[Megas]

Не знаю правильно ли выбран раздел или нет, но суть это переписка, имена не много изменены, моё в данном случае life.

Чтобы было более понятно, недавно я покинул один из проектов в который попал год назад по случайности, что дало развитие мозга.

alexander, человек с большим опытом в сфере программирования, администрирования и прочих интересных вещей, работающий в корпоративном секторе.

 

[11:34:16] life: zabbix в первую очередь ставился для беспроводного сектора чтобы его мониторить хоть как-то

 

[11:34:27] alexander: это наверное чтоб свичам не скучно было - надо позаепывать их этим

 

[11:34:30] life: 2.3 переварит в режиме роутинга но не шейпера и агрегации

 

[11:34:41] alexander: и в режиме шейпинга тоже переварит

 

[11:34:55] life: сколько pps он переварит?

 

[11:35:09] alexander: [11:30] life:

 

<<< для начала убрать причину постоянного перестроения кольца. надеюсь ты её уже нашел)нет, пока даже не искал

[11:36:07] life: еще раз.

сколько pps переварит кселерон 2.3 на реалтековских карточках?

[11:37:38] alexander: [11:34] life:

 

<<< сколько pps он переварит?селик вытянет 70к pps, это почти гигабит

[11:37:48] alexander: селик отличается от кордвадуо только размером кеша

[11:37:59] alexander: но там как раз кеш процессора до лампочки

[11:38:18] alexander: потому что ядерный код туда и так вмещается, а по данным пакетов и так и так промахи

 

[11:38:44] life: ок.

в каком режиме при этом должен находится tc ?

[11:39:47] alexander: там две цепочки на клиента

 

[11:39:51] life: изначально маркировка пакетов делалась через mangle

 

[11:39:53] alexander: входящая-исходящая

 

[11:40:07] life: если юзать хеширование то там вопрсов может и не будет, но не в таком виде

 

[11:40:10] alexander: можешь сам посчитать, сколько реально нужно байт на поддержку этой структуры в кеше ядра

[11:40:25] alexander: госпади

[11:40:30] alexander: при чем тут хеширование?

[11:40:34 | Изменены 11:40:47] alexander: это лишь способ попасть в нужную ячейку

 

[11:40:48] life: по этому как минимум агрегация должна была быть вынесена до шейпера, чтобы дальше все в одном флаконе пролетало и не было гемора.

 

[11:40:57] alexander: не так сильно оно и помогает, не в сотни раз

[11:41:08] alexander: просто патамушо без хеша идет двоичный поиск

[11:41:10] alexander: он тормознее, да

[11:41:19] alexander: но не в тыщи раз, всего в 5-6

[11:41:29] alexander: короч

 

[11:41:31] life: то есть при 1000правилах, хеширование всего в пару раз увеличит?

 

[11:41:40] alexander: то все теоретические изыски

[11:42:02] alexander: [11:41] life:

<<< то есть при 1000правилах, хеширование всего в пару раз увеличит?по факту - да

 

[11:42:05] alexander: невероятно, но факт

[11:42:15] alexander: посмотри код ядра, поймешь о чем там

[11:42:45] alexander: еще раз - я не говорю что хеширование это куево

[11:42:53] alexander: но это лишь способ оптимизации

 

Вот сижу и думаю, может чего-то не понимаю в этой жизни?

[Tosha]

При поиске из 1000 - 8 операций сравнения IP. Вопрос в том насколько сложно вычислить хэш функцию и приведет ли это сразу к ответу? Надо действительно смотреть код или экпериментировать. Выигрыш, вероятно, действительно будет скромным.

Вот коммутаторы вычисляют хэш функцию аппаратно за такт и обычно сразу получают номер ячейки куда смотреть. И в простом случае там действительно одна ячейка с информацией куда отправить.

[tartila]

Вот сижу и думаю, может чего-то не понимаю в этой жизни?

 

Речь не о чем... Производительность зависит не только от кол-ва правил, но и от кол-ва пакетов, которые эти правила пересекают. Да и как хеш-таблицы построены - тоже момент. В общем, обычно так говорят, когда хотят просто послать человека - "На отъ#бись".

[Megas]

Просто зацепило сильно, человек работает в корпоративном секторе, в крупной сети, имеет сертификат CCNA.

Но он пришел админить провайдер, где архитектура была примерного такого плана:

 

все беспроводное было с привязкой mac+ip все равно точки контролировались провайдером и были в режиме роутера.

все что управляемое dlink было с opt82 и разруливалось на сервере, все что не умело opt82 но могло vlan, гналось в ядро и там работал dhcp relay

 

vlan временно агрегировались прямо на шлюзе с centos, тем более кол активных клиентов было смешным, там же использовалось unumbered

 

Дальше вариантов развития несколько: тазик с bsd в котором собраны netgraph ноды и идет агрегация vlan для IPOE или юзается циска на каждые 200-300 абонов для unnumиered.

 

Абоненту одной кнопочкой в биллинге можно подавать как белый, так и серый ip, фильтрация мусора как на доступе, так и на агрегации, в зависимости от мощностей ведь система только развивается.

 

Вроде в этом ничего сложного и все реализуется в короткие сроки)

Но человек, просто банально хочет всех скинуть в один большой VLAN, назначить всем /21 подсеть. Для того чтобы клиент получил белый ip ему надо поднять на винде loopback адаптер и повесить туда белый адрес.

Вся привязка исключительно по mac+ip, зачем мол костыли.

 

Ну вот смотришь и думаешь, действительно а зачем парится то? смысл покупать железки типо mx80 или eric 100, если можно так легко все сделать.

 

 

 

Недавно один человек сказал, все проходят стадии:

1. привязка mac

2. vlan на район

3. vlan на дом.

4. vlan на клиента

5. vlan + qinq

Походу тут такой же смысл, вот только смущает наличие сертификата.

[dignity]

Ccna - это не о чем...

[Ivan_83]

[11:37:48] alexander: селик отличается от кордвадуо только размером кеша

Далеко не только кешем.

Там и частоты шин разные и наборы команд.

 

[11:40:57] alexander: не так сильно оно и помогает, не в сотни раз [11:41:08] alexander: просто патамушо без хеша идет двоичный поиск [11:41:10] alexander: он тормознее, да [11:41:19] alexander: но не в тыщи раз, всего в 5-6 [11:41:29] alexander: короч

Хеши позволяют чётко разделить массив на куски, и потом можно эти куски по раздельности лочить. При тупо двоичном поиске нужно лочить сразу весь массив.

[dignity]

Вообще, хэши в тц бодро все улучшают, особенно в районе 1000+ шейперов

[tartila]

Вообще, хэши в тц бодро все улучшают, особенно в районе 1000+ шейперов

 

Да он не только в tc все OK делает, но и в других местах, например в iptables. Очевидно, что перебирать IP в лоб тяжко. Мне, просто, кажется, что там "на отъ#бись" беседа была...

[biox]

ну да, всё верно. Какие же мы все ид*ты. Всё же очевидно мля..... QinQ, IPunnumbered, dhcp opt 82, STP, LACP............... это ж всё КОСТЫЛИ.

 

CCNA говоришь?

 

А он сюда заходит?

Edited October 24, 2012 by biox

[NiTr0]

человек работает в корпоративном секторе, в крупной сети

Ни о чем не говорит какбы.

В одной крупной корпорации как-то для согласования одного проекта требовали указать, какой антивирус будет установлен на сервере (под линукс), и обосновать отсутствие антивируса на ПК золомера (WinXP Embedded, соединение с внешним миром - исключительно через modbus поверх RS485)...

[zurz]

сейчас развелось достаточно "спецов" которые сдали CCNA по дампам, слабо вникая в матчасть.

Есть задача, есть стандартные конфиги из кусков которых ваяется решение. А как оно там внутри работает - не волнует.

[Megas]

Прискорбно когда люди начинают мыслить шаблонно, любой шаг в сторону для них равен самоубийству.

 

[14:10:26] life: управляющий vlan на hp 2626 отличный от default уже является не стандартной процедурой, которая не предусмотрена производителем?

[14:10:41] alexander: предусмотрена - да

[14:10:47] alexander: стандартно это? нет!

Человек является разработчиком в: Российский центр разработки Deutsche Bank.

 

Так что ен при каких условия не изменяйте на оборудовании vlan управления с default на что-то другое, ведь это не стандартно, и приводит к куче багов и прочего...

[nomo]

Так что ен при каких условия не изменяйте на оборудовании vlan управления с default на что-то другое, ведь это не стандартно, и приводит к куче багов и прочего...

Не приводит. У нас как раз hp2626 стоял, и management VLAN был не default (9xx-какой-то) и всё было в порядке. Правда, версия софта последняя с сайта hp.

[kosmich7]

Человек является разработчиком в: Российский центр разработки Deutsche Bank.

Это не о чем.

Он возможно в чем-то там и поучавствовал, но видать сказочник есче тот.

[s.lobanov]

Человек является разработчиком в: Российский центр разработки Deutsche Bank.

Это не о чем.

Он возможно в чем-то там и поучавствовал, но видать сказочник есче тот.

 

Он же не прошивки к коммутаторам разрабатывает, а какие-нибудь веб-приблуды пишет на j2ee. и вообще это скорее вопрос администрирования, а не программирования. и даже администрирование кспд и isp значительно отличается.

 

Это в ISP нужно делать как можно больше вланов/L2-сегментов для изоляции абонентов и проблем друг от друга, отделять mgmt и основной трафик, а в КСПД в принципе можно защититься и на другой уровне - ввести все рабочие станции в домен, порезать все сетевые настройки, избавиться от вирусов, поставить фаервол с жёсткими правилами и т.д. В isp это по сути невозможно(без принудительного повсеместного внедрения провайдерский CPE)

[pliskinsad]

В провайдеринге простой CCNA это ни о чем. Ща он внедрит, наебется всласть, и если не совсем упырь то вернет все обратно.

Edited October 25, 2012 by pliskinsad

[Ivan_83]

а в КСПД в принципе можно защититься и на другой уровне - ввести все рабочие станции в домен, порезать все сетевые настройки, избавиться от вирусов, поставить фаервол с жёсткими правилами и т.д. В isp это по сути невозможно(без принудительного повсеместного внедрения провайдерский CPE)

У мс есть ещё хрень (NAP), типа карантина: пока корпарат клиент не апдейтит базу антивируса, не прочекается и чего то ещё не сделает его в сеть не пущает.

http://technet.microsoft.com/ru-ru/library/cc441483.aspx

оно ещё на дхцп подвязано, может оно и на эзернет сетях даже как то работает, хз.

 

PS: кроме "ядерный код" есть ещё и ядерные данные, которых больше кода и кеш по больше им никак не повредит.

[denis_vid]

Это в ISP нужно делать как можно больше вланов/L2-сегментов для изоляции абонентов и проблем друг от друга, отделять mgmt и основной трафик, а в КСПД в принципе можно защититься и на другой уровне - ввести все рабочие станции в домен, порезать все сетевые настройки, избавиться от вирусов, поставить фаервол с жёсткими правилами и т.д. В isp это по сути невозможно(без принудительного повсеместного внедрения провайдерский CPE)

 

У ведущего инженера ISP кроме необходимых знаний о том как должна быть построена масштабируемая резервируемая перспективная в избыточности еще только планируемых технологий инфраструктура должен быть скилз - мгновенно траблшутить и находить те или иные решения, минимизирущие простой

 

По личному общению с некоторыми разработчиками, многие кроме как доказывать юзерам, предприятиям, своим же коллегам что они все дураки а я вся в белом были ни на что не способны. Могли днями колупать проблему, для которой можно было найти воркаорунд за 5 минут, и теряли клиентов. При том все равны были уверены в своей непогрешимой крутизне)

Не все конечно, но тенденция наблюдалась

Edited October 25, 2012 by denis_vid