Jump to content
Калькуляторы

сервер доступа linux/debian производительность и скорость

2 минуты назад, TriKS сказал:

Я лишь парировал Ваше:

Чес слово, плакал. Я вчера купил 3 бушных ноута И3 и И5 для монтажников примерно за эту же сумму :) Чтоб они к абонам ездили и скоростя меряли, бедненькие :)

тогда проще взять решение от СНР за 35, новое)

 

Share this post


Link to post
Share on other sites

Ну что проще - решать вам в итоге :) Я б не скупился, учитывая планы и ценник в 500 у.е.

Share this post


Link to post
Share on other sites

DGS-3627 б\у и дёшево и вполне справится с вашими 700 клиентами

У меня в ядре три таких трудятся, главное стэк не делать, накололся с этим.

Share this post


Link to post
Share on other sites
1 час назад, BETEPAH сказал:

б\у и дёшево

Я на ебее самый дешовый вижу по 500. Без доставки. Это где по 500 такие можно взять?

Share this post


Link to post
Share on other sites

Есть DGS-3612G, белый. Продадим с радость. За сколько купите?

Share this post


Link to post
Share on other sites
В 24.01.2019 в 18:52, Saab95 сказал:

Как один из вариантов - уйти от прокси АРП, оператор с тем же успехом может смаршрутизировать вам эти адреса, а не вываливать в порт пачками.

достаточно сделать просто прозрачный бридж.

 

Автору темы

1) выкинуть proxy arp

2) выкинуть ipt_ratelimit

3) выкинуть ipset

 

настроить ISG для Linux ( есть большая тема тут )

 

у меня ISG для линукс свободно тянул 40 гигабит на одном сервере с нагрузкой около 20%  ( nat + скорость + acl )

 

 

 

Share this post


Link to post
Share on other sites
14 часов назад, LostSoul сказал:

достаточно сделать просто прозрачный бридж.

опять курсы дендрофекального сетестроительства?

и что с чем бриджевать-то собрались? пппое туннели с аплинком?

а может, проще и правильнее допинать апстрима чтобы он таки зароутил подсеть, а не просто ее поднял на своем ифейсе?

Share this post


Link to post
Share on other sites
15 часов назад, LostSoul сказал:

3) выкинуть ipset

Вот этого не надо, разве что вместе с iptables

Share this post


Link to post
Share on other sites
47 минут назад, NiTr0 сказал:

и что с чем бриджевать-то собрались? пппое туннели с аплинком?

Ещё дюжину назад ваших "ценных" сообщений, засоряющих форум,

я вам говорил - учитесь читать.

Читать дальше первой строчки и не по диагонали.

У автора темы IPOE с ненужным бессмысленным роутингом и proxy_arp.

Там где достаточно просто прозрачного бриджа.

 

 

 

14 минут назад, jffulcrum сказал:

Вот этого не надо, разве что вместе с iptables

выкинуть с iptables не получится, так как функционал linux ISG тоже реализован как target модуль в iptables.

 

А вот ipset можно выкинуть, так как в ISG уже имеется аналогичный встроенный функционал.

Класс клиента определяется через запрос к серверу radius.

Можно либо сделать класс "отключенный за неуплату" и настроить чтоб по нему был редирект на страницу оплаты  , либо просто  возвращать от радиуса Access-Reject , а в конфиге ISG настроить класс доступа для неавторизованных IP / MAC (  редирект на страницу оплаты/перепривязки и.т.п  )

 

 

Share this post


Link to post
Share on other sites
16 часов назад, LostSoul сказал:

у меня ISG для линукс свободно тянул 40 гигабит на одном сервере с нагрузкой около 20%  ( nat + скорость + acl )

Не могли бы вы уточнить что это была за машина?

Share this post


Link to post
Share on other sites
4 минуты назад, vurd сказал:

Не могли бы вы уточнить что это была за машина?

Могу уже по памяти ошибиться , но предположительно что-то вроде DL360p G8  с  2шт xeon e5 на 8 ядер ( всего  16 ядер )

Многоголовая сетевуха с чипом от intel.   Году в 2015 это было.

 

 

Share this post


Link to post
Share on other sites
21 минуту назад, LostSoul сказал:

У автора темы IPOE с ненужным бессмысленным роутингом и proxy_arp.

а теперь осильте хотя бы первый пост ТСа прочитать

В 24.01.2019 в 18:20, tnega сказал:

Авторизация абонентов происходит следующим образом:

1. Выдаем ип адреса по PPPoE - используя accel-ppp + включаем proxy arp на аплинк интерфейсе.

2. Используя правила маршрутизация выдаем прямо на интерфейс абоненту нужный ип адрес так же используя proxy arp


потому еще раз спрашиваю - что с чем вы бриджевать собрались?

или "все вланы в бридж, аплинк в бридж, пппое тоже каким-то чудом тоже в бридж, пускай и не л2 туннель, и пускай оно как-то там работает"?

 

про шейпинг на прозрачном бридже помолчу...

Share this post


Link to post
Share on other sites
В 24.01.2019 в 18:20, tnega сказал:

sudo echo 65536 > /sys/module/nf_conntrack/parameters/hashsize
sudo echo 0 > /proc/sys/net/ipv4/conf/eth1/accept_redirects
sudo echo 1 > /proc/sys/net/ipv4/conf/eth0/proxy_arp

В ~ 12 раз вам пишу, учитесь читать дальше первой строчки.

 

Нету у автора в стартовом сообщении никакого PPPoE , он просто термины путает.

У него есть подсеть /24  с gateway ip на оборудовании аплинка .

Вся его сеть представляет с точки зрения аплинка - плоскую L2 сеть.

Добивается автор этого путем иммитации L2  через proxy_arp .

Хотя достаточно было просто включить бридж.

 

Или вы правда думаете что тут куча народу обсуждает замену тазика на коммутатор, чтоб на коммутаторе потом pppoe терминировать?

 

У вас упертое нежелание читать и думать

 

 

13 минут назад, NiTr0 сказал:

про шейпинг на прозрачном бридже помолчу...

шикарно работает десятки лет.

И не только в Linux реализации , но и в родной , в виде железа от Cisco.

На случай зависания которого там optical bypass имеется.

Для исключения простоя услуги при аварии.

А теперь попробуйте сделать optical bypass с L3 :-)

 

Share this post


Link to post
Share on other sites
1 час назад, LostSoul сказал:

Нету у автора в стартовом сообщении никакого PPPoE , он просто термины путает.

"Пастернака не читал, но осуждаю"...

если бы вы хоть по треду пробежались, поняли бы что у ТСа есть И пппое, И ипое. и должно работать И то, И другое. и нормально, а не в виде л2 помойки с костылями.

 

1 час назад, LostSoul сказал:

А теперь попробуйте сделать optical bypass с L3 :-)

а нахрена? если делается нормальное резервирование с балансировкой нагрузки на n+1 брасах и все прекрасно работает?

а теперь сделайте n+1 резервирование + балансировку на пионербриджах...

 

1 час назад, LostSoul сказал:

Вся его сеть представляет с точки зрения аплинка - плоскую L2 сеть.

вот и говорю - аплинк рукожоп, и надо заставять аплинка делать все по-нормальному.

Share this post


Link to post
Share on other sites
1 час назад, TriKS сказал:

Да ладно. У Вас коннтрак НАТа выжрет все на 40К абонов то :)

Что "всё" должен выжрать conntraсk?

память? памяти много

 

1 час назад, TriKS сказал:

Этож надо так извратиться. Небось еще расскажешь про то, что тянуло это все через РОС, который на проксмоксе крутился :)

В указанной задаче нету ни одного повода к применению Router OS.

Вы настолько безграмотны и некомпетентны что даже с удачно пошутить проблемы.

 

RouterOS на виртуалке ( да и другие сервисы ) применяют когда сетевого трафика мало и очень мало,  а вот uptime нужен "без единого разрыва" .

В этом случае такие виртуальные машины можно годами перемещать с одной ноды на другую, с нулевым временем простоя.

 

В решениях с высокой сетевой нагрузкой резервирование и отказоустойчивость делают по совсем другим схемам.

 

 

 

 

1 час назад, TriKS сказал:

 

Многоголовая сетевуха эта та, которая 2х10Г на карте? Так в этот сервак влазит, если мне память не изменяет 2 таких. т.е. 4х10Г.

 

 

Насколько я помню, стояли платы 4*10Гбит. 

И утилизированы они были весьма плотно , работало 4 сервера через балансер на С7609.

С своим трамвайным хамством дальнейшую дискуссию продолжайте  с nitro , вы два клоуна , друг друга стоите.

Share this post


Link to post
Share on other sites
8 минут назад, NiTr0 сказал:

а не в виде л2 помойки с костылями. 

Вы шизофрению то полечите.

Вы в теме, где все адекватные специалисты советовали L3 брызгали слюной что только L2 до ядра и там тазик с кошерными iproute , iptables и главное никакого

микротика :-)

 

А сегодня  , в ситуации когда явно нужно настроить linux тазик в режиме L2  начинаете брызгать слюной про ваши же любимые iptables , ругая это "помойкой с костылями".

Вы или крестик снимите, или трусы наденьте или к сходите уже к психиатору.

 

А заодно откройте для себя, что процессинг форвардинга пакетов на L2 и на L3 уровне между 2 интерфейсов в линуксе ВООБЩЕ НИЧЕМ не отличается.

кроме содержания поля c целевым MAC  в сетевом кадре.

 

Заканчивайте уже всюду светить   своей безграмотностью.

 

 

Share this post


Link to post
Share on other sites
1 час назад, LostSoul сказал:

А сегодня  , в ситуации когда явно нужно настроить linux тазик в режиме L2  начинаете брызгать слюной про ваши же любимые iptables , ругая это "помойкой с костылями".

Вы или крестик снимите, или трусы наденьте или к сходите уже к психиатору.

л2 должно жить внутри зоны ответственности прова, а не летать хренпоймизачем на аплинк лишь потому, что рекомендующий все забриджевать пионер не осилил сконфигурить ip unnumbered, а второй пионер-аплинкер не осилил зароутить подсеть. внезапно, не правда ли?

 

и вообще - у нормальных провайдеров каждый клиент живет в своем, личном, влане. а ненормальные - лепят из вланов прозрачные бриджи и делают шикарные бродкаст помойки, где один рукожопый абон легко ложит всю "сеть". после чего - героически начинают бороться с собственной рукожопостью фильтрами на своих бриджах и прочими костылями.

 

ну и да, как там вы пппое бриджевать собрались, причем - поднятое на разных софтроутерах, расскажите? или будете продолжать рассказывать ТСу басни о том, что у него на самом деле нет пппое на некротиках, что они ТСу приснились?

Share this post


Link to post
Share on other sites
14 минут назад, NiTr0 сказал:

и вообще - у нормальных провайдеров каждый клиент живет в своем, личном, влане.

От зеркала отойдите, и найдите еще такого "нормального".

А потом посмотрите как строят ростелеком , билайн  и.т.п.

Почему они?

Да потому что именно они со своими суммами контрактов прогибают производителей железок выпускать определенные модели определенного функционала.

И весь остальной мелкий рынок подстраивается.

Отдельные маргиналы , лепящие по vlan на каждого абонента на устаревшем хламе - погоды не делают.

 

Именно таким провайдерам как Билайн ( а тогда еще корбина ) мы обязаны появлению скажем модели DES-3526 / DES-3200.

Где замечательно функционирует IP MAC Binding , аналоги которого имеются в любом  телеком коммутаторе уровня доступа.

(IP Guard и прочие изыски в каталистах, ежиках, елтексах , снр и прочем )

 

20 минут назад, NiTr0 сказал:

л2 должно жить внутри зоны ответственности прова

У них нету здесь никакого "прова" ни по технической сути ни по документам.

У них идет розничная торговля "оптическим выносом"  интернета от аплинка.  

С его единственным каналом, его маршрутизатором и его IP.

 

Ребята  строят последнюю милю - коммутатор + кабели.

Но им нужно на этом хитром коммутаторе еще резать скорость и должников отключать.

Исходя из этого нужно было делать L2 бридж .

Естественно ( и внезапно для вас  )  с фильтрами.

Вы не поверите, но и L3 маршрутизатор тоже ( внезапно ) надо делать с фильтрами.

И для нормального админа нет ВОООБЩЕ НИКАКОЙ разницы писать правила на iptables для L2 или L3.

Повторяю для вас в третий раз  - будет ли транзитная железка между IP-шлюзом аплинка и абонентом переписывать ether dsc mac  , подменяя mac-адрес абонента/аплинка своим , или будет пропускать его с интерфейса на интерфейс без искажений - суть работы не меняется НИКАК.

 

А вот с точки зрения СОРМ весьма существенно, чтоб реальные MAC-адреса абонентов доходили до BRAS аплинка без искажений.

Иначе потом по результатам ОРМ придут тот самый тазик с proxy arp изымать :-)

 

 

 

 

 

 

2 часа назад, NiTr0 сказал:

а теперь сделайте n+1 резервирование + балансировку на пионербриджах...

Вообще ни разу не проблема.  Нужно только убрать из схемы пионера , и все получится. 

( если это реально нужно для дела, а не потому что пионер решил что так круто )

 

Share this post


Link to post
Share on other sites
41 минуту назад, NiTr0 сказал:

 

ну и да, как там вы пппое бриджевать собрались, причем - поднятое на разных софтроутерах, расскажите? или будете продолжать рассказывать ТСу басни о том, что у него на самом деле нет пппое на некротиках, что они ТСу приснились?

Они приснились не ТС у , а приснились вам.

Потому что во всей этой теме , нету ни слова а про микротики , а про PPPoE есть ровно 5 букв, написанных ТС по ошибке.

Ниже он подробно приводит пример, как именно они вручную заводят пользователя с серым IP и как настроен proxy_arp.

Ничего про pppoe там НЕТУ.

 

Share this post


Link to post
Share on other sites
2 часа назад, LostSoul сказал:

Что "всё" должен выжрать conntraсk?

память? памяти много

Ага, а бегать по этой таблице с si*2 в отличае от БЕЗ НАТа?

Не шутите сказки, уважаемый. Давайте графики - поверю. Иначе эти сказки венского леса рассказывайте на собраниях любителей братьев Гримм :)

2 часа назад, LostSoul сказал:

RouterOS на виртуалке ( да и другие сервисы ) применяют когда сетевого трафика мало и очень мало,  а вот uptime нужен "без единого разрыва" .

А теперь вопрос. Вы провайдер? На чем ядро и дестрибуция? На 1072? или 4011?

2 часа назад, LostSoul сказал:

В решениях с высокой сетевой нагрузкой резервирование и отказоустойчивость делают по совсем другим схемам.

Например 10х1072 в кольцо?

 

2 часа назад, LostSoul сказал:

Насколько я помню, стояли платы 4*10Гбит. 

И утилизированы они были весьма плотно , работало 4 сервера через балансер на С7609.

Так 4 сервера, или 1 сервер и 4х10Г карта? :)

Edited by TriKS

Share this post


Link to post
Share on other sites
2 минуты назад, TriKS сказал:

А теперь вопрос. Вы провайдер?

Давай , досвиданья. Уехал твой цирк.

Беги догоняй, а то некому будет 10x1072 в ядро ставить и 4-портовые сетевухи на 4 сервера распиливать.

 

 

Share this post


Link to post
Share on other sites

Ну т.е. малыш снова зашкварился? :) Ожидаемо.

Малыш видать ошибся и мел ввиду 4Г. Верно? Ибо то что данный серв продул НАТ с терминацией в 40Г схоже на встречу инопланетян в супермаркете электроники, что на альфацентавру покупают новую плазму в замен старой.

 

Ну и как бы 40к абонов вполне себе позволяют не тыкать вокруг МТ. А брать нормальное железо и строить qnq.

Edited by TriKS

Share this post


Link to post
Share on other sites
2 часа назад, TriKS сказал:

то что данный серв продул НАТ с терминацией в 40Г схоже на встречу инопланетян в супермаркете электроники

Мне тоже интересна сия магия. Как бы правило гигагерц за гигабит проверено годами, и особо природу не обманешь. Если имелось ввиду 20 - от абонов, 20 - наружу, итого 40 - еще поверю, хотя для этого нужны были процы как минимум E5-2670, по полтора косаря за проц (а в случае китов HP - все два). Но 40 на вход, 40 на выход - это уже 80, и на 16 ядер необходима частота каждого ядра в 5 ГГц... И это если сервер ничем другим не занимался, то есть вообще. Ну или там заказная оптимизация всей kernel части была, хотя все равно сумнительно, тут уже реальные скорости памяти и PCI-E начинают сказываться.

Share this post


Link to post
Share on other sites
3 часа назад, LostSoul сказал:

Потому что во всей этой теме , нету ни слова а про микротики , а про PPPoE есть ровно 5 букв, написанных ТС по ошибке.

насчет некротика - да, попутал, тут другой кто-то китайский л3 свич хотел ставить, тоже с пппое + ипое, и с некротиками.

но ТС явно написал - есть пппое. а вы всех убеждаете, что нету его, ТСу оно померещилось - потому что с пппое ваша прозрачная л2 помойка, которой вы хотите поднасрать аплинку, становится невозможной.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this