dios Опубликовано 20 октября, 2019 · Жалоба 5 minutes ago, kisa said: вот вы ровно точно и описали алгоритм работы proxy arp. и если подсеть терминируется на разных раутерах, то proxy arp одного из них получив запрос, затем убедившись, что у него есть маршрут до ip адреса из запроса (это может быть соседний интерфейс к соседнему раутеру, а может быть просто другой интерфейс, к другому сабу, как в случае когда подсеть используется unnumbered другими vlan per subscriber), и этот маршрут не ведет обратно в интерфейс откуда получен запрос, ответит на него своим мак. затем получив трафик на этот мак перенаправит его в другой интерфейс согласно таблице маршрутизации. Понял. Спасибо, буду пробовать ставить. Недавно тестировал vpp, там proxy arp не помог. По поводу Reverse Path Filtering, у вас как от спуфа ip реализуется защита ? Или ожидать реализацию Reverse Path Filtering ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kisa Опубликовано 20 октября, 2019 (изменено) · Жалоба 1 час назад, dios сказал: Понял. Спасибо, буду пробовать ставить. Недавно тестировал vpp, там proxy arp не помог. По поводу Reverse Path Filtering, у вас как от спуфа ip реализуется защита ? Или ожидать реализацию Reverse Path Filtering ? В случае vlan per subscriber эта защита не очень актуальна, т.к даже подделав адрес, ответ пользователь не получит, т.к маршрута на поддельный адрес в интерфейс к пользователю не будет. в случае влан на группу абонентов rp filter поможет, но опять же не всех случаях, а только если подделываемый адрес принадлежит пользователю из другого интерфейса. В theroutet есть режим установки статичных arp записей. этот режим или rp-filter с связке с мак секюрити на портах свитчей может по настоящему помочь, когда много пользователей в одном броадкаст сегменте. Без контроля на свитчах это полу меры. Rp filter сделать пару часов. Если решитесь тестировать, пишите мне в личку, и все обсудим Изменено 20 октября, 2019 пользователем kisa Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dios Опубликовано 20 октября, 2019 (изменено) · Жалоба 2 hours ago, kisa said: В случае vlan per subscriber эта защита не очень актуальна, т.к даже подделав адрес, ответ пользователь не получит, т.к маршрута на поддельный адрес в интерфейс к пользователю не будет. в случае влан на группу абонентов rp filter поможет, но опять же не всех случаях, а только если подделываемый адрес принадлежит пользователю из другого интерфейса. В theroutet есть режим установки статичных arp записей. этот режим или rp-filter с связке с мак секюрити на портах свитчей может по настоящему помочь, когда много пользователей в одном броадкаст сегменте. Без контроля на свитчах это полу меры. Rp filter сделать пару часов. Если решитесь тестировать, пишите мне в личку, и все обсудим подделав адрес, ответ конечно не получит, но вот spoof атаку на соседнюю VDS это не помешает устроить статичные arp записи тоже не есть гуд - нужно еще маки в базе держать. К тому же при жестком биндинге mac, нужно предусмотреть тонкости при pxe загрузке по поводу Rp filter ЛС отписал Изменено 20 октября, 2019 пользователем dios Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kisa Опубликовано 20 октября, 2019 · Жалоба 4 часа назад, dios сказал: подделав адрес, ответ конечно не получит, но вот spoof атаку на соседнюю VDS это не помешает устроить статичные arp записи тоже не есть гуд - нужно еще маки в базе держать. К тому же при жестком биндинге mac, нужно предусмотреть тонкости при pxe загрузке тут все зависит от контекста и задачи. я предполагал контекст интернет провайдеров, у которых в случае использования влана на группу пользователей конечно в базе будут и мак адреса и вся инфа о каждом абоненте. 4 часа назад, dios сказал: по поводу Rp filter ЛС отписал Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kisa Опубликовано 20 декабря, 2019 (изменено) · Жалоба Новая фича - IPoE Subscriber VRRP - active-active BRAS кластер. Допустим, нужно запустить два BRAS в режиме active-active для 100 вланов, в каждом из которых есть группа абонентов. Тогда создадим две VRRP группы на обоих серверах. Выставим приоритет одной группы выше на сервере 1, приоритет второй группы выше на сервере 2. Сервер 1 становится мастером для группы 1, бэкапом для группы 2. Сервер 2 - наоборот, мастером для группы 2, бэкапом для группы 1. конфиг: subsc vrrp init dev v3 sysctl set subsc_vrrp_master_down_timeout 10000 subsc vrrp create group 10 prio 5 neighbor 192.168.1.112 subsc vrrp group 10 primary ip 192.168.5.10 subsc vrrp group 10 add vif port 0 svid 0 cvid 5 subsc vrrp group 10 enable Теперь разделим 100 интерфейсов пополам, половину добавляем в группу 1, другую добавляем в группу 2. либо с помощью одиночных команд subsc vrrp group 10 add vif port 0 svid 0 cvid 5 либо с помощью range команд subsc vrrp group 10 add vif range svid 10 20 cvid 200 300 name ipoe_v Cабскрайберы начнут работать с primary ip 192.168.5.10 вместо ip адреса интерфейса. Группа вешает его на все интерфейсы, которые добавлены в группу. Сама создает local маршрут для этого ip. Primary ip адрес связан c VRRP virtual router MAC вида 00:00:5E:00:01:XX где xx - номер vrrp группы. Primary адрес сразу добавляется и на master и на бэкап интерфейсы, но только master отвечает на arp запросы об этом адресе. Тоже самое с созданием новых сабов, только master создает сабы, только мастер выполняет relay dhcp запросов, прилетающих на интерфейсы, контролируемые группой. Бэкап получает от мастера обновления состояния сабов и ведет offline db. Как только бэкап замечает, что мастер отвалился, т.е. как только истекает время subsc_vrrp_master_down_timeout (ms), бэкап становится мастером. Берет offline db и переводит всех сабов в onlline - создает arp, создает маршрут до саба, т.е. делает все, что делал бы при обычном подключении саба. Можно переключить бэкап в состояние master в любой момент, повысив его приоритет. В итоге, первая половина вланов работает через первый сервер, вторая через второй. И в любой момент каждый сервер, может взять на себя нагрузку соседа. Как только группа становится мастером она отправляет gratuitous arp запросы о primary ip на все интерфейсы группы. Чтобы свитчи увидели, что топология поменялась и адрес переехал на новый порт. Изменено 20 декабря, 2019 пользователем kisa Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kisa Опубликовано 2 января, 2020 (изменено) · Жалоба Примеры конфигов для IPoE VRRP влан на группу абонентов https://github.com/alexk99/the_router/blob/master/bras/bras_ipoe_vrrp.md Изменено 2 января, 2020 пользователем kisa Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Askel Опубликовано 27 января, 2020 · Жалоба 404 - http://therouter.net/downloads/the_router.latest.6cores.dpdk.17.11.1.b0.50.tar.gz Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kisa Опубликовано 31 января, 2020 (изменено) · Жалоба Добавлена поддержка IPv6 для PPPoE. Реализация поддерживает rfc3162 - RADIUS and IPv6 rfc4818 - RADIUS Delegated-IPv6-Prefix Attribute rfc5072 - IP Version 6 over PPP rfc6911 - RADIUS Attributes for IPv6 Access Networks rfc8415 - Dynamic Host Configuration Protocol for IPv6 (DHCPv6) TR-187 IPv6 for PPP Broadband Access Новые конфигурационные опцииhttps://github.com/alexk99/the_router/blob/master/conf_options.md#pppoe-ipv6 Пример конфигаhttps://github.com/alexk99/the_router/blob/master/pppoe_ipv6/example1.txt Изменено 31 января, 2020 пользователем kisa Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kisa Опубликовано 10 апреля, 2020 (изменено) · Жалоба Завершено боевое тестирование IPv6 PPPoE браса у одного из индийских операторов. Maximum 1670 users, half of them are IPv6 Впечатления индийских коллег: The biggest advantage of TR is salvaged servers can be turned in to at least 10K+ of users supported BRAS. On the other hand the license fee is so minimal which should be affordable to anyone. Moreover its license based on throughput not number of users which is an added advantage. You can have a 25K users supported BRAS with minimal investment. The TR tech team is very much understandable and capable to deploy any scenario which I proposed and implemented in days which is amazing. Below are the other advantages 1. Fully RFC compliant. 2. Better and efficient provision of IPv6 for PPPoE 3. Persist both IPv4 and IPv6 even after server restarts 4. Default IP address pool for IPv4 and IPv6 which enable easy transition for BRAS 5. Blacklisting of nuisance subscriber 6. Sophisticated Tocken Bucket QoS helping smooth browsing experience for customer even on lower bitrate. Одно из внедрений у бразильских коллег PPPoE BRAS без NAT XL710 for 40GbE QSFP+ (rev 02) Intel(R) Xeon(R) CPU E5-2620 0 @ 2.00GHz Изменено 28 мая, 2020 пользователем kisa Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kisa Опубликовано 28 мая, 2020 (изменено) · Жалоба Добавлен policer, поддерживающий разные скорости в зависимости от src/dst пакета. Для выбора нужного policer используется классификация с помощью нового механизма prefix map и нового набора radius атрибутов. https://github.com/alexk99/the_router/blob/master/conf_options2.md#therouter_shaper_ingress_params https://github.com/alexk99/the_router/blob/master/conf_options2.md#prefix-map Изменено 28 мая, 2020 пользователем kisa Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kisa Опубликовано 28 мая, 2020 · Жалоба Добавлено лимитирование кол-ва NAT трансляций. https://github.com/alexk99/the_router/blob/master/conf_options2.md#npf-connection-limit-filter-add Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kisa Опубликовано 3 ноября, 2020 (изменено) · Жалоба Привет :) Реализован новый движок CGNAT - поддержка EIM режима - Deterministic режим выбора адресов и портов (https://tools.ietf.org/html/rfc7422) - ограничения кол-ва трансляций - NEL статистика netflow v9 и IPFIX - производительность до 10 Mpps (80Gbit/s) https://github.com/alexk99/the_router/blob/master/cgnat.md Уже в продакшене Изменено 9 ноября, 2020 пользователем kisa обновление графиков Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ichthyandr Опубликовано 2 декабря, 2020 · Жалоба В 03.11.2020 в 17:29, kisa сказал: Привет :) Реализован новый движок CGNAT - поддержка EIM режима - Deterministic режим выбора адресов и портов (https://tools.ietf.org/html/rfc7422) - ограничения кол-ва трансляций - NEL статистика netflow v9 и IPFIX - производительность до 10 Mpps (80Gbit/s) https://github.com/alexk99/the_router/blob/master/cgnat.md Уже в продакшене какие сетевые карты используете, есть ли потери пакетов на интерфейсах? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kisa Опубликовано 9 декабря, 2020 · Жалоба В 02.12.2020 в 18:36, ichthyandr сказал: какие сетевые карты используете, есть ли потери пакетов на интерфейсах? Этот пример pppoe + nat сервера. Поэтому используются x710 серия, чтобы работал аппаратный RSS для PPPoE. двух портовые intel x710 карты с 40g интерфейсам из которых собран LACP LAG. Небольшие потери бывают в любом софтовом решении. Но именно на этом сервере они практически нулевые. Если вы обратите внимание, то на втором графике видно метрику missed. Это счетчик переполнения входящих очередей NIC. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kisa Опубликовано 4 февраля, 2021 · Жалоба Добавлена поддержка статических DNAT44 правил в движок Deterministic NAT. https://github.com/alexk99/the_router/blob/master/conf_options2.md#deterministic-dnat44 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
argotel Опубликовано 26 мая, 2021 · Жалоба Ребят есть какие-то свежие отзывы? Цена не дешевая, поэтому хотелось бы побольше открытости. Спасибо) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
~pavel~ Опубликовано 27 мая, 2021 · Жалоба 11 hours ago, argotel said: Ребят есть какие-то свежие отзывы? Цена не дешевая, поэтому хотелось бы побольше открытости. Спасибо) Используем TR для терминации PPPoE, в боевую без перезагрузки TR работает с октября прошлого года. Сейчас запускаем второй сервак чтобы полностью заменить старые с accel-ppp. Баги и недоработки разработчик исправляет оперативно. Единственный баг который у нас не решен - это разваливающийся LACP LAG, у нас он падал через несколько часов после запуска. Пришлось пока отказаться от LAG. Возможно на свежей версии TR и на другом железе этой проблемы нет, надо тестировать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Alex Dok Опубликовано 27 мая, 2021 · Жалоба 14 часов назад, argotel сказал: Ребят есть какие-то свежие отзывы? Цена не дешевая, поэтому хотелось бы побольше открытости. Спасибо) Добрый день, коллеги! Не участвую обычно в форумах, но поскольку вопрос по TR сделаю исключение ) Работаю на регионального оператора, использую использовать TR в следующих направлениях 1. Терминация PPPoE + CGNAT. Это даже скучно. Настроилось и предсказуемо заработало. Попробовал и NAT через NPF и Deterministic NAT44, сделал сохранение ipfix как flow так и nat, очень помогает отвечать на запросы спецслужб. Дополнительно, благодаря альтернативной таблице маршрутизации, заблокированные пользователи перенаправляются на страницу оплаты (тут уже пришлось конечно ставить на линукс Squid). 2. Терминация IPoE + DHCP + CGNAT. Тут пришлось повозиться, но в основном со стыком с АСР (используется Гидра). В результате удалось настроить четкое взаимодейтсвие с билингом, так что мимо него и байт не проскочит и добавить для удобства абонетов DHCP. Авторизация по мак-адресу + VLAN. Готовлю сеть к per-subscriber-vlan. Особенно зашла схема с unnumbered IP! Перепробовал все NAT, но остался на NPF, так-как требовались правила. И, чему я особенно рад, благодаря автору (Alex Kiselev) удалось внедрить схему с абонентской маршрутизацией (framed-route) и групповым полисингом, не знаю как Alex его назвал. В результате авторизуются и полисятся не только адреса подключенные напрямую к TR но и спрятанные за роутерами абонентов. При этом со стороны технической поддержки никаких действий (ну разве BGP для абонента настроить), все что необходимо прилетает из билинга. В планах внедрить резервный TR и сделать портал авторизации для DHCP. Чего мне лично очень не хватает, SNMP, хоть я и выкрутился с помощью модуля netsnmp который дергает rcli, но, вероятно, родной агент был бы лучше. Я бы очень хотел чтобы проект развивался, если у кого есть вопросы по внедрению, стыковке с билингом и прочие вопросы, могу помочь, обращайтесь. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kisa Опубликовано 27 мая, 2021 · Жалоба 2 часа назад, ~pavel~ сказал: Единственный баг который у нас не решен - это разваливающийся LACP LAG, у нас он падал через несколько часов после запуска. Пришлось пока отказаться от LAG. Возможно на свежей версии TR и на другом железе этой проблемы нет, надо тестировать. Да, к сожалению, пока не получилось найти причину проблемы в вашем случае. С другим железом, juniper например, LACP работает без проблем. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ichthyandr Опубликовано 23 сентября, 2021 · Жалоба В 27.05.2021 в 11:41, kisa сказал: Да, к сожалению, пока не получилось найти причину проблемы в вашем случае. С другим железом, juniper например, LACP работает без проблем. а сколько стоит лицензия, какой порядок установки ПО? а то с сайта ни ответа ни привета ) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kisa Опубликовано 23 сентября, 2021 · Жалоба 16 минут назад, ichthyandr сказал: а сколько стоит лицензия, какой порядок установки ПО? а то с сайта ни ответа ни привета ) Контакты, указанные на сайте, актуальные. Напишите пожалуйста на почту info at bisonrouter.com Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kisa Опубликовано 2 октября, 2021 · Жалоба В 23.09.2021 в 13:59, kisa сказал: Контакты, указанные на сайте, актуальные. Напишите пожалуйста на почту info at bisonrouter.com TheRouter переименован в BisonRouter. Вся подробная информация о компании на сайте https://bisonrouter.com The project is now Bison Router! Please visit our website https://bisonrouter.com for more information. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
argotel Опубликовано 23 марта, 2023 · Жалоба Добрый день. А у Вас имеется changelog? Какие-то обновления может вышли?:) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Alex_P89 Опубликовано 23 марта, 2023 · Жалоба Недавно писал им на почту, ответили на английском, что с Россией не работают. Получается это уже проприетарный платный продукт от какой-то иностранной компании, которая не считает возможным работать с нами. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 24 марта, 2023 · Жалоба Ну оно и понятно почему... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...