-learning. Если планируется кольцо по городу с несколькими выходами в ядро, то лучше использовать MPLS. Таблица мак-адресов на современных коммутаторах достаточно большая - даже с запасом на коллизии. Предлагаю сделать звезду: В центре два X670 в стэке, к ним по два волокна с узлов аггрегации десятками SFP+ DGS-3420-28SC - их можно тоже в стэк ставить. А дальше уже кольца на DES-3200. Останется придумать план по распределению vlan в одном сегменте или кольце. У меня был опыт с DGS-3627G/DES-3200-28/SE100 3 года назад рисовал хитрую схему с адресацией вланов, в которой влан на порту формировался так: aabb, где aa - это последний октет ip-адреса, а bb - номер порта на коммутаторе (ограничение: 39 коммутаторов в кольце и до 99 портов на коммутаторе) или наоборот (тогда до 99 коммутаторов и до 38 портов на каждом - мы использовали не более 24-х портов модели). Второй бонус использования mgmt vlan default в том, что на 3627, где делали qinq при помощи double_vlan, мы приземляли управление кольцом и дальше по L3 отдавали в ядро. на кольце использовали функцию vlan_trunk, чтобы руками создавать на 3200 только те вланы, которые на нем присутствуют... [ipoe]core#sh subscribers TYPE CIRCUIT SUBSCRIBER CONTEXT START TIME -------------------------------------------------------------------------------- clips 2/3 vlan-id 37:333 clips 1 f8:1a:67:71:22:2b ipoe Nov 14 10:39:35 clips 2/3 vlan-id 38:311 clips 1 f0:7d:68:82:4a:0f ipoe Nov 14 10:39:35 clips 2/3 vlan-id 37:1633 clips f0:7d:68:82:53:b7 ipoe Nov 14 10:39:35 clips 2/3 vlan-id 40:1514 clips cc:b2:55:92:b1:d9 ipoe Nov 14 10:39:35 clips 2/3 vlan-id 33:619 clips 1 28:10:7b:ee:6d:e5 ipoe Nov 14 10:39:36 clips 2/3 vlan-id 31:1028 clips 64:70:02:62:0c:fb ipoe Nov 14 10:39:36 clips 2/3 vlan-id 36:212 clips 1 cc:b2:55:92:b5:1b ipoe Nov 14 10:39:36 clips 2/3 vlan-id 42:1014 clips 34:08:04:d2:d9:d5 ipoe Nov 14 10:39:36 clips 2/3 vlan-id 30:1033 clips f8:1a:67:49:32:e9 ipoe Nov 14 10:39:37 clips 2/3 vlan-id 33:305 clips 1 f8:1a:67:49:52:f1 ipoe Nov 14 10:39:37 clips 2/3 vlan-id 42:2122 clips 34:08:04:d5:30:81 ipoe Nov 14 10:39:37 clips 2/3 vlan-id 33:1809 clips 34:08:04:d2:d2:09 ipoe Nov 14 10:39:38 clips 2/3 vlan-id 31:1628 clips b8:88:e3:af:34:8c ipoe Nov 14 10:39:38 clips 2/3 vlan-id 40:523 clips 1 2c:41:38:5f:c8:2f ipoe Nov 14 10:39:38 clips 2/3 vlan-id 42:612 clips 1 a0:f3:c1:56:e4:f9 ipoe Nov 14 10:39:38 возьмем последний: vlan-id 42:612 верхний тэг 42: значит подсеть управления коммутаторами 10.4.42.0/24 нижний тэг 612 - это значит последний октет 12 и полный адрес коммутатора 10.4.42.12 а 6 означает номер порта. очень удобно! все конфиги генерируются скриптом только исходя из ip-адреса коммутатора. на брасе также скриптом генерируется портянка: port ethernet 2/3 no shutdown encapsulation dot1q dot1q pvc 30 encapsulation 1qtunnel dot1q pvc on-demand 30:102 service clips dhcp context ipoe dot1q pvc on-demand 30:103 service clips dhcp context ipoe dot1q pvc on-demand 30:104 service clips dhcp context ipoe dot1q pvc on-demand 30:105 service clips dhcp context ipoe dot1q pvc on-demand 30:106 service clips dhcp context ipoe dot1q pvc on-demand 30:107 service clips dhcp context ipoe dot1q pvc on-demand 30:108 service clips dhcp context ipoe dot1q pvc on-demand 30:109 service clips dhcp context ipoe dot1q pvc on-demand 30:110 service clips dhcp context ipoe dot1q pvc on-demand 30:111 service clips dhcp context ipoe ..... service clips dhcp context ipoe dot1q pvc on-demand 31:826 service clips dhcp context ipoe dot1q pvc on-demand 31:827 service clips dhcp context ipoe dot1q pvc on-demand 31:828 service clips dhcp context ipoe dot1q pvc on-demand 31:829 service clips dhcp context ipoe dot1q pvc on-demand 31:830 service clips dhcp context ipoe dot1q pvc on-demand 31:902 service clips dhcp context ipoe dot1q pvc on-demand 31:903 service clips dhcp context ipoe dot1q pvc on-demand 31:904 service clips dhcp context ipoe В приложении к посту альфа-версия такой конфигурации... ipoe.pdf
  17. в первую очередь нужен статичный белый ip-адрес. Более реально виднеется использование третьего сервера/маршрутизатора с белым адресом, куда будут подключаться оба клиента.
  18. ipoe через qinq с opt82 или vlanid:vlanid работает отлично в Ericsson SE (причем iptv-приставки можно по мак-адресу цеплять и садить на серые адреса с отдельным ACL для доступа только на middleware). Есть повод пересмотреть вендора. И с NAT на сколько я знаю у SE лучше.
  19. Вы и 5% функционала и возможностей me3600 использовать не будете, а платить за них придется. Сколько будет абонентов? Вместо PPPoE нужно использовать IPoE DHCP (встаил патч-корд и работай. или переключил патч-корд из компа в ноутбук и работай). Причем не обязательно делать opt82. Лучше сделать QinQ и авторизвать/выдавать адрес по vlanid:vlanid. Таким образом будет изумительная изоляция абонентов и централизация доступа.
  20. нахожу лишним deny ip any any по логике на next-hop будут уходить пакеты только те, которые попали под permit и никакие другие. deny не нужен. Вероятно он и нагрузил CPU.
  21. Делали pbr на данном железе. Порядка гигабита таким policy заворачивали. Так что нужно уметь готовить...
  22. для каждого клиента создаем цепочку (у вас же не 2000 пользователей). В -t mangle PREROUTING матчим их по dst ip и отравляем в свою цепочку. А внутри клиент сам себе рисует правила и обязательно ставит в конце либо ACCEPT, либо DROP. Самых толстых клиентов можно перемещать в начало основной цепочки.
  23. можно провести оптимизацию: использовать цепочки, чтобы пакет шел не по всем 2000 правилам, а предположим по количеству клиентов + максимальное количество правил для клиента
  24. в настройках можно отключить conntrack, но отключается ли он на самом деле - это надо проверять