Phantom

Осторожно поинтересуюсь, о чем давно хотел спросить то же. А, что все-таки лучше из всего многообразия ОС лучше на бордере использовать? Как то давно установил RockyLinux 8. Вроде бы и работает всё, но, чуйствую, что надо, наверное, в сторону Debian`а смотреть. Сервер только занимается NAT`ом и NetFLOW льёт в сорм. Ядро, только старое - 4.18.0-348.20.1.el8_5.x86_64 - вот и думаю, обновить или "работает - не трогай" ? В общем, буду рад советам всем 🙂

Собственно, собралось и на 6.5.2-1(в тестовой среде, на виртуалке). Вот тут https://github.com/aabc/ipt-netflow/pull/221/commits/2423308cedc7db63ef8c68a1180f4574fd1c7354

Спасибо всем. У меня, правда, не дебиан, а Rocky 8.6 установлен, хотел бы обновить ядро на пограничнике. Попробую на виртуалке собрать с 6.х модуль.

Добрый день, коллеги. А, может ли кто-нибудь подсказать, с какими последними версиями ядер можно еще собрать модуль? "Бордер" сейчас работает у нас с 4.18.0-348.20.1.el8_5.x86_64 #1 SMP Thu Mar 10 20:59:28 UTC 2022 x86_64 x86_64 x86_64 GNU/Linux Может был у кого опыт сборки с 5 или 6ой веткой ядра?

Какая-то небольшая и странная активность со стороны разработчиков US началась. А именно, не давно прислали анонимный опросник на предмет "чего не хватает и на что обратить внимание при дальнешей разработке системы", а сегодня пришло письмо о том, что вышла новая версия 3.18. Странно. Когда 3.17 выходила - никаких писем не присылали, а тут..."нничего нне понимаю (С)"

Всем здравствуйте. Собсно, коллеги, я опять со своими "барашками". Возможно спрошу "глупость", но, так и не понял - умеет ASR 1001/1002(без Х которые) отдавать Netflow v9?

Они самые: net.netflow.sndbuf = 16777216 net.netflow.hashsize = 32768 С такими значениями у нас на бордере процент NAT-сопоставлений стал >90%. По крайней мере, со стороны МФИ больше вопросов к нам не возникало.

И мы у себя исправили пару строк и они на нашем сорме чего-то исправляли(чего именно - не знаю. Может как всегда - ПО обновляли)

Было такое недавно. Исправили у себя в конфиге модуля.

@UglyAdmin ,Вы правы. Трафик до NAT. Я имел в ввиду - межабонентский не нужен им.

@alibek, да, речь именно о обычных 1001/1002. Даже, наверное, о 1002(1001 в расчет не беру вообще).

@sirmax, трафика будет на основном ASR больше 10Gbit/s. @alibek в 1001 один слот под SPA-карту. А мне надо 2 порта 10GbE,ибо зеркалим трафик на сорм через сплиттеры и абон. трафик им не нужен. Насчет полисинга - есть абоненты физ.лица с тарифами по 3/5/10/15 мегабит/с - за все время никаких жалоб.

@sirmax, ну у нас в основном реальники берут всякие ИП/юр.лица, физики стали редко брать их. И скорости доступа в основном 1/2/3/5/10 мбит/с, очень редко кто берёт 50/80 или 100 мегабит(этих можно по пальцам двух рук пересчитать)поэтому и написал, что можно что-то "по тоньше" по пропускной полосе рассмотреть. @bike , Лучше бы железное что-то. пробовал когда-то и ACCEL-PPP, но, по мнению нашего гл. инженера - это ещё более "чорный ящик", по сравнению с циской, где всё более-менее понятно и логично. Сейчас остались 3 микротика на х86, со временем уберу все на одну циску(хотелось бы "серые" в одном ящике, а реальник в другом") а вот реальники нарезаны в сторону клиенту где /29, где /28(давно было так сделано и не спрашивайте почему - не мной) и хотелось бы продуктивно их использовать - сделать /24 и чтобы не болела голова - "а, в какой подсети кончились IP свободные и откуда выдать другой?"

Ну я то рассматриваю своего рода "классический BRAS" для IPoE с L2-connected сабскрайберами (с ip unnumbered и с DHCP/статика - без разницы). Никакие NAT/BGP не нужны на брасе. Один ASR-1002x уже в работе, но для работы с "серыми IP". А, вот для работы с реальниками можно рассмотреть что-то "по тоньше и дешевле". Поэтому и обратился за советом, что можно выбрать и взять соотв-но.

@jffulcrum, возможно глупый вопрос задам - а, чем это грозит? Или, может совсем 1002 не рассматривать как брас ?

Коллеги, здравствуйте. Дабы не плодить темы решил поднять старую с таким вот вопросом. Какой из брасов (лучше Cisco) лучше рассмотреть к приобретению в плане пропускной способности 5-10Gbit/s? Нужны в нём пару портов с 10G. Нужны ISG,Netflow. NAT не нужен(отдельно серв с линуксом этим занимается). Планирую ip unnumbered c DHCP. Тарифы разные - от 512 килобит до 100 мегабит(в основном юр.лица с реальниками). Читал разные темы тут - стоит ли смотреть, к примеру, на ASR-1002 (без Х) с ESP10/20 ? Сейчас один 1002Х трудится и вопросов к нему нет. Но, покупать ещё одну такую же железку - начальство упёрлось рогом(типа денег нет и дороговато). Да и 1001х сейчас тоже не сильно дёшево предлагают. ASR-1002F - наверное, совсем не для моих хотелок? В общем, прошу совета у знатоков. Заранее спасибо.

Коллеги, доброго дня всем. А, как можно fastnetmon скачать ? wget https://install.fastnetmon.com/installer -Oinstaller --2023-01-27 10:37:40-- https://install.fastnetmon.com/installer Распознаётся install.fastnetmon.com (install.fastnetmon.com)… 151.101.2.132, 151.101.194.132, 151.101.66.132, ... Подключение к install.fastnetmon.com (install.fastnetmon.com)|151.101.2.132|:443... соединение установлено. HTTP-запрос отправлен. Ожидание ответа… 405 Not allowed 2023-01-27 10:37:40 ОШИБКА 405: Not allowed. И, собственно больше ничего...

Добрый день, коллеги. Опять офф-топну. В общем, увеличил net.netflow.hashsize до 491666 и увеличил sndbuf до 16777216...проблемы ушли. По крайней мере со слов коллег из МФИ, все стало нормально. Трафик через сервер в ЧНН 12Gb.

Off-топну тоже. bike, да мы этот модуль использовали с 2018г и исключительно для себя (для ответов на вопросы из органов кто и когда был за таким IP из NAT пула). Пока вот не пришлось столкнутся с тем, что UDP-соединения абонентов без NAT-трансляций(но, такое не может быть в принципе, иначе абоненты в сеть не выйдут. "Серая" адресация для абонентов.) А, внедрять стали недавно именно для сорм-3. Ограничений вроде бы никаких нет для сессий. Раньше на сервере крутился Centos 7, после пришлось сменить и сервер, и ОС( поставили Rocky Linux 8.5). 2 аплинка со статикой. Как собирал модуль - уже не вспомню(но, snmp точно не нужно было и ещё что-то)

ipt_NETFLOW 2.6-5-gc0badb8, srcversion A54C402B0D7FB11FD1E760C; dir llist mac nel samp vlan Protocol version 9 (netflow), refresh-rate 20, timeout-rate 30, (templates 37, active 13). Timeouts: active 1800s, inactive 15s. Maxflows 2000000 Flow sampling is disabled. Natevents enabled, count start 5796666, stop 5483717. Flows: active 278441 (peak 476171 reached 0d0h23m ago), mem 53873K, worker delay 1/1000 [1..100] (1 ms, 0 us, 284:0 0 [cpu0]). Hash: size 491666 (mem 3841K), metric 1.33 [1.29, 1.00, 1.00]. InHash: 376354422 pkt, 330331352 K, InPDU 0, 0. Rate: 8361370938 bits/sec, 1322732 packets/sec; Avg 1 min: 8534269901 bps, 1315941 pps; 5 min: 8462335546 bps, 1298402 pps cpu# pps; <search found new [metric], trunc frag alloc maxflows>, traffic: <pkt, bytes>, drop: <pkt, bytes> Total 1322722; 529442785 1619786493 20702438 [1.32], 0 0 0 0, traffic: 1640488931, 1261862 MB, drop: 0, 0 K cpu0 55896; 24444911 78126631 937752 [1.31], 0 0 0 0, traffic: 79064383, 58888 MB, drop: 0, 0 K cpu1 70563; 22641381 73284381 930156 [1.26], 0 0 0 0, traffic: 74214537, 55741 MB, drop: 0, 0 K cpu2 67817; 25997160 78713413 936292 [1.30], 0 0 0 0, traffic: 79649705, 58151 MB, drop: 0, 0 K cpu3 62231; 21706745 69700560 1004729 [1.28], 0 0 0 0, traffic: 70705289, 51371 MB, drop: 0, 0 K cpu4 64804; 25436718 76390229 941191 [1.24], 0 0 0 0, traffic: 77331420, 62970 MB, drop: 0, 0 K cpu5 58474; 22890312 72105069 986211 [1.26], 0 0 0 0, traffic: 73091280, 51216 MB, drop: 0, 0 K cpu6 58098; 22176686 71782625 971915 [1.26], 0 0 0 0, traffic: 72754540, 53377 MB, drop: 0, 0 K cpu7 60802; 23212092 74412748 922592 [1.29], 0 0 0 0, traffic: 75335340, 54267 MB, drop: 0, 0 K cpu8 67286; 24232789 74969345 910026 [1.29], 0 0 0 0, traffic: 75879371, 54846 MB, drop: 0, 0 K cpu9 73784; 26349156 78996493 910971 [1.29], 0 0 0 0, traffic: 79907464, 59484 MB, drop: 0, 0 K cpu10 62915; 27771936 82346195 907829 [1.33], 0 0 0 0, traffic: 83254024, 65071 MB, drop: 0, 0 K cpu11 65125; 24670463 78823924 924342 [1.29], 0 0 0 0, traffic: 79748266, 60789 MB, drop: 0, 0 K cpu12 66786; 27066147 84241393 942928 [1.28], 0 0 0 0, traffic: 85184321, 65066 MB, drop: 0, 0 K cpu13 62384; 26337019 80585759 922022 [1.30], 0 0 0 0, traffic: 81507781, 64759 MB, drop: 0, 0 K cpu14 61467; 23136285 72005320 916573 [1.26], 0 0 0 0, traffic: 72921893, 53953 MB, drop: 0, 0 K cpu15 61058; 23715631 74719282 911899 [1.29], 0 0 0 0, traffic: 75631181, 58283 MB, drop: 0, 0 K cpu16 25723; 12205635 33555367 475571 [1.35], 0 0 0 0, traffic: 34030938, 27392 MB, drop: 0, 0 K cpu17 20706; 10427888 29410568 477025 [1.35], 0 0 0 0, traffic: 29887593, 23042 MB, drop: 0, 0 K cpu18 20997; 8732937 26748639 475147 [1.34], 0 0 0 0, traffic: 27223786, 22003 MB, drop: 0, 0 K cpu19 18999; 10940979 31333991 473654 [1.29], 0 0 0 0, traffic: 31807645, 25372 MB, drop: 0, 0 K cpu20 17716; 12259920 31813933 472506 [1.33], 0 0 0 0, traffic: 32286439, 23740 MB, drop: 0, 0 K cpu21 27166; 12747981 37667012 478474 [1.39], 0 0 0 0, traffic: 38145486, 32800 MB, drop: 0, 0 K cpu22 17873; 12610199 35551077 476164 [1.35], 0 0 0 0, traffic: 36027241, 31162 MB, drop: 0, 0 K cpu23 29932; 13128574 36503305 478970 [1.34], 0 0 0 0, traffic: 36982275, 31539 MB, drop: 0, 0 K cpu24 39438; 12398661 35324962 478057 [1.28], 0 0 0 0, traffic: 35803019, 29724 MB, drop: 0, 0 K cpu25 27474; 10335578 32869770 479118 [1.30], 0 0 0 0, traffic: 33348888, 28822 MB, drop: 0, 0 K cpu26 33216; 11404673 35203407 478306 [1.25], 0 0 0 0, traffic: 35681713, 29637 MB, drop: 0, 0 K cpu27 23992; 10464341 32601121 482020 [1.34], 0 0 0 0, traffic: 33083141, 28383 MB, drop: 0, 0 K Export: Rate 2339757 bytes/s; Total 2442450 pkts, 3245 MB, 31706462 flows; Errors 2 pkts; Traffic lost 0 pkts, 0 Kbytes, 0 flows. sock0: 172.16.1.5:9996, sndbuf 16777216, filled 1, peak 59905; err: sndbuf reached 0, connect 0, cberr 0, other 0 sock1: 172.16.1.9:9996, sndbuf 16777216, filled 1, peak 59905; err: sndbuf reached 0, connect 0, cberr 0, other 0 Здравствуйте, коллеги! Используем ipt_netflow для слива netflow в сорм-3(МФИ-СОРФ), начали поступать жалобы, что часть идет нормально (Есть источник, получатель, адрес после ната, получатель после ната. Все порты, до нат и после нат), а часть нет (есть источник, получатель, а дальше в виде 0.0.0.0:0 -> 0.0.0.0:0). И вот такие строки к примеру - 2023-01-13 16:41:17.998 INVALID Ignore UDP 10.9.2.88:56759 -> 202.5.137.108:49840 0.0.0.0:0 -> 0.0.0.0:0 48 0 2023-01-13 16:41:17.998 INVALID Ignore UDP 10.9.2.88:56759 -> 201.190.175.134:49027 0.0.0.0:0 -> 0.0.0.0:0 48 0 2023-01-13 16:41:17.998 INVALID Ignore UDP 10.9.2.88:56759 -> 37.238.8.14:54394 0.0.0.0:0 -> 0.0.0.0:0 48 0 2023-01-13 16:41:17.999 INVALID Ignore UDP 10.9.2.88:56759 -> 37.238.67.10:39462 0.0.0.0:0 -> 0.0.0.0:0 48 0 2023-01-13 16:41:17.999 INVALID Ignore UDP 10.9.2.88:56759 -> 222.124.113.211:55458 0.0.0.0:0 -> 0.0.0.0:0 48 0 Вызывают вопросы у "сормистов" - типа как могут абоненты работать без NAT-трансляций? Ибо, кроме как вот на это грешить - больше не на что. Никак не могу понять в чем причина.

Забыл отписаться - помог параметр в конфиге радиуса: override_service_type=yes (Присвоить тип услуги “framed” независимо от типа услуги, указанного во входящем запросе) После этого все заработало как планировал.

Dec 12 08:07:46 ?Debug : ee5b3700 AuthQueue: Login '10.19.2.2' Dec 12 08:07:46 ?Debug : ee5b3700 AuthQueue: Using PAP authentication method Dec 12 08:07:46 ?Debug : ee5b3700 ISGLoginManager: ISG mapping for 0000000000011A0B added Dec 12 08:07:46 ?Debug : ee5b3700 AuthQueue: new ISG user authorized Dec 12 08:07:46 ?Debug : ee5b3700 IPPoolManager: IP 10.19.2.2 is leased Dec 12 08:07:46 ?Debug : ee5b3700 CustomAttrs: custom attributes for IPTRAFFIC_SERVICE ID 292 have been added to the reply Dec 12 08:07:46 ?Debug : ee5b3700 CustomAttrs: custom attributes for ISG_AUTH ID 2 have been added to the reply Dec 12 08:07:46 ?Debug : ee5b3700 AcctQueue: lookup: session ID 36484 for login '10.19.2.2' Dec 12 08:07:46 ?Debug : ee5b3700 AcctQueue: lookup: session ID 36484 for IP 10.19.2.2 Dec 12 08:07:46 ?Debug : ee5b3700 SessionManager: put: session ID 36484 timeout scheduled at 1670821671 Dec 12 08:07:46 ?Debug : ee5b3700 SessionManager: put: session ID 36484 from NAS 8 OK Dec 12 08:07:46 ?Debug : ee5b3700 AuthQueue: Reply --- RADIUS Pkt --- Code: [2] ID: [61] Auth: Size 16; Data [0x87579bc085c42621ea16b14ab97b057e] Attr: [8] Vendor: [0] Size 4; Data [0x0a130202] (Framed-IP-Address=IP:10.19.2.2) Attr: [9] Vendor: [0] Size 4; Data [0x00000000] (Framed-IP-Netmask=IP:0.0.0.0) Attr: [27] Vendor: [0] Size 4; Data [0x00000000] (Session-Timeout=INT:0) Attr: [1] Vendor: [9] Size 41; Data [0x737562736372696265723a69646c652d74696d656f75742d646972656374696f6e3d696e626f756e64] (Cisco:Cisco-AVPair=STRING:subscriber:idle-timeout-direction=inbound) Attr: [28] Vendor: [0] Size 4; Data [0x00000258] (Idle-Timeout=INT:600) Attr: [1] Vendor: [9] Size 39; Data [0x737562736372696265723a6163636f756e74696e672d6c6973743d4953472d4143542d4c495354] (Cisco:Cisco-AVPair=STRING:subscriber:accounting-list=ISG-ACT-LIST) Attr: [250] Vendor: [9] Size 6; Data [0x414c4f43414c] (Cisco:Cisco-Account-Info=STRING:ALOCAL) Attr: [250] Vendor: [9] Size 10; Data [0x414f4646494345314742] (Cisco:Cisco-Account-Info=STRING:AOFFICE1GB) Dec 12 08:07:46 ?Debug : eebb9700 AcctQueue: Request from 10.2.1.15:21777 --- RADIUS Pkt --- Code: [4] ID: [62] Auth: Size 16; Data [0xdbe498a8dffbc62b19a2d6c506cf0cce] Attr: [44] Vendor: [0] Size 16; Data [0x30303030303030303030303131413042] (Acct-Session-Id=STRING:0000000000011A0B) Attr: [8] Vendor: [0] Size 4; Data [0x0a130202] (Framed-IP-Address=IP:10.19.2.2) Attr: [22] Vendor: [0] Size 25; Data [0x302e302e302e3020302e302e302e302031302e31392e322e32] (Framed-Route=STRING:0.0.0.0 0.0.0.0 10.19.2.2) Attr: [7] Vendor: [0] Size 4; Data [0x00000001] (Framed-Protocol=INT:1) Attr: [1] Vendor: [0] Size 9; Data [0x31302e31392e322e32] (User-Name=STRING:10.19.2.2) Attr: [1] Vendor: [9] Size 24; Data [0x636f6e6e6563742d70726f67726573733d43616c6c205570] (Cisco:Cisco-AVPair=STRING:connect-progress=Call Up) Attr: [253] Vendor: [9] Size 4; Data [0x49303b30] (Cisco:Cisco-Control-Info=STRING:I0;0) Attr: [253] Vendor: [9] Size 4; Data [0x4f303b30] (Cisco:Cisco-Control-Info=STRING:O0;0) Attr: [45] Vendor: [0] Size 4; Data [0x00000001] (Acct-Authentic=INT:1) Attr: [40] Vendor: [0] Size 4; Data [0x00000001] (Acct-Status-Type=INT:1) Attr: [31] Vendor: [0] Size 17; Data [0x36633a33623a36623a64623a34383a6631] (Calling-Station-Id=STRING:6c:3b:6b:db:48:f1) Attr: [61] Vendor: [0] Size 4; Data [0x00000005] (NAS-Port-Type=INT:5) Attr: [2] Vendor: [9] Size 29; Data [0x3030303430303739303031392330303036323831303762383464373830] (Cisco:Cisco-NAS-Port=STRING:000400790019#000628107b84d780) Attr: [5] Vendor: [0] Size 4; Data [0x00000000] (NAS-Port=INT:0) Attr: [87] Vendor: [0] Size 29; Data [0x3030303430303739303031392330303036323831303762383464373830] (NAS-Port-Id=STRING:000400790019#000628107b84d780) Attr: [1] Vendor: [9] Size 27; Data [0x636972637569742d69642d7461673d303030343030373930303139] (Cisco:Cisco-AVPair=STRING:circuit-id-tag=000400790019) Attr: [1] Vendor: [9] Size 30; Data [0x72656d6f74652d69642d7461673d30303036323831303762383464373830] (Cisco:Cisco-AVPair=STRING:remote-id-tag=000628107b84d780) Attr: [6] Vendor: [0] Size 4; Data [0x00000002] (Service-Type=INT:2) Attr: [4] Vendor: [0] Size 4; Data [0x0a02010f] (NAS-IP-Address=IP:10.2.1.15) Attr: [55] Vendor: [0] Size 4; Data [0x6396b722] (Event-Timestamp=DATE:1670821666) Attr: [32] Vendor: [0] Size 11; Data [0x69706f6530315f62726173] (NAS-Identifier=STRING:ipoe01_bras) Attr: [41] Vendor: [0] Size 4; Data [0x00000000] (Acct-Delay-Time=INT:0) Dec 12 08:07:46 ?Debug : eebb9700 SessionManager: get: session ID 36484 Dec 12 08:07:46 ?Debug : eebb9700 AcctQueue: found session ID 36484 for IP 10.19.2.2 Dec 12 08:07:46 ?Debug : eebb9700 AcctQueue: sid_insert: session ID 36484 for SID 0000000000011A0B Dec 12 08:07:46 Info : eebb9700 AcctQueue: IPv4 address 10.19.2.2 leased Dec 12 08:07:46 Info : eebb9700 AcctQueue: Accounting-Start for SID 0000000000011A0B user '10.19.2.2' slink ID 104033 from NAS 10.2.1.15 Dec 12 08:07:46 ?Debug : eebb9700 Transport: sending traffic/dialup session ID 36484 Dec 12 08:07:46 ?Debug : eebb9700 StreamConnection: Sending message ID 0x1107 Dec 12 08:07:46 ?Debug : eebb9700 SessionManager: put: session ID 36484 timeout scheduled at 2000000000 Dec 12 08:07:46 ?Debug : eebb9700 SessionManager: put: session ID 36484 from NAS 8 OK Dec 12 08:07:46 ?Debug : eebb9700 AcctQueue: Reply --- RADIUS Pkt --- Code: [5] ID: [62] Auth: Size 16; Data [0xdbe498a8dffbc62b19a2d6c506cf0cce] Да, походу, вот из-за чего всё это - Attr: [22] Vendor: [0] Size 25; Data [0x302e302e302e3020302e302e302e302031302e31392e322e32] (Framed-Route=STRING:0.0.0.0 0.0.0.0 10.19.2.2) А, как исправить это - пока не представляю...

Да MTU везде 1500 байт. Да и дело то не в MTU. А, вот в сторону радиуса я как то и не подумал посмотреть... биллинг UTM5.3-006upd1(используем их радиус+DHCP).

Не помогли команды никакие. Шлюз то у абонента должен быть который указан в interface Loopback10 ip address 10.19.2.1 255.255.255.0 Может я не правильно конфигурирую маршрутизатор? Хотя, ещё раз повторюсь, на 7301 которая для всяких экспериментов работает - всё выдается без проблем и такого бага как на ASR - нет.

Да в том то и дело, что дефолт роут 10.19.2.2 не нужен совсем. Он на циске создается в момент поднятия сессии по DHCP. А, вот почему он становится дефолт маршрутом - не понятно...