Перейти к содержимому
Калькуляторы

Gaspar

Пользователи
  • Публикации

    25
  • Зарегистрирован

  • Посещение

О Gaspar

  • Звание
    Абитуриент

Контакты

  • Сайт
    http://
  • ICQ
    0

Информация

  • Пол
    Мужчина

Город

  • Город
    Москва
  1. accel pptpd

    Ошибка в точности воспроизводится на двух разных серверах с одинаковым набором ПО. На одном igb: Intel® Gigabit Ethernet Network Driver - version 5.0.5-k На втором e1000e: Intel® PRO/1000 Network Driver - 2.3.2-k После первого падения подключили монитор - в трассировке много упоминаний nf_conntrack. Одна из последних строк - RIP __nf_conntrack_find_get+0x6f/0x2c0 [nf_conntrack] kdump ещё не отработал ни разу.
  2. accel pptpd

    Нагрузка большая? Почти никакой: 50 пользователей - 200 МБит/с, LA - 0.4. Поставил kdump и выключил TCPMSS --clamp-mss-to-pmtu, посмотрим.
  3. accel pptpd

    На днях поставил на новый сервер последний стабильный Debian 8.6 (jessie) (3.16.0-4-amd64) и accel-ppp из git-а. Собирал с -DCPACK_TYPE=Debian8 -DCMAKE_INSTALL_PREFIX=/usr -DSHAPER=TRUE -DRADIUS=TRUE Используется чисто для pptp + radius. Kernel panic раз в сутки-двое :)
  4. С DLink-ом бывали случаи, когда одна из функций или работала неправильно, или совсем не работала ;)
  5. Да, дополнительные правила у нас скорее для перестраховки. :) Спасибо! Включим в следующую версию ACL. config filter extensive_netbios all state enable Вот отрывок офф. документации на эту тему для DES-3526: И менее многословно из документации к DES-3200 Series: Точно, так красивей. Поправлю, спасибо.
  6. Вот пример нашей реализации: # 1. На абонентских портах делаем следующие настройки: # 1.1. Включаем DHCP Server Screening config filter dhcp_server ports 1-8 state enable # 1.2. Включаем обнаружение колец на портах абонентов # и выключаем на магистральных портах enable loopdetect config loopdetect recover_timer 1800 config loopdetect interval 10 config loopdetect ports 1-8 state enable config loopdetect ports 9-10 state disable # 1.3. Запрещаем STP трафик config stp version rstp config stp ports 1-8 fbpdu disable state disable # 2. Настраиваем ACL # 2.1. Создаем ACL типа ethernet в первой ячейке памяти # На всякий случай удаляем все ранее записанные правила delete access_profile profile_id 1 # Создаем профиль create access_profile profile_id 1 profile_name 1 ethernet source_mac FF-FF-FF-FF-FF-FF destination_mac FF-FF-FF-FF-FF-FF ethernet_type # В случае, если нужно заблокировать MAC абонента на порту # config access_profile profile_id 1 add access_id 1 ethernet source_mac D4-CA-6D-BE-1C-86 port 6 deny # Блокируем PPPoE Discovery config access_profile profile_id 1 add access_id 2 ethernet ethernet_type 0x8863 port 1-8 deny # Блокируем PPPoE Session config access_profile profile_id 1 add access_id 3 ethernet ethernet_type 0x8864 port 1-8 deny # Блокируем IPX config access_profile profile_id 1 add access_id 4 ethernet ethernet_type 0x8137 port 1-8 deny # Блокируем AppleTalk config access_profile profile_id 1 add access_id 5 ethernet ethernet_type 0x809B port 1-8 deny # Блокируем AppleTalk ARP config access_profile profile_id 1 add access_id 6 ethernet ethernet_type 0x80F3 port 1-8 deny # Блокируем IPv6 config access_profile profile_id 1 add access_id 7 ethernet ethernet_type 0x86DD port 1-8 deny # Блокируем IP Broadcast config access_profile profile_id 1 add access_id 8 ethernet destination_mac FF-FF-FF-FF-FF-FF ethernet_type 0x0800 port 1-8 deny # Разрешаем ARP config access_profile profile_id 1 add access_id 10 ethernet ethernet_type 0x0806 port 1-8 permit counter enable # Ограничиваем поток ARP трафика до 64 кБит/с config flow_meter profile_id 1 access_id 10 rate 64 rate_exceed drop_packet # 2.2. Создаем ACL типа PCF в третьей ячейке памяти # На всякий случай удаляем все ранее записанные правила delete access_profile profile_id 3 # Создаем профиль. Анализировать будем протокол, IP адреса отправителя и получателя, порт источника, порт назначения # offset_chunk_1 6 0x00FF0000 - протокол. Например, для udp значение = 11 # offset_chunk_2 7 0xFFFFFFFF - ip отправителя # offset_chunk_3 8 0xFFFFFFFF - ip получателя # offset_chunk_4 9 0xFFFFFFFF - порт источника / порт получателя create access_profile profile_id 3 profile_name 3 packet_content_mask offset_chunk_1 6 0x00FF0000 offset_chunk_2 7 0xFFFFFFFF offset_chunk_3 8 0xFFFFFFFF offset_chunk_4 9 0xFFFFFFFF # Блокируем DHCP Server config access_profile profile_id 3 add access_id 100 packet_content offset_chunk_1 0x00110000 mask 0x00FF0000 offset_chunk_4 0x0043 mask 0x0000FFFF port 1-8 deny # Блокируем DHCP Client config access_profile profile_id 3 add access_id 101 packet_content offset_chunk_1 0x00110000 mask 0x00FF0000 offset_chunk_4 0x0044 mask 0x0000FFFF port 1-8 deny # Блокируем NETBIOS Name Service (UDP 137) config access_profile profile_id 3 add access_id 102 packet_content offset_chunk_1 0x00110000 mask 0x00FF0000 offset_chunk_4 0x0089 mask 0x0000FFFF port 1-8 deny # Блокируем NETBIOS Datagram Service (UDP 138) config access_profile profile_id 3 add access_id 103 packet_content offset_chunk_1 0x00110000 mask 0x00FF0000 offset_chunk_4 0x008a mask 0x0000FFFF port 1-8 deny # Блокируем Microsoft-DS SMB file sharing (UDP 445) & Block Microsoft Naked CIFS,Microsoft-DS Active Directory, Windows shares (TCP 445) config access_profile profile_id 3 add access_id 104 packet_content offset_chunk_4 0x01bd mask 0x0000FFFF port 1-8 deny # Блокируем SSDP Discovery (UDP 1900) config access_profile profile_id 3 add access_id 105 packet_content offset_chunk_1 0x00110000 mask 0x00FF0000 offset_chunk_4 0x076c mask 0x0000FFFF port 1-8 deny # Блокируем Location Service (TCP 135) config access_profile profile_id 3 add access_id 106 packet_content offset_chunk_1 0x00060000 mask 0x00FF0000 offset_chunk_4 0x0087 mask 0x0000FFFF port 1-8 deny # Блокируем NETBIOS session service (TCP 139) config access_profile profile_id 3 add access_id 107 packet_content offset_chunk_1 0x00060000 mask 0x00FF0000 offset_chunk_4 0x008b mask 0x0000FFFF port 1-8 deny # Блокируем Microsoft Universal Plug&Play Discovery (TCP 2869) config access_profile profile_id 3 add access_id 108 packet_content offset_chunk_1 0x00060000 mask 0x00FF0000 offset_chunk_4 0x0b35 mask 0x0000FFFF port 1-8 deny # Блокируем Universal Plug and Play (TCP 5000) config access_profile profile_id 3 add access_id 109 packet_content offset_chunk_1 0x00060000 mask 0x00FF0000 offset_chunk_4 0x1388 mask 0x0000FFFF port 1-8 deny # Разрешаем трафик, отправленный из подсети 10.51.0.0/16 config access_profile profile_id 3 add access_id 150 packet_content offset_chunk_2 0x0A330000 mask 0xFFFF0000 port 1-8 permit # Разрешаем трафик, отправленный из подсети 10.87.0.0/16 config access_profile profile_id 3 add access_id 151 packet_content offset_chunk_2 0x0A570000 mask 0xFFFF0000 port 1-8 permit counter enable # Тут еще несколько наших подсетей # Блокируем остальной трафик config access_profile profile_id 3 add access_id 200 packet_content offset_chunk_2 0x00000000 mask 0x00000000 port 1-8 deny
  7. Есть у циско такая линейка свичей: Общее описание: http://www.cisco.com/en/US/prod/collateral/switches/ps5718/ps10898/data_sheet_c78-610061.html Линейка моделей: http://www.cisco.com/en/US/products/ps10898/prod_models_comparison.html Позиционируются как L3, но с ограниченным функционалом (Cisco Small Business). Но при детальном изучении документации оказывается, что они умеют почти все необходимое для уровня доступа, а именно Multicast TV VLAN Q-in-Q VLAN Dynamic Host Configuration Protocol (DHCP) Relay at Layer 2 Relay of DHCP traffic to DHCP server in different VLAN. Works with DHCP Option 82 STP Bridge Protocol Data Unit (BPDU) Guard STP Root Guard DHCP snooping IP/Mac/Port Binding (IPMB) SNMP и многое другое... При этом прайс аналогичный DLink DES-3200 Series В чем же подстава? Использовал ли кто-нибудь такое оборудование на уровне доступа?
  8. MikroTik CCR-1036

    Да это не я придумал, это так позиционируются данные процессоры. Судя по описанию, у них есть и общий кэш. Сталкивались когда-нибудь с индексацией баз данных? или с написанием шейпера с использованием хэшей? Можно, например, группировать все маршруты (FV+IX etc), и хранить в общем кэше индексы, ссылающиеся на блоки памяти, где уже будут части таблицы маршрутов покрупней. А если еще эти части раскидать в кэш каждого ядра, то может быть оно и будет быстрей. Это лишь один из вариантов, который сразу приходит на ум, и конечно не факт что рабочий :) Наверное, можно немного оптимизировать такую железку под передачу трафика и поиск по таблице маршрутов. Возможно, пофиксив известный баг с bgp заодно и оптимизировали работу протокола в целом. Но это всё надо проверять на практике. Достоверных данных у меня нет, да и у вас наверное тоже.
  9. MikroTik CCR-1036

    Если 1-2мс - не критично, учитывая то, каким именно образом мы хотим использовать этот микротик. Биржам услуги не предоставляем, а вот крупные банки есть в числе наших клиентов. Но если она даст +10 мс (что я видел в некоторых тестах, правда не в качестве asbr), то так дело не пойдет. xxxupg, спасибо за информацию, будем иметь в виду такое решение если не получится с CCR1036.
  10. MikroTik CCR-1036

    На любом софтроутере задержка будет больше чем у аппаратных решений, это и так понятно. Вопрос в том - на сколько? В абсолютных величинах и применительно к CCR1036-8G-2S+EM. Аналогично и с ппс - у разных софтроутеров разная производительность, интересует опять же конкретно 1036 в конкретной задаче (бордер). Просто предполагается, что в этом софтроутере используются процессоры, специализированные для целей передачи трафика, а значит и производительность такого решения по идее должна отличаться в лучшую сторону по сравнению с другими софтроутерами, построенными на процессорах общего назначения. Вот результат такого тестирования и представляет интерес.
  11. MikroTik CCR-1036

    А какая ОС на х86? Не микротик случаем? Вот и я слышал, что вроде как баг с бгп пофиксили. Но покупать железку за 40к чтобы в этом убедиться - не хочется. Мы тоже смотрим с портами сфп+. Даже если баг пофиксили, вопрос с пакетной производительностью и вносимой задержкой остается.
  12. MikroTik CCR-1036

    Как же засрана тема... Всякий оффтоп про х86, вайфай, болванки какие-то... и лишь иногда проскакивают сообщения о реальной производительности MikroTik CCR :) Мы давно смотрим в сторону этой железки как на вариант резерва аппаратных маршрутизаторов. О постоянном использовании в продакшене речи не идет, исключительно резерв на время, необходимое для замены. Интересует, сможет ли она держать порядка 10-ти бгп сессий (пиры, аиксы, несколько фуллвью) с общим количеством маршрутов около 1.6 млн при использовании только в качестве бордера. Количество трафика интересует хотябы 1-2 ГБит/с в одну сторону. Соответственно суммарная нагрузка трафиком будет 2-4 ГБит/с. Есть ли у кого-нибудь _реальный_ опыт эксплуатации такого решения в качестве бордера? Как быстро в этом случае обсчитываются таблицы, какова загрузка CPU? Сколько пролезает трафика?
  13. Туда я отписался, тоже вариант, конечно. Но тут можно не только продать, но и помочь коллегам из Москвы в покупке - во-первых новый товар они могут купить дешевле, а во-вторых - он уже в Москве, не надо платить за доставку из Екатеринбурга и ждать, пока приедет.
  14. Уважаемые коллеги! Мы купили себе в январе в магазине shop.nag.ru пару XFP модулей, а пока она ехала - пришлось заменить оборудование с переходом на SFP+. Модули так никуда и не вставлялись, лежат новые в родной упаковке, как пришли из Нага. Магазин обменять на другие отказался, говорят - можем оформить возврат только в случае неисправности. Поэтому продаем тут. Модули вот такие: Модуль XFP WDM, дальность до 40км (16dB), 1270нм Артикул: SNR-XFP-W73-40 1 шт. Модуль XFP WDM, дальность до 40км (16dB), 1330нм Артикул: SNR-XFP-W37-40 1 шт. Брали с учетом доставки до Москвы за 30+, продаем за 25 тысяч (за пару естественно). Всё официально, возможен безнал, можем выставишь счет. У нас есть свой курьер, можем отправить его к вам вместе с модулями. Или можете забрать самостоятельно в нашем офисе по адресу: г.Москва, Варшавское шоссе, 125, стр.1. Обращаться можно в noc@premier-gc.ru или по телефону +7 (910) 402-82-37 Пока вы видите данное объявление - товар не продан.
  15. Коллеги, кто успел скачать патч от dd, перезалейте пожалуйста. Оригинальная ссылка устарела, а попробовать хочется. Заранее спасибо.