Dmitry2

Из рекомендаций, не знаю нужно ли. на lo0.0 добавить "proxy-arp unrestricted" на все другие - "proxy-arp"

# enable mld_snooping # config mld_snooping all state enable # config mld_snooping rate_limit ports 1-28 1 # config multicast vlan_filtering_mode all filter_unregistered_groups Для диагностики: # show mld_snooping group # show mld_snooping forwarding # #show mld_snooping mrouter_ports all Попытайтесь отключить IPv6 функционал на свиче # config ipif System ipv6 state disable

Как раз таки dummynet - это костыльное решение. И да, оно не предназначено для скоростных сетей. Нормальное решение - это ALTQ или NetGraph. По NetGraph море документации с примерами. mpd5 абсолютно прозрачно работает с ним. Достаточно прочитать документацию.

У D-Link есть штатный mld_snooping

http://www.dlink.ru/ru/products/1/1467.html Рабочая температура 0-50°C, При 79 с него дым пойдет. Для SFP критическая будет от 85 градусов, так что 6-62 градуса вполне нормально.

Укажите, пожалуйста, что за железка. Покажите, пожалуйста, "show environment" и "show ddm ports configuration" для этих двух портов

Вообще-то на скриншотах выше таки были показаны модули с DDM. То, что микротик не умеет считывать другие параметры DDM, кроме тех, что на скриншотах - личная головная боль владельца микротика.

Это со ВСЕМИ включенными сервисами. http://www.anticisco.ru/pubs/ISR_G2_Perfomance.pdf http://www.anticisco.ru/blogs/2013/04/ixia-нагружаем-cisco-1921-nat-firewall/ Грубо говоря, если на той же 1921 включить только NAT, то пропускная способность будет около 90 мегабит, если к нему добавить IDS - то 15 мегабит. IDS штука классная, но сигнатуры и лицензии прийдется докупать отдельно.

Посмотрите в сторону линейки Cisco ISR G2 https://www.cisco.com/c/dam/global/ru_ru/downloads/broch/Routers_with_integrated_services_of_new_generation_Cisco_ISR_G2.pdf

Вообще-то в самих модулях "зашиты" критические значения для всех параметров. То, что их не умеет показывать конкретная железка - проблемы того, кто купил эту железку. Вот, например, что выдает D-Link Port: 25 -------------------------------------------- DDM state : Enabled Shutdown : None Threshold Temperature Voltage Bias-Current TX-Power RX-Power ------------ --------------- --------- ------------- ----------- ---------- High Alarm 100.0000 - 115.0000 2.5110 1.7783 Low Alarm -25.0000 -

После удаления свича в модуле "Свичи", он не пропадает в верхней части экрана в меню "Мертвые свичи" При попытке его дальнейшего редактирования из меню "Мертвые свичи" высвечивается ошибка: Подозрительная ошибка - вообще странно, что вы ее видите: NO_SUCH_IP

https://ctopmbi4.wordpress.com/2014/07/30/типы-ошибок-dlink/ Коллизии и CRC - это железо. Остальное - больше софтварные ошибки.

Ubilling 0.9.7 rev 6775 При попытке выбрать "Редактировать стоимость подключения" в меню "Справочники" "Тарифы" получаю такое: wrong data input: INSERT INTO `signup_prices_tariffs` (`tariff`, `price`) VALUES ('18K-20Mb', '0') Срабатывает только на определенном тарифе. При попытке зайти в некоторые учетные записи абонента получаю такое: Подозрительная ошибка - вообще странно, что вы ее видите: EMPTY_DATABASE_USERDATA UserProfile Object ( [alterCfg:protected] => Array ( Тут идет содержимое массива из alter.ini ) [userdata:

Vyatta, pfSense ?

Какой трафик проходит через MS-MIC ? У него пропускная способность всего 9 гигабит/сек. Но эффективные менеджеры не говорят, что это в полудуплексе. Т.е. модуль будет "загибаться" уже при 5-6 гигабитах. Как вариант - поставить второй модуль MS-MIC-16G

JTAC рекомендует для маршрутизации 15.1R7, а для работы сервисных плат 15.1R6

Не используйте бридж на микротике, а используйте встроенный свич. Все пакеты в бридже обрабатываются программно. Была попытка сделать hw-offload для бридже на RouterOS 6.30.rc36, но она провалилась. На самом микротике можно поднять кучу внутренних интерфейсов с абонентскими подсетями, как на каждом порту, так и несколько сетей на одном порту. Если абоненты на микротике находятся в разных сетях с Ubilling, то не будет работать arp ping, поиск MAC адреса и т.п. Но управление DHCP, firewall и queue работает.

47 gre и 1723 порт по протоколу 6 tcp - это PPTP, а не L2TP

Если использовать mpd5, то логичнее все-таки шейпить трафик с помощью ng_car. Если есть желание подискутировать - могу доходчиво объяснить с точки зрения производительности, гибкости и т.п.

Вот здесь была предпринята попытка перевести RouterOS API на версию 1.6, в которой уже исправлены такие глюки, а также добавлена поддержка API-SSL. https://github.com/nightflyza/Ubilling/pull/9 Остальные патчи для MikroTik (определение активности пользователя по нахождению в dhcp leases, просмотр ARP через API, ping через API) планировалось писать поверх RouterOS API версии 1.6. Но не взлетело По решению проблемы - оказалось гораздо проще поддерживать набор локальных патчей. P.S. https://local.com.ua/forum/topic/92425-%D0%BE%D1%88%D0%B8%D0%B1%D0%BA%D0%B8-%D0%B2-079/

netstat -m vmstat -z vmstat -i sysctl dev.bge.N (если сетевухи bge)

Вы предлагаете разработчикам купить такую железку, чтобы поискать в ней нужные OID ?

VRRP ? NLB ? STP ? ERPS ? Ну, и на вскидку, в гугле можно поискать фразу "mikrotik high availability". И даже почитать неплохие презенташки на эту тему.

1. На свиче желательно настроить arp spoofing prevention 2. На свиче желательно настроить ACL, чтобы клиенты не могли слать ARP и IP запросы на другие клиентские IP 3. На свиче желательно настроить запрет пересылки паразитного broadcast, multicast и unicast трафика на микротик. А также современные свичи отлично умеют dhcp snooping и dhcp screening Простой пример. У нас шлюз 192.168.0.1 с MAC адресом 00:11:22:33:44:55:66 Делаем правило, разрешающие в ARP запросах запрашивать MAC адрес только у IP 192.168.0.1 (MAC адрес пентагона нам не нужен) Делаем правило, разрешающее посылку

Судя по всему, клиенты прописали себе IP статикой, и им все равно, что Вы там настраиваете на микротиках. Как вариант борьбы с этим, например, на коммутаторах D-Link можно настроить IP MAC Port Binding в режим, когда будут работать только связки IP+MAC, получившие IP по DHCP/