tartalaran

Подскажите, как часто надо резолвить запрещенные домены на предмет смены IP?

Ковыряюсь с keepalived. 2 сервера маршрутизируют и натят в паре. И внешний и внутренний интерфейсы под keepalived'ом. Пару раз в минуту происходит не санкционированное переключение на бакапный сервер и обратно, в логи ничего не пишется. Есть догадки, что бакапный сервер за каким-то делом лезет в инет, в результате чего арп-запись на аплинке меняется, дальше он начинает слать поток уже на бакапный сервер. Тот в свою очередь получив трафик шлет его дальше, тем самым обновляя арп-запись уже на нижестоящем маршрутизаторе. И так, пока основной сервер не отправит что-либо в инет. Т.е., получается, что keepalived только предотвращает arp-ответы, но сам интерфейс остается рабочим. Я прав?

Придется вскрывать и припаивать провода с молексом, наверное, или каким другим разъемом. Альтернативы пока не вижу. hRUst,vurd Всем спасибо за помощь!

Необходимо запитать коммутаторы на доступе (длинки 3028). Планирую использовать стандартные 2-3х амперные блоки бесперебойного питания, которые используются в пожарной и охранной сигнализации, в комплекте с 7Ач аккумуляторами (РАПАН-20, СКАТ-1200 и тд.). Смущает выходное напряжение, которое при питании от сети составляет 13.5—14.0, от аккумулятора 9,5—13,5. Выдержат ли коммутаторы напряжение в 14 вольт? Есть у кого положительный или отрицательный опыт эксплуатации?

Насчет отсутствия src-based роутинга в длинке наврал, т.к. никогда не пользовался, оказывается он все таки есть (не знаю, правда работает ли...). В общем, предложенная схема на keepalived и carp пока остается ведущей, спасибо! Какие могут быть еще решения? Тоже вариант. Но хотелось бы жить по-спокойнее, так что если уехал в отпуск, а ночью одна ветка упала. Спокойно, зная что все работает в штатном режиме, на следующий день подцепился и сделал. а если бордер упадет? Свитчи в обход потребуют наличие железки с поддержкой bgp, что бы балансировать нагрузку между аплинками и анонсировать нашу сеть

На длинке терминируются вланы абонентов, у нас vlan per switch, поэтому без L3 никак. В такой ситуации нужна src-based маршрутизация, чего естественно на длинке нет. =( На вскидку, будь у меня железка, на которой был бы линукс, я попытался сделать так. Промаркировал абонентов iptable'сом. Сделал две кастомных таблиц маршрутизации, используемых по маркировке. Поднял бы две зебры, каждая из которых пишет маршруты со своего нейбора в свою таблицу, третья зебра писала бы маршруты в main с обоих нейборов. Можно такое на циске провернуть?

Под сессией я имел ввиду установленное подключение между абонентом и ресурсом (ip:port - port:ip). Впрочем, как я уже потом отметил, и NiTr0 заметил выше, все пакеты абонента нужно пропускать только через один шейпер, поэтому это слово надо вычеркнуть. У нас dhcp option82, vlan per switch, так что никаких лишних телодвижений не нужно. Насчет ненужности шейпера и бордера отдельно, да, можно и на бордере шейпить, но это значения не имеет, можно считать что бордер и шейпер - один сервер. Один черт, вопрос остается. keepalived/carp/etc - балансировки не будет, если я правильно понимаю, а хотелось бы что бы была. Предположим, используем iBGP на железке. Как по src направить трафик, есть ли вообще такая функциональность? У меня складывается ощущение, что я хочу невозможного.

Поправочка, все таки абонента нужно полностью пускать через один из шейперов, пока тот работает, что-бы скорость резать.

Всего два аплинка, расширить на них линковые сети до /29 (ну или по два линка/30 с провайдера), каждый сервер получит ип адрес обоих аплинков, т.е. это примерно "бесплатно". Где то недавно читал, что это считается нормальным, иметь как минимум две бгп сессии. Вопрос, в таком случае в том, какую железку поставить между ядром сети и двумя независимыми шейперами, так что бы пакеты от одного абонента к конкретному сайту шли ТОЛЬКО через один из шейперов (в нормальном режими между двумя шейперами должна быть балансировка). Причем просто по src форвардить пакеты нельзя, нужна отказоустойчивость. Для того, что бы обратно они шли оттуда-же, можно натить на разные диапазоны, это не проблема. Таким образом, чисто теоретически, я предполагаю, ставлю туда железку с поддержкой bgp, которая получает анонсы дефолтового маршрута от краевых серверов и раскидывает абонентов, или лучше, сессии по разным шейперам (если есть маршрут через этот шейпер). Можно такое сделать? 500 мбит, с перспективой роста, на каком железке?

Небольшая домовая сеть, у абонентов серые адреса. В ядре сети dlink 3627, аплинком к нему идет сервер, который занимается шейпингом, затем сервер, который натит на диапазон ip, stateful фаерволит, и держит AS. К краевому серверу подключены два аплинка разных провайдеров. Трафик - 500Мбит. Требуется обеспечить отказоустойчивость с минимумом вложений средств. Какие есть мысли: продублировать оба сервера, аплинки подключить перекрестно, с двумя bgp сессиями на каждом. Проблема получается в НАТе и stateful фаерволе, т.е. одну сессию абонента (ip:port - port:ip) нужно пускать либо по одной, либо по другой ветке, но никак не по обеим сразу. В голову приходит только одно решение - поставить у железку, которая будет направлять соотв. пакеты на один из шейперов, пока тот работает. Работает, т.е. присылает, маршрут в инет по bgp или как то еще, хз. Вобщем нужен совет и по поводу схемы, и если ничего лучше в этой ситуации нет, то совет по железке.

> Башкортостане – БашИнформСвязь РТК уже купил БИС

за кого вы нас держите =) Спасибо! По трейсу на ютуб видно, что мы через 2-3 хопа выходим через одного и того же поставщика. Однако мы идем через ростелекомовские каналы, 8 хопов, пинг 80мс, а у них 2 хопа, но 90мс. При этом у них скорость скачки видео с ютуба в среднем 4мбит, а у нас 2 мбит. Почему так может происходить? Нас специально завернули "не туда"?

http и иже с ними занимают 40% канала, уже подумываю на не ограничить ли торренты 55% канала пайпом, а http и проч. без QoS пайпа пропускать, что бы вообще не дропались

Есть ли разница шейпинг до QoS или наоборот? Сейчас сделал по варианту 1, но есть сомнения, что это правильно. Что лучше? Вариант 1. Сначала шейпим dummynet'ом по клиентам. Затем получившиеся потоки делим на 2 группы: 1. торренты и 2. http, dns и прочий полезный трафик. Отправляем все в один пайп с 95% ширины канала, в котором 2 очереди с весом 1 и 100 (какой трафик в какую очередь попадает и то, что это никакой не QoS, думаю понятно). Вариант 2. Сначала все в пайп, а затем уже шейпинг по клиентам. Вариант 3. Вынести QoS на вышестоящий хоп на линуксе, затем уже шейпинг по клиентам. З.Ы. Имеет смысл включить PF & ALTQ и из ipfw использовать ALTQ вместо пайпа - псевдо QoS?

А сервер какой? Windows XP на Целероне? 6й дебиан на атлоне 2х3000, 30% на прерываниях при 90мбит, пакеты не дропаются. С какой скоростью должен качаться (читайте как у Вас?) образ альта вечером в 6-8 часов по Москве с ftp://mirror.yandex.ru/altlinux/p5/iso/desktop/altlinux-5.0.0-kdesktop-x86_64-ru-install-dvd5.iso