[morfair]

поделитесь пожалуйста как себя чувствует карбон после введения круглосуточного режима в ревизоре?

в пятницу прошлую карбон обновился пока обновлялся 2 минуты - 180 пропусков, а так 5-10.

А должен бы быть ноль!!)

[Tem]

Обещаются в новой версии при обновление списков блочить доступ для опред ip или подсети

https://twitter.com/carbon_reductor

[weirded]

Ну вы что, я там совсем о другом говорил. Обновление/загрузка списков НИКАК не влияет на работоспособность, там немного другая песня.

 

Блокировка для IP предусмотрена на время обновления "прошивки", то есть модулей фильтрации и завершения рестарта после этого.

 

Обещаются в новой версии при обновление списков блочить доступ для опред ip или подсети

https://twitter.com/carbon_reductor

[kisa]

weirded Подскажите, а возможно обновление редуктора с 7 на последнюю версию без переустановки операционной системы, как это предлагает ваша техподдержка?

[kisa]

Я тоже отказываюсь от редуктора, это решение класса костыльных, но только за деньги. И большинство ответов тех поддержки о пропусках: линукс - это не маршрутизатор, наверное, потери на вашем оборудовании и т.д.

 

nfqfilter на другом ревизоре у меня дает лучше результаты.

[Artem_C]

weirded Подскажите, а возможно обновление редуктора с 7 на последнюю версию без переустановки операционной системы, как это предлагает ваша техподдержка?

 

Говорят, для обновления на 8 версию переустановка ОС не потребуется, всё будет одним скриптом обновления.

[Stiler]

Говорят, для обновления на 8 версию переустановка ОС не потребуется, всё будет одним скриптом обновления.

Если будет именно так, то это однозначно большой плюс. Обновление с версии 7 на версию 8 интересно будет платное или нет?

[sheft]

а возможна ли реализация хитрой схемы, раз редуктор всё равно в режиме снифера, прикрутить срабатывание скрипта....

в кратце для чего это нужно, в текущем виде редуктор, да и другие решения это компромис между быстродействием и жёсткой фильтрацией, для пользовательского трафика слишком жёсткая фильтрация приведёт к деградации канала/задержкам, в слишком либеральном варианте чревато попадаловом оператора на деньги...

вариант с жесткой привязкой стукача(ревизора) например к микротику или прочему линуксу на котором жёстко фильтруется только стукач хорош до определённого момента, тобишь до перепроверки РКНом или РЧСниками ручками...

Хотелось бы реализации снифера со счётчиком, который при срабатывании счётчика на две-три записи из реестра перенаправлял источник запросов на жёсткий фильтр сменой маршрута.

Что не получается сегодня изложить мысли чётко...

Внеплановая проверка РКНа с компьютера одного из абонентов сети, или даже подключение мобильного стукача-ревизора, редуктор работает в щадящем режиме, но уже при первых трёх запросах из запретного списка срабатывает скрипт, который меняет маршрут абонента и перенаправляет его трафик через сторонний жёсткий фильтр который блочит всё днсом и IPшниками.

[Andrei]

Коллеги, подскажите кто какие сервера покупал для установки Carbon Reductor.

Трафика, подлежащего обработке, немного - мегабит 200 с перспективой роста до 300. Поэтому тут основные требования будут наверное не к памяти/процу, а к сетевым картам как описано тут - http://docs.carbonsoft.ru/pages/viewpage.action?pageId=51380324

 

Можно взять что-то простое типа HP DL360 G5 8х3.0GHz с 32GB RAM и доукомплектовать его нужными сетевыми картами - какими? Есть best practice?

[Alex/AT]

Юзали до появления ревизора, сейчас тоже стоит. Увы, пропуски периодически появляются. Вообще зеркало = высокая вероятность пропуска в любом случае. Любой удачный дроп или задержка пакета = пропуск.

 

Имхо с появлением "ревизора" и требования фильтрации 100% трафика (а не 99.99...) этот режим работы своё отжил. Теперь только транзит. Поэтому если ещё не выбрали решение или в процессе замены - смотрите на другие, которые ставятся в транзит.

[Saab95]

Коллеги, подскажите кто какие сервера покупал для установки Carbon Reductor.

Трафика, подлежащего обработке, немного - мегабит 200 с перспективой роста до 300. Поэтому тут основные требования будут наверное не к памяти/процу, а к сетевым картам как описано тут - http://docs.carbonso...pageId=51380324

 

Можно взять что-то простое типа HP DL360 G5 8х3.0GHz с 32GB RAM и доукомплектовать его нужными сетевыми картами - какими? Есть best practice?

 

Нет, нельзя. Нужно брать современный 4-х ядерный ксеон (LGA1151), память ддр4, и достаточно встроенных интеловских сетевух что-то вроде Intel I210AT. Тогда у сервера будет достаточно ресурсов на быструю обработку.

 

Юзали до появления ревизора, сейчас тоже стоит. Увы, пропуски периодически появляются. Вообще зеркало = высокая вероятность пропуска в любом случае. Любой удачный дроп или задержка пакета = пропуск.

 

Имхо с появлением "ревизора" и требования фильтрации 100% трафика (а не 99.99...) этот режим работы своё отжил. Теперь только транзит. Поэтому если ещё не выбрали решение или в процессе замены - смотрите на другие, которые ставятся в транзит.

 

Ну да, а вы поспрашивайте кто на каких серверах редуктор использует, в половине случаев устаревшее барахло, которое на помойке нашли. Естественно, ресурсов не хватает и появляются пропуски.

Кроме всего важна правильная схема включения - зеркало исходящего трафика в разрыве между БГП/НАТ, то есть что бы на него попадал сырой абонентский трафик по серым/белым абонентским адресам, без вланов и вообще чего либо - только IP, а ответы редуктор должен выдавать в самый первый роутер, который терминирует абонентов - тогда ответ на блокировку придет со 100 процентной гарантией быстрее, чем от ресурса интернета.

[Artem_C]

Говорят, для обновления на 8 версию переустановка ОС не потребуется, всё будет одним скриптом обновления.

Если будет именно так, то это однозначно большой плюс. Обновление с версии 7 на версию 8 интересно будет платное или нет?

 

Да с чего, за обновления вы же не платите))

[DemonS]

Говорят, для обновления на 8 версию переустановка ОС не потребуется, всё будет одним скриптом обновления.

Если будет именно так, то это однозначно большой плюс. Обновление с версии 7 на версию 8 интересно будет платное или нет?

Восьмерку уже сейчас спокойно можно скачать и установить себе на сервер. Бесплатно.

 

Коллеги, подскажите кто какие сервера покупал для установки Carbon Reductor.

Трафика, подлежащего обработке, немного - мегабит 200 с перспективой роста до 300. Поэтому тут основные требования будут наверное не к памяти/процу, а к сетевым картам как описано тут - http://docs.carbonsoft.ru/pages/viewpage.action?pageId=51380324

 

Можно взять что-то простое типа HP DL360 G5 8х3.0GHz с 32GB RAM и доукомплектовать его нужными сетевыми картами - какими? Есть best practice?

Стоит уже более года на quard core q9300 + 2 GB Оперативки + i82576сетевая. Трафика исходящего завернутого на нее в среднем 42Мб/с, максимум - 112 Мб/с. Лоад аверейдж в среднем 0.1, в пиках 1.12. Пропускает, судя по ревизору 0-20 ссылок. Машинка вообще не потеет даже.

Изменено 22 марта, 2017 пользователем DemonS

[Andrei]

Коллеги, подскажите кто какие сервера покупал для установки Carbon Reductor.

Трафика, подлежащего обработке, немного - мегабит 200 с перспективой роста до 300. Поэтому тут основные требования будут наверное не к памяти/процу, а к сетевым картам как описано тут - http://docs.carbonso...pageId=51380324

 

Можно взять что-то простое типа HP DL360 G5 8х3.0GHz с 32GB RAM и доукомплектовать его нужными сетевыми картами - какими? Есть best practice?

 

Нет, нельзя. Нужно брать современный 4-х ядерный ксеон (LGA1151), память ддр4, и достаточно встроенных интеловских сетевух что-то вроде Intel I210AT. Тогда у сервера будет достаточно ресурсов на быструю обработку.

Не достаточно встроенных сетевух - ответ от саппорта Carbon-a. Ссылку в моем сообщении точно не открывали - так ведь? Иначе не отвечали бы так.

К тому упомянутый выше HP ProLiant DL360 G5 Rack Server - это

2x Intel Xeon X5450 Quad Core 8x 3.0GHz CPU

Тоже не посмотрели прежде чем советовать? :)

 

Поэтому если ещё не выбрали решение или в процессе замены - смотрите на другие, которые ставятся в транзит.

Например? Скат - сильно дорого.

[YuryD]

Например? Скат - сильно дорого.

Если бы бабушка имела яйца, она была бы дедушкой :) Сильно дорогой скат в те времена стоил как три штрафа сегодня. Дороговизна ската - миф. Лицензия и саппорт стоят небольших соразмерных денег. Но ! Скат всегда выставлял высочайшие требования по железу. Да, курс бакса подскачил... Карбон в те времена хвастался, что на любом древнем компе заблочим...

Ну и еще раз - помесячная система оплаты поддержки карбона - не понравилась ни моей бухгалтерии, ни мне...

[Stiler]

Пропуски и потери, задержки пакетов - корявая сетка или плохое железо. Была аналогичная ситуация, выяснилось, что дело было в сетевке. Купил не нищебродскую (в тп подсказали), все норм, пропуски пропали. Имхо, можно решать проблемы, а можно сваливать на обстоятельства и ПО ;)

[YuryD]

Пропуски и потери, задержки пакетов - корявая сетка или плохое железо. Была аналогичная ситуация, выяснилось, что дело было в сетевке. Купил не нищебродскую (в тп подсказали), все норм, пропуски пропали. Имхо, можно решать проблемы, а можно сваливать на обстоятельства и ПО ;)

 

У ската есть сразу суровые требования и к цпу, и к сетевым картам, т.е. они более ответственно относятся к железу и обработке насквозь. Это меня ещё к скату и привлекло. Был выбор - карбон или скат. Выбрали скат, кто-то выбрал карбон...

[Alex/AT]

Коллеги, подскажите кто какие сервера покупал для установки Carbon Reductor.

Трафика, подлежащего обработке, немного - мегабит 200 с перспективой роста до 300. Поэтому тут основные требования будут наверное не к памяти/процу, а к сетевым картам как описано тут - http://docs.carbonso...pageId=51380324

 

Можно взять что-то простое типа HP DL360 G5 8х3.0GHz с 32GB RAM и доукомплектовать его нужными сетевыми картами - какими? Есть best practice?

 

Нет, нельзя. Нужно брать современный 4-х ядерный ксеон (LGA1151), память ддр4, и достаточно встроенных интеловских сетевух что-то вроде Intel I210AT. Тогда у сервера будет достаточно ресурсов на быструю обработку.

 

Юзали до появления ревизора, сейчас тоже стоит. Увы, пропуски периодически появляются. Вообще зеркало = высокая вероятность пропуска в любом случае. Любой удачный дроп или задержка пакета = пропуск.

 

Имхо с появлением "ревизора" и требования фильтрации 100% трафика (а не 99.99...) этот режим работы своё отжил. Теперь только транзит. Поэтому если ещё не выбрали решение или в процессе замены - смотрите на другие, которые ставятся в транзит.

 

Ну да, а вы поспрашивайте кто на каких серверах редуктор использует, в половине случаев устаревшее барахло, которое на помойке нашли. Естественно, ресурсов не хватает и появляются пропуски.

Кроме всего важна правильная схема включения - зеркало исходящего трафика в разрыве между БГП/НАТ, то есть что бы на него попадал сырой абонентский трафик по серым/белым абонентским адресам, без вланов и вообще чего либо - только IP, а ответы редуктор должен выдавать в самый первый роутер, который терминирует абонентов - тогда ответ на блокировку придет со 100 процентной гарантией быстрее, чем от ресурса интернета.

Ещё бы кто-то согласился за эту "100%" гарантию финансово отвечать - тогда можно было бы обсуждать. А так - ежу понятно, что схема в транзите с т.з. пропусков не по вине софта надёжнее.

 

Пропуски и потери, задержки пакетов - корявая сетка или плохое железо. Была аналогичная ситуация, выяснилось, что дело было в сетевке. Купил не нищебродскую (в тп подсказали), все норм, пропуски пропали. Имхо, можно решать проблемы, а можно сваливать на обстоятельства и ПО ;)

 

Давайте проще: к чему приведёт потеря хедерного пакета HTTP в трафике зеркала? А в транзите?

 

По любым причинам. Дальше этого можно не обсуждать.

 

Если бы штраф был 100 рублей - дело одно. В текущей же ситуации даже за единичный пропуск можно отгрести...

[Saab95]

Не достаточно встроенных сетевух - ответ от саппорта Carbon-a. Ссылку в моем сообщении точно не открывали - так ведь? Иначе не отвечали бы так.

К тому упомянутый выше HP ProLiant DL360 G5 Rack Server - это

2x Intel Xeon X5450 Quad Core 8x 3.0GHz CPU

 

Этот процессор морально устарел, и шина 1333 МГц давно устарела и не обеспечивает достойной работы, кроме всего 3000ГГц это не 3000ГГц у современных процессоров. Поэтому что толку от красивых цифр и большого количества ядер. Может для виртуалок или каких-то некоторых приложений он еще сгодится. Но не для задач по фильтрации трафика. Кроме всего это двухпроцессорная система, которая требует некоторых нюансов.

 

Про встроенные сетевухи по ссылке имелось в виду на древних системах, когда туда лепили всякое офисное барахло, на современных серверных платформах уже устанавливают встроенные сетевухи несколько более высокого уровня, что бы не требовалось устанавливать внешние для большинства задач. Они и несколько очередей поддерживают, и много чего еще.

 

Поэтому если покупать сервер для блокировки - то только на современном железе, при этом его цена около 60-70 тыс. Включая удобную систему удаленного управления, на которой можно все поставить не вставляя болванку или флешку в сервер.

 

У ската есть сразу суровые требования и к цпу, и к сетевым картам, т.е. они более ответственно относятся к железу и обработке насквозь. Это меня ещё к скату и привлекло. Был выбор - карбон или скат. Выбрали скат, кто-то выбрал карбон...

 

Карбон устанавливается легко - качается образ, устанавливается путем не сложных манипуляций и все - система работает.

 

А Скат? Он явно рассчитан не на чайника.

 

И кроме всего, как будет работать Скат транзитом через себя, если есть несколько каналов интернета, и объединить их в один нельзя? Поставить несколько серверов, каждый в разрыв своего канала? Так тут стоимость железа увеличивается на количество этих каналов, и количество лицензий тоже. Кроме всего на самой дешевой лицензии доступны не все плюшки системы.

 

Так же у Ската нет открытого прайса и нет документации в открытом доступе. Где подробно описан процесс установки и первоначальной настройки.

[Andrei]

Была аналогичная ситуация, выяснилось, что дело было в сетевке. Купил не нищебродскую (в тп подсказали), все норм, пропуски пропали.

Имя, сестра, имя! :) Какую сетевку купили-то?

[taf_321]

Например? Скат - сильно дорого.

Со СКАТом можно сильно сэкономить, если заворачивать через него только исходящий трафик, который на порядок меньше входящего. Соотвественно на лицензии на 6G спокойно прожевать 20G входящего.

[Stiler]

Давайте проще: к чему приведёт потеря хедерного пакета HTTP в трафике зеркала? А в транзите?

 

По любым причинам. Дальше этого можно не обсуждать.

 

Если бы штраф был 100 рублей - дело одно. В текущей же ситуации даже за единичный пропуск можно отгрести...

 

Можно поставить второй коммутатор последовательно и подавать зеркало с него, вероятность того, что на обоих коммутаторах потеряется один и тот же пакет равна вероятности отказа транзитного сервера. Только второй коммутатор дешевле чем система фильтрации с транзитом.

Факт в том, что у нас всё отлично работает и блокируется (и у коллег по цеху тоже), большего не надо.

 

Имя, сестра, имя! :) Какую сетевку купили-то?

 

I350-T2. Если для себя интересуетесь, то лучше через ТП редуктора уточните.

[Alex/AT]

Можно поставить второй коммутатор последовательно и подавать зеркало с него, вероятность того, что на обоих коммутаторах потеряется один и тот же пакет равна вероятности отказа транзитного сервера. Только второй коммутатор дешевле чем система фильтрации с транзитом.

А можно таки поставить фильтр в транзит. Сомневаюсь, кстати, что выйдет дешевле, если как вы выше писали - "возьмите правильный коммутатор, возьмите правильную сетёвку". Любые "правильные" решения будут стоить дороже того самого сервера. Плюс это таки не застрахует нас 100% от несофтовых пропусков. 99.9...% - может быть, 100% - нет.

 

Пысы. Сервер на 3+3 для СКАТ c "правильной" сетевой картой стоит где-то в районе 150 тыр. Это не так много, вполне сопоставимо с почти "правильным" свитчом на ту же ёмкость.

[YuryD]

А Скат? Он явно рассчитан не на чайника.

Так же у Ската нет открытого прайса и нет документации в открытом доступе. Где подробно описан процесс установки и первоначальной настройки.

 

Этта, там просто надо поставить центос нужной версии, и дать скатовцам ssh под рут. Далее они всё ставят и конфигурируют удаленно. Затем закрываете им доступ и меняете пароль. Обновление версии - yum обычный. Ну и рекомендую брать бандл (железо+сетевка+лицензия) Остальные детали конфигов есть в их вики.

[Andrei]

Ну и рекомендую брать бандл (железо+сетевка+лицензия)

У НАГа? Или у самих "скатовцев"?