packetizer

ebtables костыли уже :( я тут только собрался на него перетащить пару шлюзов, на чем L2 фаервол сейчас удобно и производительно сделать ?

То что вы хотите иногда называют local proxy arp, когда рутер отвечает своим MAC на ARP запрос в тоже самый сегмент откуда этот запрос пришел, поэтому и local. Должно работать вместе с private vlan или иной технологией ограничивающей обмен между абонентскими портами/vlan похожим образом. На Linux можно сделать с помощю ebtables, видел гдето примеры здесь или на сайте ebtables.

да тоже интересно

с PVLAN там вроде проблема с тем что аплинк порт на свиче тегированным быть не может, на недорогих свичаха так да можно испоьзовать но проблему с утилизацией реальных IP не решает

а я вот думаю нужен ли он, влан-на-юзера ? Он для чего нужен ? 1) Выдача реальных IPv4 которых мало, соответственно IP-unnumbered и /22 сетка реальников на агрегатор 2) Использование самых тупых свичей на доступе с 802.1q В остальном это костыль плюс зависимость от вендора. IPv6 уже вот-вот да и в самых тупых свичах доступа скоро будет все что нужно. так что думаю ближайшее будущее это IPv6 + свичи доступа с DHCP snooping + всякие гарды и контролы прямо на свиче доступа для чистки трафика, vlan на несколько домов, чтобы броадкаст домен был небольшим и все.

мудрО!А если клиентское устройство не использует локалку и не запрашивает сетевые реквизиты по dhcp за ненадобностью, а сразу устанавливает pppoe-соединение? Ведь для pppoe не требуется иметь IP-адрес, маршруты, dns и всё остальное, что сообщает dhcp. Кроме того, pppoe при соединении проходит авторизацию. Вы хотите, чтобы у всех был пустой логин-пароль? Или чтобы логин-пароль мог быть произвольным? да чтож вы все то учить пытаетесь а не ответить на вопрос? :)Мы реализовали на хорошей циски эту связку, смесл работы ее такой ---- (и это логика будет у нас работать) Клиент, воткнув кабель в комп посылает DHCP запрос, циска ловит этот запрос и поднимает нулевую сессию и отправляет (выдирая Для уникальности логина авторизации можно его делать из circuitId + remote-id) это на биллинг, если авторизация подтверждена то он гуляет в нете, если нет то его тупо релеет на какой нить хост (портал например) Так вот вопрос, можно ли это реализовать на MPD 2 Abram Это все что вы знаете о реализации isg на mpd ?? помоемому вам нужно стыдиться а не писать в подобные темы для помощи. Причем здесь mpd ? mpd это демон для организации различных ppp соединений, который поддерживает CoA, как и ISG в тунельном режиме То что вы описываете это IPoE c идентификацией по DHCP Opt82, ISG это тоже может

У вас везде ceil=rate, на первый взгляд дело в этом ceil должен быть > rate тогда класс сможет занимать полосу у родительского, если там есть свободная. Дочерний класс будет пытаться передавать данные на скорости ceil , насколько он агрессивно будет занимать занимать зависит от quantum.

Zenoss

Если речь идёт о сабже то интересно ваше впечатление - если не трудно отпишитесь какой функционал на него вы завесили и как он вам вообще .... интересно мнение других! своё мнение я выше уже высказал! Начал использовать его недвано для доступа, из функционала пока задействовано DHCP opt82 и DHCP ralay, ARP inspection, .1q, формат Circut-ID DHCP Opt82 совместим с Cisco Вроде все работает, есть небольшая проблема которую выше описал, попробую обновить софт. Рейт-лимит работает очень грубо, незаметно разницы между 20Mb и 40Мб при том и другом приложение (FTP) получает 2-3 Мб Рейт-лимит нельзя использовать совместно со штормконтролои на порту либо то либо другое. Планирую включить на нем маркировку входящего от абонента трафика пр dscp.

В сабже настроен DHCP relay + Opt.82 в режиме L3 ip dhcp relay enable ip dhcp relay address xx.xx.xx.xx ! ! interface vlan 100 ip dhcp relay enable ! ip dhcp snooping ip dhcp snooping vlan 100 ip dhcp information option ! interface ethernet e24 switchport mode access switchport access vlan 10 spanning-tree portfast ip dhcp snooping trust ! Заметил такую проблему, иногда на при обновлении DHCP аренды на сервер в запросе в поле GIADDR прилетает адрес 0.0.0.0 вместо адреса свича . Софт в свиче SW version 1.0.2 ( date 18-Nov-2008 time 12:38:16 ) Boot version 1.0.2 ( date 13-Nov-2007 time 14:11:51 )

сказав А скажите и Б :) как же сделать secondary на ip unnumbered ?

спасибо, понятно

Появилась необходимость давать в сегмент серые и реальные IP соответственно конструкции вида interface Vlan100 ip address 10.xx.xx.xx 255.255.255.128 ip address 71.yy.yy.yy 255.255.255.128 secondary свичинг между сетками 10.xx.xx.xx и 71.yy.yy.yy т.е. на одном интерфейсе может свалится в софтверный ? или еще какие неприятности

бывают. да и какая разница, грохнулось ядро или application, которое обрабатывает логику? эффект практически эквивалентен. то что упало ядро гостевой ОС эту ситуацию механизмы виртуализации научились распознавать и соответственно могут перезапустить гостевую ОС на другой ноде а вот если упал сервис внутри гостевой ОС тут и приехали, с точки зрания кластера виртуализации если работает гостевая ОС то все в порядке

насколько я знаю (могу и ошибатся) при использовании FT сбои ОС (типа BSOD или kernel panic) могут "воспроизводится" с одной ноды на другую, такая "замечательная" особенность поэтому все же HA, об консистентности данных пусть заботится приложение

Базу на iSCSI/FC сторадж а ОС виртуализировать и использовать средства вроде VMWare HA

unnumbered на Linux, както так ip addr add 10.10.0.254/32 dev lo ip route add unreachable 10.10.0.0/24 ip link set eth0 up vconfig add eth0 100 ip link set eth0.100 up ip route add 10.10.0.1/32 dev eth0.100 src 10.10.0.254 echo 1 >/proc/sys/net/ipv4/conf/eth0.100/proxy_arp vconfig add eth0 101 ip link set eth0.101 up ip route add 10.10.0.2/32 dev eth0.101 src 10.10.0.254 echo 1 >/proc/sys/net/ipv4/conf/eth0.101/proxy_arp

а что еще из его функционала используете ?

ну не сурикомами конечно, а искать рабочую лошадку с подходящей ценой, фичами и поддержкой нужно, до того как всплыла эта проблема с 3028 он был очень хорошим кандидатом на доступ практически в любой схеме

а у вас свич который собирает в Sub вланы в Super вланотдает Super c тегом или нет ?

Это в ebtables. спасибо, хорошее название :), и хороший пакет я уже посмотрел документацию по нему насколько я понял из описания только на том где нужен local proxy

в точку, что называется снимаю шляпу, незнал что так с iptables можно

По мотивам этой статьи VLAN на пользователя: архитектура и альтернативы захотелось провести небольшой эксперимент. только вместо L3 свича Linux box, как сделать Proxy ARP между сегментами понятно, а как скзать что пришедший ARP запрос на интерфейс нужно отправлять обратно в сегмент ?

вот такой модуль мониторинга окруж. среды использовали http://www.apc.com/products/resource/inclu...mp;tab=features там не только теппература еще влажность доступ по Telnet, SSH, SNMP есть программируемое реле, детали в описании хорошее пром. решение

Эпик файл. Не вижу на шкафах идентификаторов ряда шкафов и шкафа в ряду. Как идентифицировать межшкафовые соединения ?