Jump to content
Калькуляторы

subal

Пользователи
  • Content Count

    48
  • Joined

  • Last visited

Everything posted by subal


  1. имеется локальная сеть у которой шлюзом является FreeBSD 8.2-RELEASE (IPFW) на клиентов выделен канал 512/512 Кб/с все как бы норм но у 1 клиента идет превышение скорости канала в 4 раза. клиент использует программу Sharaman качает фильмы... вот конфиг ipfw #!/bin/sh FwCMD="/sbin/ipfw -q" ${FwCMD} -f flush IFACE="bce1" IFNet="bce0" myLan="x.x.0.0/24" ${FwCMD} -f flush ${FwCMD} -f pipe flush ${FwCMD} pipe 1 config bw 512Kbit/s queue 32Kbytes mask dst-ip 0xffffffff ${FwCMD} pipe 10 config bw 512Kbit/s queue 32Kbytes mask dst-ip 0xffffffff ${FwCMD} pipe 2 config bw 1024Kbit/s queue 32Kbytes mask dst-ip 0xffffffff ${FwCMD} pipe 3 config bw 2Mbit/s queue 512Kbytes mask dst-ip 0xffffffff ${FwCMD} pipe 4 config bw 15Mbit/s queue 512Kbytes mask dst-ip 0xffffffff ${FwCMD} add 100 allow ip from any to any via lo ${FwCMD} add 4000 pipe 4 ip from table\(1\) to any via $IFACE in ${FwCMD} add 4001 pipe 4 ip from any to table\(1\) via $IFACE out ${FwCMD} add 4100 pipe 3 ip from table\(3\) to any via $IFACE in ${FwCMD} add 4101 pipe 3 ip from any to table\(3\) via $IFACE out ${FwCMD} add 4500 pipe 1 ip from table\(4\) to any via $IFACE in ${FwCMD} add 4501 pipe 2 ip from any to table\(4\) via $IFACE out ${FwCMD} add 5000 pipe 1 ip from table\(2\) to any via $IFACE in ${FwCMD} add 5001 pipe 10 ip from any to table\(2\) via $IFACE out ${FwCMD} add 30000 deny log ip from 0.0.0.0/0 to any via $IFACE in ${FwCMD} add 30000 deny log ip from any to 0.0.0.0/0 via $IFACE out ${FwCMD} add 65530 allow log ip from any to any sysctl.conf net.inet.ip.forwarding=1 net.inet.ip.fw.verbose=1 net.inet.ip.fw.verbose_limit=1000 net.inet.ip.fw.one_pass=1 ipfw pipe 10 show ipfw pipe 10 show 00010: 512.000 Kbit/s 0 ms burst 0 q131082 32 KB 0 flows (1 buckets) sched 65546 weight 0 lmax 0 pri 0 droptail sched 65546 type FIFO flags 0x1 64 buckets 7 active mask: 0x00 0x00000000/0x0000 -> 0xffffffff/0x0000 BKT Prot ___Source IP/port____ ____Dest. IP/port____ Tot_pkt/bytes Pkt/Byte Drp 23 ip 0.0.0.0/0 х.х.х.х/0 247033 123869328 74 32862 53537 (проблемный клиент) как быть? в чем проблема? почему идет превышение скорости?
  2. извините за лишний конфиг... запутал вас! клиент находится в table 2 т.к. pipe на этой таблице настроен 512/512. остальные тестовые и временные.... канал мерил на порту т.е. там показывает превышение исходящего трафика! а насчет mask dst-ip и src-ip да это логично! что то я об этом не подумал... конфиг создавал давно про это и позабыл... сейчас данную маску поправил и попробую понаблюдать за каналами! $IFACE это интерфейс в локальную сеть сделал ${FwCMD} pipe 1 config bw 512Kbit/s queue 32Kbytes mask SRC-IP 0xffffffff
  3. ну по идее клиент присутствует в table 2 ${FwCMD} pipe 1 config bw 512Kbit/s queue 32Kbytes mask dst-ip 0xffffffff ${FwCMD} pipe 10 config bw 512Kbit/s queue 32Kbytes mask dst-ip 0xffffffff ${FwCMD} add 5000 pipe 1 ip from table\(2\) to any via $IFACE in ${FwCMD} add 5001 pipe 10 ip from any to table\(2\) via $IFACE out
  4. Имеется сервер на 12 хардов Материнская: SuperMicro X9SCL-F Retail Процессор: Intel Original LGA1155 Xeon E3-1220 Контроллер: RAID intel Original RS2BL040 в биосе контролера, райд настроил... При установки Win2008R2 и при подсовывании дров харды видятся и установка идет хорошо... (установка с флешки зписаной UltraISO 9.3.6) НО хочется установить UNIX ситему... точнее холось бы установить FreeNAS но при установки не стартует установка! сервер выдает следующее No systemdisk. Booting from harddisk Starting booting from usb device Disk formatted with UltraISO Home page: www.UltraISO.com Bootsector from C.H. Hochstatter при установки FreeBSD 8.2 и 9 выдает тоже самое при установки Ubuntu 12.04 выдает syslinux 3.84 2009-12-18 EBIOS Copyright (C) 1994-2009 Н. Peter Anvin al как быть? как на этого зверя установить unix?
  5. Я победил этого зверя... все таки установил систему с помощью IP-KVM. и помогли мне в этом вот эти 2 статейки! http://true-system.blogspot.com/2011/03/ipmi-kvm-over-lan-virtual-media.html http://www.atlex.ru/ru.ru/faq.html/article/ipmi-kvm
  6. столько мыслей... насчет сидюка через USB! пробовал... но он вообще на него не реагировал... думал уже напрямую к матери подключить но сервак не мой и пока нерускую его вскрывать... думал я отом же но как мне использовать софтварный райд если я даже систему немогу поставить... а внтренности корпуска такие что харды можно подключит только через SAS т.е. только через аппаратный райд... также пробовал устанавливать FreeBSD на своей рабочей тачке (вся установка прошла отлично) после чего хард переставлял в сервер и пробовал с него стартануть но все также глухо.. это интересно ) но сервак не мой пока такое делать не буду ))) попожа у хозяев спрошу... ))) а пока ну во-первых заинтересовал меня встроенный IP-KVM! Такое вижу впервые... ) пошарил в инете... разобрался... настроил... подключился... Но так и несмог нечего сделать :( попробовал настроить сидюк но что то не выходит.... открывал доступ на своем ПК на реальны CD, виртуальные CD и на флешки с ОС, пробовал по разному настройки прописывать... но все одно и тоже выдет! чего ему не хватает? кстати там есть консоль к ней тоже несмог подключиться выдает кракозябры... попробую pxe наладить....
  7. pxe не практиковал... видимо нужно попробовать...
  8. конечно! а что? на серваке приводов нету... пробовал подключать USB что то глухо вообще на него не реагирует... пытался поставить FreeNAS
  9. прошу помощи в настройке коммутатора AT-SBx908 коммутатор рассылает трафик сразу по всем портам, работает как хаб! Каким образом это можно поправить? Искал в интернете но нечего не смог найти по настройке AT-SBx908... в настоящий момент у него конфиг: AlliedWare Plus (TM) 5.3.4 08/04/10 17:40:02 awplus>ena awplus#show running-config ! service password-encryption ! no banner motd ! ! service ssh ip ! service telnet no service telnet ipv6 ! service http ! clock timezone Moscow plus 4:00 ! no snmp-server ipv6 snmp-server community public snmp-server community private rw ! ! stack virtual-chassis-id 2735 ! ip domain-lookup ! no service dhcp-server ! no ip multicast-routing ! spanning-tree mode rstp ! no ipv6 mld snooping ! switch 1 provision x908 switch 1 bay 1 provision xem-12 switch 1 bay 2 provision xem-12 ! vlan database vlan 2 state enable ! interface port1.1.1-1.1.12 switchport switchport mode access ! interface port1.2.1 switchport switchport mode access ! interface port1.2.2 switchport switchport mode access switchport port-security ! interface port1.2.3-1.2.12 switchport switchport mode access ! interface vlan1 ip address 10.*.*.*/20 ! ip route 0.0.0.0/0 10.*.*.* ! line con 0 exec-timeout 0 0 line vty 0 32 exec-timeout 0 0 ! end
  10. сеть только начинает работать т.ч. о переполнение таблицы MAС монжно не думать... к нему подключено около 8 коммутаторов и то там полно свободных портов... выявил проблему! почему то он начинает раскидывать пакеты если на порту прописано switchport port-security! как только выключаю эту функцию на всех портах все сразу норм работает.. видимо тут какие то тонкости матьчасти... о которых мне не известно...
  11. Всем здравствуйте! Есть cisco 7201 к нему примерно будет подключено около 2к+ пользователей! Router#sh ver Cisco IOS Software, 7200 Software (C7200P-ADVIPSERVICESK9-M), Version 12.4(4)XD12, RELEASE SOFTWARE (fc3) Technical Support: http://www.cisco.com/techsupport Copyright (c) 1986-2009 by Cisco Systems, Inc. Compiled Mon 04-May-09 11:33 by tinhuang ROM: System Bootstrap, Version 12.4(12.2r)T, RELEASE SOFTWARE (fc1) BOOTLDR: Cisco IOS Software, 7200 Software (C7200P-KBOOT-M), Version 12.4(15)T14, RELEASE SOFTWARE (fc2) начал тут разбираться с этим шейпингом... мне не понравилось как он делит скорость! задумка была такая... interface GigabitEthernet0/0 traffic-shape group 101 512000 7936 7936 1000 traffic-shape group 102 1000000 7936 7936 1000 traffic-shape group 103 2000000 7936 7936 1000 ip nat inside source list 101 interface GigabitEthernet0/1 overload ip nat inside source list 102 interface GigabitEthernet0/1 overload ip nat inside source list 103 interface GigabitEthernet0/1 overload access-list 101 remark ==========> Polzovateli 0.5 Mb/c access-list 101 permit ip host 172.29.0.160 any access-list 101 permit ip host 172.29.0.161 any access-list 101 deny ip any any access-list 102 remark ==========> Polzovateli 1 Mb/c access-list 102 permit ip host 172.29.0.163 any access-list 102 permit ip host 172.29.0.164 any access-list 102 deny ip any any … думал сразу создать ACL для 3 групп пользователей по скоростям (512Мб, 1Мб, 2Мб), прописать сразу правила шейпинга для этих групп, прописать nat, и в последующем спомощью билинга и скриптов добовлять и убирать строки из ACL... но я наткнулся на подводный камень который сразу не увидел... не знал я что выдается 1 канал с размером Х на весь ACL вот теперь и ломаю над этим голову.... Подскажите как можно организовать данную задумку? Т.е. как правильно резать скорость для 3 групп пользователей чтобы у каждого пользователя была его личная скорость?
  12. isg не разу не практиковал... сижу пытаюсь понять как это работает и как это реализовать... спс за подсказку по итогам отпишусь... сижу изучаю: http://wiki.sirmax.noname.com.ua/index.php/ISG#.D0.90.D0.BF.D0.BF.D0.B0.D1.80.D0.B0.D1.82.D0.BD.D0.B0.D1.8F_.D0.BF.D0.BB.D0.B0.D1.82.D1.84.D0.BE.D1.80.D0.BC.D0.B0 http://old.ciscoexpo.ru/moscow/2008/download/pdf/Cisco_ISG_segusaro.pdf http://www.lanbilling.ru/cisco_radius.html http://www.bog.pp.ru/work/ios_aaa.html
  13. неужто в данном случае нужно ставит сервер перед Cisco с UNIX и на нем шейпить? зачем тогда нужна эта железка за 400т.р ?
  14. melmaxnvk ну да насчет "WORD Access-list name" я согласен... но все таки как то некрасиво получается... :( 2к+ пользователь это в среднем... поидее если брать по максимуму то пользователей до 5к ну разве нету другой возможности нарезки канала? а то как то глупо все получается...
  15. ACL то тоже не резиновые тут придется в каждый ACL отделный ip прописывать... или что то путаю? можно пример реализации? Router(config)#access-list ? <1-99> IP standard access list <100-199> IP extended access list <1100-1199> Extended 48-bit MAC address access list <1300-1999> IP standard access list (expanded range) <200-299> Protocol type-code access list <2000-2699> IP extended access list (expanded range) <700-799> 48-bit MAC address access list compiled Enable IP access-list compilation dynamic-extended Extend the dynamic ACL absolute timer rate-limit Simple rate-limit specific access list
  16. дак я о чем и говорю что одна полоса скажем таже 512 получается делится на всю группу.. это неправильно... вот я и прошу помощи как правильность организовать задуманное? в 2 стороны шейпить как я понимаю не получится... т.к. внешний всего 1 ip из-за чего нат и используется!
  17. я примерно так и думал... но все печально у нас всего 1 внешний ip :(
  18. Всем здравствуйте! В компании недавно приобрели Cisco 7201 и тут появилась проблема. Бухгалтер пользуется программой Сбербанк-клиент которая подключается к серверу по VPN. Почему то это подключение через Cisco не проходит… как я понял это из-за nat маршрутизации. Почитал статейки что nat переделывает IPSec пакеты что плохо отображается на работу VPN. http://www.osp.ru/lan/2003/01/137057/ подскажите как возможно настроить Nat на проброску через себя IPSec пакеты… 1. Надо ли мне для этого менять IOS? 2. Нужна тут поддержка криптографии? 3. Нужно ли разрешение ФСБ для использование IOS с криптографией? Cisco IOS Software, 7200 Software (C7200P-IPBASE-M), Version 12.4(15)T14, RELEASE SOFTWARE (fc2) Technical Support: http://www.cisco.com/techsupport Copyright (c) 1986-2010 by Cisco Systems, Inc. Compiled Tue 17-Aug-10 16:18 by prod_rel_team ROM: System Bootstrap, Version 12.4(12.2r)T, RELEASE SOFTWARE (fc1) BOOTLDR: Cisco IOS Software, 7200 Software (C7200P-KBOOT-M), Version 12.4(15)T14, RELEASE SOFTWARE (fc2) RouterKTV uptime is 3 days, 5 hours, 31 minutes System returned to ROM by reload at 11:34:55 Moscow Fri Dec 9 2011 System restarted at 11:36:21 Moscow Fri Dec 9 2011 System image file is "disk0:c7200p-ipbase-mz.124-15.T14.bin" Last reload reason: Reload Command Cisco 7201 (c7201) processor (revision B) with 1966080K/65536K bytes of memory. Processor board ID 78014235 MPC7448 CPU at 1666Mhz, Implementation 0, Rev 2.2 1 slot midplane, Version 2.1 Last reset from power-on 1 FastEthernet interface 4 Gigabit Ethernet interfaces 2045K bytes of NVRAM. 254464K bytes of ATA PCMCIA card at slot 0 (Sector size 512 bytes). 65536K bytes of Flash internal SIMM (Sector size 512K). Configuration register is 0x2102
  19. сделал банально ip nat source static udp 192.168.10.160 87 interface GigabitEthernet0/1 87 тогда вопрос! если мы в дальнейшем будем работать как интернет провайдер смогут ли другие пользователи этой программки подключаться к серверам? всмысле больше 1 подключения... я думаю как минимум надо будет менять порт получения пакета на cisco(и порт назначения у клиента) в программе есть настройки прокси сервера! пробовал там менять порт назначения почему то тест програмки на работоспособность не проходит... :(
  20. поставил IOS с криптографией щас буду что нить дальше мутить! есть мысли как решить данную проблеме прямо на Cisco чтобы не лезть в ПК пользователя?
  21. Хелп! имею канал от мегафона 8Мб/с (Мегафон отдает его с антенного приемника, далее медиаконвертер, по городу оптикой и у нас в офисе снова медиаконвертер, и подключается витой парой в Cisco 7201) при скачке показывает все 8Мб/с. на Cisco 7201 настроена NAT маршрутизация и раскидана сетка по офису проблема состоит в то что при пинге всегда теряется первый пакет Обмен пакетами с ya.ru [87.250.251.3] с 32 байтами данных: Превышен интервал ожидания для запроса. Ответ от 87.250.251.3: число байт=32 время=70мс TTL=54 ... также долго открываются страницы WWW например страница http://www.megafon.ru открывалась сек. 20 если же подключаться напрямую без Cisco то все работает норм! Cisco куплен недавно... Подскажите плизззз в чем может быть данная проблема... может ли она быть из-за MTU? или еще что то в этом может быть виновато? Cisco настроена просто... Building configuration... Current configuration : 1485 bytes ! upgrade fpd auto version 12.4 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname Router ! boot-start-marker boot-end-marker ! enable secret enable password ! no aaa new-model ip cef ! ! ! ! ip name-server 83.149.6.4 ip name-server 83.149.6.12 multilink bundle-name authenticated ! ! ! ! ! ! ! ! ! ! ! ! archive log config hidekeys ! ! ! ! ! ! interface FastEthernet0/0 no ip address shutdown duplex auto speed auto ! interface GigabitEthernet0/0 ip address 192.168.10.1 255.255.255.0 ip nat inside ip virtual-reassembly duplex auto speed auto media-type rj45 negotiation auto no mop enabled ! interface GigabitEthernet0/1 ip address *.*.*.* 255.255.255.252 ip nat outside ip virtual-reassembly duplex auto speed auto media-type rj45 negotiation auto ! interface GigabitEthernet0/2 no ip address shutdown duplex auto speed auto negotiation auto ! interface GigabitEthernet0/3 no ip address shutdown duplex auto speed auto negotiation auto ! ip forward-protocol nd ip route 0.0.0.0 0.0.0.0 *.*.*.* no ip http server ! ip nat inside source list 10 interface GigabitEthernet0/1 overload ! logging alarm informational access-list 10 permit 192.168.10.0 0.0.0.255 access-list 10 deny any ! ! ! control-plane ! ! ! ! ! ! gatekeeper shutdown ! ! line con 0 stopbits 1 line aux 0 line vty 0 4 password login ! ! end
  22. Решено! поменял IOS и все норм заработало!
  23. пробовал в ветке HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPsec прописывать параметр AssumeUDPEncapsulationContextOnSendRule ставил 1 и 2 нечего не помогло... :( (бухгалтер уже весь в возмущении что я что то там постоянно тыкаю и почему то временами не подключается...) хм... хз к компу сложно пробиться... а как это узнать? также в реестре смотреть? или смотреть в самой программе? хз как решить данную проблему... мы начинающий интернет провайдер и как я понимаю из-за этой фигни не сможем подключать юридических лиц.
  24. а что мешает старую прошивку залить обратно?
  25. хм... пока реестр править не стал хочу еще уточнить... посмотрел на ПК IPSec в службах установлен и стоит в автоматическом режиме у нас до cisco работал и в настоящий момент работает ADSL модем (Интеркросс) через него она работает отлично.. только вот из-за этого приходиться все еще пользоваться услугами Ростелекома... там веть тоже получается также NAT маршрутизация или я что то путаю и это разные вещи...?