Тип контенту
Профили
Форум
Календарь
Сообщения додав Cybernet1k
-
-
Только что, l1ght сказал:
тикеты на гугл то открывал? жаловался шо много indirect?
Ні, цього не робив, спробую, можливо дійсно щось пошаманять )
-
-
16 часов назад, deltatelecom сказал:
А у вас сколько профилей на firewall
Як підкреслив l1ght, у нас на кожного сабскрайбера створюється купу правил, хочемо усе це оптимізувати, гарна була порада стосовно forwarding-options, бо була вже думка відправляти увесь трафік у vrf, а це була б кабз*а.
-
1 час назад, l1ght сказал:
я ж выше показал
на основе source-ip который в nat-list
l1ght@BRAS-1> show configuration policy-options prefix-list nat-list 172.16.0.0/16;
мне всё равно как создаются интерфейсы, это просто на основе роутинга (смотрим в начало пасты про forwarding-options)
у меня одно статичное правило а не миллион динамических на каждого сабскрибера, как у вас в данном случае
Дякую, forwarding-options не налаштовували, на тестових налаштуваннях так заробило. А яким чином у вас навішується policer? Можете скинути шматок конфігу з вашого динамічного профілю?
-
19 минут назад, l1ght сказал:
ну только сделать на своё количество и можно динамически менять это правило фаервола когда удобно
Яким чином ви завертаєте абонтів, інтерфейси яких динамічно створюються у фільтр custom-flow-fbf ?
-
Доброго дня! Є QinQ BRAS на Джуніпері. На даний час у dynamic-profiles:
firewall { family inet { filter "$INET_IN" { interface-specific; *********** term t2 { from { source-address { 172.20.0.0/22; } } then { policer "$POLICER_IN"; service-accounting; service-filter-hit; routing-instance l4-nat2; } } show routing-instances l4-nat2 instance-type forwarding; routing-options { static { route 0.0.0.0/0 next-hop 172.16.9.3; } }
І таких таблиць декілька. Стає дуже не зручним редагування правил фаєрвола у динамічних профілях, особливо, коли потрібно додати скажімо ще одну source-address у t2. Є ідея далі керувати трафіком, який направився у routing-instance l4-nat2 й у ньому вже вказувати яким мережам на який next-hop йти, заодне зробити динамічне балансування. Але поки не можу зрозуміти як саме задавати правила маршрутизації у routing-instance, можливо для цього instance-type forwarding не підходить? Як краще можна реалізувати перенаправлення абонентів на зовнішні nat сервери абонентів, які термінуються з сірими IP, можливо є у кого досвіт у реалізуванні подібних задач?
-
Зі святом, de UR5NPP/s 73! 🙂
-
23 часа назад, renegade310 сказал:
Нельзя, нужен аккаунт. Вышло только персональный аккаунт зарегать, но там нельзя скачивать.
Потрібно писати листа про надання доступу до завантаження контенту. Не знаю як зараз, а раніше давали тріал на 60 днів.
-
Хлопці, є проблемка, є в наявності pfsense у якості натілки, між mx80 та сервером є L3 роутинг, на джуніпері прописаний маршрут типу:
route 198.51.100.128/25 next-hop 203.0.113.2
Тобто вказує, що мережа 198.51.100.128/25 знаходиться за нат сервером 203.0.113.2, на самому pfsens'і у нат таблиці налаштовано:
Other subnet: 198.51.100.128/25 Pool options: Source hash
Все працює, але виліз один нюанс, tcpdump показав, що pfsense намагається знатити деяких користувачів з IP: 198.51.100.255 і як результат у них не працює Інтернет.
Як можна нормально знатити усіх юзерів на блоки іп /24 /25 щоб не використовувалить IP xxx.xxx.xxx.0, xxx.xxx.xxx.255? Поки є ідея розділити пул на CIDR діапазон, але це якийсь костиль... -
Який населений пункт у Вінницькій області?
-
Років 6 тому запускав IPv6+IPv4 в університетській мережі, коли там адмінив, пул брав через тунель. Все б було чудово, якби не глючив сам тунель. Netassist запропонував безкоштовно надати IPv6 трафік, але з нас транспорт. Керівництво університету, нажаль, ні на автономку, ні на транзит добро не дало... Переваг багато, навіть дуже багато, переважна більшість трафіку, яку генерують абоненти давно може працювати на IPv6.
- 1
-
До речі, хтось пробував реалізувати видачу пулів IPv4+IPv6 на MX80 QinQ брасі?
-
Апну темку. Було б зручно мати канал у Telegram. Noc Project завжди активний, той же UserSide має активну групу, реально не вистачає якогось активного community адмінів, мережевіків.
- 1
-
Я надаю перевагу свіжому Уманському пиву, але не підтримую спам, ще і пиво це не для українського ринку. Коли був у Карпатах купував біля самої броварні різне пиво Ципа - класне пиво!
- 1
-
Можна дивитись у бік побудови резервування каналу vlan за допомогою STP, якщо правильно усе зробити, то буде чудово працювати. Це як є люди, які постійно вимикають фаєрвол, чи той же selinux, бо просто не вміють його готувати. Також є варіанти з використанням vPC (virtual port channel) на Cisco, чи подібні рішення на пристроях інших виробників. Але усе це ну дууууже глибока спицифіка, або коли хочеться чогось особливого й ніяк не хочеться це зробити на L3 з використанням ospf, ibgp, is-is...
-
У нас MX80 працює, хоча висить "незначна" алярма: Mix of AC and DC PEMs.
run show chassis environment pem PEM 0 status: State Online Temperature OK DC Input: OK DC Output: OK Voltage: PEM 1 status: State Online Temperature OK DC Output: OK
run show chassis alarms 1 alarms currently active Alarm time Class Description 2018-04-11 13:17:42 EEST Minor Mix of AC and DC PEMs
Знаю точно, що коли зникало живлення 220 Джун працював на 48.
-
В 04.03.2018 в 19:35, KaYot сказал:
sysctl.conf
net.netfilter.nf_conntrack_max = 524288 net.netfilter.nf_conntrack_buckets = 131072 net.netfilter.nf_conntrack_tcp_timeout_established = 600 net.netfilter.nf_conntrack_tcp_timeout_syn_sent = 60 net.netfilter.nf_conntrack_tcp_timeout_time_wait = 20
Сам НАТ в iptables
-A POSTROUTING -o bond0.7 -s 172.20.0.0/16 -j SNAT --to xx.xx.xx.128-xx.xx.xx.254 --persistent
Якраз готую новий NAT на Linux, у серверному парку є NAT сервери на FreeBSD й там натити через пул IP можливо лише через вказання CIDR мережі, якщо використовувати, наприклад, медот soure-hash...Гадаю, логічніше, якщо використовувати пул /25, було б SNAT робити на пул xxx.xxx.xxx.129 - xxx.xxx.xxx.254.
-
Чесно кажучи, перечитав не усе, але гадаю суть уловив. Колись також співпрацював з цим продавцем, проблем не було. Взагалі, якщо є у чомусь сумніви, можна завжди попрохати фото обладнання, чи врешті-решт самому приїхати до продавця й побачити що купуєш. Щодо технічних знань, гадаю, про це вже було сказано. Хотілось також зазначити, якщо хочеться гарантій, технічної підтримки - купуйте нове обладнання, у офіційних представників, щоправда там зовсім інші цінники чи не так?
-
Коллеги,Поясните плиз...Надо на ONU закинуть 2 VLAN...8й - untag, 17 - tagКа это сделать?
interface EPON0/1 epon bind-onu mac ec08.6bc8.e83f 6 switchport trunk vlan-allowed 8,17,301,4001 switchport trunk vlan-untagged 301 switchport mode trunk switchport pvid 301 no switchport protected ! interface EPON0/1:6 epon onu port 1 ctc vlan mode translation 8
P.S. OLT - 3310Cepon onu port 1 ctc vlan mode trunk 8 17
-
O_o Ніби ще не перше квітня. Тут мінімум MX80 + девайсик з пачкою 10G, наприклад якийсь Cisco Nexus N3k. Сумніваюсь, що бюджету нема на це маючи такий трафік.
-
патч SC-LC дуплекс многомод
У них колір конекторів сірий
-
Київська область, район Фастова...
-
Щоб маршрути були завжди найкоротші й залізо не підводило, зі святом!
-
Нажаль, на цьому обладнанні цю задачу виконати неможливо, та і взагалі у wi-fi вирішує клієнт куди йому під'єднуватись...на цю тему було багато дискусій як на локалі, так і на наг, раджу усе перечитати. CapsMan'у не важливо, чи є на ньому wi-fi модуль, сам по собі він такий.
Читав колись про цікавий варіант з використанням Mesh через EoIP, сам його не пробував, але гадаю ідея має право на життя.
http://mum.mikrotik.com/presentations/RU14/wifimag.pdf
П.С.
У Ubiquiti роумінга як такого немає. Ubiquiti unifi можна налаштувати у режим zero-handoff, але ємкість каналу зв'язку такого рішення надзвичайно мізерна, усі точки повинні розташовуватись чим подалі одна від одної й працюють усі на одному каналі.
https://help.ubnt.com/hc/en-us/articles/205144590-UniFi-What-is-Zero-Handoff-
сколько трафика нужно с гуглсервисов, чтобы кеш-сервер они выдали?
в IPTV КТВ Кабельне телебачення
Опубліковано:
Хочуть піринг й кажуть, що не увесь трафік може обслуговуватись ggc. Мабуть у нас абоненти такі різносторонні, не люблять однакове дивитись :-)))
Я тут зустрів стрічки, що для GGC можна використати своє залізо, а цікаво чи кеш facebook можна так, підняти на якійсь віртуалці. 😁