Ответы пользователя по тегу Системное администрирование
  • Почему отключение Fasttrack режет скорость?

    Mystray
    @Mystray
    NOC
    А) Это коммутатор в первую очередь, хоть и с заявленным Л3-функционалом.
    Б) Л3-функционал у него осуществаляется на процессоре.
    В) Процессор у него слабый. Обычно коммутатору не надо мощный процессор, так как вся полезная работа должна осуществляться исключительно свич-чипом, за очень редким исключением.

    Но сумрачный микротиковский гений решил, что форвардить траффик процом на коммутаторе - тоже норм, и начал толкать его как "L3-свич" хотя он таковым не является (все же под термином L3-свич чаще всего имеется ввиду устройство, способное маршрутизировать IP на свич-чипе, а не то, как сделано у Микротиков)

    Fasttrack у микротиков в дефолте включен уже весьма давно, точно давнее появления CRS-серии домашних роутеров-переростков. И раньше оно помогало показывать роутерам с гигабитными портами и поганеньким ЦПУ почти-гигабитную скорость в стандартных NAT-сценариях, которые без него едва выдавали 200-300мбит (типа RB750G(R2)).

    Оно сильно помогает слабым процам выполнять NAT и сложные правила фильтра путем замены полного пути пакета по ядру системы (классификация, пачка пакетных фильтров, маршрутизация, очереди интерфейсов) на короткий FASTPATH-путь, который умеет кое-что (например, NAT/PAT). Естественно, при этом все, что не поддерживается самим FASTPATH - не работает. У других производителей мелких роутеров для этих целей свои хитрости, типа NAT Offload, который, в принципе, работает очень похожим образом.

    В конце концов, никто и не обещал гигабитов роутинга на этой железке, на странице производителя указан роутинг при 25 правилах (что примерно соответствует одному правилу NAT-трансляции) - до 700мбит, а если добавить к этому очереди и еще с десяток кривых правил фаервола, то 150 мбит - вполне ожидаемый результат. Кстати, больше гигабита он в принципе, вообще ни при каких условиях не промаршрутизирует - там линк в ЦПУ от свич-чипа - 1 гбит.

    В обычном свичинге он вполне выдаст положенные 25 гигабит.

    на некоторых моделях можно ограничивать скорость и без очередей, хардварными шейперами/полисерами на портах, которые не будут бить по производительности устройства в целом: https://wiki.mikrotik.com/wiki/Manual:CRS1xx/2xx_s...
    Естественно, точнее чем порт/хардварная очередь там нарезки не получится, но это вполне ожидаемо от бюджетного свича.
    Ответ написан
    5 комментариев
  • Браузер для каждого сайта использует свой порт отправления(т.е. 1 сайт 1 порт). Верно? Если да то по какому алгориму выбирается номер порта?

    Mystray
    @Mystray
    NOC
    2. Как именно браузер выбирает порт? По какому алгоритму?

    Браузер порты сам не выбирает, а полагается на операционную систему. И уже она выбирает по собственным алгоритмам

    3. Как поведет себя шлюз с nat если через него PC1 и PC2 отправят пакет на сервер X c одинакового порта?

    у второго исходящего соединения кроме адреса отправителя поменяет еще и номер порта, делов-то. А может и у первого соединения поменяет, если по какой-либо причине решит, что так удобнее.
    Ответ написан
    Комментировать
  • Есть предложения по более изощренному бекапу конфигурации микротика?

    Mystray
    @Mystray
    NOC
    Старый-старый добрый RANCID - идет на девайсы по списку, выполняет там некоторые команды, делает что-то с выводом этих команд, сохраняет обделанный вывод куда-нибудь, в cvs например, еще и шлет на почту диффы, если надо.
    Почти то же самое, но с подкатами и смузи: oxidized (модный руби вместо старика перла, встроенные git, веб-гуй).
    bash+ssh+scp - по вкусу, пишется за несколько часов.
    Ответ написан
    Комментировать
  • Какая система лучше всего подходит для х86-роутера?

    Mystray
    @Mystray
    NOC
    Всячески рекомендую VyOS - это дебиан, обвязанный скриптами, делающими его похожим по использованию на Junos, и сохраняя возможность поковыряться в линуксовых кишках.
    Есть реализации основных сетевых протоколов и технологий (bgp, ospf, firewall/nat, туннели и всякое другое по мелочи). Удобный терминал с подсказками. В потрохах - Quagga, которая делалась как клон Cisco, так что при обретении опыта с VyOS и Циски и Джуны будут казаться близкими родственниками.
    Кроме того, всегда есть обычный линуксовый bash и остальное, что дает возможность и его завхатить.
    Ответ написан
    Комментировать
  • Почему так интересно работает браузер?

    Mystray
    @Mystray
    NOC
    ICMP случайно специально не дропаете?
    Кофиг в студию!
    Ответ написан
    Комментировать
  • Что почитать по сетям, чтобы построить провайдерскую сеть или как минимум обслуживать ее?

    Mystray
    @Mystray
    NOC
    Устроиться в техподдержку небольшого провайдера по месту жительства. Поработать пару месяцев, рассмотреть, как работает существующее.
    Именно что небольшого, чтоб не было автоматизации и абстракции всего за парой страничек с унифицированным интерфейсом.
    Просто так, с налета, без поддержки опытного человека, не получится ни разобраться, ни поддерживать.
    Ответ написан
    Комментировать
  • Заметит ли коммутатор 2 уровня подмену mac адреса?

    Mystray
    @Mystray
    NOC
    Забудьте о битах в мак-адресе, единственное, что там быть не должно - младший бит старшего разряда (признак мультикаста). Все остальное меняется по желанию левой пятки.
    Практически все управляемые коммутаторы имеют некий аналог функционалу Port Security - к порту привязывается мак-адрес статически, и фреймы с другими мак-адресами отбрасываются (или даже порт тушится административно), На более продвинутых можно настраивать и пары MAC-IP.
    Даже самые дешевые управляшки вроде D-Link DES-12** умеют что-то подобное в том или ином виде. Чтоб сменить разрешенный мак на порту, в таком случае, надо зайти на панель управления коммутатора, с паролем.
    Более серьезная защита - 802.1x. Но далеко не всегда его поддерживают железки и софт. Да и админы тоже.
    Ответ написан
    Комментировать
  • Маршрутизация Debian + 2 WinSrv как?

    Mystray
    @Mystray
    NOC
    Соберите два порта в бридж на Дебиане, и IP-адрес вешайте на бридж, в виндах по адресу из той же подсети. Самый простой вариант.

    Но учтите, что это не аппаратный коммутатор, и при прогоне трафика от одной винды до другой получите некоторую нагрузку на цпу.
    Ответ написан
    Комментировать
  • Как работает bridge на уровне ядра?

    Mystray
    @Mystray
    NOC
    Если так сильно хочется разобраться ВООБЩЕ в сетевой архитектуре, включая обработку прерываний, структуры ядра, и прочее, то существует перевод хорошей книги.
    "Linux: сетевая архитектура. Структура и реализация сетевых протоколов в ядре", КУДИЦ-ОБРАЗ, ISBN 5-9579-0094-X
    Она, конечно, немного устарела, но общее понимание даст.
    А вообще, какова цель? Может, вы к проблеме не с той стороны подходите?
    Ответ написан
    1 комментарий
  • Как автоматически распозновать количество сетевых карт и их названий Zabbix?

    Mystray
    @Mystray
    NOC
    Если по SNMP, то примерно так: есть правило обнаружения, с шаблонами.
    Например, создав правило обнаружения по OID ifName (.1.3.6.1.2.1.31.1.1.1.1.), получим полный список имен интерфейсов.
    $ snmpwalk -v2c -c public 10.0.10.1 ifName 
    IF-MIB::ifName.1 = STRING: lo
    IF-MIB::ifName.2 = STRING: eth0
    IF-MIB::ifName.3 = STRING: eth1
    IF-MIB::ifName.4 = STRING: eth2
    IF-MIB::ifName.5 = STRING: eth3
    IF-MIB::ifName.6 = STRING: ifb0

    Потом на основании этого списка и шаблонов элементов создаются реальные элементы.
    https://www.zabbix.com/documentation/2.4/ru/manual...
    Ответ написан
  • Проблема в настройках роутера?

    Mystray
    @Mystray
    NOC
    Опять же, скорее всего дело в ttl (возможно, еще и window size учитывается) и/или отличающихся настройках для вайфай-клиентов. Может у вас гостевая сеть включена какая-нибудь.
    Connectify, видимо, более тщательно обрабатывает проходящий трафик, чем дефолтная прошивка роутера.
    Я бы советовал смотреть анализатором на исходящие пакеты по проводу и по вайфай, искать, чем отличаются. Смотреть настройки файфая на роутере. Возможно, ставить какую-нибудь openwrt и ручками (iptables) рисовать nat с корректировкой всех значимых полей вроде ttl или window size
    Ответ написан
    1 комментарий
  • Какой самый простой способ в Linux получить шелл (песочницу), из которого заблокирован доступ к сети?

    Mystray
    @Mystray
    NOC
    Запустить процесс в отдельном network namespace - самый простой способ.
    В нем будет только потушенный интерфейс lo. Можно пробрасывать внутрь интерфейсы, при необходимости.
    # ip link
    1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN mode DEFAULT group default 
        link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP mode DEFAULT group default qlen 1000
        link/ether 38:2c:4a:bf:18:41 brd ff:ff:ff:ff:ff:ff
    3: eth1: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc pfifo_fast state DOWN mode DEFAULT group default qlen 1000
        link/ether 00:15:17:0e:24:42 brd ff:ff:ff:ff:ff:ff
    # ip route
    default via 192.168.0.1 dev eth0 
    169.254.0.0/16 dev eth0  scope link  metric 1000 
    192.168.0.0/24 dev eth0  proto kernel  scope link  src 192.168.0.12
    # ip netns add TEST
    # ip netns exec TEST bash #все последующее выполняется уже "внутри" неймспейса:
    # ip route
    # ip link
    1: lo: <LOOPBACK> mtu 65536 qdisc noop state DOWN mode DEFAULT group default 
        link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    Ответ написан
    Комментировать
  • Как перенаправить трафик вместе с ip клиента?

    Mystray
    @Mystray
    NOC
    Вот это вот:
    iptables -t nat -A POSTROUTING -j MASQUERADE
    подменяет Source IP адрес у всех уходящих пакетов на IP этой машины. Уберете это правило (или ограничите область его действия) - не будет подменяться.
    Но надо следить, чтоб и обратный трафик так же проходил через ту же машину, которая подменяет адреса, как минимум для протоколов с двусторонним обменом данными. Без этого все сломается.
    Если же там syslog или другие "односторонние" udp-протоколы, то будет нормально.

    Либо, если есть возможность, использовать прокси и средства L7 протоколов вроде заголовка X-Forwarded-For.
    Ответ написан
    Комментировать
  • Почему Zabbix не может высылать уведомления по почте?

    Mystray
    @Mystray
    NOC
    Zabbix,судя по всему, пытается коннектиться по IPv6, а MTA слушает только IPv4
    Ответ написан
    Комментировать
  • Как настроить распределенное агрегирование cisco?

    Mystray
    @Mystray
    NOC
    3750 - только в стэке. Без стека в циске это называется Virtual PortChannel (vPC), но разве что на старших свичах.

    https://supportforums.cisco.com/discussion/1178448...
    Ответ написан
    3 комментария
  • Кто нибудь может сказать что это? За мной следят? У меня паранойя?

    Mystray
    @Mystray
    NOC
    Возможно это оно?
    built-in screen recorder. This can be activated using the Shift+Ctrl+Alt+r keyboard shortcut. A red circle is displayed in the bottom-right hand corner of the screen while recording is taking place.
    Ответ написан
    3 комментария
  • Какую фриланс биржу выбрать для сетевого администратора?

    Mystray
    @Mystray
    NOC
    На биржах подобные заказы маловероятны в связи со спецификой.
    Но если все-же есть желание, можно активно отвечать/помогать на разнообразных форумах сетевой и isp-направленности вроде nag.ru, local.com.ua, anticisco и подобным, зарекомендовать себя более-менее понимающим. Иногда там проскакивают предложения "сделать чтоб работало, за вознаграждение". Во многих случаях проблемы нетривиальны и сложны, но попробовать можно.
    Ответ написан
    Комментировать