dios

подделав адрес, ответ конечно не получит, но вот spoof атаку на соседнюю VDS это не помешает устроить статичные arp записи тоже не есть гуд - нужно еще маки в базе держать. К тому же при жестком биндинге mac, нужно предусмотреть тонкости при pxe загрузке по поводу Rp filter ЛС отписал

Понял. Спасибо, буду пробовать ставить. Недавно тестировал vpp, там proxy arp не помог. По поводу Reverse Path Filtering, у вас как от спуфа ip реализуется защита ? Или ожидать реализацию Reverse Path Filtering ?

Proxy arp немного не то. Он подойдет если вся подсеть терминируется на одном роутере. А если подсеть размазана по нескольким роутерам это уже не подходит. На циске например, если указать unnambered в vlan, то она на любой arp who-has из этого vlan отвечает хосту своим маком, тем самым заставляя хост отправить на себя пакет, а далее она уже отроутит по таблице маршрутов.

Скажите пожалуйста есть ли поддержка unambered vlan для VIF ? если да, то будет ли роутер отвечать на arp reply своим mac на все arp who-has ? Есть ли source-check для VIF во избежании подмены ip адресов ? Eсть ли шейпер для VIF ?

Требуется 2 лябды 10G либо волокно от Большая Академическая д44 кор 2 до MSK-IX 9 Предложения в личку

а все же вопрос bridge или router что больше пропускает pps если брать bsd - она больше в бридже пропускает

не излишне и не бесполезно core 2, 3.3 Ghz, 1333Mhz 80kpps 600 мегабит по отдельности нат и шейпер тестировал - все ок теперь пора в рабочий режим сразу 2 поставить вот думаю как лучше поставить в bridge или router

есть 2 ПК первый занимается шейпированием второй NAT мучает вопрос что выбрать bridge или router для каждого варианта судя по тестам http://www.mikc.ru/files/docs/tests_april_2009.pdf при включенном Firewall и Conntrack роутер производительней бриджа но может кто сталкивался ?? что посоветуете ???

спасибо разобрался что на бсд что на что на микротике все упирается в процессор и шину оптимальнее всего делать роутер так - на каждую сетевую интерфейс 1 ядро процессора частота процессора максимальная, шина максимальная

вопрос не в том на что переходить можно ведь и на бсд у меня когда роутер на бсд стоял em грузились под 100% . что только не оптимизировал - толку ноль там четко было видно как только на одним из em 100% начинаются затыки сделал шейпер на бсд в режиме бриджа и стал тянуть гораздо больше em щас 80% но собственно сейчас то я тестирую микротик такое ощущение что и бсд и линукс ( в том числе микотик) имея запас по cpu не успевают перебрасывать пакеты и по сути smp не помогает. если это так то вопрос почему из за чего они не успевают обрабатывать больше ???

собственно имеется роутер проц core 2.3 Gz 4 ядра просто роутинг 600 мегабит 60kpps занимает 20% cpu сделал шейпер ти очередей pcq - тоесть у меня 10 pcq очередей на входящий и 10 pcq очередей на исходящий каждая очередь настроена на свой адрес лист в котором куча IP адресов соответственно получается одинаковая скорость для всех IP в адрес листе пока pps находится до 50k pps все 600 мегабит пропускает и все отлично загрузка cpu 35% проблема в следующем - как только pps вырастает до более 60kpps - роутер начинает загибаться т меньше пропускать ммегабит (к примеру в этот момент свободно 100 мегабит а он больше 10 не пропускает) но самое интересное что при этом всем CPU не увеличивается и по прежнему равно 35% как только отключаю все очереди - все нормализуется и 600 мегабит при 80k pps идут на ура посдкажите в чем может быть дело и где узкое место