[NiTr0]

http://lartc.org/howto/lartc.adv-filter.hashing.html - почитайте.

[BETEPAH]

Есть на великом и могучем:

http://www.opennet.ru/docs/RUS/LARTC/x1661.html

 

А новый топик всё-таки нужен, совсем в сторону от ССR ушли.

[[-Alt-]]

Не знаю как у вас, а у меня он при 20 тарифах и маркировке mangle и pcq еле выдал 500 мегабит. При simple queue на 3000 очередей выдал где-то 700, и это для него полка. Пользоваться таблицами при количестве записей больше 500 почти не реально, любое действие с ними занимает 5 секунд и больше. У меня таблица на 5000 абонентов 3-4 часа заполнялась. (заполнение шло в 2 команды, удаление из всех таблиц, потом добавление в нужную) Создание simple queue еще дольше, на 500 уже занимает больше 5 секунд. Чистый нат без шейпера где-то 1.5 гига (с разрешающим правилом в форварде с таблицей на 5000 записей)

 

Хотели приобрести CCR1036-8G-2S+ справится ли?

 

Конечно справится, на чистом шейпере 2 гигабита пропускает без проблем. Только он должен роутером работать и маршрутизировать шейпируемый трафик, а не из бриджа его вылавливать.

Изменено 27 декабря, 2014 пользователем [-Alt-]

[Saab95]

' timestamp='1419679667' post='1057693']

Чистый нат без шейпера где-то 1.5 гига (с разрешающим правилом в форварде с таблицей на 5000 записей)

 

Вот скажите, зачем сначала все блокировать, а потом создавать 5000 разрешающих правил? Когда выгоднее блокировать тех, кто не заплатил, а ограничить доступ физически на сети, что бы те, кого в биллинге нет, не мог работать. Например при IPoE просто те адреса, которых нет, никто и поставить не может, поэтому блокировка всех адресов уже не актуальна, с PPPoE тем более.

[GrandPr1de]

' timestamp='1419679667' post='1057693']

Чистый нат без шейпера где-то 1.5 гига (с разрешающим правилом в форварде с таблицей на 5000 записей)

 

Вот скажите, зачем сначала все блокировать, а потом создавать 5000 разрешающих правил? Когда выгоднее блокировать тех, кто не заплатил, а ограничить доступ физически на сети, что бы те, кого в биллинге нет, не мог работать. Например при IPoE просто те адреса, которых нет, никто и поставить не может, поэтому блокировка всех адресов уже не актуальна, с PPPoE тем более.

Паранойя.

Если айпишки белые на шейпере - двойная паранойя.

 

И кстати если вы думаете что открытый фаервол + плюс блокировка только должников экономит ресурсы вы ошибаетесь.

Как показала практика гораздо проще фаером отбросить непрошенный пакет, чем система сама будет думать что с ним делать.

Нагрузка на проц с закрытым фаером и открытым +- 10%. Мне это пока не критично, а кто-то за каждый процент борется.

[pppoetest]

Вот скажите, зачем сначала все блокировать, а потом создавать 5000 разрешающих правил?

Затем что так гораздо надежнее. И 5к правил создавать не надо, достаточно одного правила и набора ipset

 

Когда выгоднее блокировать тех, кто не заплатил, а ограничить доступ физически на сети, что бы те, кого в биллинге нет, не мог работать

Григорий Остер тебе случайно не родственник?

[Saab95]

И кстати если вы думаете что открытый фаервол + плюс блокировка только должников экономит ресурсы вы ошибаетесь.

 

Экономит.

 

Как показала практика гораздо проще фаером отбросить непрошенный пакет, чем система сама будет думать что с ним делать.

 

Как же вы его отбросите? Ведь сначала пакет пройдет по цепочке из 5000 правил, и только последнее его отбросит.

 

Нагрузка на проц с закрытым фаером и открытым +- 10%. Мне это пока не критично, а кто-то за каждый процент борется.

 

Так на каких скоростях такая нагрузка?

 

Затем что так гораздо надежнее. И 5к правил создавать не надо, достаточно одного правила и набора ipset

 

Это по факту одно и то же. Ведь если кто-то будет создавать входящий трафик на адреса, которые никому не присвоены, то до вашего устройства все равно канал уже загружен, а вы их дропаете, при чем тратя и ресурсы процессора.

 

Григорий Остер тебе случайно не родственник?

 

Лично не знаком.

[s.lobanov]

Ведь если кто-то будет создавать входящий трафик на адреса, которые никому не присвоены, то до вашего устройства все равно канал уже загружен, а вы их дропаете, при чем тратя и ресурсы процессора.

 

Чтобы защитить CPU вашего гнилого софтроутера от трафика, который ему тяжело дропать, можно поставить перед ним L3-свитч, завернуть свои сетки в NULL0 и анонсить с софтроутера только тех клиентов, которые онлайн, тогда трафик к неживым абонентам будет дропаться на L3-свитча, который может дропать на wirespeed-е

[[-Alt-]]

Вобщето я написал, что использую таблицы, address list в терминологии микротика. И правила всего 2, разрешить всем из таблицы, запретить всем остальным. Я вобще по возможности использовал везде address list. И максимум у меня получалось около 40 правил, это при варианте метить пакеты на 20 тарифов в mangle, nat, разрешение запрет и редирект отключенным на страницу блокировки. В таком конфиге оно жует 300-400 мегабит с трудом. + описаные мной тормоза работы с address list. Короче выкинутые 60тыр, у меня сервер за 70 жует с запасом 2.5 гига на фре при том же функционале, и без тормозов.

 

' timestamp='1419679667' post='1057693']

Чистый нат без шейпера где-то 1.5 гига (с разрешающим правилом в форварде с таблицей на 5000 записей)

 

Вот скажите, зачем сначала все блокировать, а потом создавать 5000 разрешающих правил? Когда выгоднее блокировать тех, кто не заплатил, а ограничить доступ физически на сети, что бы те, кого в биллинге нет, не мог работать. Например при IPoE просто те адреса, которых нет, никто и поставить не может, поэтому блокировка всех адресов уже не актуальна, с PPPoE тем более.

[pppoetest]

Короче выкинутые 60тыр, у меня сервер за 70 жует с запасом 2.5 гига на фре при том же функционале, и без тормозов.

ЧТД

 

Затем что так гораздо надежнее. И 5к правил создавать не надо, достаточно одного правила и набора ipset

Это по факту одно и то же.

Учите матчасть, 5к линейных правил <> 1 правилу со списком. ЕМНИП, в терминологии саабжа это называется адрес-лист.

[Saab95]

' timestamp='1419803288' post='1058180']

Вобщето я написал, что использую таблицы, address list в терминологии микротика. И правила всего 2, разрешить всем из таблицы, запретить всем остальным. Я вобще по возможности использовал везде address list. И максимум у меня получалось около 40 правил, это при варианте метить пакеты на 20 тарифов в mangle, nat, разрешение запрет и редирект отключенным на страницу блокировки. В таком конфиге оно жует 300-400 мегабит с трудом. + описаные мной тормоза работы с address list. Короче выкинутые 60тыр, у меня сервер за 70 жует с запасом 2.5 гига на фре при том же функционале, и без тормозов.

 

Про мышей и кактус знаете? Зачем делать НАТ на железке, которая занимается шейпером? Эти задачи всегда разносят на два устройства, производительность так же увеличивается вдвое. И вообще странно, откуда берется столько правил, маркировок и т.п., когда они по факту вообще не нужны. В 6 версии по simple порой быстрее отрабатывает, чем цепочка манглов с PCQ.

[GrandPr1de]

Так на каких скоростях такая нагрузка?

До 200М трафика, немного, но уже на нем видно разницу.

[Saab95]

До 200М трафика, немного, но уже на нем видно разницу.

 

Если нужно что-то блокировать массово - нужно ставить перед основным микротиком железку для блокировки, тогда нагрузка, связанная с фильтрацией трафика не будет уменьшать производительность основной железки.

[NiTr0]

Зачем делать НАТ на железке, которая занимается шейпером?

А зачем его делать на другом устройстве, если везде (кроме микротика) это нормально работает? :)

[Saab95]

А зачем его делать на другом устройстве, если везде (кроме микротика) это нормально работает? :)

 

На микротике все нормально работает, если его настраивает не любитель линуксов.

[GrandPr1de]

А зачем его делать на другом устройстве, если везде (кроме микротика) это нормально работает? :)

 

На микротике все нормально работает, если его настраивает не любитель линуксов.

Я не любитель линусков, точнее я нелюбитель линуксов :)

Всё равно кроме как для беспроводных мостов микротик не годен.

Можно сколько угодно вещать о том, что пачка микротиков вас спасет - но увы спасения не приходит. И тем более, если стоит пачка микротиков - то все плюсы, а это размер и енергопотребление, уже не столь превосходящие.

[Saab95]

Всё равно кроме как для беспроводных мостов микротик не годен.

Можно сколько угодно вещать о том, что пачка микротиков вас спасет - но увы спасения не приходит. И тем более, если стоит пачка микротиков - то все плюсы, а это размер и енергопотребление, уже не столь превосходящие.

 

Хорошо, у меня, например, за головной станцией ПОН сначала устанавливается самый простой микротик - RB951G или RB2011, если сразу оптика требуется. В роутинге эти устройства пропускают достаточно трафика, что бы не требовалась их замена. Только на 8 портовой ПОН голове требуется 9-ти ядерный CCR, для терминации пользователей. И то, если потоки трафика вылезают за гигабит.

 

Если бы микротика не было, что циску ставить или сервак с линуксом в каждом поселке?

[GrandPr1de]

Если бы микротика не было, что циску ставить или сервак с линуксом в каждом поселке?

Л3 свич с достаточным кол-вом вланов типо циски с её аннамбередом не достаточно?

А выпускать в инет уже после шейпа\ната\бордера. Если у вас там и так влан на юзера - получится красивая схема с циско, с маршрутами по дхцп сигнализации.

При желании любой биллинг адоптируется на то что бы по телнету\ссш\снмп передать все нужные параметры, так что не вижу смысла с софтроутера, когда wirespeed свич справится с этим как минимум не хуже.

Изменено 30 декабря, 2014 пользователем GrandPr1de

[Saab95]

Л3 свич с достаточным кол-вом вланов типо циски с её аннамбередом не достаточно?

А выпускать в инет уже после шейпа\ната\бордера. Если у вас там и так влан на юзера - получится красивая схема с циско, с маршрутами по дхцп сигнализации.

При желании любой биллинг адоптируется на то что бы по телнету\ссш\снмп передать все нужные параметры, так что не вижу смысла с софтроутера, когда wirespeed свич справится с этим как минимум не хуже.

 

То есть L3 свич может?

1. Раздавать IP адреса по DHCP в не одной сотне вланов.

2. Ограничивать скорость.

3. Анонсировать адреса абонентов по OSPF.

[GrandPr1de]

Л3 свич с достаточным кол-вом вланов типо циски с её аннамбередом не достаточно?

А выпускать в инет уже после шейпа\ната\бордера. Если у вас там и так влан на юзера - получится красивая схема с циско, с маршрутами по дхцп сигнализации.

При желании любой биллинг адоптируется на то что бы по телнету\ссш\снмп передать все нужные параметры, так что не вижу смысла с софтроутера, когда wirespeed свич справится с этим как минимум не хуже.

 

То есть L3 свич может?

1. Раздавать IP адреса по DHCP в не одной сотне вланов.

2. Ограничивать скорость.

3. Анонсировать адреса абонентов по OSPF.

Очень даже может. Всё зависит от железяки.

1)Мне не понятен вопрос зачем держать в сети не один дхцп сервер, кроме как фолбэк.

Зато по релеит хорошо запросы - и в связи с ответом подымает маршрут на нужный влан.

2)Шейпить можно на самом влане, и ещё как угодно на что фантазии хватит - читать доку.

3)Тоже спокойно себе анонсирует, хотите агрегированым, хотите по \32.

[martini]

RB951G или RB2011 - умирают на 600-700 мег трафика, RB951G - наверно еще раньше (причем трафик бриджеваный в МПЛС). Так что лучше Атом с линуксом поставить и забыть него вообще.

[Saab95]

RB951G или RB2011 - умирают на 600-700 мег трафика, RB951G - наверно еще раньше (причем трафик бриджеваный в МПЛС). Так что лучше Атом с линуксом поставить и забыть него вообще.

 

RB951G и RB2011 одинаковые по производительности, при этом 600 мегабит трафика за 3000р. это неплохой результат. Атом с линуксом всяко дороже будет.

[pppoetest]

RB951G или RB2011 - умирают на 600-700 мег трафика, RB951G - наверно еще раньше (причем трафик бриджеваный в МПЛС). Так что лучше Атом с линуксом поставить и забыть него вообще.

 

RB951G и RB2011 одинаковые по производительности, при этом 600 мегабит трафика за 3000р. это неплохой результат. Атом с линуксом всяко дороже будет.

600Мбит прожует любой древний пень4, и стоить оно будет меньше чем 3000р.

[GrandPr1de]

RB951G и RB2011 одинаковые по производительности, при этом 600 мегабит трафика за 3000р. это неплохой результат. Атом с линуксом всяко дороже будет.

В чистом роутинге? Проще взять любой сохо роутер - с гиговыми портами, дешевле будет.

Ссылку дайте где rb951G и rb2011 по 3к рублей, хочу видеть.

[martini]

3k рублей ?? ну ну..

Saab - не съезжай с темы, я тоже люблю микровтык, но не до такой же степени ))

Смысл таков , что если я поставлю Атом - который обойдется в ту же стоимость что и 2011 , то на Атоме с линухом я трафика пропущу намного больше.. за те же деньги. И если вдруг упрусь в 1Г , то поставлю карточку 10Г и вытяну на нем еще парочку гигов (10 к сожалению пока не вытянет ))), а не буду менять микровтыки 2011 на CCR9 потом на CCR16 потом на CCR36 и думать кому бы на форуме впарить то что снял.