[dios]

5 minutes ago, kisa said:

вот вы ровно точно и описали алгоритм работы proxy arp.

 

и если подсеть терминируется на разных раутерах, то proxy arp одного

из них получив запрос, затем убедившись, что у него есть маршрут до ip 

адреса из запроса (это может быть соседний интерфейс к соседнему раутеру, а может быть просто другой интерфейс,

к другому сабу, как в случае когда подсеть используется unnumbered другими vlan per subscriber),

и этот маршрут не ведет обратно в интерфейс откуда получен запрос, ответит на него своим мак.

затем получив трафик на этот мак перенаправит его в другой интерфейс согласно таблице маршрутизации.

 

Понял. Спасибо, буду пробовать ставить.  Недавно тестировал  vpp, там proxy arp не помог. 

 

По поводу Reverse Path Filtering, у вас как  от спуфа ip реализуется  защита ? Или ожидать реализацию  Reverse Path Filtering ? 

[kisa]

1 час назад, dios сказал:

Понял. Спасибо, буду пробовать ставить.  Недавно тестировал  vpp, там proxy arp не помог. 

 

По поводу Reverse Path Filtering, у вас как  от спуфа ip реализуется  защита ? Или ожидать реализацию  Reverse Path Filtering ? 

В случае vlan per subscriber эта защита не очень актуальна, т.к даже подделав адрес, ответ пользователь не получит,  т.к маршрута на поддельный адрес в интерфейс к пользователю не будет.

 

в случае влан на группу абонентов rp filter поможет, но опять же не всех случаях, а только если подделываемый адрес принадлежит пользователю из другого интерфейса. В theroutet есть режим установки статичных arp записей. этот режим или rp-filter с связке с мак секюрити на портах свитчей может по настоящему помочь, когда много пользователей в одном броадкаст сегменте. Без контроля на свитчах это полу меры.

 

Rp filter сделать пару часов. Если решитесь тестировать, пишите мне в личку, и все обсудим

Изменено 20 октября, 2019 пользователем kisa

[dios]

2 hours ago, kisa said:

В случае vlan per subscriber эта защита не очень актуальна, т.к даже подделав адрес, ответ пользователь не получит,  т.к маршрута на поддельный адрес в интерфейс к пользователю не будет.

 

в случае влан на группу абонентов rp filter поможет, но опять же не всех случаях, а только если подделываемый адрес принадлежит пользователю из другого интерфейса. В theroutet есть режим установки статичных arp записей. этот режим или rp-filter с связке с мак секюрити на портах свитчей может по настоящему помочь, когда много пользователей в одном броадкаст сегменте. Без контроля на свитчах это полу меры.

 

Rp filter сделать пару часов. Если решитесь тестировать, пишите мне в личку, и все обсудим

 

 

подделав адрес, ответ конечно не получит,  но вот spoof атаку на соседнюю VDS это не помешает устроить

 

статичные arp записи тоже не есть гуд - нужно еще маки в базе держать. К тому же при жестком биндинге mac, нужно предусмотреть тонкости  при pxe загрузке 

 

по поводу Rp filter ЛС отписал

 

 

Изменено 20 октября, 2019 пользователем dios

[kisa]

4 часа назад, dios сказал:

 

подделав адрес, ответ конечно не получит,  но вот spoof атаку на соседнюю VDS это не помешает устроить

 

статичные arp записи тоже не есть гуд - нужно еще маки в базе держать. К тому же при жестком биндинге mac, нужно предусмотреть тонкости  при pxe загрузке 

тут все зависит от контекста и задачи. я предполагал контекст интернет провайдеров, у которых в случае использования

влана на группу пользователей конечно в базе будут и мак адреса и вся инфа о каждом абоненте.

 

4 часа назад, dios сказал:

 

по поводу Rp filter ЛС отписал

 

[kisa]

Новая фича - IPoE Subscriber VRRP - active-active BRAS кластер.

 

Допустим, нужно запустить два BRAS в режиме active-active 
для 100 вланов, в каждом из которых есть группа абонентов.

 

Тогда создадим две VRRP группы на обоих серверах.
Выставим приоритет одной группы выше на сервере 1,
приоритет второй группы выше на сервере 2. Сервер 1
становится мастером для группы 1, бэкапом для группы 2.
Сервер 2 - наоборот, мастером для группы 2, бэкапом для группы 1.

 

конфиг:

   subsc vrrp init dev v3
   sysctl set subsc_vrrp_master_down_timeout 10000

   subsc vrrp create group 10 prio 5 neighbor 192.168.1.112
   subsc vrrp group 10 primary ip 192.168.5.10
   subsc vrrp group 10 add vif port 0 svid 0 cvid 5
   subsc vrrp group 10 enable

 

Теперь разделим 100 интерфейсов пополам, половину добавляем
в группу 1, другую добавляем в группу 2.

либо с помощью одиночных команд
   subsc vrrp group 10 add vif port 0 svid 0 cvid 5
либо с помощью range команд
   subsc vrrp group 10 add vif range svid 10 20 cvid 200 300 name ipoe_v

 

Cабскрайберы начнут работать с primary ip 192.168.5.10
вместо ip адреса интерфейса. Группа вешает его
на все интерфейсы, которые добавлены в группу. Сама создает
local маршрут для этого ip.

 

Primary ip адрес связан c VRRP virtual router MAC
вида 00:00:5E:00:01:XX где xx - номер vrrp группы.

Primary адрес сразу добавляется и на master и на бэкап
интерфейсы, но только master отвечает на arp запросы об
этом адресе.

 

Тоже самое с созданием новых сабов, только master создает
сабы, только мастер выполняет relay dhcp запросов, прилетающих
на интерфейсы, контролируемые группой.

 

Бэкап получает от мастера обновления состояния сабов и ведет
offline db. Как только бэкап замечает, что мастер отвалился,
т.е. как только истекает время subsc_vrrp_master_down_timeout (ms),
бэкап становится мастером. Берет offline db и переводит всех сабов
в onlline - создает arp, создает маршрут до саба, т.е. делает
все, что делал бы при обычном подключении саба.

 

Можно переключить бэкап в состояние master в любой момент, повысив
его приоритет.

 

В итоге, первая половина вланов работает через первый сервер,
вторая через второй. И в любой момент каждый сервер, может взять
на себя нагрузку соседа.

 

Как только группа становится мастером она отправляет
gratuitous arp запросы о primary ip на все интерфейсы группы. Чтобы свитчи
увидели, что топология поменялась и адрес переехал на новый порт.
 

Изменено 20 декабря, 2019 пользователем kisa

[kisa]

Примеры конфигов для IPoE VRRP влан на группу абонентов https://github.com/alexk99/the_router/blob/master/bras/bras_ipoe_vrrp.md

Изменено 2 января, 2020 пользователем kisa

[Askel]

404 - http://therouter.net/downloads/the_router.latest.6cores.dpdk.17.11.1.b0.50.tar.gz

[kisa]

Добавлена поддержка IPv6 для PPPoE.

 

Реализация поддерживает

rfc3162 - RADIUS and IPv6
rfc4818 - RADIUS Delegated-IPv6-Prefix Attribute
rfc5072 - IP Version 6 over PPP
rfc6911 - RADIUS Attributes for IPv6 Access Networks
rfc8415 - Dynamic Host Configuration Protocol for IPv6 (DHCPv6)

 

TR-187
IPv6 for PPP Broadband Access

 

Новые конфигурационные опции
https://github.com/alexk99/the_router/blob/master/conf_options.md#pppoe-ipv6

Пример конфига
https://github.com/alexk99/the_router/blob/master/pppoe_ipv6/example1.txt
 

Изменено 31 января, 2020 пользователем kisa

[kisa]

Завершено боевое тестирование IPv6 PPPoE браса у одного из индийских операторов.

 

Maximum 1670 users, half of them are IPv6

 

Впечатления индийских коллег:

 

The biggest advantage of TR is salvaged servers can be turned in to at least 10K+ of users supported BRAS. On the other hand the license fee is so minimal which should be affordable to anyone.  Moreover its license based on throughput not number of users which is an added advantage.  You can have a 25K users supported BRAS with minimal investment. The TR tech team is very much understandable and capable to deploy any scenario which I proposed and implemented in days which is amazing. Below are the other advantages
1. Fully RFC compliant.
2. Better and efficient provision of IPv6 for PPPoE 
3. Persist both IPv4 and IPv6 even after server restarts
4. Default IP address pool for IPv4 and IPv6 which enable easy transition for BRAS
5. Blacklisting of nuisance subscriber 
6. Sophisticated Tocken Bucket QoS helping smooth browsing experience for customer even on lower bitrate.

 

Одно из внедрений у бразильских коллег

 

PPPoE BRAS без NAT

 

XL710 for 40GbE QSFP+ (rev 02)

Intel(R) Xeon(R) CPU E5-2620 0 @ 2.00GHz

 

 

Изменено 28 мая, 2020 пользователем kisa

[kisa]

Добавлен policer, поддерживающий разные скорости в зависимости от src/dst пакета.

Для выбора нужного policer используется классификация с помощью нового механизма

prefix map и нового набора radius атрибутов.

https://github.com/alexk99/the_router/blob/master/conf_options2.md#therouter_shaper_ingress_params

https://github.com/alexk99/the_router/blob/master/conf_options2.md#prefix-map

 

Изменено 28 мая, 2020 пользователем kisa

[kisa]

Добавлено лимитирование кол-ва NAT трансляций.

https://github.com/alexk99/the_router/blob/master/conf_options2.md#npf-connection-limit-filter-add

 

[kisa]

Привет :)

Реализован новый движок CGNAT

- поддержка EIM режима

- Deterministic режим выбора адресов и портов (https://tools.ietf.org/html/rfc7422)

- ограничения кол-ва трансляций

- NEL статистика netflow v9 и IPFIX

- производительность до 10 Mpps (80Gbit/s)

 

https://github.com/alexk99/the_router/blob/master/cgnat.md

 

Уже в продакшене

 

 

Изменено 9 ноября, 2020 пользователем kisa
обновление графиков

[ichthyandr]

В 03.11.2020 в 17:29, kisa сказал:

Привет :)

Реализован новый движок CGNAT

- поддержка EIM режима

- Deterministic режим выбора адресов и портов (https://tools.ietf.org/html/rfc7422)

- ограничения кол-ва трансляций

- NEL статистика netflow v9 и IPFIX

- производительность до 10 Mpps (80Gbit/s)

 

https://github.com/alexk99/the_router/blob/master/cgnat.md

 

Уже в продакшене

 

 

 

какие сетевые карты используете, есть ли потери пакетов на интерфейсах?

[kisa]

В 02.12.2020 в 18:36, ichthyandr сказал:

какие сетевые карты используете, есть ли потери пакетов на интерфейсах?

Этот пример pppoe + nat сервера. Поэтому используются x710 серия, чтобы работал аппаратный RSS для PPPoE.

двух портовые intel x710 карты с 40g интерфейсам из которых собран LACP LAG.

 

Небольшие потери бывают в любом софтовом решении.

Но именно на этом сервере они практически нулевые. Если вы обратите внимание, то на втором графике видно метрику missed.

Это счетчик переполнения входящих очередей NIC.

[kisa]

Добавлена поддержка статических DNAT44 правил в движок Deterministic NAT.

 

https://github.com/alexk99/the_router/blob/master/conf_options2.md#deterministic-dnat44

[argotel]

Ребят есть какие-то свежие отзывы? Цена не дешевая, поэтому хотелось бы побольше открытости. Спасибо)

[~pavel~]

11 hours ago, argotel said:

Ребят есть какие-то свежие отзывы? Цена не дешевая, поэтому хотелось бы побольше открытости. Спасибо)

Используем TR для терминации PPPoE,

в боевую без перезагрузки TR работает с октября прошлого года.

 

Сейчас запускаем второй сервак чтобы полностью заменить старые с accel-ppp.

 

Баги и недоработки разработчик исправляет оперативно.

 

Единственный баг который у нас не решен - это разваливающийся LACP LAG, у нас он падал через несколько часов после запуска.

Пришлось пока отказаться от LAG.

 

Возможно на свежей версии TR и на другом железе этой проблемы нет, надо тестировать.

 

 

[Alex Dok]

14 часов назад, argotel сказал:

Ребят есть какие-то свежие отзывы? Цена не дешевая, поэтому хотелось бы побольше открытости. Спасибо)

Добрый день, коллеги! Не участвую обычно в форумах, но поскольку вопрос по TR сделаю исключение ) 

 

Работаю на регионального оператора, использую использовать TR в следующих направлениях 

 

1. Терминация PPPoE + CGNAT. Это даже скучно. Настроилось и предсказуемо заработало. Попробовал и NAT через NPF и Deterministic NAT44, сделал сохранение ipfix как flow так и nat, очень помогает отвечать на запросы спецслужб. 

Дополнительно, благодаря альтернативной таблице маршрутизации, заблокированные пользователи перенаправляются на страницу оплаты (тут уже пришлось конечно ставить на линукс Squid). 

 

2. Терминация IPoE + DHCP + CGNAT. Тут пришлось повозиться, но в основном со стыком с АСР (используется Гидра). В результате удалось настроить четкое взаимодейтсвие с билингом, так что мимо него и байт не проскочит и добавить для удобства абонетов DHCP. Авторизация по мак-адресу + VLAN. Готовлю сеть к per-subscriber-vlan. Особенно зашла схема с unnumbered IP! Перепробовал все NAT, но остался на NPF, так-как требовались правила. И, чему я особенно рад, благодаря автору (Alex Kiselev) удалось внедрить схему с абонентской маршрутизацией (framed-route) и групповым полисингом, не знаю как Alex его назвал. В результате авторизуются и полисятся не только адреса подключенные напрямую к TR но и спрятанные за роутерами абонентов. При этом со стороны технической поддержки никаких действий (ну разве BGP для абонента настроить), все что необходимо прилетает из билинга.  В планах внедрить резервный TR  и сделать портал авторизации для DHCP.  

 

Чего мне лично очень не хватает, SNMP, хоть я и выкрутился с помощью модуля netsnmp который дергает rcli, но, вероятно, родной агент был бы лучше. 

 

Я бы очень хотел чтобы проект развивался, если у кого есть вопросы по внедрению, стыковке с билингом и прочие вопросы, могу помочь, обращайтесь. 

 

[kisa]

2 часа назад, ~pavel~ сказал:

 

Единственный баг который у нас не решен - это разваливающийся LACP LAG, у нас он падал через несколько часов после запуска.

Пришлось пока отказаться от LAG.

 

Возможно на свежей версии TR и на другом железе этой проблемы нет, надо тестировать.

 

Да, к сожалению, пока не получилось найти причину проблемы в вашем случае. С другим железом, juniper например, LACP работает без проблем.

[ichthyandr]

В 27.05.2021 в 11:41, kisa сказал:

Да, к сожалению, пока не получилось найти причину проблемы в вашем случае. С другим железом, juniper например, LACP работает без проблем.

а сколько стоит лицензия, какой порядок установки ПО? а то с сайта ни ответа ни привета )

[kisa]

16 минут назад, ichthyandr сказал:

а сколько стоит лицензия, какой порядок установки ПО? а то с сайта ни ответа ни привета )

Контакты, указанные на сайте, актуальные.

Напишите пожалуйста на почту info at bisonrouter.com

[kisa]

В 23.09.2021 в 13:59, kisa сказал:

Контакты, указанные на сайте, актуальные.

Напишите пожалуйста на почту info at bisonrouter.com

TheRouter переименован в BisonRouter. Вся подробная информация о компании на сайте https://bisonrouter.com
The project is now Bison Router! Please visit our website https://bisonrouter.com for more information.

[argotel]

Добрый день. А у Вас имеется changelog? Какие-то обновления может вышли?:) 

[Alex_P89]

Недавно писал им на почту, ответили на английском, что с Россией не работают.

Получается это уже проприетарный платный продукт от какой-то иностранной компании, которая не считает возможным работать с нами.

[myth]

Ну оно и понятно почему...