tnega Опубликовано 29 января, 2019 · Жалоба 2 минуты назад, TriKS сказал: Я лишь парировал Ваше: Чес слово, плакал. Я вчера купил 3 бушных ноута И3 и И5 для монтажников примерно за эту же сумму :) Чтоб они к абонам ездили и скоростя меряли, бедненькие :) тогда проще взять решение от СНР за 35, новое) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
TriKS Опубликовано 29 января, 2019 · Жалоба Ну что проще - решать вам в итоге :) Я б не скупился, учитывая планы и ценник в 500 у.е. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
BETEPAH Опубликовано 30 января, 2019 · Жалоба DGS-3627 б\у и дёшево и вполне справится с вашими 700 клиентами У меня в ядре три таких трудятся, главное стэк не делать, накололся с этим. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
TriKS Опубликовано 30 января, 2019 · Жалоба 1 час назад, BETEPAH сказал: б\у и дёшево Я на ебее самый дешовый вижу по 500. Без доставки. Это где по 500 такие можно взять? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Butch3r Опубликовано 30 января, 2019 · Жалоба Есть DGS-3612G, белый. Продадим с радость. За сколько купите? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
BETEPAH Опубликовано 4 февраля, 2019 · Жалоба Я закупками не занимаюсь, шеф занимается, но говорил, что дёшево покупал. Да вот, например https://www.avito.ru/sankt-peterburg/tovary_dlya_kompyutera/d-link_dgs-3627g_1717679286 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
LostSoul Опубликовано 4 февраля, 2019 · Жалоба В 24.01.2019 в 18:52, Saab95 сказал: Как один из вариантов - уйти от прокси АРП, оператор с тем же успехом может смаршрутизировать вам эти адреса, а не вываливать в порт пачками. достаточно сделать просто прозрачный бридж. Автору темы 1) выкинуть proxy arp 2) выкинуть ipt_ratelimit 3) выкинуть ipset настроить ISG для Linux ( есть большая тема тут ) у меня ISG для линукс свободно тянул 40 гигабит на одном сервере с нагрузкой около 20% ( nat + скорость + acl ) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 5 февраля, 2019 · Жалоба 14 часов назад, LostSoul сказал: достаточно сделать просто прозрачный бридж. опять курсы дендрофекального сетестроительства? и что с чем бриджевать-то собрались? пппое туннели с аплинком? а может, проще и правильнее допинать апстрима чтобы он таки зароутил подсеть, а не просто ее поднял на своем ифейсе? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jffulcrum Опубликовано 5 февраля, 2019 · Жалоба 15 часов назад, LostSoul сказал: 3) выкинуть ipset Вот этого не надо, разве что вместе с iptables Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
LostSoul Опубликовано 5 февраля, 2019 · Жалоба 47 минут назад, NiTr0 сказал: и что с чем бриджевать-то собрались? пппое туннели с аплинком? Ещё дюжину назад ваших "ценных" сообщений, засоряющих форум, я вам говорил - учитесь читать. Читать дальше первой строчки и не по диагонали. У автора темы IPOE с ненужным бессмысленным роутингом и proxy_arp. Там где достаточно просто прозрачного бриджа. 14 минут назад, jffulcrum сказал: Вот этого не надо, разве что вместе с iptables выкинуть с iptables не получится, так как функционал linux ISG тоже реализован как target модуль в iptables. А вот ipset можно выкинуть, так как в ISG уже имеется аналогичный встроенный функционал. Класс клиента определяется через запрос к серверу radius. Можно либо сделать класс "отключенный за неуплату" и настроить чтоб по нему был редирект на страницу оплаты , либо просто возвращать от радиуса Access-Reject , а в конфиге ISG настроить класс доступа для неавторизованных IP / MAC ( редирект на страницу оплаты/перепривязки и.т.п ) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vurd Опубликовано 5 февраля, 2019 · Жалоба 16 часов назад, LostSoul сказал: у меня ISG для линукс свободно тянул 40 гигабит на одном сервере с нагрузкой около 20% ( nat + скорость + acl ) Не могли бы вы уточнить что это была за машина? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
LostSoul Опубликовано 5 февраля, 2019 · Жалоба 4 минуты назад, vurd сказал: Не могли бы вы уточнить что это была за машина? Могу уже по памяти ошибиться , но предположительно что-то вроде DL360p G8 с 2шт xeon e5 на 8 ядер ( всего 16 ядер ) Многоголовая сетевуха с чипом от intel. Году в 2015 это было. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 5 февраля, 2019 · Жалоба 21 минуту назад, LostSoul сказал: У автора темы IPOE с ненужным бессмысленным роутингом и proxy_arp. а теперь осильте хотя бы первый пост ТСа прочитать В 24.01.2019 в 18:20, tnega сказал: Авторизация абонентов происходит следующим образом: 1. Выдаем ип адреса по PPPoE - используя accel-ppp + включаем proxy arp на аплинк интерфейсе. 2. Используя правила маршрутизация выдаем прямо на интерфейс абоненту нужный ип адрес так же используя proxy arp потому еще раз спрашиваю - что с чем вы бриджевать собрались? или "все вланы в бридж, аплинк в бридж, пппое тоже каким-то чудом тоже в бридж, пускай и не л2 туннель, и пускай оно как-то там работает"? про шейпинг на прозрачном бридже помолчу... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
LostSoul Опубликовано 5 февраля, 2019 · Жалоба В 24.01.2019 в 18:20, tnega сказал: sudo echo 65536 > /sys/module/nf_conntrack/parameters/hashsize sudo echo 0 > /proc/sys/net/ipv4/conf/eth1/accept_redirects sudo echo 1 > /proc/sys/net/ipv4/conf/eth0/proxy_arp В ~ 12 раз вам пишу, учитесь читать дальше первой строчки. Нету у автора в стартовом сообщении никакого PPPoE , он просто термины путает. У него есть подсеть /24 с gateway ip на оборудовании аплинка . Вся его сеть представляет с точки зрения аплинка - плоскую L2 сеть. Добивается автор этого путем иммитации L2 через proxy_arp . Хотя достаточно было просто включить бридж. Или вы правда думаете что тут куча народу обсуждает замену тазика на коммутатор, чтоб на коммутаторе потом pppoe терминировать? У вас упертое нежелание читать и думать 13 минут назад, NiTr0 сказал: про шейпинг на прозрачном бридже помолчу... шикарно работает десятки лет. И не только в Linux реализации , но и в родной , в виде железа от Cisco. На случай зависания которого там optical bypass имеется. Для исключения простоя услуги при аварии. А теперь попробуйте сделать optical bypass с L3 :-) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 5 февраля, 2019 · Жалоба 1 час назад, LostSoul сказал: Нету у автора в стартовом сообщении никакого PPPoE , он просто термины путает. "Пастернака не читал, но осуждаю"... если бы вы хоть по треду пробежались, поняли бы что у ТСа есть И пппое, И ипое. и должно работать И то, И другое. и нормально, а не в виде л2 помойки с костылями. 1 час назад, LostSoul сказал: А теперь попробуйте сделать optical bypass с L3 :-) а нахрена? если делается нормальное резервирование с балансировкой нагрузки на n+1 брасах и все прекрасно работает? а теперь сделайте n+1 резервирование + балансировку на пионербриджах... 1 час назад, LostSoul сказал: Вся его сеть представляет с точки зрения аплинка - плоскую L2 сеть. вот и говорю - аплинк рукожоп, и надо заставять аплинка делать все по-нормальному. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
LostSoul Опубликовано 5 февраля, 2019 · Жалоба 1 час назад, TriKS сказал: Да ладно. У Вас коннтрак НАТа выжрет все на 40К абонов то :) Что "всё" должен выжрать conntraсk? память? памяти много 1 час назад, TriKS сказал: Этож надо так извратиться. Небось еще расскажешь про то, что тянуло это все через РОС, который на проксмоксе крутился :) В указанной задаче нету ни одного повода к применению Router OS. Вы настолько безграмотны и некомпетентны что даже с удачно пошутить проблемы. RouterOS на виртуалке ( да и другие сервисы ) применяют когда сетевого трафика мало и очень мало, а вот uptime нужен "без единого разрыва" . В этом случае такие виртуальные машины можно годами перемещать с одной ноды на другую, с нулевым временем простоя. В решениях с высокой сетевой нагрузкой резервирование и отказоустойчивость делают по совсем другим схемам. 1 час назад, TriKS сказал: Многоголовая сетевуха эта та, которая 2х10Г на карте? Так в этот сервак влазит, если мне память не изменяет 2 таких. т.е. 4х10Г. Насколько я помню, стояли платы 4*10Гбит. И утилизированы они были весьма плотно , работало 4 сервера через балансер на С7609. С своим трамвайным хамством дальнейшую дискуссию продолжайте с nitro , вы два клоуна , друг друга стоите. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
LostSoul Опубликовано 5 февраля, 2019 · Жалоба 8 минут назад, NiTr0 сказал: а не в виде л2 помойки с костылями. Вы шизофрению то полечите. Вы в теме, где все адекватные специалисты советовали L3 брызгали слюной что только L2 до ядра и там тазик с кошерными iproute , iptables и главное никакого микротика :-) А сегодня , в ситуации когда явно нужно настроить linux тазик в режиме L2 начинаете брызгать слюной про ваши же любимые iptables , ругая это "помойкой с костылями". Вы или крестик снимите, или трусы наденьте или к сходите уже к психиатору. А заодно откройте для себя, что процессинг форвардинга пакетов на L2 и на L3 уровне между 2 интерфейсов в линуксе ВООБЩЕ НИЧЕМ не отличается. кроме содержания поля c целевым MAC в сетевом кадре. Заканчивайте уже всюду светить своей безграмотностью. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 5 февраля, 2019 · Жалоба 1 час назад, LostSoul сказал: А сегодня , в ситуации когда явно нужно настроить linux тазик в режиме L2 начинаете брызгать слюной про ваши же любимые iptables , ругая это "помойкой с костылями". Вы или крестик снимите, или трусы наденьте или к сходите уже к психиатору. л2 должно жить внутри зоны ответственности прова, а не летать хренпоймизачем на аплинк лишь потому, что рекомендующий все забриджевать пионер не осилил сконфигурить ip unnumbered, а второй пионер-аплинкер не осилил зароутить подсеть. внезапно, не правда ли? и вообще - у нормальных провайдеров каждый клиент живет в своем, личном, влане. а ненормальные - лепят из вланов прозрачные бриджи и делают шикарные бродкаст помойки, где один рукожопый абон легко ложит всю "сеть". после чего - героически начинают бороться с собственной рукожопостью фильтрами на своих бриджах и прочими костылями. ну и да, как там вы пппое бриджевать собрались, причем - поднятое на разных софтроутерах, расскажите? или будете продолжать рассказывать ТСу басни о том, что у него на самом деле нет пппое на некротиках, что они ТСу приснились? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
LostSoul Опубликовано 5 февраля, 2019 · Жалоба 14 минут назад, NiTr0 сказал: и вообще - у нормальных провайдеров каждый клиент живет в своем, личном, влане. От зеркала отойдите, и найдите еще такого "нормального". А потом посмотрите как строят ростелеком , билайн и.т.п. Почему они? Да потому что именно они со своими суммами контрактов прогибают производителей железок выпускать определенные модели определенного функционала. И весь остальной мелкий рынок подстраивается. Отдельные маргиналы , лепящие по vlan на каждого абонента на устаревшем хламе - погоды не делают. Именно таким провайдерам как Билайн ( а тогда еще корбина ) мы обязаны появлению скажем модели DES-3526 / DES-3200. Где замечательно функционирует IP MAC Binding , аналоги которого имеются в любом телеком коммутаторе уровня доступа. (IP Guard и прочие изыски в каталистах, ежиках, елтексах , снр и прочем ) 20 минут назад, NiTr0 сказал: л2 должно жить внутри зоны ответственности прова У них нету здесь никакого "прова" ни по технической сути ни по документам. У них идет розничная торговля "оптическим выносом" интернета от аплинка. С его единственным каналом, его маршрутизатором и его IP. Ребята строят последнюю милю - коммутатор + кабели. Но им нужно на этом хитром коммутаторе еще резать скорость и должников отключать. Исходя из этого нужно было делать L2 бридж . Естественно ( и внезапно для вас ) с фильтрами. Вы не поверите, но и L3 маршрутизатор тоже ( внезапно ) надо делать с фильтрами. И для нормального админа нет ВОООБЩЕ НИКАКОЙ разницы писать правила на iptables для L2 или L3. Повторяю для вас в третий раз - будет ли транзитная железка между IP-шлюзом аплинка и абонентом переписывать ether dsc mac , подменяя mac-адрес абонента/аплинка своим , или будет пропускать его с интерфейса на интерфейс без искажений - суть работы не меняется НИКАК. А вот с точки зрения СОРМ весьма существенно, чтоб реальные MAC-адреса абонентов доходили до BRAS аплинка без искажений. Иначе потом по результатам ОРМ придут тот самый тазик с proxy arp изымать :-) 2 часа назад, NiTr0 сказал: а теперь сделайте n+1 резервирование + балансировку на пионербриджах... Вообще ни разу не проблема. Нужно только убрать из схемы пионера , и все получится. ( если это реально нужно для дела, а не потому что пионер решил что так круто ) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
LostSoul Опубликовано 5 февраля, 2019 · Жалоба 41 минуту назад, NiTr0 сказал: ну и да, как там вы пппое бриджевать собрались, причем - поднятое на разных софтроутерах, расскажите? или будете продолжать рассказывать ТСу басни о том, что у него на самом деле нет пппое на некротиках, что они ТСу приснились? Они приснились не ТС у , а приснились вам. Потому что во всей этой теме , нету ни слова а про микротики , а про PPPoE есть ровно 5 букв, написанных ТС по ошибке. Ниже он подробно приводит пример, как именно они вручную заводят пользователя с серым IP и как настроен proxy_arp. Ничего про pppoe там НЕТУ. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
TriKS Опубликовано 5 февраля, 2019 (изменено) · Жалоба 2 часа назад, LostSoul сказал: Что "всё" должен выжрать conntraсk? память? памяти много Ага, а бегать по этой таблице с si*2 в отличае от БЕЗ НАТа? Не шутите сказки, уважаемый. Давайте графики - поверю. Иначе эти сказки венского леса рассказывайте на собраниях любителей братьев Гримм :) 2 часа назад, LostSoul сказал: RouterOS на виртуалке ( да и другие сервисы ) применяют когда сетевого трафика мало и очень мало, а вот uptime нужен "без единого разрыва" . А теперь вопрос. Вы провайдер? На чем ядро и дестрибуция? На 1072? или 4011? 2 часа назад, LostSoul сказал: В решениях с высокой сетевой нагрузкой резервирование и отказоустойчивость делают по совсем другим схемам. Например 10х1072 в кольцо? 2 часа назад, LostSoul сказал: Насколько я помню, стояли платы 4*10Гбит. И утилизированы они были весьма плотно , работало 4 сервера через балансер на С7609. Так 4 сервера, или 1 сервер и 4х10Г карта? :) Изменено 5 февраля, 2019 пользователем TriKS Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
LostSoul Опубликовано 5 февраля, 2019 · Жалоба 2 минуты назад, TriKS сказал: А теперь вопрос. Вы провайдер? Давай , досвиданья. Уехал твой цирк. Беги догоняй, а то некому будет 10x1072 в ядро ставить и 4-портовые сетевухи на 4 сервера распиливать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
TriKS Опубликовано 5 февраля, 2019 (изменено) · Жалоба Ну т.е. малыш снова зашкварился? :) Ожидаемо. Малыш видать ошибся и мел ввиду 4Г. Верно? Ибо то что данный серв продул НАТ с терминацией в 40Г схоже на встречу инопланетян в супермаркете электроники, что на альфацентавру покупают новую плазму в замен старой. Ну и как бы 40к абонов вполне себе позволяют не тыкать вокруг МТ. А брать нормальное железо и строить qnq. Изменено 5 февраля, 2019 пользователем TriKS Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jffulcrum Опубликовано 5 февраля, 2019 · Жалоба 2 часа назад, TriKS сказал: то что данный серв продул НАТ с терминацией в 40Г схоже на встречу инопланетян в супермаркете электроники Мне тоже интересна сия магия. Как бы правило гигагерц за гигабит проверено годами, и особо природу не обманешь. Если имелось ввиду 20 - от абонов, 20 - наружу, итого 40 - еще поверю, хотя для этого нужны были процы как минимум E5-2670, по полтора косаря за проц (а в случае китов HP - все два). Но 40 на вход, 40 на выход - это уже 80, и на 16 ядер необходима частота каждого ядра в 5 ГГц... И это если сервер ничем другим не занимался, то есть вообще. Ну или там заказная оптимизация всей kernel части была, хотя все равно сумнительно, тут уже реальные скорости памяти и PCI-E начинают сказываться. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 5 февраля, 2019 · Жалоба 3 часа назад, LostSoul сказал: Потому что во всей этой теме , нету ни слова а про микротики , а про PPPoE есть ровно 5 букв, написанных ТС по ошибке. насчет некротика - да, попутал, тут другой кто-то китайский л3 свич хотел ставить, тоже с пппое + ипое, и с некротиками. но ТС явно написал - есть пппое. а вы всех убеждаете, что нету его, ТСу оно померещилось - потому что с пппое ваша прозрачная л2 помойка, которой вы хотите поднасрать аплинку, становится невозможной. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...