Гость Фауст Опубликовано 15 декабря, 2009 · Жалоба to cmhungry Я знаю несколько крупных инсталляций. Несколько делали специалисты нашей конторы. Проблем, несколько я помню, у них не возникало. Но в общем и целом да, я с вами согласен - за удовольствие надо платить, а бюджет обычно ограничен. Правда у всех по разному. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Гость Илья Опубликовано 15 декабря, 2009 · Жалоба Может ктото дать ссылку прямую на тему "NAT на ACE", не хочется изза поиска регистрироваться. Добавлю несколько слов в поддержу ASA(по крайней мере старших моделей 5580-20(сам юзаю) и 40(скоро буду)).Очень удобный cli интерфейс много фич по разного рода диагностике, практически мгновенная реакция на ЛЮБУЮ show команду (будь то show tech или show conn для>1000000 сессий). Это так из естетики. А вот практически что весьма удивило при 96% загрузке процессора единицы потеренных пакетов + опять таки практическа мгновенная реакция на любой show, вот это я понимаю(хотя естественно нельзя железо до таких загрузок доводить). На более младших моделях теже show по сраненю с 5580 выводятся с гораздо большей задержкой. И как показывает практика число сессий заканчивается обычно раньше чем трафик, который через себя может железка пропустить. Ктати ASA 5580-20 это "всего" два 2хядерных opterona а 5580-20 четыре. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Гость Илья Опубликовано 15 декабря, 2009 · Жалоба Уточню CPU AMD Opteron 2600 MHz Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
cmhungry Опубликовано 17 декабря, 2009 · Жалоба А вот к графикам загрузки интерфейсов интересно бы график дропов на этих интерфейсах еще. Плюс интересен размер таблицы маршрутизации и кол-во правил в фаерволе. Да и пакеты какие-то странные у автора - average по 970байт... Я уже как 3 года вижу числа в районе 600байт. размер таблицы маршрутизации на писюковых натах минимальный. 0/0 и 10/8 + немного служебных сетей, пулы и бинатыправил в файрволе мало - это нат, а не "включательно-отключательный девайс". Может ктото дать ссылку прямую на тему "NAT на ACE", не хочется изза поиска регистрироваться. Добавлю несколько слов в поддержу ASA(по крайней мере старших моделей 5580-20(сам юзаю) и 40(скоро буду)).Очень удобный cli интерфейс много фич по разного рода диагностике, практически мгновенная реакция на ЛЮБУЮ show команду (будь то show tech или show conn для>1000000 сессий). Это так из естетики. А вот практически что весьма удивило при 96% загрузке процессора единицы потеренных пакетов + опять таки практическа мгновенная реакция на любой show, вот это я понимаю(хотя естественно нельзя железо до таких загрузок доводить). На более младших моделях теже show по сраненю с 5580 выводятся с гораздо большей задержкой. И как показывает практика число сессий заканчивается обычно раньше чем трафик, который через себя может железка пропустить. Ктати ASA 5580-20 это "всего" два 2хядерных opterona а 5580-20 четыре.Ну а количество трафика, которое проводилось через ASA в реальной жизни каково? Про писюковую основу ASA я догадывался/знал, там все больше на сетевых карточках делается, как я понимаю. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Гость Илья Опубликовано 17 декабря, 2009 · Жалоба Ну дайте же ссылочку :( С трафиком в данном случае будет не показательно,была достаточно извращенная схема с файловером active-active, что само по себе повышает загрузку ЦПУ минимум 10%. Могу сказать что при траффике около 800 мбит и числе сессий почти 600000 максимальная загрузка цпу не превышает 40%. С асами главное не трафик а число сессий, они по процу ГОРАЗДО сильней бьют. Кстати АСА позволяет резать число сессий на конкретный ip. Меня в АСЕ интересует главным образом, на каком уровне там inspectы. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Гость Илья Опубликовано 17 декабря, 2009 · Жалоба ЗЫ выше я писал про 5580-20 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
cmhungry Опубликовано 17 декабря, 2009 (изменено) · Жалоба Ну дайте же ссылочку :( С трафиком в данном случае будет не показательно,была достаточно извращенная схема с файловером active-active, что само по себе повышает загрузку ЦПУ минимум 10%. Могу сказать что при траффике около 800 мбит и числе сессий почти 600000 максимальная загрузка цпу не превышает 40%. С асами главное не трафик а число сессий, они по процу ГОРАЗДО сильней бьют. Кстати АСА позволяет резать число сессий на конкретный ip. Меня в АСЕ интересует главным образом, на каком уровне там inspectы. Нету в АСЕ инспектов, по сути дела - много хитрых протоколов там не работают нормально. Зато 8М сессий. http://forum.nag.ru/forum/index.php?showtopic=50013 Изменено 17 декабря, 2009 пользователем cmhungry Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Гость Илья Опубликовано 17 декабря, 2009 · Жалоба Совсем нет. Я по ссылочке прошел в одном из постов упоминается policy-map multi-match ICMP class ICMP inspect icmp error это тогда что за инспект? Инспекты не сильно сложные нужны все банально ftp pptp icmp h323 sip :) И здесь подробно про инспекты расписано: https://www.cisco.com/en/US/docs/interfaces...de/appinsp.html Или я чего-то не понимаю.... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
cmhungry Опубликовано 17 декабря, 2009 · Жалоба Совсем нет. Я по ссылочке прошел в одном из постов упоминается policy-map multi-match ICMP class ICMP inspect icmp error это тогда что за инспект? Инспекты не сильно сложные нужны все банально ftp pptp icmp h323 sip :) И здесь подробно про инспекты расписано: https://www.cisco.com/en/US/docs/interfaces...de/appinsp.html Или я чего-то не понимаю.... ну по сравнению с АСА - на АСЕ инспектов нет =) icmp, ftp, sip есть. PPTP нету Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kostil Опубликовано 18 декабря, 2009 · Жалоба хорошая статья. много познавательного для себя нашел. автору спасибо! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Гость Илья Опубликовано 18 декабря, 2009 · Жалоба ну по сравнению с АСА - на АСЕ инспектов нет =) icmp, ftp, sip есть. PPTP нету Хм, а у пользователей есть проблемы с прохождением pptp и gre траффика? У нас АСА не пропускала pptp и gre пока не включили inspect pptp. Опять же повторюсь необходимости в глубоком инспекте нет просто нужно чтобы у пользователей работали хитрые протоколы, если будет работать без инспектов - тоже хорошо :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
cmhungry Опубликовано 20 декабря, 2009 · Жалоба ну по сравнению с АСА - на АСЕ инспектов нет =) icmp, ftp, sip есть. PPTP нету Хм, а у пользователей есть проблемы с прохождением pptp и gre траффика? У нас АСА не пропускала pptp и gre пока не включили inspect pptp. Опять же повторюсь необходимости в глубоком инспекте нет просто нужно чтобы у пользователей работали хитрые протоколы, если будет работать без инспектов - тоже хорошо :) Если подумать "как обойти ограничения по PPTP/GRE", то проблем с прохождением не будет. Опять же, все расписано в теме "НАТ на АСЕ" Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Гость Гость_Nik Опубликовано 20 декабря, 2009 · Жалоба Хотелось бы поинтересоваться у автора .... или может кто другой ответит. Что это за много поточные драйвера «яндексовских драйверов для сетевых карт» Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
cmhungry Опубликовано 20 декабря, 2009 · Жалоба Хотелось бы поинтересоваться у автора .... или может кто другой ответит. Что это за много поточные драйвера «яндексовских драйверов для сетевых карт» http://people.yandex-team.ru/~wawa/ Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sumo Опубликовано 24 декабря, 2009 (изменено) · Жалоба Яндексовские драйверы действительно сильно помогают с шейпингом на FreeBSD (да и наты на них лучше работают). Кроме того, мы весь шейпинг делаем на layer2, когда сетевые карты настроены в режиме bridge (фактически получается софтовый коммутатор) - это значительно увеличивает производительность всего процесса. В этом случае необходимо выделить отдельный сервер под шейпинг, потому что ни наты ни полиси-роутинг на такой машине использовать уже невозможно. Изменено 24 декабря, 2009 пользователем Sumo Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Гость BHP Опубликовано 24 декабря, 2009 · Жалоба Приветствую! Подскажите, пришло время апгрейдить роутер в ядре сети. Приглядывался к Cisco 7204-G2. Но вот прочел эту статью и что-то в голове мелькнуло что вариант на перспективу тупиковый. Сейчас смотрю в сторону сервера HP с двумя четырех-ядерными Xeon`ами + Vyatta. Не ошибаюсь ли я в выборе? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Гость ciscobras Опубликовано 24 декабря, 2009 · Жалоба Здравствуйте, поделитесь плз, графиками Advanced Ping =) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
cmhungry Опубликовано 24 декабря, 2009 · Жалоба Здравствуйте, поделитесь плз, графиками Advanced Ping =) Плагины для Cacti на сайте cacti.net Приветствую! Подскажите, пришло время апгрейдить роутер в ядре сети. Приглядывался к Cisco 7204-G2. Но вот прочел эту статью и что-то в голове мелькнуло что вариант на перспективу тупиковый. Сейчас смотрю в сторону сервера HP с двумя четырех-ядерными Xeon`ами + Vyatta. Не ошибаюсь ли я в выборе?Отрутить - оно отрутит. Только сетевые карты лучше из рекомендованных вяттой самой, насколько я понимаю. Как вариант из железа - ASR1002F смотрите.Но это я все исходя из "бордер-рутера". Если задачи другие - то и выбор железа будет другой. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bitbucket Опубликовано 24 декабря, 2009 · Жалоба Яндексовские драйверы действительно сильно помогают с шейпингом на FreeBSD (да и наты на них лучше работают). Яндексовские драйвера требуют напильника в большей степени, чем новая 8.0, которая уже в базовом комплекте может роутить многопоточно. Ну требуется небольшой патч, для более правильного распределения загрузки. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sumo Опубликовано 24 декабря, 2009 (изменено) · Жалоба Яндексовские драйверы действительно сильно помогают с шейпингом на FreeBSD (да и наты на них лучше работают).Яндексовские драйвера требуют напильника в большей степени, чем новая 8.0, которая уже в базовом комплекте может роутить многопоточно. Ну требуется небольшой патч, для более правильного распределения загрузки. Я подозреваю, что массовый переход на восьмерку ожидается еще не скоро. :) Изменено 24 декабря, 2009 пользователем Sumo Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bitbucket Опубликовано 25 декабря, 2009 · Жалоба Я подозреваю, что массовый переход на восьмерку ожидается еще не скоро. :)В 8.0 есть проблемы, например с RADIX_MPATH, который паникует при массовом удаленни маршрутов (например при паденнии одного из пиров по bgp),но в основном 8.0 гораздо интереснее той же 7.2, в которой, например, есть проблема заклиниванием файловой системы при большой нагрузке. Ну и 8.0 сейчас активно допиливают, а только потом будут изменения в 7.2 вносить. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Гость Debramiss Опубликовано 6 января, 2010 · Жалоба Хмурая утренняя маршрутка добирается из спального района в центр. Через все пробки, заторы, светофоры… Народ спит или пытается дремать. И тут на остановке вваливается мужик, довольный как целое стадо слонов. Плюхается на сидение рядом со строгой женщиной учительского вида, достает из кармана мобилу и, дыша свежим выхлопом, погружается в оживленный диалог. – Але, Санька? Скажи мне срочно телефон Наташки. Какая она баба, ух, какая она баба… А как она минет делает – м-м-м, умереть не встать, моя жена так не умеет… Да, повтори еще раз, я записываю… Да, спасибо, что познакомил! - и все это минуты на три, с подробностями, эмоциями до потолка и матом через два слова на третье. Маршрутка начинает оживать. Просыпаются те, кто еще пытался досмотреть сны и ошарашенно смотрят на мужика. «Учительница» на соседнем сидении демонстративно фыркает и отворачивается к окну. Мужик прощается с Санькой и немедленно набирает номер Наташки. — Але, Наташка? Привет! Мне так понравилось то, что мы с тобой вытворяли! Я хочу тебя еще! Да мне еще никто так хорошо не делал… Да? Ты еще лучше можешь? А ну-ка, расскажи подробнее, проказница моя… Учительница на соседнем сиденье поворачивается к мужику и просит его говорить потише, потому что его выражения оскорбляют ее педагогический слух. Мужик нетерпеливо отмахивается от нее и снова погружается в беседу. — Меня так возбудило то, что ты побрила… Понимаешь, я жене не могу такое сказать, она сразу почувствует, что я ей изменил… Ну да, приходится терпеть, а что делать… Маршрутка уже полностью проснулась и с интересом прислушивается к подробностям. Водитель огладывается в в зеркальце и тоже внимает, затаив дыхание. Недовольна только «учительница», она просто закипает от с трудом сдерживаемого возмущения. И тут на мобилу мужику приходит второй звонок. Он прерывается, победный тон стихает, и он почти шепотом сообщает Наташке — Ой, прости, не могу больше разговаривать, мне нужно ответить на звонок… Жена! Я тебе попозже перезвоню, лады? Ну, пока! И уже совершенно другим голосом начинает бубнить в трубку: — Да, дорогая… Ой, мы так вчера пили с Санькой, так пили… Ну, ты же его знаешь, а что делать… Ой, плохо мне сейчас, голова разламывается… Да, приму таблетку. Постараюсь прийти пораньше, да. Хотя работы много. Солнышко, ну прости, хорошо, я точно постараюсь прийти пораньше. И вот тут настает звездный час «учительницы». Она поворачивается к мужику и очень внятно говорит прямо в микрофон его мобилы: – Ми-илый, ну где ты там копаешься, я уже устала тебя ждаать… Мне же холодно, иди ко мне, дорогой! У мужика падает челюсть, он судорожно захлопывает мобилу под дружный гогот пассажиров. Водитель бьет по тормозам и грызет руль. Мужик, поджав хвост шмыгает к дверям и просит выпустить его. Маршрутка содрогается от хохота. Хлопает дверь. Училка отворачивается к окну и довольно улыбается. Занавес… Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ilya Evseev Опубликовано 7 января, 2010 · Жалоба Цитата из мега-статьи: Как известно, параметры шейпинга и точность нарезки канала очень сильно зависят от параметра ядра HZ. Этот параметр задает количество срабатываний внутреннего таймера прерываний в секунду, как правило, он ставится в значение 1000. При необходимости шейпинга трафика на больших количествах очередей и при высокой загруженности сетевой системы по количеству пакетов в секунду, значение этого параметра надо увеличивать, в противном случае пакеты будут пролетать по трубе быстрее, чем шейпер будет успевать их обрабатывать в случае превышения полосы пропускания на клиента.Какой kern.hz рекомендуется устанавливать для freebsd+ipfw+dummynet?Сейчас kern.clockrate: { hz = 2000, tick = 500, profhz = 2000, stathz = 133 }, нагрузка такая: # netstat -w1 input (Total) output packets errs bytes packets errs bytes colls 169300 0 109033278 168659 0 108484098 0 169438 0 109923662 168813 0 109202982 0 # ipfw pipe list | wc -l 9144 # top -baSH PID USERNAME PRI NICE SIZE RES STATE C TIME WCPU COMMAND 12 root 171 ki31 0K 16K RUN 0 107.5H 63.28% [idle: cpu0] 11 root 171 ki31 0K 16K RUN 1 123.0H 50.59% [idle: cpu1] 24 root -68 - 0K 16K CPU1 1 76.1H 44.04% [irq257: bge1] 23 root -68 - 0K 16K WAIT 0 66.7H 33.25% [irq256: bge0] 14 root -32 - 0K 16K WAIT 0 118:12 0.20% [swi4: clock sio] Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Гость krol Опубликовано 7 февраля, 2010 · Жалоба А как вообще рассчитать сколько килопакетов может пропустить через себя маршрутизатор? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Гость Игнат Опубликовано 6 мая, 2010 · Жалоба Прикольно! Улыбнуло! Афтару - респект! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...