pfexec

ну оно будет так течь и меняться еще N лет, а может и N-надцать лет. кто знает.по ссылке просто чьи-то ванильные фантазии, не более.

ммм... в данном случае не надо быть профессором семи пядей во лбу. прочитать пару примеров из документации может каждый.

вы так говорите, как буд-то "ариста" это нечто такое супер-пупер. а на деле то посредственная шляпа с маленьким количеством ACL, смешным количеством vrf и отсутствием route-leaking'а... вобщем тупая коробка для дц. может хоть vxlan'ы умеет для облаков и на том спасибо. а по сабжу, это все бесполезная трата времени. вы все так в ладошки хлопаете за кунилинукс на контрол-плейне с забагованной кваггой, что можно летсо ладошкой от массивного фейспалма разбить в кровь. что вам толку с этого опенсорца ? буд-то у каждого сидит батальон индусов, которым нечего делать, кроме как кот пейсать для опенсорца. btw, прокладка до asic'ов же все равно останется закрытой и все равно придется сопрягать чей-то интерфейс со своими скриптами, палками, камнями и костылями, не переставая это всё смазывать жиденьким. :) вобщем как обычно раздули из мухи слона. это не для крохоборов "сэкономить", это всё для больших ребят. ну относительно больших. всем желающим пожрать кунилинукса и всего подобного нужно найти больше достоинств в этой затеи чем "дешевле" и "ололо, да это жи опонсорц!".

охщи. позовите одмина уже или начните читать документацию. SHAME ON YOU !

почему сегментированный менеджмент это коряво, а растянутый на весь город плоский влан с бродкастами и прочим сифилисом - это типа отличное дизайнерское решение ? что стало с этим миром, ох. >.<

да нет там какой то избыточности. суп720 без дфц это всего лишь 30Mpps на коробку и 2х20Gbps на слот. в среднем по больнице это уже давно не выдающиеся характеристики. ввиду чего применять 65ые в современных реалиях сложно и неудобно, как раз из-за обилия архитектурных нюансов и довольно скромной производительности. но мелкая сеть она на то и мелкая сеть, что перед ней не стоят задач форвардинга многих 10Gbps, а скорее N Gbps. и тут вот 65ая нрм заходит и с небольшим даже запасом. а с учетом ее цены, так вообще пулей :) но, конечно, лепить в роутмап ацл из 100 тысяч записей не самая лучшая идея. но тут уже вопрос в дизайне сети, это вобщем-то не самая лучшая идея в любом случае. если кто-то думает что какая-нибудь 4948 с этим будет справляться лучше, то вы ошибаетесь. 49ые вообще отрыжка 45ых в 1RU. там роялей захоронено не меньше, они просто немножко другие. разве что новый 4500Х может чем-то хорошим отличаться, но лично я её в глаза не видел, а восторженных отзывов не слышал. :) там в начале темы автор приводит как раз "двойной" конфиг по всем модулям для 65. так что вполне ок. вообще, выбор должен стоять на мой взгляд не "бу 65" против "бу 3750/4948 + говно подешевле из новья", а "бу" против "адекватного нового". вот тут появляется смысл. но полумер ввиде "расширителей портов" быть не должно. хотите 53 хуавеи, пожалуйста. только не надо крохоборить, возьмите сразу 2-3 штуки и склейте в стэк. конечно, новое всегда будет лучше б/у, только если это новое не оемленый qtech'ом или кем-то еще китай :) ну и саппорт, хотя бы на первые пару лет купить таки стоит. потому что бывает, бывает пожрать такого говна, с которым кроме TAC'а вам никто не поможет.

звучит как нечто натянутое на глобус. сеть же маленькая, в чем проблема со сквозной нумерацией вланов ? :) жалко цифр наверно :) ну ок. :)

а кто-нибудь просветит зачем нужен qinq в пределах одного свитча в ядре ? я понимаю когда у тебя сеть на весь город и денег на mpls не хватило, вот ты и тянешь с агрегаций qinq от доступа, исключая селективом mgmt-vlan до свитча, а потом этот весь сифилис в бирасик втыкаешь и весь такой bng l2-connected, radius, black-jack...а в чем смысл здесь ?

стесняюсь спросить, а циску то вообще в глаза видел ? она же вся такая. то переподписка, то софтсвитчинг, то еще какая напасть. это же нормально. знать все грабли - это и значит "быть цискарём" :D единственный довод против 65ой - это электричество. но в россии оно а) дешевое, б) где-то вверху темы сказали что это не важно. остается еще один довод против - ее размеры. но если с местом проблемы нет, то огонь же. для маленькой сети как раз 65 ок, потому что не надо думать ни о шинах, ни о емкостях, ни о переподписках. это когда у тебя несколько десяток гигабит трафика в ядре, тогда да, надо сидеть и греть голову, потому что 65ой мало, а что-то приличное уже успело подорожать. а тут то что думать ? есть даже биллинги которые acl на 65ой правит для доступа в интернеты. там кстати tcam'а для acl как грязи в 65ой. он, конечно, не резиновый, но его вообще не мало. единственно qinq терминировать не умеет, но его любой свитч не умеет терминировать. но зачем qinq в пределах одного свитча, это, конечно, загадка. :)

не надо вестись на разговоры про кутек и иже с ними. 65ая нормальный вариант. во-первых все грабли с ней уже собрали, во-вторых много в интернетах информации по её архитектуре. да и найти мальчика, который уже собрал на ней все грабли, тоже просто. зато у вас фуллреданданс бандл. а все эти предложения "возьмите 4948 а рядом к ней илтекс" приведут к тому что вы возьмете этого всего в двойном комплекте. что вы тут выиграете по цене - вопрос. а вот натрахаться с резервированием такой схемы вполне получиться ок. ну и не экономьте на спичках, возьмите 67ые карты. ну и 65ую можно взять 6509, а не 06, чтобы остались слоты для "расширения". благо лайнкарты стоят не дорого и купить их не проблема. и все вышесказанное при всей моей нелюбви к 65/76 :) но уж лучше это, чем бутерброды из кутеков и илтексов. :)

если аплинк не шаражка из соседнего двора, то договориться не выйдет. никому не интересно возиться с оригинацией чужих префиксов и переписывать типовые политики на всех маршрутизаторах. тем более от того что кому-то западло заиметь еще один /24 блок.

/24 - минимальный блок для анонсов. успокойтесь уже с /25 и какими-то договоренностями с аплинками...

без интерконнекта или магии с одной автономкой вам жизни не будет, а с одним /24 на оба сайта точно не будет. купите у провайдера впн между сайтами или сами туннель сделайте на линковочных адресах. но желательно чтобы разница в rtt между сайтами была ничтожной. основная проблема это адресация. а вам ее в любом случае получать. автономку не проблема еще одну получить и с разными as без интерконнекта жить разительно проще, тем более когда понятия не имеете как это все работает. :)

никак, у вас свитч.свитчами такое не делается. а на маршрутизаторах это делается с соответствующими bras-фичами, что тоже не "тоже самое что думминет во фряшеньке". поставьте обратно писюк со фряшей и будет вам счастье. :) ps: ну и да, позовите одмина, он вам поможет :) pps: но вы можете натянуть его на глобус ubrl'ом, если где-нибудь что-нибудь у него не лопнет, - http://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst4500/12-2/53SG/configuration/config/qos.html#wpxref47605

ну тут на форуме где-то было про скат. так вот. он тоже на pf ring и потребление у него точно такое же как у нетмапа: часть процессорных ядер просто лежит в 100% на постоянной обработке.по сути своей и пфринк и нетмап работают одинаково. почему у вас так мало на пфринге, ответ видимо кроется в чем-то другом.

позовите админа, он вам поможет.

ничего страшного, оно у нас так полгода чтоли так стояло и ок :)

желательно чтобы свитч доступа был с пассивным охлаждением -> меньше проблем с перегревами, кулерами и прочим, а заодно и габариты у него меньше. не хотите делинки, берите cisco sbs (sf300, sg300, sg500, etc). есть еще eltex'ы отечественные, тот же марвелевский референс.

да, можешь. все современные клиенты идут с лицензией на два CPE, т.е. можно к одному клиенту в режиме базы прицепить максимум 2 других клиента. про буквы лучше читать на сайте производителя. а так у вас клиент MIMO в частоте 5ГГц с двумя передатчиками по 63mW каждый.

я про сервис модуль и сказал. про 14.2, да, все так: но использовать на продакшне 14.2R1 надо быть очень отважным.

вы вкурсе что /64 сетей в /48 65536 штук, а в /32 их больше 4 млрд. вы вообще представляете себе провайдера который подключит 4 млрд хомяков ? я вот как то не очень. у меня дома wifi и ethernet имеют разные сети, ничего особенного. из коробки так было. :) не вижу ничего в этом плохого.ну а вообще да, давать по /60 на абонента ок идея. надо запомнить.

ну да, zebos по списку заявленного выглядит неплохо. это современный тренд. есть juniper vMX, у циски наверно какой vASR. это тенденция :)

а в чем проблема автоматизировать этот процесс или вы руками каждому абоненту на активном оборудовании все прописываете ? учитывая что ip4 dhcp все равно знает и о маках, и о id портов и свитчей, какие проблемы использовать существующую информацию для генерации статикрутов на линклокал адреса ? и к тому же выдачу глобалскоп линковочных адресов все равно надо автоматизировать, тогда разница не сильно очевидна.ну а так можно и глобалскопы вешать, лишь бы не /64 маски были :) но by design вариант с линклокалами мне нравится больше. глупости. просто slaac работает на /64.

в чем проблема использовать линклокал в качестве адресов пира ? так то нет проблемы. но стыки для bgp проще делать на /127, это да. а для пользователей можно спокойно жить по линк-локал. их же адрес можно получить из мака и потом зарулить на него ipv6 блок /64 и пусть делают на своей CPE что хотят. оператору, LIRу, дается /32 (можно расширить до /29). /48 это минимально анонсируемый в интернеты блок и такого же размера выдаются PI блоки. /32 выдается только как PA и только для LIR.

у J нет аналога ip tcp adjust-mss из циски. для локального трафика можно сделать set system internet-options tcp-mss и т.п., для транзитного нужен стейтфул фаервол, который в сервис-модуле. если у вас в мх80 есть сервис-модуль, то можно сделать примерно так: вы бы получше подиагностировали. может быть у вас на транспорте где проблема. этот аджаст-мсс в современном мире нигде не стучит кроме впнов.