Megas Posted October 23, 2012 Posted October 23, 2012 Не знаю правильно ли выбран раздел или нет, но суть это переписка, имена не много изменены, моё в данном случае life. Чтобы было более понятно, недавно я покинул один из проектов в который попал год назад по случайности, что дало развитие мозга. alexander, человек с большим опытом в сфере программирования, администрирования и прочих интересных вещей, работающий в корпоративном секторе. [11:34:16] life: zabbix в первую очередь ставился для беспроводного сектора чтобы его мониторить хоть как-то [11:34:27] alexander: это наверное чтоб свичам не скучно было - надо позаепывать их этим [11:34:30] life: 2.3 переварит в режиме роутинга но не шейпера и агрегации [11:34:41] alexander: и в режиме шейпинга тоже переварит [11:34:55] life: сколько pps он переварит? [11:35:09] alexander: [11:30] life: <<< для начала убрать причину постоянного перестроения кольца. надеюсь ты её уже нашел)нет, пока даже не искал [11:36:07] life: еще раз. сколько pps переварит кселерон 2.3 на реалтековских карточках? [11:37:38] alexander: [11:34] life: <<< сколько pps он переварит?селик вытянет 70к pps, это почти гигабит [11:37:48] alexander: селик отличается от кордвадуо только размером кеша [11:37:59] alexander: но там как раз кеш процессора до лампочки [11:38:18] alexander: потому что ядерный код туда и так вмещается, а по данным пакетов и так и так промахи [11:38:44] life: ок. в каком режиме при этом должен находится tc ? [11:39:47] alexander: там две цепочки на клиента [11:39:51] life: изначально маркировка пакетов делалась через mangle [11:39:53] alexander: входящая-исходящая [11:40:07] life: если юзать хеширование то там вопрсов может и не будет, но не в таком виде [11:40:10] alexander: можешь сам посчитать, сколько реально нужно байт на поддержку этой структуры в кеше ядра [11:40:25] alexander: госпади [11:40:30] alexander: при чем тут хеширование? [11:40:34 | Изменены 11:40:47] alexander: это лишь способ попасть в нужную ячейку [11:40:48] life: по этому как минимум агрегация должна была быть вынесена до шейпера, чтобы дальше все в одном флаконе пролетало и не было гемора. [11:40:57] alexander: не так сильно оно и помогает, не в сотни раз [11:41:08] alexander: просто патамушо без хеша идет двоичный поиск [11:41:10] alexander: он тормознее, да [11:41:19] alexander: но не в тыщи раз, всего в 5-6 [11:41:29] alexander: короч [11:41:31] life: то есть при 1000правилах, хеширование всего в пару раз увеличит? [11:41:40] alexander: то все теоретические изыски [11:42:02] alexander: [11:41] life: <<< то есть при 1000правилах, хеширование всего в пару раз увеличит?по факту - да [11:42:05] alexander: невероятно, но факт [11:42:15] alexander: посмотри код ядра, поймешь о чем там [11:42:45] alexander: еще раз - я не говорю что хеширование это куево [11:42:53] alexander: но это лишь способ оптимизации Вот сижу и думаю, может чего-то не понимаю в этой жизни? Вставить ник Quote
Tosha Posted October 24, 2012 Posted October 24, 2012 При поиске из 1000 - 8 операций сравнения IP. Вопрос в том насколько сложно вычислить хэш функцию и приведет ли это сразу к ответу? Надо действительно смотреть код или экпериментировать. Выигрыш, вероятно, действительно будет скромным. Вот коммутаторы вычисляют хэш функцию аппаратно за такт и обычно сразу получают номер ячейки куда смотреть. И в простом случае там действительно одна ячейка с информацией куда отправить. Вставить ник Quote
tartila Posted October 24, 2012 Posted October 24, 2012 Вот сижу и думаю, может чего-то не понимаю в этой жизни? Речь не о чем... Производительность зависит не только от кол-ва правил, но и от кол-ва пакетов, которые эти правила пересекают. Да и как хеш-таблицы построены - тоже момент. В общем, обычно так говорят, когда хотят просто послать человека - "На отъ#бись". Вставить ник Quote
Megas Posted October 24, 2012 Author Posted October 24, 2012 Просто зацепило сильно, человек работает в корпоративном секторе, в крупной сети, имеет сертификат CCNA. Но он пришел админить провайдер, где архитектура была примерного такого плана: все беспроводное было с привязкой mac+ip все равно точки контролировались провайдером и были в режиме роутера. все что управляемое dlink было с opt82 и разруливалось на сервере, все что не умело opt82 но могло vlan, гналось в ядро и там работал dhcp relay vlan временно агрегировались прямо на шлюзе с centos, тем более кол активных клиентов было смешным, там же использовалось unumbered Дальше вариантов развития несколько: тазик с bsd в котором собраны netgraph ноды и идет агрегация vlan для IPOE или юзается циска на каждые 200-300 абонов для unnumиered. Абоненту одной кнопочкой в биллинге можно подавать как белый, так и серый ip, фильтрация мусора как на доступе, так и на агрегации, в зависимости от мощностей ведь система только развивается. Вроде в этом ничего сложного и все реализуется в короткие сроки) Но человек, просто банально хочет всех скинуть в один большой VLAN, назначить всем /21 подсеть. Для того чтобы клиент получил белый ip ему надо поднять на винде loopback адаптер и повесить туда белый адрес. Вся привязка исключительно по mac+ip, зачем мол костыли. Ну вот смотришь и думаешь, действительно а зачем парится то? смысл покупать железки типо mx80 или eric 100, если можно так легко все сделать. Недавно один человек сказал, все проходят стадии: 1. привязка mac 2. vlan на район 3. vlan на дом. 4. vlan на клиента 5. vlan + qinq Походу тут такой же смысл, вот только смущает наличие сертификата. Вставить ник Quote
Ivan_83 Posted October 24, 2012 Posted October 24, 2012 [11:37:48] alexander: селик отличается от кордвадуо только размером кеша Далеко не только кешем. Там и частоты шин разные и наборы команд. [11:40:57] alexander: не так сильно оно и помогает, не в сотни раз [11:41:08] alexander: просто патамушо без хеша идет двоичный поиск [11:41:10] alexander: он тормознее, да [11:41:19] alexander: но не в тыщи раз, всего в 5-6 [11:41:29] alexander: короч Хеши позволяют чётко разделить массив на куски, и потом можно эти куски по раздельности лочить. При тупо двоичном поиске нужно лочить сразу весь массив. Вставить ник Quote
dignity Posted October 24, 2012 Posted October 24, 2012 Вообще, хэши в тц бодро все улучшают, особенно в районе 1000+ шейперов Вставить ник Quote
tartila Posted October 24, 2012 Posted October 24, 2012 Вообще, хэши в тц бодро все улучшают, особенно в районе 1000+ шейперов Да он не только в tc все OK делает, но и в других местах, например в iptables. Очевидно, что перебирать IP в лоб тяжко. Мне, просто, кажется, что там "на отъ#бись" беседа была... Вставить ник Quote
biox Posted October 24, 2012 Posted October 24, 2012 (edited) ну да, всё верно. Какие же мы все ид*ты. Всё же очевидно мля..... QinQ, IPunnumbered, dhcp opt 82, STP, LACP............... это ж всё КОСТЫЛИ. CCNA говоришь? А он сюда заходит? Edited October 24, 2012 by biox Вставить ник Quote
NiTr0 Posted October 24, 2012 Posted October 24, 2012 человек работает в корпоративном секторе, в крупной сети Ни о чем не говорит какбы. В одной крупной корпорации как-то для согласования одного проекта требовали указать, какой антивирус будет установлен на сервере (под линукс), и обосновать отсутствие антивируса на ПК золомера (WinXP Embedded, соединение с внешним миром - исключительно через modbus поверх RS485)... Вставить ник Quote
zurz Posted October 24, 2012 Posted October 24, 2012 сейчас развелось достаточно "спецов" которые сдали CCNA по дампам, слабо вникая в матчасть. Есть задача, есть стандартные конфиги из кусков которых ваяется решение. А как оно там внутри работает - не волнует. Вставить ник Quote
Megas Posted October 24, 2012 Author Posted October 24, 2012 Прискорбно когда люди начинают мыслить шаблонно, любой шаг в сторону для них равен самоубийству. [14:10:26] life: управляющий vlan на hp 2626 отличный от default уже является не стандартной процедурой, которая не предусмотрена производителем? [14:10:41] alexander: предусмотрена - да [14:10:47] alexander: стандартно это? нет! Человек является разработчиком в: Российский центр разработки Deutsche Bank. Так что ен при каких условия не изменяйте на оборудовании vlan управления с default на что-то другое, ведь это не стандартно, и приводит к куче багов и прочего... Вставить ник Quote
nomo Posted October 25, 2012 Posted October 25, 2012 Так что ен при каких условия не изменяйте на оборудовании vlan управления с default на что-то другое, ведь это не стандартно, и приводит к куче багов и прочего... Не приводит. У нас как раз hp2626 стоял, и management VLAN был не default (9xx-какой-то) и всё было в порядке. Правда, версия софта последняя с сайта hp. Вставить ник Quote
kosmich7 Posted October 25, 2012 Posted October 25, 2012 Человек является разработчиком в: Российский центр разработки Deutsche Bank. Это не о чем. Он возможно в чем-то там и поучавствовал, но видать сказочник есче тот. Вставить ник Quote
s.lobanov Posted October 25, 2012 Posted October 25, 2012 Человек является разработчиком в: Российский центр разработки Deutsche Bank. Это не о чем. Он возможно в чем-то там и поучавствовал, но видать сказочник есче тот. Он же не прошивки к коммутаторам разрабатывает, а какие-нибудь веб-приблуды пишет на j2ee. и вообще это скорее вопрос администрирования, а не программирования. и даже администрирование кспд и isp значительно отличается. Это в ISP нужно делать как можно больше вланов/L2-сегментов для изоляции абонентов и проблем друг от друга, отделять mgmt и основной трафик, а в КСПД в принципе можно защититься и на другой уровне - ввести все рабочие станции в домен, порезать все сетевые настройки, избавиться от вирусов, поставить фаервол с жёсткими правилами и т.д. В isp это по сути невозможно(без принудительного повсеместного внедрения провайдерский CPE) Вставить ник Quote
pliskinsad Posted October 25, 2012 Posted October 25, 2012 (edited) В провайдеринге простой CCNA это ни о чем. Ща он внедрит, наебется всласть, и если не совсем упырь то вернет все обратно. Edited October 25, 2012 by pliskinsad Вставить ник Quote
Ivan_83 Posted October 25, 2012 Posted October 25, 2012 а в КСПД в принципе можно защититься и на другой уровне - ввести все рабочие станции в домен, порезать все сетевые настройки, избавиться от вирусов, поставить фаервол с жёсткими правилами и т.д. В isp это по сути невозможно(без принудительного повсеместного внедрения провайдерский CPE) У мс есть ещё хрень (NAP), типа карантина: пока корпарат клиент не апдейтит базу антивируса, не прочекается и чего то ещё не сделает его в сеть не пущает. http://technet.microsoft.com/ru-ru/library/cc441483.aspx оно ещё на дхцп подвязано, может оно и на эзернет сетях даже как то работает, хз. PS: кроме "ядерный код" есть ещё и ядерные данные, которых больше кода и кеш по больше им никак не повредит. Вставить ник Quote
denis_vid Posted October 25, 2012 Posted October 25, 2012 (edited) Это в ISP нужно делать как можно больше вланов/L2-сегментов для изоляции абонентов и проблем друг от друга, отделять mgmt и основной трафик, а в КСПД в принципе можно защититься и на другой уровне - ввести все рабочие станции в домен, порезать все сетевые настройки, избавиться от вирусов, поставить фаервол с жёсткими правилами и т.д. В isp это по сути невозможно(без принудительного повсеместного внедрения провайдерский CPE) У ведущего инженера ISP кроме необходимых знаний о том как должна быть построена масштабируемая резервируемая перспективная в избыточности еще только планируемых технологий инфраструктура должен быть скилз - мгновенно траблшутить и находить те или иные решения, минимизирущие простой По личному общению с некоторыми разработчиками, многие кроме как доказывать юзерам, предприятиям, своим же коллегам что они все дураки а я вся в белом были ни на что не способны. Могли днями колупать проблему, для которой можно было найти воркаорунд за 5 минут, и теряли клиентов. При том все равны были уверены в своей непогрешимой крутизне) Не все конечно, но тенденция наблюдалась Edited October 25, 2012 by denis_vid Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.