[Sonne]

Ну ок. Раз с МТ непонятность. Что может отнатить около 1Гбит в бюджете до 200 т.р. Не самосбор и Linux, FreeBSD.

 

Давайте так, покупайте 2 микротика CCR основной и резервный, а за 10 т.р. и один вечер я вам их полностью настрою. Выйдет меньше 100 т. р.

А еще покрутим новый нетфлоу.

[saaremaa]

Давайте так, покупайте 2 микротика CCR основной и резервный, а за 10 т.р. и один вечер я вам их полностью настрою. Выйдет меньше 100 т. р.

А еще покрутим новый нетфлоу.

:D Понимаю, кризис. Мы сами.

Недавно было заявлено о поддержке NAT в микротиковском нетфлоу, я пока не проверял, но вам стоит поробовать!

Вот за эту новость глобальное спасибо.

 

What's new in 6.29 (2015-May-27 11:19):

*) ipv4 fasttrack fastpath - accelerates connection tracking and nat for marked

connections (more than 5x performance improvement compared to regular slow

path conntrack/nat) - currently limited to TCP/UDP only;

*) trafflow: add natted addrs/ports to ipv4 flow info;

В целом вектор работы понятен. Тему можно закрывать.

[NikAlexAn]

У меня CCR 1032 NAT+СОРМ

на трафике 0,5 Гиг загрузка 20%

Позже отказались от мобильности и на все локации назначили пулы. Сейчас транслируем /24 в 1 реальный IP. Получается около 40 правил.

Недавно было заявлено о поддержке NAT в микротиковском нетфлоу, я пока не проверял, но вам стоит поробовать!

CCR1036-12G-4S ROS v6.12(новей не пробовал) примерно 650 абонентов и 380м входящего пережевывает вполне нормально со средней загрузкой ядер 10-19%. Правда иногда одно из ядер на непродолжительное время может упираться в 100% - пока до отвала сервиса не доходило.

Мангл не используется.

Правила трансляций типа - add action=src-nat chain=srcnat comment=Ring1-NAT out-interface=ether12 src-address=10.34.1.0/24 to-addresses=a.b.c.d

Netflow включен на всех интерфейсах и в этом случае снимается статистика вида абонентский_адрес_порт->адресат_адрес_порт.

"ip traffic-flow print

enabled: yes

interfaces: all

cache-entries: 4M

active-flow-timeout: 5m

inactive-flow-timeout: 15s"

Именно interfaces: all иначе кусочки будут до и после.

На форуме кто то писал как логгировать ещё и адрес ната через syslog но не пробовал - надо будет чем то разбирать и складывать в базу.

Как то так.

[apathy]

Поделюсь опытом Netflow или traficflow сломали к чертям после 6.28 до сих пор. Официальный ответ саппорта мы работаем на трафик флоу в 6.33 и типа тестовые версии ставь 6.33.rc30. Так же они рекомендуют v9 для Nat типа выделили и запилили отдельное поле под него. V5 показывает неточно и имеет расхождения. Вот так и живем на 6.28))

[zhenya`]

в в9 как раз поля под нат есть..

[ams666]

Поделюсь опытом Netflow или traficflow сломали к чертям после 6.28 до сих пор. Официальный ответ саппорта мы работаем на трафик флоу в 6.33 и типа тестовые версии ставь 6.33.rc30. Так же они рекомендуют v9 для Nat типа выделили и запилили отдельное поле под него. V5 показывает неточно и имеет расхождения. Вот так и живем на 6.28))

так вот почему у меня статистика поломалась... А я грешил на другое. Вроде на одной из железок нормально работает на другой нет., а как раз обновил микротик :(

[Sonne]

У Микротов в каждой версии что то ломается, в следующейчинится старое и ломается новое и так по кругу. Очень трудно найти стабильную версию.

 

Вроде бы они сейчас пришли к Long Term Support версии, может легче станет.

 

У меня пока в фаворитах 6.18, после нее так и не нашел стабильную. Пробую разное.

 

Кто будет тестировать нетфлоу - делитесь информацией. Мы переходим к двум узлам и трафике больше 1 гига, так что миррор перестанет удовлетворять.

[Saab95]

Кто будет тестировать нетфлоу - делитесь информацией. Мы переходим к двум узлам и трафике больше 1 гига, так что миррор перестанет удовлетворять.

 

Так надо использовать коммутаторы с 10Г портами, тогда можно по старинке продолжать зеркалировать.

[saaremaa]

Для истории:

CCR1009-8G-1S может миррорить трафик через switch-chip с определенными ограничениями. Мирроринг доступен только внутри одной switch группы и только на портах железно прибитых внутри этой группы.

 

Руководства:Возможности чипа коммутации

 

RouterOS 6.33rc33 - Netflow 9 передает поля NAT без проблем.

 

Нагрузка на NAT сильно снижается при использовании FastTrack в последних версиях.

 

По максимальным нагрузкам не скажу пока собрали на стенде и согласовываем схему с Структурами.

[Saab95]

В CCR1016-12S-1S+ со всеми оптическими портами нет свича и на нем зеркалировать трафик таким способом не получится.

[SyJet]

Saaremaa - настоятельно не рекомендую миррорить на микроте. При 400мбит с pppoe под тысячу абонов - 100% загрузка. Только сегодня разгоребал проблемы у знакомого.

[s.lobanov]

Микротик с прямыми обязанностями ужасно справляется на нагрузке. Какой там мирроринг... сплиттер или свитч в разрыв и там зеркало

[saaremaa]

Saaremaa - настоятельно не рекомендую миррорить на микроте.

Это чисто академический экспиренс был. Миррорится на коммутаторе - т.к. проверенное решение.

[SyJet]

Микротик с прямыми обязанностями ужасно справляется на нагрузке. Какой там мирроринг... сплиттер или свитч в разрыв и там зеркало

Как выяснилось в деревнях всякое бывает, тоже никогда не думал что это все реальность. Я представляю какой шлак на сети у сааба

[Saab95]

Как выяснилось в деревнях всякое бывает, тоже никогда не думал что это все реальность. Я представляю какой шлак на сети у сааба

 

Вот что-то вроде такого, это кусочек:

 

[SolarW]

Зарелизилась версия 6.33.

Наступило ли счастье с обсуждаемым тут вопросом?

[Sonne]

В версии 6.33 отключили NAT на Netflow v1 и v5. Вернули старое поведение, которое сломали в 6.29

 

Для мониторинга NAT добавили поля в Netflow v9. Вот формат данных Netflow:

 

Flow 3
   [Duration: 59.590000000 seconds (switched)]
   Packets: 5700194
   Octets: 4255323704
   InputInt: 16
   OutputInt: 0
   SrcAddr: 31.X.X.254
   DstAddr: 185.X.X.254
   Protocol: UDP (17)
   IP ToS: 0x00
   SrcPort: 2043 (2043)
   DstPort: 2299 (2299)
   NextHop: 185.X.X.X
   DstMask: 0
   SrcMask: 0
   TCP Flags: 0x00
   Destination Mac Address: Routerbo_XX:XX:XX (d4:ca:6d:XX:XX:XX)
   Post Source Mac Address: 00:00:00_00:00:00 (00:00:00:00:00:00)
   Post NAT Source IPv4 Address: 31.X.X.254
   Post NAT Destination IPv4 Address: 185.X.X.254
   Post NAPT Source Transport Port: 0
   Post NAPT Destination Transport Port: 0

 

Народ говорит что трафик идет. Вот оно, светлое будущее!

 

Вопрос, а чем его ловить теперь? nfdump я пока настроить не смог.

[jdemon]

Я делаю через netmap по другому работает криво, например авторизация на каком нить сервисе может пойти с одного адреса, а данные запрашивать с другого

[jdemon]

А чем собираете 9 версию? у меня просто триста лет назад еще ставил flow-tools , а он не умеет 9 версию.

[Butch3r]

Как выяснилось в деревнях всякое бывает, тоже никогда не думал что это все реальность. Я представляю какой шлак на сети у сааба

 

Вот что-то вроде такого, это кусочек:

 

у вас маршрутизаторы по pppoe подключены к микротикам??? оО

[Saab95]

у вас маршрутизаторы по pppoe подключены к микротикам??? оО

 

Так тоже бывает, но в данном случае маршрутизаторы передают данные абонентов на PPPoE сервера, это выгоднее и дешевле, чем использовать дорогущие коммутаторы с поддержкой EoMPLS, т.к. за стоимость одного такого коммутатора можно 3 микротика CCR1036 купить. При этом дешевых коммутаторов для доступа с поддержкой этой технологии нет в природе, зато есть микротик, который умеет запаковывать трафик абонента с порта в EoIP туннель и передавать в центр, при этом обеспечивая скорость в 400-500 мегабит всего за несколько сотен долларов.

[Sonne]

А чем собираете 9 версию? у меня просто триста лет назад еще ставил flow-tools , а он не умеет 9 версию.

 

Пока ничем. Nfdump/nfcapd не смог распознать поток. Это проблема демонов. Пытался посмотреть код, но лишний раз убедился что системный C/C++ это не мое.

 

Нашел простой и модный js модуль для nodejs, запустил его и получил распакованный поток JSON. Все поля четко отображаются. Сейчас думаю написать софтину, которая будет делать ровно то что нужно.

[h1vs2]

А чем собираете 9 версию? у меня просто триста лет назад еще ставил flow-tools , а он не умеет 9 версию.

 

Пока ничем. Nfdump/nfcapd не смог распознать поток. Это проблема демонов. Пытался посмотреть код, но лишний раз убедился что системный C/C++ это не мое.

 

Нашел простой и модный js модуль для nodejs, запустил его и получил распакованный поток JSON. Все поля четко отображаются. Сейчас думаю написать софтину, которая будет делать ровно то что нужно.

 

Подскажите, пожалуйста, название софта

[Sonne]

А чем собираете 9 версию? у меня просто триста лет назад еще ставил flow-tools , а он не умеет 9 версию.

 

Пока ничем. Nfdump/nfcapd не смог распознать поток. Это проблема демонов. Пытался посмотреть код, но лишний раз убедился что системный C/C++ это не мое.

 

Нашел простой и модный js модуль для nodejs, запустил его и получил распакованный поток JSON. Все поля четко отображаются. Сейчас думаю написать софтину, которая будет делать ровно то что нужно.

 

Подскажите, пожалуйста, название софта

 

https://github.com/delian/node-netflowv9

 

Как поставить ноду: https://nodejs.org/en/download/package-manager/