NiTr0 Опубликовано 26 декабря, 2014 · Жалоба http://lartc.org/howto/lartc.adv-filter.hashing.html - почитайте. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
BETEPAH Опубликовано 27 декабря, 2014 · Жалоба Есть на великом и могучем: http://www.opennet.ru/docs/RUS/LARTC/x1661.html А новый топик всё-таки нужен, совсем в сторону от ССR ушли. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
[-Alt-] Опубликовано 27 декабря, 2014 (изменено) · Жалоба Не знаю как у вас, а у меня он при 20 тарифах и маркировке mangle и pcq еле выдал 500 мегабит. При simple queue на 3000 очередей выдал где-то 700, и это для него полка. Пользоваться таблицами при количестве записей больше 500 почти не реально, любое действие с ними занимает 5 секунд и больше. У меня таблица на 5000 абонентов 3-4 часа заполнялась. (заполнение шло в 2 команды, удаление из всех таблиц, потом добавление в нужную) Создание simple queue еще дольше, на 500 уже занимает больше 5 секунд. Чистый нат без шейпера где-то 1.5 гига (с разрешающим правилом в форварде с таблицей на 5000 записей) Хотели приобрести CCR1036-8G-2S+ справится ли? Конечно справится, на чистом шейпере 2 гигабита пропускает без проблем. Только он должен роутером работать и маршрутизировать шейпируемый трафик, а не из бриджа его вылавливать. Изменено 27 декабря, 2014 пользователем [-Alt-] Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 27 декабря, 2014 · Жалоба ' timestamp='1419679667' post='1057693']Чистый нат без шейпера где-то 1.5 гига (с разрешающим правилом в форварде с таблицей на 5000 записей) Вот скажите, зачем сначала все блокировать, а потом создавать 5000 разрешающих правил? Когда выгоднее блокировать тех, кто не заплатил, а ограничить доступ физически на сети, что бы те, кого в биллинге нет, не мог работать. Например при IPoE просто те адреса, которых нет, никто и поставить не может, поэтому блокировка всех адресов уже не актуальна, с PPPoE тем более. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
GrandPr1de Опубликовано 28 декабря, 2014 · Жалоба ' timestamp='1419679667' post='1057693']Чистый нат без шейпера где-то 1.5 гига (с разрешающим правилом в форварде с таблицей на 5000 записей) Вот скажите, зачем сначала все блокировать, а потом создавать 5000 разрешающих правил? Когда выгоднее блокировать тех, кто не заплатил, а ограничить доступ физически на сети, что бы те, кого в биллинге нет, не мог работать. Например при IPoE просто те адреса, которых нет, никто и поставить не может, поэтому блокировка всех адресов уже не актуальна, с PPPoE тем более. Паранойя. Если айпишки белые на шейпере - двойная паранойя. И кстати если вы думаете что открытый фаервол + плюс блокировка только должников экономит ресурсы вы ошибаетесь. Как показала практика гораздо проще фаером отбросить непрошенный пакет, чем система сама будет думать что с ним делать. Нагрузка на проц с закрытым фаером и открытым +- 10%. Мне это пока не критично, а кто-то за каждый процент борется. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pppoetest Опубликовано 28 декабря, 2014 · Жалоба Вот скажите, зачем сначала все блокировать, а потом создавать 5000 разрешающих правил? Затем что так гораздо надежнее. И 5к правил создавать не надо, достаточно одного правила и набора ipset Когда выгоднее блокировать тех, кто не заплатил, а ограничить доступ физически на сети, что бы те, кого в биллинге нет, не мог работать Григорий Остер тебе случайно не родственник? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 28 декабря, 2014 · Жалоба И кстати если вы думаете что открытый фаервол + плюс блокировка только должников экономит ресурсы вы ошибаетесь. Экономит. Как показала практика гораздо проще фаером отбросить непрошенный пакет, чем система сама будет думать что с ним делать. Как же вы его отбросите? Ведь сначала пакет пройдет по цепочке из 5000 правил, и только последнее его отбросит. Нагрузка на проц с закрытым фаером и открытым +- 10%. Мне это пока не критично, а кто-то за каждый процент борется. Так на каких скоростях такая нагрузка? Затем что так гораздо надежнее. И 5к правил создавать не надо, достаточно одного правила и набора ipset Это по факту одно и то же. Ведь если кто-то будет создавать входящий трафик на адреса, которые никому не присвоены, то до вашего устройства все равно канал уже загружен, а вы их дропаете, при чем тратя и ресурсы процессора. Григорий Остер тебе случайно не родственник? Лично не знаком. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 28 декабря, 2014 · Жалоба Ведь если кто-то будет создавать входящий трафик на адреса, которые никому не присвоены, то до вашего устройства все равно канал уже загружен, а вы их дропаете, при чем тратя и ресурсы процессора. Чтобы защитить CPU вашего гнилого софтроутера от трафика, который ему тяжело дропать, можно поставить перед ним L3-свитч, завернуть свои сетки в NULL0 и анонсить с софтроутера только тех клиентов, которые онлайн, тогда трафик к неживым абонентам будет дропаться на L3-свитча, который может дропать на wirespeed-е Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
[-Alt-] Опубликовано 28 декабря, 2014 · Жалоба Вобщето я написал, что использую таблицы, address list в терминологии микротика. И правила всего 2, разрешить всем из таблицы, запретить всем остальным. Я вобще по возможности использовал везде address list. И максимум у меня получалось около 40 правил, это при варианте метить пакеты на 20 тарифов в mangle, nat, разрешение запрет и редирект отключенным на страницу блокировки. В таком конфиге оно жует 300-400 мегабит с трудом. + описаные мной тормоза работы с address list. Короче выкинутые 60тыр, у меня сервер за 70 жует с запасом 2.5 гига на фре при том же функционале, и без тормозов. ' timestamp='1419679667' post='1057693']Чистый нат без шейпера где-то 1.5 гига (с разрешающим правилом в форварде с таблицей на 5000 записей) Вот скажите, зачем сначала все блокировать, а потом создавать 5000 разрешающих правил? Когда выгоднее блокировать тех, кто не заплатил, а ограничить доступ физически на сети, что бы те, кого в биллинге нет, не мог работать. Например при IPoE просто те адреса, которых нет, никто и поставить не может, поэтому блокировка всех адресов уже не актуальна, с PPPoE тем более. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pppoetest Опубликовано 29 декабря, 2014 · Жалоба Короче выкинутые 60тыр, у меня сервер за 70 жует с запасом 2.5 гига на фре при том же функционале, и без тормозов. ЧТД Затем что так гораздо надежнее. И 5к правил создавать не надо, достаточно одного правила и набора ipset Это по факту одно и то же. Учите матчасть, 5к линейных правил <> 1 правилу со списком. ЕМНИП, в терминологии саабжа это называется адрес-лист. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 29 декабря, 2014 · Жалоба ' timestamp='1419803288' post='1058180']Вобщето я написал, что использую таблицы, address list в терминологии микротика. И правила всего 2, разрешить всем из таблицы, запретить всем остальным. Я вобще по возможности использовал везде address list. И максимум у меня получалось около 40 правил, это при варианте метить пакеты на 20 тарифов в mangle, nat, разрешение запрет и редирект отключенным на страницу блокировки. В таком конфиге оно жует 300-400 мегабит с трудом. + описаные мной тормоза работы с address list. Короче выкинутые 60тыр, у меня сервер за 70 жует с запасом 2.5 гига на фре при том же функционале, и без тормозов. Про мышей и кактус знаете? Зачем делать НАТ на железке, которая занимается шейпером? Эти задачи всегда разносят на два устройства, производительность так же увеличивается вдвое. И вообще странно, откуда берется столько правил, маркировок и т.п., когда они по факту вообще не нужны. В 6 версии по simple порой быстрее отрабатывает, чем цепочка манглов с PCQ. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
GrandPr1de Опубликовано 29 декабря, 2014 · Жалоба Так на каких скоростях такая нагрузка? До 200М трафика, немного, но уже на нем видно разницу. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 29 декабря, 2014 · Жалоба До 200М трафика, немного, но уже на нем видно разницу. Если нужно что-то блокировать массово - нужно ставить перед основным микротиком железку для блокировки, тогда нагрузка, связанная с фильтрацией трафика не будет уменьшать производительность основной железки. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 29 декабря, 2014 · Жалоба Зачем делать НАТ на железке, которая занимается шейпером? А зачем его делать на другом устройстве, если везде (кроме микротика) это нормально работает? :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 29 декабря, 2014 · Жалоба А зачем его делать на другом устройстве, если везде (кроме микротика) это нормально работает? :) На микротике все нормально работает, если его настраивает не любитель линуксов. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
GrandPr1de Опубликовано 29 декабря, 2014 · Жалоба А зачем его делать на другом устройстве, если везде (кроме микротика) это нормально работает? :) На микротике все нормально работает, если его настраивает не любитель линуксов. Я не любитель линусков, точнее я нелюбитель линуксов :) Всё равно кроме как для беспроводных мостов микротик не годен. Можно сколько угодно вещать о том, что пачка микротиков вас спасет - но увы спасения не приходит. И тем более, если стоит пачка микротиков - то все плюсы, а это размер и енергопотребление, уже не столь превосходящие. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 29 декабря, 2014 · Жалоба Всё равно кроме как для беспроводных мостов микротик не годен. Можно сколько угодно вещать о том, что пачка микротиков вас спасет - но увы спасения не приходит. И тем более, если стоит пачка микротиков - то все плюсы, а это размер и енергопотребление, уже не столь превосходящие. Хорошо, у меня, например, за головной станцией ПОН сначала устанавливается самый простой микротик - RB951G или RB2011, если сразу оптика требуется. В роутинге эти устройства пропускают достаточно трафика, что бы не требовалась их замена. Только на 8 портовой ПОН голове требуется 9-ти ядерный CCR, для терминации пользователей. И то, если потоки трафика вылезают за гигабит. Если бы микротика не было, что циску ставить или сервак с линуксом в каждом поселке? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
GrandPr1de Опубликовано 30 декабря, 2014 (изменено) · Жалоба Если бы микротика не было, что циску ставить или сервак с линуксом в каждом поселке? Л3 свич с достаточным кол-вом вланов типо циски с её аннамбередом не достаточно? А выпускать в инет уже после шейпа\ната\бордера. Если у вас там и так влан на юзера - получится красивая схема с циско, с маршрутами по дхцп сигнализации. При желании любой биллинг адоптируется на то что бы по телнету\ссш\снмп передать все нужные параметры, так что не вижу смысла с софтроутера, когда wirespeed свич справится с этим как минимум не хуже. Изменено 30 декабря, 2014 пользователем GrandPr1de Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 31 декабря, 2014 · Жалоба Л3 свич с достаточным кол-вом вланов типо циски с её аннамбередом не достаточно? А выпускать в инет уже после шейпа\ната\бордера. Если у вас там и так влан на юзера - получится красивая схема с циско, с маршрутами по дхцп сигнализации. При желании любой биллинг адоптируется на то что бы по телнету\ссш\снмп передать все нужные параметры, так что не вижу смысла с софтроутера, когда wirespeed свич справится с этим как минимум не хуже. То есть L3 свич может? 1. Раздавать IP адреса по DHCP в не одной сотне вланов. 2. Ограничивать скорость. 3. Анонсировать адреса абонентов по OSPF. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
GrandPr1de Опубликовано 31 декабря, 2014 · Жалоба Л3 свич с достаточным кол-вом вланов типо циски с её аннамбередом не достаточно? А выпускать в инет уже после шейпа\ната\бордера. Если у вас там и так влан на юзера - получится красивая схема с циско, с маршрутами по дхцп сигнализации. При желании любой биллинг адоптируется на то что бы по телнету\ссш\снмп передать все нужные параметры, так что не вижу смысла с софтроутера, когда wirespeed свич справится с этим как минимум не хуже. То есть L3 свич может? 1. Раздавать IP адреса по DHCP в не одной сотне вланов. 2. Ограничивать скорость. 3. Анонсировать адреса абонентов по OSPF. Очень даже может. Всё зависит от железяки. 1)Мне не понятен вопрос зачем держать в сети не один дхцп сервер, кроме как фолбэк. Зато по релеит хорошо запросы - и в связи с ответом подымает маршрут на нужный влан. 2)Шейпить можно на самом влане, и ещё как угодно на что фантазии хватит - читать доку. 3)Тоже спокойно себе анонсирует, хотите агрегированым, хотите по \32. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
martini Опубликовано 31 декабря, 2014 · Жалоба RB951G или RB2011 - умирают на 600-700 мег трафика, RB951G - наверно еще раньше (причем трафик бриджеваный в МПЛС). Так что лучше Атом с линуксом поставить и забыть него вообще. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 1 января, 2015 · Жалоба RB951G или RB2011 - умирают на 600-700 мег трафика, RB951G - наверно еще раньше (причем трафик бриджеваный в МПЛС). Так что лучше Атом с линуксом поставить и забыть него вообще. RB951G и RB2011 одинаковые по производительности, при этом 600 мегабит трафика за 3000р. это неплохой результат. Атом с линуксом всяко дороже будет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pppoetest Опубликовано 1 января, 2015 · Жалоба RB951G или RB2011 - умирают на 600-700 мег трафика, RB951G - наверно еще раньше (причем трафик бриджеваный в МПЛС). Так что лучше Атом с линуксом поставить и забыть него вообще. RB951G и RB2011 одинаковые по производительности, при этом 600 мегабит трафика за 3000р. это неплохой результат. Атом с линуксом всяко дороже будет. 600Мбит прожует любой древний пень4, и стоить оно будет меньше чем 3000р. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
GrandPr1de Опубликовано 1 января, 2015 · Жалоба RB951G и RB2011 одинаковые по производительности, при этом 600 мегабит трафика за 3000р. это неплохой результат. Атом с линуксом всяко дороже будет. В чистом роутинге? Проще взять любой сохо роутер - с гиговыми портами, дешевле будет. Ссылку дайте где rb951G и rb2011 по 3к рублей, хочу видеть. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
martini Опубликовано 1 января, 2015 · Жалоба 3k рублей ?? ну ну.. Saab - не съезжай с темы, я тоже люблю микровтык, но не до такой же степени )) Смысл таков , что если я поставлю Атом - который обойдется в ту же стоимость что и 2011 , то на Атоме с линухом я трафика пропущу намного больше.. за те же деньги. И если вдруг упрусь в 1Г , то поставлю карточку 10Г и вытяну на нем еще парочку гигов (10 к сожалению пока не вытянет ))), а не буду менять микровтыки 2011 на CCR9 потом на CCR16 потом на CCR36 и думать кому бы на форуме впарить то что снял. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...