BRAS (NAS) 5k+ PPPoE

[zulu_Radist]

50 минут назад, Kiano сказал:

для Accel есть читабельный интерфейс? Для техподдержки нужно уже

accel-cmd наше все

[masters]

6 часов назад, KaYot сказал:

В линуксе есть rps, pppoe легко по ядрам раскидывается.

А Вы пробовали? В доке написано - что он использует хэши из IP-адреса и порта. Что-то PPPoE это никак не касается.

Фряшные дрова интела тоже используют хэши из IP для раскидывания по ядрам.

Відредаговано 1 березня, 2018 masters

[KaYot]

2 часа назад, masters сказал:

А Вы пробовали? В доке написано - что он использует хэши из IP-адреса и порта. Что-то PPPoE это никак не касается.

Фряшные дрова интела тоже используют хэши из IP.

Я это использую уже лет 5. Хеш там походу универсальный по ip+mac, работает для любого трафика включая pppoe и qinq.

Відредаговано 1 березня, 2018 KaYot

[Kiano]

Большую ли разницу (на практике) имеет simple queses и queue tree (pcq) в routeros?

[pashaumka]

В 01.03.2018 в 11:03, Kiano сказал:

и почему не фря? какие преимущества линуха перед фрёй?

 

спать спокойней будешь ))

 

 

 

[skybetik]

2 часа назад, pashaumka сказал:

 

спать спокойней будешь ))

 

 

 

Да не Паха ты просто не умеешь фряху готовить ) 

[pashaumka]

На 3 года назад я был мега ярым поклонником фряхи.  к сожалению, она ушла в прошлое как БРАСы.. и БГП+ospf сервер, и биллинг..

теперь на Фряхе стоит мыло, радиус, пару сайтов..., interrnalBGP роут сервер,..  такое..

 

Быть может из-за того, что не было соотвествующего оборудования...  и железок

 

Но перед сносом фряхи были куплены 2 дорогущих коммутатора хуавеи, 8 ядерный проц(16 с ГТ) с мамкой и сетевуха 10Г.

На фряхе 11-й был поднят брас. Без настроек максимум 0,8Г

+ куча бессонных ночей, компиляции ядра, смена драйверов, "оптимизации", курение мануалов - до П..ы и максимум 2,5Г поднялось

 

и в 1 прекрасный день подготовил "на всяк случай" новый бгп на дебиане на какой-то несчастной супермикро с 2 булыжниками (4х4)....

2 января!!! у меня сетевуха на фряхе приказала дооолго жить и я поставил запасной сервер... и на 1,5 годя я забыл, про все проблемы..И скорость на это тазу около 5Гб нарисовалась и все стало хорошо... Начали вылазить второстепенные "горлышки"..

Прищло время - я поменял и этот супермикро на Fujitsu PRIMERGY.. - тест скорости - и мы видим с проходняка 10Г

 

 

Могу дать тазик и 10г сетевуху - приготовь + ospf(ibgp) + mpd5 + ipv6... и чтобы не падало...

 

[Kiano]

есть конкретные рекоммендации по тюнингу линуха под 4+Gbps и сетевушки 82599? а так же под PPPoE

[masters]

1 час назад, pashaumka сказал:

На 3 года назад я был мега ярым поклонником фряхи.  к сожалению, она ушла в прошлое как БРАСы.. и БГП+ospf сервер, и биллинг..

теперь на Фряхе стоит мыло, радиус, пару сайтов..., interrnalBGP роут сервер,..  такое..

Вы просто не умеете ее готовить  У меня на ней и бордер и брасы (под виртуализацией) - никаких проблем нет.

Для примера - на бордере E3-1240 V2, нагрузка 35% при трафике 4.2Гбит/с

[boroda]

6 минут назад, masters сказал:

Вы просто не умеете ее готовить  У меня на ней и бордер и брасы (под виртуализацией) - никаких проблем нет.

Для примера - на бордере E3-1240 V2, нагрузка 35% при трафике 4.2Гбит/с

4.2 Гига PPPoE все на одной сетевухе 10Г?

[KaYot]

19 минут назад, boroda сказал:

4.2 Гига PPPoE все на одной сетевухе 10Г?

Вы часто PPPoE на бордере поднимаете? Или у вас бордер как раз таки PPPoE на киевстар поднимает?)))

[masters]

1 час назад, KaYot сказал:

Вы часто PPPoE на бордере поднимаете? Или у вас бордер как раз таки PPPoE на киевстар поднимает?)))

Опередили )))

 

to boroda,

нет там PPPoE. 2 сетевухи x520-da2. 2 порта на вход, 1 на выход.

Відредаговано 3 березня, 2018 masters

[Kiano]

В Thu Mar 01 2018 в 14:18, zulu_Radist сказал:

accel-cmd наше все

Нат с помощью iptables?

[zulu_Radist]

18 минут назад, Kiano сказал:

Нат с помощью iptables?

nat вообще не используем

[Kiano]

9 часов назад, zulu_Radist сказал:

nat вообще не используем

У всех абонов белые?

[KaYot]

20 часов назад, zulu_Radist сказал:

nat вообще не используем

Багатство не порок

 

NAT в линуксе делается 1 строчкой в iptables, и сразу работает нормально без какой-либо настройки.

Для больших нагрузок нужен тюнинг sysctl в 5 строчек.

[Kiano]

11 минут назад, KaYot сказал:

Багатство не порок

 

NAT в линуксе делается 1 строчкой в iptables, и сразу работает нормально без какой-либо настройки.

Для больших нагрузок нужен тюнинг sysctl в 5 строчек.

Если можно, напишите сюда эти самые 5 строчек для тюнинга

[KaYot]

12 минут назад, Kiano сказал:

Если можно, напишите сюда эти самые 5 строчек для тюнинга

sysctl.conf

net.netfilter.nf_conntrack_max = 524288
net.netfilter.nf_conntrack_buckets = 131072
net.netfilter.nf_conntrack_tcp_timeout_established = 600

net.netfilter.nf_conntrack_tcp_timeout_syn_sent = 60
net.netfilter.nf_conntrack_tcp_timeout_time_wait = 20

Сам НАТ в iptables

-A POSTROUTING -o bond0.7 -s 172.20.0.0/16 -j SNAT --to xx.xx.xx.128-xx.xx.xx.254 --persistent

 

[zulu_Radist]

1 час назад, KaYot сказал:

Багатство не порок

 

NAT в линуксе делается 1 строчкой в iptables, и сразу работает нормально без какой-либо настройки.

Для больших нагрузок нужен тюнинг sysctl в 5 строчек.

богатство имеет свойство заканчиваться.  думаю к осени будем натить

[Kiano]

58 минут назад, KaYot сказал:

sysctl.conf

net.netfilter.nf_conntrack_max = 524288
net.netfilter.nf_conntrack_buckets = 131072
net.netfilter.nf_conntrack_tcp_timeout_established = 600

net.netfilter.nf_conntrack_tcp_timeout_syn_sent = 60
net.netfilter.nf_conntrack_tcp_timeout_time_wait = 20

Сам НАТ в iptables

-A POSTROUTING -o bond0.7 -s 172.20.0.0/16 -j SNAT --to xx.xx.xx.128-xx.xx.xx.254 --persistent

 

Спасибо! Насколько я понял, то правило из iptables натит подсеть 172.16.0.0/16 на /25 сеть белых ипов? Т.е. у клиентов динамика при этом?

[KaYot]

22 минуты назад, Kiano сказал:

Спасибо! Насколько я понял, то правило из iptables натит подсеть 172.16.0.0/16 на /25 сеть белых ипов? Т.е. у клиентов динамика при этом?

Да, сеть 172.20/16, пакеты для которой уходят в интерфейс bond0.7 натятся в пул /25.

У клиентов фактически статика, ключ --persistent выдает серому IP всегда один и тот же белый из пула.

 

P.S. 5 лет были богатыми, выдавали клиентам только белые адреса. К концу 2017 резерві адресов кончились, пришлось соорудить НАТ и выдавать серые адреса - ни одной жалобы от клиентов, я был немного в шоке.

[Kiano]

7 минут назад, KaYot сказал:

Да, сеть 172.20/16, пакеты для которой уходят в интерфейс bond0.7 натятся в пул /25.

У клиентов фактически статика, ключ --persistent выдает серому IP всегда один и тот же белый из пула.

 

P.S. 5 лет были богатыми, выдавали клиентам только белые адреса. К концу 2017 резерві адресов кончились, пришлось соорудить НАТ и выдавать серые адреса - ни одной жалобы от клиентов, я был немного в шоке.

Спасибо

Что касается ната - у него тоже есть преимущества перед белой статикой. Для среднестатистического обывателя нат даже лучше (грамотный нат, хотя бы /27 > /32, а не /24 > /32)

[lemosh]

48 минут назад, KaYot сказал:

Да, сеть 172.20/16, пакеты для которой уходят в интерфейс bond0.7 натятся в пул /25.

У клиентов фактически статика, ключ --persistent выдает серому IP всегда один и тот же белый из пула.

 

а внешний адрес выдается в зависимости от адреса источника (клиента) или назначения?

Задача менять внешний IP клиенту за НАТом хотя бы раз в сутки

[Kiano]

23 минуты назад, lemosh сказал:

 

а внешний адрес выдается в зависимости от адреса источника (клиента) или назначения?

Задача менять внешний IP клиенту за НАТом хотя бы раз в сутки

--persistent

Gives a client the same source-/destination-address for each connection.

Странно, но вроде как в зависимости от клиента.

Чтобы менять раз в сутки, вероятно, нужно чистить таблицу conntrack раз в сутки. Но это уже костыль

Відредаговано 4 березня, 2018 Kiano

[l1ght]

35 минут назад, lemosh сказал:

 

а внешний адрес выдается в зависимости от адреса источника (клиента) или назначения?

Задача менять внешний IP клиенту за НАТом хотя бы раз в сутки

никогда не понимал кому и главное зачем это нужно