Jump to content
Local

Sоrk

Сitizens
  • Content Count

    131
  • Joined

  • Last visited

  • Days Won

    4

Sоrk last won the day on May 6 2019

Sоrk had the most liked content!

Community Reputation

38 Очень хороший

About Sоrk

  • Rank
    Точу Зубы

Информация

  • Пол
    Мужчина
  • Город
    Киев

Recent Profile Visitors

2283 profile views
  1. Sоrk

    Nexus N3K BGP UA-IX

    Роутинг абонентов на на 3064 не очень хорошая идея, сети управления ещё куда ни шло. Причины: - при каждом topology change очищается arp и mac-таблица (1-2 секунды пропадают пинги) - дефолтное значение copp-s-arp очень низкие и даже если выкрутить по максимуму - будут моменты дропов ARP даже для влана на 250 хостов (рандомное "пропадание интернета" у абонентов), можно вообще отключить copp, но быть готовым ко всему ...
  2. Sоrk

    freebsd создание vlan

    Есть ещё 3й вариант, если нужно сделать vlan поверх lagg: create_args_lagg1="laggproto lacp laggport em0 laggport em1" ifconfig_lagg1="up" ifconfig_vlan123="vlan 123 vlandev lagg1 192.168.1.1/24" возможно после 8.0 что-то поменялось, но раньше - если делать vlan верх lagg то у интерфейса уменьшался MTU (vlan-интерфейс стартовал раньше чем поднимался LACP). В такой же конфигурации - сначала стартует LACP и только потом поверх него настраивается VLAN.
  3. Есть, но те что дали в TP-link на всю первую страницу пишут что они BETA. так же, они не дали механизма как обновить уже установленные роутеры. и проблема не только в TP-Link, а такие МАК-адреса попадаются на оборудовании UBNT, прошивках OpenWRT, мобильных устройствах с функцией "случайный МАК при каждом подключении", на виртуальных машинах, Dual-WAN роутерах. И достаточно было одного такого "качальщика" на vlan, чтобы были проблемы по вечерам у всего EPON-порта. Конечно plan-per-user спасает, но не у всех он и не везде.
  4. С помощью DEPS показали Китайцам проблему с зеркалированием (по сути происходило "unknown unicast flood") Выпущена тестовая прошивка 10.1.0F Build 71984 Получен новый tiger.blob (размер файла 2114772, строка из файла - iROS Tiger3 4.2.7.67 Apr 16 2019 17:48:38). Из изменений: - OLT больше не отдаёт полную FDB по SNMP (только опрос отдельных ONU) - все "locally administered MAC address" по "show mac address-table" теперь видны в таблице (раньше их не было) и они помечены как STATIC а не DYNAMIC (хотя работают как DYNAMIC) BDCOM(tm) P3616-2TE Software, Version 10.1.0F Build 71984 Copyright by Shanghai Baud Data Communication CO. LTD. Compiled: 2020-3-26 14:44:28 by SYS, Image text-base: 0x10000 ROM: System Bootstrap, Version 0.4.1, Serial num:S15070268 System image file is "Switch.bin" hardware version:V1.0 (RISC) processor with 262144K bytes of memory, 16384K bytes of flash Файлы не выкладываю, поскольку у них ещё статус тестовых.
  5. Sоrk

    BDCOM S2528GX ищу прошивки

    попробуйте тут - http://bdcom.mega.dp.ua/
  6. Nexus 3064 - 48 портов 10g + 4 порта 40G все 48 портов могут работать на скорости 1G
  7. Sоrk

    Клиент всегда неправ?

    Это блок "приватных" МАК-адресов, по аналогии с приватными блоками IP, которые могут повторяться и разных вендоров. И заблокировали BDCOM их судя по всему неспроста, их OLT некорректно обрабатывает, после включения "epon local-mac forward" весь трафик для данных МАКов отправляется на все ОНУшки ветки.
  8. столкнулся с аналогичной проблемой - в некоторых ветках абоненты получают копию трафика других абонентов. После эксперементов выяснилось следующее: проблема связана с "locally administered MAC address" (пул "приватных МАК-адресов") (те самые x2:xx:xx:xx:xx:xx, x6:xx:xx:xx:xx:xx, xA:xx:xx:xx:xx:xx, xE:xx:xx:xx:xx:xx) и их обработкой на BDCOM после введения команды epon local-mac forward По факту получается такое: - весь трафик к МАК-адресам из этого пула отправляется всем абонентом EPON-порта - такие МАК-адреса не видны на EPON-порту и на самой OLT в таблице МАК-адресов - основным источником видится роутер TP-link TL-WR850N, он, по какой-то неведомой причине начинает использовать locally administered МАК-адреса на WAN-порту при автоматической настройке. При этом, если потом удалить WAN-порт и создать по новой, то МАК-адрес WAN-порта становиться "нормальным". Подтверждается экспериментом на пустом EPON-порту: ONU1 - 10.8.93.254 (TP-link TL-WR850N), мак адрес из приватного пула 72:FF:7B:D7:57:F5 (назначен при автоматической настройке), Здесь запускаем speedtest. ONU2 - 10.8.93.4 (Mikrotik) - "обычный" абонент, на нём ничего не запускам, просто включаем сниффер (Touch на Uplink-порту), в результате получаем копию трафика 10.8.93.254. Если мак-адрес у роутера TP-link TL-WR850N будет из "нормального пула" 68:ff:7b:d7:57:f5 (удалил и снова добавил WAN-порт), то никакого лишнего трафика на Mikrotik нет, и он будет виден в таблице мак-адресов OLT. отправил вопрос в представительство TP-Link, пусть пояснят суть манипуляций с МАК-адресами на WAN-порту, но большой вопрос к BDCOM - почему? и куда сдать проблему чтобы не пустили по кругу?
  9. Sоrk

    NAT на freebsd

    ipt_ratelimit - практически не влияет на CPU, на скорости 8 гбит/с включение-выключение шейпера показывает около 5% разницы
  10. Sоrk

    NAT?

    про опцию есть тут: http://www.major12.net/2014/05/high-cpu-load-with-freebsd-ipfw-nat.html сам столкнулся, при нагрузке в 2-3 gbit, если появлялся абонент, который начинал очень активно сканировать сеть (регистратор с вирусом) - нагрузка резко выростала до 100% Актуально было для freebsd 11, менялось ли что-то в 12й версии не знаю. Отключение опции решало проблему и не вызывало жалоб у абонентов. без same_ports при 128 внешних IP сервер с 4 Гб оперативной памяти легко держит 1 млн сессий.
  11. Общался на одном из мероприятий с представителями Cloudflare - они не против того чтобы провайдеры выдавали 1.1.1.1 своим абонентам. Говорят что не устанавливают лимиты на количество запросов и нормально воспринимают NAT-адреса, за которыми сидят много абонентов.
  12. на старой прошивке проявлялась аналогичная проблема, после обновления до 54184 больше не замечал (или небыло массовых пропаданий ...)
  13. https://uablacklist.net/ такой?
  14. Sоrk

    NAT на freebsd

    уточнение, данный конфиг и графики с сервера на E5-1620 v2 (4 ядра), для Xeon E5-1650 v4 (6 ядер) производительность выше ровно пропорционально ядрам. сложно сказать благодаря этому или нет, но 1 млн NAT сессий на сервере живёт так вот же у меня отключен ipv6 и 4-5 гбит без проблем. Или имеется в виду для одной TCP-сессии? но ради эксперимента как-то попробую включить назад. Идея ровно в противоположном - помочь пользователям на нестабильном домашнем WiFi развивать большую скорость в один TCP-поток. Ради этого даже syncookies отключены. Но действительно, на транзитный трафик это не влияет, параметры TCP-окна это это всё же индивидуальная договорённость клиента и сервера.
  15. Sоrk

    NAT на freebsd

    и да, сервер занимается исключительно задачей NAT - никаких dummynet, dns, webserver, netflow/ipcad, dhcp rc.conf ifconfig_ix0="-tso4 -tso6 -lro -vlanhwtso" ifconfig_ix1="-tso4 -tso6 -lro -vlanhwtso" powerd_enable="YES" powerd_flags="-a maximum" tcp_restrict_rst="YES" tcp_drop_synfin="YES" icmp_drop_redirect="YES" icmp_log_redirect="YES" icmp_bmcastecho="NO" tcp_extensions="YES" все сети для статик-нат отправлены в blackhole (если такого не сделать и этот IP почему-то не попал в трансляцию/не занят весь входящих трафик на него будет попадать в L3 петлю BORDER<->NAT SERVER до истечения TTL) route add -net 99.88.77.0/25 127.0.0.1 -blackhole
×