T_Igor

На тоже самом форуме делинка во времена бучи о самой хешевой глючности DES-3028, самими пользавателями форума даны правила борьбы с потерями изучении коммутатором маков: 1 исключать транзитный трафик и ставить на самый конец цепочки 2 максимально делить пользователей по вланам И получается что в таблице находится 10-15 маков в вилане управлении, и плюс по 24-х пар маков цыска-пользователь, каждая пара в своем вилане. И нет проблем. На дом отдельное волокно, в доме тоже все звездой, в целом такая схема больше приносит плюсов как пользователям, так и техподержке(в плане что можно расслабится)

Как вам удалось достичь таких результатов что у вас все постоянно виснит!!! Имеем в парке около тысячи всяких делинков и основном нам электрики то зжигают блоки питания то стирают прошивки, других проблем не наблюдаем. Заявленные в теме коммутаторы, их около двухсот, нам они нравятся своим размером и функционалом. Сеть построена по схеме влан на пользователя.

У нас несколько SNR-S2970G-24S кроме размера претензий нет, не в каждый ящик влезают - обрезать по глубине до длинковского размера - то вообще проблем бы не было. Правда в одном вентиляторы жужат требуют замены - будет ли возможность купить у нага вентиляторы для замены?

Такое подозрение а может быть что это так и есть - ip unnumbered фирменная технология CISCO, и у других вендоров вряд ли вы найдете, ну только у отъявленных китайских пиратов которые при производстве копируют кого хотят. И то вариант что будет ли работать как надо. Отраслевой стандарт это Super Vlan, но он по другому работает и по сравнению с ip unnumbered нет такой универсальности и гибкости. Смотрите в сторону Cisco Catalyst WS-C6500 с управляющим WS-SUP720-3B. Или Маршрутизатор Ericsson (RedBack) SE100 BRAS.

Путем экспериментального беганья по домам было доказано что Ваши настройки не всегда спасают от флуда устраиваемыми клиентами, зато выявлена закономерность что флуд и его разрушительные последствия ограничивается сегментом вилана. И поэтому сначала делили по районам, потом по домам, теперь чисто по абонентам. Про кучу аклов и про loopdetect, трафик сегментешен постепенно забываем если только где и остались в настройках то только мешают. Клиент флудящий сам звонит и тогда идем к нему разбираться с нетбуком. snarkу большое спасибо! Ведь когда-то учился по его публикациям на форуме Делинка.

Постепенно-постепенно приближаемся к VLAN-per-user, просто в DHCP с использованием опции 82 привязку сделать не к порту а к влану. В системе VLAN-per-user уже заложена защита от всякой дряни, штормов и она сама себя бережёт и лечит. И фильтрация если нужна - то только в центре.

У нас после перехода на VLAN-per-user отпала необходимость фильтровать на доступе, тех.поддержке стало легче - освободились от рутины. Да здравствует VLAN-per-user и ip unnumbered!

С 6509 (суп720-3b) на сервер прилетает вот в таком виде опт82 Option: (t=82,l=19) Agent Information Option Option: (82) Agent Information Option Length: 19 Value: 020C020A0000AC15C3010D0000000603383533 Agent Remote ID: 020A0000AC15C3010D000000 Subscriber ID: 383533 End Option Subscriber ID: 383533 - это влан 853 (т.е. 38 35 33 - перед каждой цифрой вставляется тройка) Сервер пропатченый под понимание подопции Subscriber ID, осталось правильно настроить классы и логирование: class "vlan853" { match if substring(option agent.subscriber-id, 0, 8) = "383533"; } # логирование if exists agent.remote-id and exists agent.circuit-id and exists agent.subscriber-id { if binary-to-ascii(16, 8, "", substring(option agent.remote-id, 2, 1)) = "0" { set switch-mac = concat("0", binary-to-ascii(16, 8, "", substring(option agent.remote-id, 2, 1)), ":" } else { set switch-mac = binary-to-ascii(16, 8, ":", substring(option agent.remote-id, 2, 6)); } set switch-addr = binary-to-ascii(10, 8, ".", packet(24, 4)); set switch-port = binary-to-ascii(10, 8, "", substring(option agent.circuit-id, 5, 1)); # set switch-port-vlan = binary-to-ascii(10, 16, "", substring(option agent.circuit-id, 2, 2)); set switch-port-vlan = substring(option agent.subscriber-id, 0, 8); log(info, concat("- Lease: ", binary-to-ascii(10, 16, ".", leased-address), " via IP: ", switch-addr, " (MAC: ", switch-mac, ") on port: ", switch-port, "in VLAN: ", switch-port-vlan)); } как правильно написать - в интернете примеров не нашел

Тоже столкнулся с этой проблемой - что вместо влана нули , не поделитесь опытом как вышли из ситуации?

А пример конфига в студию? :-) Ну для примера вот config access_profile profile_id 9 add access_id 1 ip destination_ip 0.0.0.0 port 1,3-9 permit priority 1 replace_priority replace_dscp 10 rx_rate 100 config access_profile profile_id 9 add access_id 2 ip destination_ip 0.0.0.0 port 2 permit priority 2 replace_priority replace_dscp 18 rx_rate 18 значение rx_rate умножаем на 64 и получаем значение скорости кбит/сек. Может кто другой способ подскажет Из всех других реализаций шейперов которые пробовал - на делинках получается очень легко и безпроблемно и четко режет по нужному адресу не затрагивая всю полосу пропускания. У нас сейчас на DGS-3612 заканчиваются профили и пока как ставить стопку делинков, более бюджетного варианта не вижу.

В длинке один символ забивается другим, а здесь вставляется перед символом белибирда.Ctrl + H работает. Спасибо за подсказку!

На старой прошивке висло один раз управление когда лазил с него телнетом на другие устройства, но сам он исправно коммутировал в этот момент. После этого как бы избегаю с него телнетом лазить. В пиках до 200 мегабит, а то и больше. Тормозов каких-то не замечено. Как говорил раньше просто агрегация оптики - все остальное или на доступе или в ядре. Да еще особеность cli или настройки терминальной сессии - ошибся не затереть, придется заново набирать команду.

У нас три штуки стоят как агрегация оптики - проблем можно сказать пока ни каких, просто надо учесть некоторые моменты: 1. Размеры. Ставим взамен DGS-3100-24TG и в ящиках где делинк чувствовал себя свободно SNR может не встать или в притирку. у нас получилось что пачкорды в сфп модулях прижимаются крышкой ящика. Естественно в этих узлах SNR придется заменять опять на длинк только уже DGS-3120-24SC, а в новых узлах будут естественно SNR с поправкой на размеры. 2. SNMP. с новой прошивкой которую прислала техподдержка допустим не увидеть таблицу маков - ограничено очень SNMP. Т.е. хотели приспособить к нашей автоматизации управления клиентами не получилось. В итоге все порты сделали транковыми и система автоматизации сама заходит телнетом на него и создает влан. Это является разрешением для прохода влана через комутатор без привязки к портам. Больше на нем ничего не городим -все остальное или выше на цисках или ниже на длинках.

Для это наверное потребуется L3 как минимум? да, какой-нить 3627G умеет резать скорость в разных направлениях по средствам ACL Много не нарежет - у него ограничение на 64 acl-а режущих скорость в одном профиле. Итого если 10 профилей то всего 640 acl-а

Абоненты нынче с претензиями всякими пошли - то надоело каждый раз пароль вводить, и в обще ихние мозги совсем другим забиты чтоб запоминать пароли или логины, а с настройками тоже война даже если это и ваш скрипт только надо запустить. Раньше в сети одни "хакеры" преобладали и проблем с настройками не вызывали, теперь масса с интеллектом не дальше пульта управления от телевизора но с гонором чтоб кнопочку к ним каждый раз приходить и нажимать.

Может быть банально на коммутаторах слетает таблица коммутации маков и они превращаются в хаб шлющий пакеты во все стороны? !!!На коммутерах стоит IP-Port-Mac-Binding... На всех. !!! - это не спасет - это вообще из другой оперы. И чем больше будет разрастаться сеть в таком виде тем больше у вас будет таких проблем. На хрена тогда придумали вланы, а если у вас влан управления, а бродкаст не сжирает у вас трафик, а знаете что глючная сетевая карта может положить вам всю сеть и где её искать в каком районе. Защитите свои коммутаторы вланом управления - чтобы клиенты и весь флуд который они генерят вообще не знали о их существовании - тогда они не будут пропадать. Поделите сеть на сегменты с помощью вланов и если что-то глючное попытается положить вам сеть то это ограничется только одним сегментом поэтому стремится нужно сначала к схеме влан на район, потом влан на дом, в идеале влан на пользователя. Если у вас в центре циска типа 3500 или 3750 то это все несложно сделать с помощью ip unnumbered не трогая настройки у клентов. После этого можно пойти спокойно спать.

Спасибо за методику! поротестил по методике - вот график вот отчет mtr igor:/home/igor/inbout# mtr www.yandex.ru --report --report-cycles=1000 HOST: igor Loss% Snt Last Avg Best Wrst StDev 1. ns1.trtvk.ru 0.0% 1000 0.3 0.3 0.1 3.7 0.2 2. vpn-44-1.trtvk.ru 0.0% 1000 0.4 0.4 0.2 6.4 0.2 3. 89.237.129.21 0.0% 1000 4.1 3.9 3.7 6.9 0.2 4. 217.150.62.70 0.0% 1000 4.0 7.2 4.0 194.6 20.2 5. Yandex-gw.transtelecom.net 0.0% 1000 29.6 29.5 29.5 36.0 0.3 6. toyota-vlan602.yandex.net 0.0% 1000 29.9 34.3 29.5 225.7 23.9 7. l3-s3000-s650.yandex.net 0.1% 1000 30.6 33.6 30.3 233.9 19.6 8. l3-s3200-s3000.yandex.net 0.0% 1000 30.6 33.5 30.4 229.5 19.0 9. www.yandex.ru 0.0% 1000 30.5 30.5 30.3 31.9 0.2 я так полагаю следующим этапом эти-же замеры в пик нагрузки?

У местного магистрального оператора расширили полосу со 110 до 220 mbit. При расширении изменилась топология канала - сначала был направлен на местный маршрутизатор, а с него по направлениям в сторону Москвы и в сторону Челябинска. Потом после расширения стала - сразу до Челябинска и там маршрутизируется уже на Москву. По тестам до Челябинска честные 220 mbit. Тестировали скачивая пустышки с сервера оператора, сам оператор генератором трафика показывал что все у вас каналом все окей. Но вот с Московского направления скорость стала хуже, клиентам расширили канал сначала в два раза потом еще в два раза - общая загрузка в среднем поднялась до 120-130mbit. Ну конечно если снять ограничения с торентов канал упрется в макушку. Простые пользователи жалуются что после расширения стало хуже. Подозрение что после Челябинска с кем то толкаемся в общем канале типа кто кого выдавит по приоритету. Утром когда канал менее нагружен тест скорости internet.yandex.ru показывает 20-25 mbit вечером 3-4mbit. Бороться с оператором, и как ему доказать что он не прав, или тюнинг ядра?

Когда у вас возникнет вопрос с техподдержкой - что она задолбалась ничего непонимающим клиентам бегать и настраивать доступ в интернет - возможно вы посмотрите в сторону vlan-per-user и ip unnumbered. Так ip unnumbered в AT нету. Освоить циску проще простого и к тому же это будет плюс к вашему портфолио.

Купили здесь на наге 6509 с 720-3b супом в замен нескольких 3700 и 3500 сразу решились проблемы с адресацией реальников или серых адресов любой адрес в любой влан

У нас как-то не прижились эти AT и сеть у нас стандартного образца - в ядре циски, на доступе - длинки и проблемы если возникают то они тоже стандарты - любой здесь на форуме или на форуме длинка ответит или достаточно воспользоваться поиском. Ну и свобода схем реализации доступа к интернету здесь какую хочешь - хочешь VPN, хочешь vlan-per-user или на дом, хочешь IMP или DHCP snopingi - пожалуйста все разжевано! У AT раньше полное L3 или какие-то фичи отдельно докупались, а так как у циско скачать новый иос и получить новые возможности от своего железа у них не было. С помощью присланного тебе техподдержкой кода генерация лицензий.

На все три значения ответ один: mib-2.17.4.3.1.2 = No Such Instance currently exists at this OID

snmpwalk -v 1 -c public 10.0.5.101 1.3.6.1.2.1.17.4.3.1.3 > 1.3.6.1.2.1.17.4.3.1.3

выбирал по 1.3.6.1.2.1.17 нету маков по этим конкретным - тоже одни нули!

да пожалуй - с консоли таблица arp тоже те же два мака, а таблица маков полная! Или есть какой-то специфический mib которого просто так не увидиш или прошивка не позволяет? по какому принципу через SNMP получаются маки как на циско сначала получаю таблицу вланов а потом каждый влан опрашиваю отдельно или можно одним махом все получить Мне нужно получить на каком порту светится такой-то мак.