- Быстро, качественно, недорого.....,
 j_vw, 20:23 , 19-Ноя-09 (1)Выберете 2 из 3х ;) >Сеть на 100 абонентов (пока)
>Пять внешних адсл-каналов Как собираетесь цеплять? Внутренними картами? Внешними ADSL модемами? >
>Сейчас в качестве роутера и балансировщика выступает линукс.
>Надоело изощряться с ip route, iptables, tc.
>Хочу поставить циску и забыть.
>Посоветовали модель 1811. Вот кто посоветовал, тот пусть и разбирается... ;) >В идеале найти решение следующего комплекса задач:
>vpn-туннели от клиентов 100 штук...1811....Гы ;)
http://www.netcube.ru/support/cisco/vpnperformance/ >dhcp
>nat
>vlan Что "VLAN"? Типа, "ДА" ;) >multirouting Это что за зверь? >& balancing
>до 1000$ C таким бюджетом, оставайтесь на UNIX (кроме шуток)
Имхо, минимум 2811+AIM-VPN+ Swith с подержкой VLAN (это если ADSL внешний)
Общую производительность еше нужно прикинуть...
Это далеко не 1000.
- Вот, можно почитать ;) , j_vw, 20:40 , 19-Ноя-09 (2)
- Быстро, качественно, недорого....., handler2006, 22:17 , 19-Ноя-09 (3)
>
>Как собираетесь цеплять? Внутренними картами? Внешними ADSL модемами?
>Внешними адсл-модемами, между модемами и роутеров влан-свитч, на роутере поднимаем вланы на одном интерфейсе
>
>>multirouting
>
>Это что за зверь?
> Имеется в виду наличие нескольких маршрутов в системе
>
>C таким бюджетом, оставайтесь на UNIX (кроме шуток)
>Имхо, минимум 2811+AIM-VPN+ Swith с подержкой VLAN (это если ADSL внешний)
>Общую производительность еше нужно прикинуть...
>Это далеко не 1000.
> у меня на линуксе постоянные провалы в коннекте: играет радио, потом пару минут молчит, потом снова играет.
Сказать, что канал не тянет, нельзя, 1 мбит, просто отваливается в никуда, потом сам по себе восстанавливается.
впн-клиенты корректно таблицу маршрутизации не удаляют после себя - каждый день ручками хвосты подчищаю за ними - вобщем, все сырое.
Взял мультироутинг отсюда http://www.ssi.bg/~ja/#routes
не работает.
- Быстро, качественно, недорого....., j_vw, 23:02 , 19-Ноя-09 (4)
>>
>>Как собираетесь цеплять? Внутренними картами? Внешними ADSL модемами?
>>
>
>Внешними адсл-модемами, между модемами и роутеров влан-свитч, на роутере поднимаем вланы на
>одном интерфейсе Ну это все нормальные кошки умеют.... >>
>>>multirouting
>>
>>Это что за зверь?
>>
>
>Имеется в виду наличие нескольких маршрутов в системе Ээээ... а чем от обычного рутина отличается? Ну, не суть... IMHO, любые кошки умеют....
>
>>
>>C таким бюджетом, оставайтесь на UNIX (кроме шуток)
>>Имхо, минимум 2811+AIM-VPN+ Swith с подержкой VLAN (это если ADSL внешний)
>>Общую производительность еше нужно прикинуть...
>>Это далеко не 1000.
>>
>
>у меня на линуксе постоянные провалы в коннекте: играет радио, потом пару
>минут молчит, потом снова играет.
Может не в роутере причина, а в модемах? Диагностировать, в любом случае, надо... >Сказать, что канал не тянет, нельзя, 1 мбит, просто отваливается в никуда,
>потом сам по себе восстанавливается. Повторюсь... Нужно искать причину.... Не обязательно в роутере... >впн-клиенты корректно таблицу маршрутизации не удаляют после себя - каждый день ручками
>хвосты подчищаю за ними - вобщем, все сырое. Ээх.... Кошками занимались? Там своих тараканов - как грязи...
Это я к тому, что учиться придется...
И мой совет...
На официальных курсах...
ICND+SNRS....Дальше поймете что нужно...
Я знал пару человек (из полу-сотни знакомых админов), которые самостоятельно(без курсов) достигли уровня, класса CCNP, но, это - уникумы... Резюме, на самом деле, такое: используйте то, в чем разбираетесь...
Можно(не факт, что оптимально) реализовать вашу систему практически на любой OS (оборудовании). Только нужно досконально понимать возможности и применимость используемых решений...
- Быстро, качественно, недорого....., handler2006, 22:15 , 23-Ноя-09 (5)
В общем, Вы правы, надо решать доступными способами.
После продолжительных поисков нашел скрипт мультироутинга: http://www.ssi.bg/~ja/tmp/mpath2.sh
Правила iptables я напишу, осталось решить с шейпером: каждому зарегистрированному адресу предоставлять канал 1 Мбит. Есть список IP-адресов, мы можем организовать цикл создания классов и очереди для каждого перечисленного в списке адреса, но,как описано здесь:
http://lartc.org/howto/lartc.adv-filter.hashing.html
это не слишком хорошая идея.
Есть еще вариант такой:
http://www.netfilter.org/projects/patch-o-matic/pom-external...
This option adds a `IPMARK' target, which allows you to mark
a received packet basing on its IP address. This can replace even
thousands of mangle/mark or tc entries with only one. This target is to be used inside the mangle table, in the PREROUTING,
POSTROUTING or FORWARD hooks. IPMARK target options:
--addr src/dst Use source or destination IP address.
--and-mask mask Perform bitwise `and' on the IP address and this mask.
--or-mask mask Perform bitwise `or' on the IP address and this mask. The order of IP address bytes is reversed to meet "human order of bytes":
192.168.0.1 is 0xc0a80001. At first the `and' operation is performed, then
`or'. Examples: We create a queue for each user, the queue number is adequate
to the IP address of the user, e.g.: all packets going to/from 192.168.5.2
are directed to 1:0502 queue, 192.168.5.12 -> 1:050c etc.
Earlier we had thousands of tc filter rules:
tc filter add dev eth3 parent 1:0 prio 10 u32 match ip dst 192.168.5.2 flowid 1:502
tc filter add dev eth3 parent 1:0 prio 10 u32 match ip dst 192.168.5.3 flowid 1:503
...
or thousands of MARK rules (with tc fw classifier):
iptables -t mangle -A POSTROUTING -o eth3 -d 192.168.5.2 -j MARK
--set-mark 0x10502
iptables -t mangle -A POSTROUTING -o eth3 -d 192.168.5.3 -j MARK
--set-mark 0x10503
...
Using IPMARK target we can replace all the mangle/mark rules with ONLY ONE:
iptables -t mangle -A POSTROUTING -o eth3 -j IPMARK --addr=dst
--and-mask=0xffff --or-mask=0x10000
and all previous tc filter classifier rules with ONLY ONE:
tc filter add dev eth3 parent 1:0 protocol ip fw
On the routers with hundreds of users there should be significant load
decrease (e.g. twice).
Но эта возможность доступна только при условии пересборки ядра, а мне такая роскошь не позволительна.
Возможно, Вам известны решения этой задачи, более элегантные, чем простое написание пары сотен правил шейпера?
- cisco и мультироутинг, ronin, 11:38 , 25-Ноя-09 (6)
>[оверквотинг удален]
>Надоело изощряться с ip route, iptables, tc.
>Хочу поставить циску и забыть.
>Посоветовали модель 1811.
>В идеале найти решение следующего комплекса задач:
>vpn-туннели от клиентов
>dhcp
>nat
>vlan
>multirouting & balancing
>до 1000$ Есть опыт построения подобной схемы на Linux, FreeBSD. Кол-во машин в сети - около 70 и растет. Ситуация и решения - очень похожи. Всё прекрасно работает, никуда не отваливается.
Оставьте свои координаты - обсудим.
respect,
ronin
- cisco и мультироутинг, handler2006, 23:02 , 25-Ноя-09 (7)
>
>Есть опыт построения подобной схемы на Linux, FreeBSD. Кол-во машин в сети
>- около 70 и растет. Ситуация и решения - очень похожи.
>Всё прекрасно работает, никуда не отваливается.
>Оставьте свои координаты - обсудим.
>
>
>respect,
>ronin handler@ua.fm
С мультироутингом и iptables разобрался, нужна помощь с шейперов, а именно чтобы написать одно правило ограничения входящего трафика (1Мбит)для каждой из всех абонентских машин, а не писать сотни одинаковых правил.
роутинг и фаервол могу скинуть скрипты.
Интересно посмотреть на Вашу схему
- cisco и мультироутинг, ronin, 12:41 , 26-Ноя-09 (8)
>С мультироутингом и iptables разобрался, нужна помощь с шейперов, а именно чтобы
>написать одно правило ограничения входящего трафика (1Мбит)для каждой из всех абонентских
>машин, а не писать сотни одинаковых правил.
>роутинг и фаервол могу скинуть скрипты.
>Интересно посмотреть на Вашу схему Привет, выслал описание моей схемы. Если кого-то ещё интересует - могу продублировать здесь.
respect,
ronin
|
Версия для распечатки
cisco и мультироутинг, 
