dazgluk

У ex4550 не очень хорошо дела с буфферами. Но ТС хватит я думаю

Ну, xconnect элементарно резервируется через xconnect backup peer. Но если вы хотите именно VPLS, собирайте петли, как предложили выше. А почему VSS не хотите использовать?

Нет ли у вас случаем ECMP маршрутов? У нас было такое, что пол fullview была доступна по ecmp, через два линка,тоже ругался именно SP, в итоге перешли на port-channel

Расскажите пожалуйста на языке,понятному папуасу ))) В зависимости от типа PE маршрутизаторов их архитектуры сети, могут быть разные технологии для резервироания плоского L2 Глобально, ваша ситуация - это Multihomed CE, то есть оконечное оборудования подключенное к двум портам. И да, Active/Active балансировки внутри одного VPLS, вероятнее всего не получится, только Active/Standby, но можно делить по вланам. А дальше: если PE у вас Juniper - там есть Multihomed VPLS Если PE у вас Cisco7600+ES или cat6k/SUP2T или Huawei - там есть Advanced VPLS, позволяющий делать STP по VPLS Если PE у вас ASR9k - там есть MC-LAG. или вообще E-VPN А если вы можете обойтись без VPLS, а просто L2VC, то все становится сильно проще, через backup xconnect. В общем, первый вопрос - какие PE, второй вопрос, обязательно ли VPLS UPD: на 65х, наверное только через STP, либо, если SUP позволяет, объедените их тупо в VSS, будет порт ченнел.

А вам не жалко дорогущие порты на BRASе? ТСу: зарезервировать стык с BRASом можно и не собирая на нем VPLS, например через xconnect/VPLS pseudowire redundancy

Доброго. Да, стоит. все conntrack таймауты. Поищите тут на форуме, люди выкладывали их значения. у нас например вот так. sysctl -w net.ipv4.netfilter.ip_conntrack_generic_timeout=60 sysctl -w net.ipv4.netfilter.ip_conntrack_tcp_timeout_syn_sent=15 sysctl -w net.ipv4.netfilter.ip_conntrack_tcp_timeout_syn_sent2=15 sysctl -w net.ipv4.netfilter.ip_conntrack_tcp_timeout_syn_recv=30 sysctl -w net.ipv4.netfilter.ip_conntrack_tcp_timeout_established=900 sysctl -w net.ipv4.netfilter.ip_conntrack_tcp_timeout_fin_wait=30 sysctl -w net.ipv4.netfilter.ip_conntrack_tcp_timeout_close_wait=20 sysctl -w net.ipv4.netfilter.ip_conntrack_tcp_timeout_last_ack=30 sysctl -w net.ipv4.netfilter.ip_conntrack_tcp_timeout_time_wait=30 sysctl -w net.ipv4.netfilter.ip_conntrack_tcp_timeout_close=10 sysctl -w net.ipv4.netfilter.ip_conntrack_udp_timeout=30 sysctl -w net.ipv4.netfilter.ip_conntrack_udp_timeout_stream=45 sysctl -w net.ipv4.netfilter.ip_conntrack_icmp_timeout=10 echo 33554432 > /sys/module/nf_conntrack/parameters/hashsize echo 4194304 > /proc/sys/net/ipv4/netfilter/ip_conntrack_max sysctl -w net.ipv4.netfilter.ip_conntrack_max=4194304 sysctl -w net.netfilter.nf_conntrack_max=4194304 sysctl -w net.nf_conntrack_max=4194304 echo 8388608 > /proc/sys/net/ipv4/route/max_size

Собираем с бордеров семплированный netflow, дальше отправляем на nfsen с плагином flowdoh. При превышении пределов, приходит письмо-алерт от плагина. При желании, можно поднять на сервере кваггу и сделать RTBH. Но иногда DOOS совсем не большие, 1-2gb/s, 200-300kpps, такие проще простоять

У UBNT появилась подходящая железка для таких задач. https://www.ubnt.com/accessories/fiber-poe-accessory/ Вопрос лишь цены

Могу сказать про X5650 Один молотит примерно под 7Gb/s IN+Out Два таких ксеона спокойно забивают 10Gb/s Full-duplex и еще остается ~ 30% Используем как Conntrack NAT + IPT_Netflow, тестировали еще IPT_Ratelimit, разница по нагрузке ~ 3-5%

3:50 примерно, могу посмотреть точнее, забиты полностью все дырки недавно рубался узел просто, запомнилась цифра Похоже на правду, получается ~27 Ватт на одно устройство, у нас получилось ~20 Ватт, думаю SFP как раз дельту и скушают

3120 по паспорту кушает ~ 35 Вт. По факту, с восемью SFP, петлёй в 1Гб и процессором в 100%, у нас на столе простоял 11.5 часов. От АКБ на 18Ач. УПСуем два DGS на один ИРБИС ИБП 60-12, ожидаем хотябы 4.5-5 часов автономной работы узла

Ну, учитывая что человек рассматривает микротик rb1000, трафика там врятли больше 100 мегабит. Бриджевание иксконнектов довольно простая с точки зрения форвардинга задача, можно получить неплохой PPS. Да и софтроутеры бывают разные, asr1k - тоже софтроутер :) Вот только по цене/красоте решения, сложно придумать что-то интереснее sup2t...

+1 против микротика лучше поставить в одну коробку Sup2T. Ну или хотябы софт роутер от нормального вендора cisco/Juniper

NAT нету. Если вместо шейпера, допустимо использование полисера - попробуйте ipt_ratelimit, производительность должна вас приятно удивить

Ловили проблему с dhcp opt82 на 3028. Если MAC адрес клиента попадает в коллизию и не выучивается, IP адрес абонент не получает. Прибиваем MACи по port security