Перейти до

BRAS (NAS) 5k+ PPPoE


Рекомендованные сообщения

  • Відповіді 101
  • Створено
  • Остання відповідь

Top Posters In This Topic

Top Posters In This Topic

Popular Posts

Главное правило админа - не делать супер-коробку которая потянет все. Поставьте 2 Линукс-тазика попроще, они отлично сбалансируются и обеспечат резерв. А под 2-3к сессий достаточно весьма простог

sysctl.conf net.netfilter.nf_conntrack_max = 524288 net.netfilter.nf_conntrack_buckets = 131072 net.netfilter.nf_conntrack_tcp_timeout_established = 600 net.netfilter.nf_conntrack_tcp_timeout_syn

Прерывания в ядро не упруться? У человека же pppoe, интела его не любят. 

6 часов назад, KaYot сказал:

В линуксе есть rps, pppoe легко по ядрам раскидывается.

А Вы пробовали? В доке написано - что он использует хэши из IP-адреса и порта. Что-то PPPoE это никак не касается.

Фряшные дрова интела тоже используют хэши из IP для раскидывания по ядрам.

Відредаговано masters
Ссылка на сообщение
Поделиться на других сайтах
2 часа назад, masters сказал:

А Вы пробовали? В доке написано - что он использует хэши из IP-адреса и порта. Что-то PPPoE это никак не касается.

Фряшные дрова интела тоже используют хэши из IP.

Я это использую уже лет 5. Хеш там походу универсальный по ip+mac, работает для любого трафика включая pppoe и qinq.

Відредаговано KaYot
Ссылка на сообщение
Поделиться на других сайтах
2 часа назад, pashaumka сказал:

 

спать спокойней будешь ))

 

 

 

Да не Паха ты просто не умеешь фряху готовить ) 

Ссылка на сообщение
Поделиться на других сайтах

На 3 года назад я был мега ярым поклонником фряхи.  к сожалению, она ушла в прошлое как БРАСы.. и БГП+ospf сервер, и биллинг..

теперь на Фряхе стоит мыло, радиус, пару сайтов..., interrnalBGP роут сервер,..  такое..

 

Быть может из-за того, что не было соотвествующего оборудования...  и железок

 

Но перед сносом фряхи были куплены 2 дорогущих коммутатора хуавеи, 8 ядерный проц(16 с ГТ) с мамкой и сетевуха 10Г.

На фряхе 11-й был поднят брас. Без настроек максимум 0,8Г

+ куча бессонных ночей, компиляции ядра, смена драйверов, "оптимизации", курение мануалов - до П..ы и максимум 2,5Г поднялось

 

и в 1 прекрасный день подготовил "на всяк случай" новый бгп на дебиане на какой-то несчастной супермикро с 2 булыжниками (4х4)....

2 января!!! у меня сетевуха на фряхе приказала дооолго жить и я поставил запасной сервер... и на 1,5 годя я забыл, про все проблемы..И скорость на это тазу около 5Гб нарисовалась и все стало хорошо... Начали вылазить второстепенные "горлышки"..

Прищло время - я поменял и этот супермикро на Fujitsu PRIMERGY.. - тест скорости - и мы видим с проходняка 10Г

 

 

Могу дать тазик и 10г сетевуху - приготовь + ospf(ibgp) + mpd5 + ipv6... и чтобы не падало...

 

Ссылка на сообщение
Поделиться на других сайтах
1 час назад, pashaumka сказал:

На 3 года назад я был мега ярым поклонником фряхи.  к сожалению, она ушла в прошлое как БРАСы.. и БГП+ospf сервер, и биллинг..

теперь на Фряхе стоит мыло, радиус, пару сайтов..., interrnalBGP роут сервер,..  такое..

Вы просто не умеете ее готовить :) У меня на ней и бордер и брасы (под виртуализацией) - никаких проблем нет.

Для примера - на бордере E3-1240 V2, нагрузка 35% при трафике 4.2Гбит/с

Ссылка на сообщение
Поделиться на других сайтах
6 минут назад, masters сказал:

Вы просто не умеете ее готовить :) У меня на ней и бордер и брасы (под виртуализацией) - никаких проблем нет.

Для примера - на бордере E3-1240 V2, нагрузка 35% при трафике 4.2Гбит/с

4.2 Гига PPPoE все на одной сетевухе 10Г?

Ссылка на сообщение
Поделиться на других сайтах
19 минут назад, boroda сказал:

4.2 Гига PPPoE все на одной сетевухе 10Г?

Вы часто PPPoE на бордере поднимаете? Или у вас бордер как раз таки PPPoE на киевстар поднимает?)))

Ссылка на сообщение
Поделиться на других сайтах
1 час назад, KaYot сказал:

Вы часто PPPoE на бордере поднимаете? Или у вас бордер как раз таки PPPoE на киевстар поднимает?)))

Опередили )))

 

to boroda,

нет там PPPoE. 2 сетевухи x520-da2. 2 порта на вход, 1 на выход.

Відредаговано masters
Ссылка на сообщение
Поделиться на других сайтах
20 часов назад, zulu_Radist сказал:

nat вообще не используем

Багатство не порок :)

 

NAT в линуксе делается 1 строчкой в iptables, и сразу работает нормально без какой-либо настройки.

Для больших нагрузок нужен тюнинг sysctl в 5 строчек.

Ссылка на сообщение
Поделиться на других сайтах
11 минут назад, KaYot сказал:

Багатство не порок :)

 

NAT в линуксе делается 1 строчкой в iptables, и сразу работает нормально без какой-либо настройки.

Для больших нагрузок нужен тюнинг sysctl в 5 строчек.

Если можно, напишите сюда эти самые 5 строчек для тюнинга

Ссылка на сообщение
Поделиться на других сайтах
12 минут назад, Kiano сказал:

Если можно, напишите сюда эти самые 5 строчек для тюнинга

sysctl.conf

net.netfilter.nf_conntrack_max = 524288
net.netfilter.nf_conntrack_buckets = 131072
net.netfilter.nf_conntrack_tcp_timeout_established = 600

net.netfilter.nf_conntrack_tcp_timeout_syn_sent = 60
net.netfilter.nf_conntrack_tcp_timeout_time_wait = 20

Сам НАТ в iptables

-A POSTROUTING -o bond0.7 -s 172.20.0.0/16 -j SNAT --to xx.xx.xx.128-xx.xx.xx.254 --persistent

 

  • Thanks 3
Ссылка на сообщение
Поделиться на других сайтах
1 час назад, KaYot сказал:

Багатство не порок :)

 

NAT в линуксе делается 1 строчкой в iptables, и сразу работает нормально без какой-либо настройки.

Для больших нагрузок нужен тюнинг sysctl в 5 строчек.

богатство имеет свойство заканчиваться.  думаю к осени будем натить :)

Ссылка на сообщение
Поделиться на других сайтах
58 минут назад, KaYot сказал:

sysctl.conf


net.netfilter.nf_conntrack_max = 524288
net.netfilter.nf_conntrack_buckets = 131072
net.netfilter.nf_conntrack_tcp_timeout_established = 600

net.netfilter.nf_conntrack_tcp_timeout_syn_sent = 60
net.netfilter.nf_conntrack_tcp_timeout_time_wait = 20

Сам НАТ в iptables


-A POSTROUTING -o bond0.7 -s 172.20.0.0/16 -j SNAT --to xx.xx.xx.128-xx.xx.xx.254 --persistent

 

Спасибо! Насколько я понял, то правило из iptables натит подсеть 172.16.0.0/16 на /25 сеть белых ипов? Т.е. у клиентов динамика при этом?

Ссылка на сообщение
Поделиться на других сайтах
22 минуты назад, Kiano сказал:

Спасибо! Насколько я понял, то правило из iptables натит подсеть 172.16.0.0/16 на /25 сеть белых ипов? Т.е. у клиентов динамика при этом?

Да, сеть 172.20/16, пакеты для которой уходят в интерфейс bond0.7 натятся в пул /25.

У клиентов фактически статика, ключ --persistent выдает серому IP всегда один и тот же белый из пула.

 

P.S. 5 лет были богатыми, выдавали клиентам только белые адреса. К концу 2017 резерві адресов кончились, пришлось соорудить НАТ и выдавать серые адреса - ни одной жалобы от клиентов, я был немного в шоке.

  • Like 1
Ссылка на сообщение
Поделиться на других сайтах
7 минут назад, KaYot сказал:

Да, сеть 172.20/16, пакеты для которой уходят в интерфейс bond0.7 натятся в пул /25.

У клиентов фактически статика, ключ --persistent выдает серому IP всегда один и тот же белый из пула.

 

P.S. 5 лет были богатыми, выдавали клиентам только белые адреса. К концу 2017 резерві адресов кончились, пришлось соорудить НАТ и выдавать серые адреса - ни одной жалобы от клиентов, я был немного в шоке.

Спасибо

Что касается ната - у него тоже есть преимущества перед белой статикой. Для среднестатистического обывателя нат даже лучше (грамотный нат, хотя бы /27 > /32, а не /24 > /32)

Ссылка на сообщение
Поделиться на других сайтах
48 минут назад, KaYot сказал:

Да, сеть 172.20/16, пакеты для которой уходят в интерфейс bond0.7 натятся в пул /25.

У клиентов фактически статика, ключ --persistent выдает серому IP всегда один и тот же белый из пула.

 

а внешний адрес выдается в зависимости от адреса источника (клиента) или назначения?

Задача менять внешний IP клиенту за НАТом хотя бы раз в сутки

Ссылка на сообщение
Поделиться на других сайтах
Опубліковано: (відредаговано)
23 минуты назад, lemosh сказал:

 

а внешний адрес выдается в зависимости от адреса источника (клиента) или назначения?

Задача менять внешний IP клиенту за НАТом хотя бы раз в сутки

--persistent

Gives a client the same source-/destination-address for each connection.

Странно, но вроде как в зависимости от клиента.

Чтобы менять раз в сутки, вероятно, нужно чистить таблицу conntrack раз в сутки. Но это уже костыль

Відредаговано Kiano
Ссылка на сообщение
Поделиться на других сайтах
35 минут назад, lemosh сказал:

 

а внешний адрес выдается в зависимости от адреса источника (клиента) или назначения?

Задача менять внешний IP клиенту за НАТом хотя бы раз в сутки

никогда не понимал кому и главное зачем это нужно

  • Like 1
Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.

  • Схожий контент

    • Від Alain_MG
      Всем привет, Я работаю над проектом GPON с оборудованием OLT GP2508. Я пришел к этапу «АВТОРИЗАЦИЯ» на уровне сервера Freeradius. Мой сабик и вопрос в том, что я хочу создать профиль 512M например на сервере Freeradius, и еще я не хочу ограничение пропускной способности не на уровне сервера PPPoE а скорее на OLT, как сделать чтобы профиль создавался на OLT будет на уровне RADIUS? СПАСИБО
    • Від apels1n
      Доброго времени суток, есть два микрота CCR1036 в качестве брасов. На первом ~800 абонов, на втором ~1000. Оба микрота имеют шейпер на simple queue и нат. С обоими микротами есть проблема, а именно при пппое скорость загрузки 950+ мегабит, а скорость отдачи еле достигает 350 мегабит. Если мерять минуя пппое и шейпер, воткнувшись в микрот напрямую и получув адрес по дхцп, то скорость стабильно 970 мегабит в обе стороны. Пробовал поменять pps для шейпера, поставил вместо 50 pps 500 и скорость отдачи начала доходить до 400 мегабит. У микротов аплинки 10г по оптике, средний трафик с микрота в районе 1.5 - 2 Гбита. Упора в процессор нет, средняя нагрузка в пределах 15-30%. Подскажите в чём может быть дело?
       
      Конфиг
      /interface bridge add admin-mac=08:55:31:B4:51:F8 auto-mac=no name=bridge1 add disabled=yes name=loopback /interface ethernet set [ find default-name=ether2 ] comment=Test_routers /interface vlan add interface=sfp-sfpplus2 name=vlan36 vlan-id=36 add interface=sfp-sfpplus2 name=vlan101 vlan-id=101 add interface=sfp-sfpplus2 name=vlan102 vlan-id=102 add interface=sfp-sfpplus2 name=vlan103 vlan-id=103 add interface=sfp-sfpplus2 name=vlan104 vlan-id=104 add interface=sfp-sfpplus2 name=vlan105 vlan-id=105 add interface=sfp-sfpplus2 name=vlan106 vlan-id=106 add interface=sfp-sfpplus2 name=vlan107 vlan-id=107 add interface=sfp-sfpplus2 name=vlan108 vlan-id=108 add interface=sfp-sfpplus2 name=vlan109 vlan-id=109 add interface=sfp-sfpplus2 name="vlan1426" vlan-id=1426 add interface=sfp-sfpplus2 name=vlan1543 vlan-id=1543 /interface list add name=management /ip pool add name=pool1 ranges=192.168.100.10-192.168.100.20 /ip dhcp-server add address-pool=pool1 interface=ether7 name=dhcp-88 /port set 0 name=serial0 set 1 name=serial1 /ppp profile add change-tcp-mss=yes dns-server=XX.XX.XX.1 local-address=198.18.0.1 name=\ PPPtP add change-tcp-mss=yes dns-server=XX.XX.XX.1 local-address=XX.XX.XX.100 \ name=PPPoE use-compression=no use-encryption=no /queue type set 0 pfifo-limit=500 /routing bgp template set default as=4XXX9 disabled=no input.filter=bgp-in nexthop-choice=\ force-self output.filter-chain=bgp-out .redistribute=connected router-id=\ XX.XX.XX.100 routing-table=main /interface bridge port add bridge=bridge1 interface=ether8 pvid=101 /ip neighbor discovery-settings set discover-interface-list=management /ip settings set max-neighbor-entries=8192 /ipv6 settings set disable-ipv6=yes forward=no max-neighbor-entries=8192 /interface list member add interface=ether8 list=management /interface pppoe-server server add default-profile=PPPoE disabled=no interface=vlan101 keepalive-timeout=60 \ max-mru=1480 max-mtu=1480 mrru=1600 pado-delay=6 add default-profile=PPPoE disabled=no interface=vlan102 keepalive-timeout=60 \ max-mru=1480 max-mtu=1480 mrru=1600 pado-delay=7 add default-profile=PPPoE disabled=no interface=vlan103 keepalive-timeout=60 \ max-mru=1480 max-mtu=1480 mrru=1600 pado-delay=6 add default-profile=PPPoE disabled=no interface=vlan104 keepalive-timeout=60 \ max-mru=1480 max-mtu=1480 mrru=1600 pado-delay=6 add default-profile=PPPoE disabled=no interface=vlan105 keepalive-timeout=60 \ max-mru=1480 max-mtu=1480 mrru=1600 pado-delay=7 add default-profile=PPPoE disabled=no interface=vlan106 keepalive-timeout=60 \ max-mru=1480 max-mtu=1480 mrru=1600 pado-delay=6 add default-profile=PPPoE disabled=no interface=vlan107 keepalive-timeout=60 \ max-mru=1480 max-mtu=1480 mrru=1600 pado-delay=7 add default-profile=PPPoE disabled=no interface=vlan108 keepalive-timeout=60 \ max-mru=1480 max-mtu=1480 mrru=1600 pado-delay=6 add default-profile=PPPoE disabled=no interface=vlan109 keepalive-timeout=60 \ max-mru=1480 max-mtu=1480 mrru=1600 pado-delay=6 add default-profile=PPPoE disabled=no interface=vlan36 keepalive-timeout=60 \ max-mru=1480 max-mtu=1480 mrru=1600 pado-delay=7 service-name=vlan36 add default-profile=PPPoE disabled=no interface=ether2 keepalive-timeout=60 \ max-mru=1480 max-mtu=1480 mrru=1600 /interface pptp-server server set default-profile=PPPtP /ip address add address=XX.XX.XX.100/25 comment="UP IP (NAT no_money)" interface=\ sfp-sfpplus2 network=XX.XX.XX.0 add address=XX.XX.XX.59 comment="For NAT" interface=sfp-sfpplus2 network=\ XX.XX.XX.59 add address=XX.XX.XX.60 comment="For NAT" interface=sfp-sfpplus2 network=\ XX.XX.XX.60 add address=XX.XX.XX.61 comment="For NAT" interface=sfp-sfpplus2 network=\ XX.XX.XX.61 add address=XX.XX.XX.62 comment="For NAT" interface=sfp-sfpplus2 network=\ XX.XX.XX.62 add address=XX.XX.XX.63 comment="For NAT" interface=sfp-sfpplus2 network=\ XX.XX.XX.63 add address=XX.XX.XX.64 comment="For NAT" interface=sfp-sfpplus2 network=\ XX.XX.XX.64 add address=XX.XX.XX.65 comment="For NAT" interface=sfp-sfpplus2 network=\ XX.XX.XX.65 add address=XX.XX.XX.66 comment="For NAT" interface=sfp-sfpplus2 network=\ XX.XX.XX.66 add address=XX.XX.XX.67 comment="For NAT" interface=sfp-sfpplus2 network=\ XX.XX.XX.67 add address=XX.XX.XX.68 comment="For NAT" interface=sfp-sfpplus2 network=\ XX.XX.XX.68 add address=XX.XX.XX.69 comment="For NAT" interface=sfp-sfpplus2 network=\ XX.XX.XX.69 add address=XX.XX.XX.70 comment="For NAT" interface=sfp-sfpplus2 network=\ XX.XX.XX.70 add address=XX.XX.XX.71 comment="For NAT" interface=sfp-sfpplus2 network=\ XX.XX.XX.71 add address=XX.XX.XX.72 comment="For NAT" interface=sfp-sfpplus2 network=\ XX.XX.XX.72 add address=XX.XX.XX.73 comment="For NAT" interface=sfp-sfpplus2 network=\ XX.XX.XX.73 add address=XX.XX.XX.74 comment="For NAT" interface=sfp-sfpplus2 network=\ XX.XX.XX.74 add address=198.18.0.100 comment="For OSPF" disabled=yes interface=loopback \ network=198.18.0.100 add address=192.168.100.1/24 comment=test interface=ether7 network=\ 192.168.100.0 add address=XX.XX.XX.59/29 interface="vlan1426 " network=\ XX.XX.XX.56 add address=10.5.4.2/30 comment="local-management(DONT_TOUCH)" interface=\ ether8 network=10.5.4.0 add address=XX.XX.XX.4/29 interface=vlan1543 network=\ XX.XX.XX.0 /ip dhcp-server network add address=192.168.100.0/24 dns-server=XX.XX.XX.1 gateway=192.168.100.1 netmask=24 /ip dns set servers=XX.XX.XX.1 ip firewall address-list add address=XX.XX.XX.0/24 disabled=yes list=bgp-networks add address=city24.ua comment=city24.ua list=allow_negative add address=privat24.ua comment=privat24.ua list=allow_negative add address=next.privat24.ua comment=next.privat24.ua list=allow_negative /ip firewall nat add action=same chain=srcnat comment="Corp100 -> XX.XX.XX.100" \ out-interface=sfp-sfpplus2 same-not-by-dst=yes src-address=\ 192.168.100.0/24 to-addresses=XX.XX.XX.100 add action=same chain=srcnat comment="192.168.240.0/24 -> XX.XX.XX.59" \ out-interface=sfp-sfpplus2 same-not-by-dst=yes src-address=\ 192.168.240.0/24 to-addresses=XX.XX.XX.59 add action=same chain=srcnat comment="192.168.241.0/24 -> XX.XX.XX.60" \ out-interface=sfp-sfpplus2 same-not-by-dst=yes src-address=\ 192.168.241.0/24 to-addresses=XX.XX.XX.60 add action=same chain=srcnat comment="192.168.242.0/24 -> XX.XX.XX.61" \ out-interface=sfp-sfpplus2 same-not-by-dst=yes src-address=\ 192.168.242.0/24 to-addresses=XX.XX.XX.61 add action=same chain=srcnat comment="192.168.243.0/24 -> XX.XX.XX.62" \ out-interface=sfp-sfpplus2 same-not-by-dst=yes src-address=\ 192.168.243.0/24 to-addresses=XX.XX.XX.62 add action=same chain=srcnat comment="192.168.244.0/24 -> XX.XX.XX.63" \ out-interface=sfp-sfpplus2 same-not-by-dst=yes src-address=\ 192.168.244.0/24 to-addresses=XX.XX.XX.63 add action=same chain=srcnat comment="192.168.245.0/24 -> XX.XX.XX.64" \ out-interface=sfp-sfpplus2 same-not-by-dst=yes src-address=\ 192.168.245.0/24 to-addresses=XX.XX.XX.64 add action=same chain=srcnat comment="192.168.246.0/24 -> XX.XX.XX.65" \ out-interface=sfp-sfpplus2 same-not-by-dst=yes src-address=\ 192.168.246.0/24 to-addresses=XX.XX.XX.65 add action=same chain=srcnat comment="192.168.247.0/24 -> XX.XX.XX.66" \ out-interface=sfp-sfpplus2 same-not-by-dst=yes src-address=\ 192.168.247.0/24 to-addresses=XX.XX.XX.66 add action=same chain=srcnat comment="192.168.248.0/24 -> XX.XX.XX.67" \ out-interface=sfp-sfpplus2 same-not-by-dst=yes src-address=\ 192.168.248.0/24 to-addresses=XX.XX.XX.67 add action=same chain=srcnat comment="192.168.249.0/24 -> XX.XX.XX.68" \ out-interface=sfp-sfpplus2 same-not-by-dst=yes src-address=\ 192.168.249.0/24 to-addresses=XX.XX.XX.68 add action=same chain=srcnat comment="192.168.250.0/24 -> XX.XX.XX.69" \ out-interface=sfp-sfpplus2 same-not-by-dst=yes src-address=\ 192.168.250.0/24 to-addresses=XX.XX.XX.69 add action=same chain=srcnat comment="192.168.251.0/24 -> XX.XX.XX.70" \ out-interface=sfp-sfpplus2 same-not-by-dst=yes src-address=\ 192.168.251.0/24 to-addresses=XX.XX.XX.70 add action=same chain=srcnat comment="192.168.252.0/24 -> XX.XX.XX.71" \ out-interface=sfp-sfpplus2 same-not-by-dst=yes src-address=\ 192.168.252.0/24 to-addresses=XX.XX.XX.71 add action=same chain=srcnat comment="192.168.253.0/24 -> XX.XX.XX.72" \ out-interface=sfp-sfpplus2 same-not-by-dst=yes src-address=\ 192.168.253.0/24 to-addresses=XX.XX.XX.72 add action=same chain=srcnat comment="192.168.254.0/24 -> XX.XX.XX.73" \ out-interface=sfp-sfpplus2 same-not-by-dst=yes src-address=\ 192.168.254.0/24 to-addresses=XX.XX.XX.73 add action=same chain=srcnat comment="192.168.255.0/24 -> XX.XX.XX.74" \ out-interface=sfp-sfpplus2 same-not-by-dst=yes src-address=\ 192.168.255.0/24 to-addresses=XX.XX.XX.74 add action=same chain=dstnat disabled=yes dst-address-list=pub_dns \ same-not-by-dst=no to-addresses=XX.XX.XX.1 add action=same chain=srcnat comment="negative 192.168 -> XX.XX.XX.100" \ dst-address-list=allow_negative out-interface=sfp-sfpplus2 \ same-not-by-dst=yes src-address-list=negative to-addresses=XX.XX.XX.100 add action=dst-nat chain=dstnat comment="Negative redirect to Billing" \ dst-port=80,443 log-prefix=Negtive protocol=tcp src-address-list=negative \ to-addresses=XX.XX.XX.236 to-ports=2096 add action=masquerade chain=srcnat dst-address-list=fix-blocked-sites \ out-interface-list=bypass src-address-list=!negative to-addresses=\ 78.154.181.59 /ip firewall raw add action=drop chain=prerouting comment=Block-RU disabled=yes \ dst-address-list=block add action=drop chain=prerouting comment="Full block TCP negative (not WWW)" \ dst-address-list=!allow_negative dst-port=!53 protocol=tcp \ src-address-list=negative add action=drop chain=prerouting comment="Full block UDP negative (not WWW)" \ dst-address-list=!allow_negative dst-port=!53 protocol=udp \ src-address-list=negative add action=drop chain=prerouting comment=Block-WInBox-not-from-management \ dst-port=8291 protocol=tcp src-address-list=!allowed_management add action=drop chain=prerouting comment=Block-SSH-not-from-management \ dst-port=7722 protocol=tcp src-address-list=!allowed_management add action=drop chain=prerouting comment=Block-SNMP-not-from-zabbix dst-port=\ 161 protocol=udp src-address=!XX.XX.XX.236 /ip route add disabled=no dst-address=0.0.0.0/0 gateway=XX.XX.XX.1 /ppp aaa set interim-update=5m use-radius=yes /radius add address=XX.XX.XX.236 comment=Billing service=ppp /radius incoming set accept=yes port=XXXX /routing bgp connection add as=4XXX9 disabled=no input.filter=ospf-in listen=yes local.address=\ XX.XX.XX.100 .role=ibgp name=border nexthop-choice=force-self \ output.filter-chain=ospf-out .redistribute=connected remote.address=\ XX.XX.XX.1/25 .as=4XXX9 router-id=XX.XX.XX.100 routing-table=main \ templates=default add cisco-vpls-nlri-len-fmt=auto-bits connect=yes listen=yes local.role=ibgp \ name=mikrot101 nexthop-choice=force-self remote.address=XX.XX.XX.101 \ .as=4XXX9 .port=179 templates=default /routing filter rule add chain=ibgp-in disabled=no rule=\ "if (dst in XX.XX.XX.128/25 && dst-len==32) {accept} else {reject}" add chain=ibgp-out disabled=no rule=\ "if (dst in XX.XX.XX.128/25 && dst-len==32) {accept} else {reject}" /system logging set 0 topics=info,!ppp,!pppoe set 1 topics=error,!ppp /system ntp client set enabled=yes /system ntp client servers add address=0.ua.pool.ntp.org add address=1.ua.pool.ntp.org add address=2.ua.pool.ntp.org add address=3.ua.pool.ntp.org /tool bandwidth-server set enabled=no /tool mac-server set allowed-interface-list=management /tool mac-server mac-winbox set allowed-interface-list=management /tool mac-server ping set enabled=no  
    • Від rusol
      Всем привет.
       
      Прошу помощи, не могу уже больше года побороть одну проблему.
       
      Иногда (раз в неделю, раз в месяц...), в основном в час пик, резко вырастает interrupt на одном из четырех ядер на сервере, на котором FreeBSD 10.1 + Nodeny + IPFW + PF + DHCP, при этом клиенты жалуются, что очень тупит интернету.
       
      Я этот симптом вижу на сервере так через top -SHPi:

       
       
      Так же наблюдаю значительное увеличение пакетов через команду netstat -hdw1 -i ix0
       
      Помогает в таких ситуациях следующее:
       
      1. Выключение на пару секунд и включение всех клиентских портов на центральном коммутаторе.
      2. Выключение по одному порту на центральном коммутаторе, но не всегда этот метод срабатывает.
      3. Иногда помогает перезагрузка сервера (но не всегда).
       
      Подскажите, на что в такой ситуации еще обратить внимание? Я ведь купирую следствие проблемы, но саму проблему не могу определить.
       
      Готов заплатить за помощь.
       
    • Від ppv
      Підкажіть, як правильно витягувати неактивних користувачів з address-list DENY. При налаштуваннях нище при зміні балансу на позитивний сесія не розривається, відповідно користувач не перепідключається з іншими параметрами.  Скеруйте в правильному напрямку якщо хтось реалізовував.  Білінг тестовий, цікава реалізація.
       

       
    • Від LENS
      Продолжаем делать хорошие дела!
       
      Нам нужно сделать два добрых дела:
      Найти нового хозяина для сервера в корпусе 2U - 3.3 Ghz и 4Gb RAM. Отличный вариант для провайдеров как BRAS сервер! В комплекте рельсы для установки в шкаф Помочь больным детям  
       
      Стартовая цена 999 грн
      Заявки до 20:00 20 Декабря 2021 и кто даст больше, тому сервер и достанется.
      Далее выбираете нескольких детей на https://dobro.ua/ и отправляете переводы на общую сумму, скидываете сюда скрины и сервер ваш.
      Забрать сервер можно в Киеве, либо новой почтой.






×
×
  • Створити нове...