throughtheether

Во-первых, наследие прошлого (legacy-системы). Сети, как и любую инфраструктуру, сложно модернизировать, поэтому совместимость стоит сохранять.

Второй, более тонкий момент. Например, вы - провайдер. У клиента есть множество устройств, которым нужна динамическая маршрутизация. Что делать? BGP, допустим, они не потянут. EIGRP проприетарный (жду разоблачающих комментариев про RFC). При использовании OSPF довольно затруднительно фильтровать префиксы, да и пускать посторонних в OSPF-домен чревато. RIP здесь вполне органичен.

Сравните "пинги" до целевого сервера при работе через шлюз и напрямую. Также проверьте интерфейсы на наличие ошибок (при помощи команды ifconfig).

UPD:

https://cloud.mail.ru/public/3VZDQKLZM2Wb/cap_eth0.pcap - слушал eth0 (интернет)
https://cloud.mail.ru/public/2MTN9apktN8U/cap_eth1.pcap - слушал eth1 (локальная сеть)

Уточните, это дампы трафика только с сервера или с сервера (eth0) и клиентского компьютера тоже (eth1)?
Я спрашиваю, потому что разницы скорости передачи полезных данных в два раза я здесь не обнаружил.
График скорости передачи трафика от сервера 213.180.204.183 с eth0:

С eth1:

С TCP явных проблем пока не обнаружил, равно как и с MTU (размер полезной нагрузки HTTP в каждом пакете одинаковый в обоих дампах, 1410 байт)

UPD2:

gateway - https://cloud.mail.ru/public/5VsPnm4QmaRp/gateway.pcap
computer - https://cloud.mail.ru/public/yy6WtAZgbKc5/computer.pcap

Так, теперь вижу:
gateway:

computer:

Если не ошибаюсь, из дампов следует, что вы:
1) с шлюза поднимаете l2tp-сессию и через нее качаете файл, ваш MAC-адрес 14:cc:20:03:c0:aa, ближайшего маршрутизатора - 84:c9:b2:22:a6:02, скорость около 5 Мбайт/сек
2) с компьютера поднимаете l2tp-сессию и через нее качаете файл, ваш MAC-адрес 14:cc:20:03:c0:aa, ближайшего маршрутизатора - 84:c9:b2:22:a6:02, скорость около 2.5 Мбайт/сек

В связи с этим неясно, как у вас организовано подключение? Если компьютер подключен через linux-шлюз (по дампам этого не видно, см. MAC-адреса Ethernet-фреймов), то почему вы с него (компьютера) поднимаете сессию, вместо того, чтобы поднять ее на шлюзе и отдавать трафик компьютеру через обычный IPoE?

Просьба четко пояснить, в чем именно заключается проблема? Например, раньше было то-то и то-то, сейчас стало то-то и то-то. Или проблема в том, что производительность L2TP-туннеля разная при поднятии его с компьютера и со шлюза?

P.S. ответить смогу не раньше понедельника, 27 апреля сего года, не теряйте.

UPD3: прошу прощения за задержку с ответом.

Проблема кроется где-то в пересылке кадров в eth1 из ppp0 на программном уровне.

С этой проблемой я вам вряд ли помогу. В качестве попытки ухватиться за соломинку - у вас случайно qos/tc не настроен на шлюзе?

Нужно сделать модель

В каком окружении предполагается моделирование и тестирование?

какой-то вариант новой модели на основе классической модели OSI

Что такое "классическая модель OSI"? Если есть классическая, то есть и модернистская или я чего-то не понял?

Мне советовали обратить внимание на маршрутизацию, делать ее более гибкой, что ли.

Я бы на вашем месте обратил внимание на SDN (Software-defined networking, стильно, модно, молодежно). Один контроллер общается с несколькими маршрутизаторами (не только в L3-смысле) и каждому устанавливает специфические записи в таблицу маршрутизации/форвардинга. Из плюсов - гибкость, программируемость, отсутствие проблем типа "ships in the night". Я бы даже предположил, что в сетях датацентров SDN применять наиболее логично (по сравнению,скажем, с WAN-сетями). Но и минусы присутствуют.

В какую еще сторону можно копать?

Сети Клоса (не уверен, корректный ли это термин, англоязычное название Clos network/fabric). Задание постоянного размера фрейма (проще прогнозировать утилизацию буферов). Отказ от вычисления контрольной суммы (передача этой обязанности высшим уровням "классической модели OSI"). Отказ от STP (или добавлением поля hop count в ethernet-фрейм, или назначением неравноценных ролей в смысле форвардинга портам коммутаторов, порты из одной категории могут направлять трафик только в порты другой категории)

На coursera есть неплохой обзорный курс.

1) Во время наблюдения проблемы сбросьте счетчики на интерфейсах (навскидку clear counters), через минут десять запросите в консоли show interface gi0/0 и предоставьте вывод.
2) Во время наблюдения проблемы запросите в консоли show processes cpu sorted 1min и предоставьте вывод.
3) На коммутаторе настройте SPAN/зеркалирование трафика из обоих VLAN, сравните трафик в рабочем режиме и при наблюдении проблемы. Обратите внимание на уровень трафика (bps, pps), широковещательный, многоадресный трафик; трафик, адресованный непосредственно маршрутизатору.

Однако если делать трейс (команду mtr) видны потери на первом хопе порядка 80%.

Если при этом на последнем хопе нет "потерь", если рабочий трафик обрабатывается нормально (без потерь пакетов), то не думаю, что это вообще проблема, скорее косметический нюанс.

С какой стороны начинать копать?

Не являюсь знатоком сетевой подсистемы Linux, но предположу, что имеет место ограничение ICMP-трафика, сгенерированного хостом. Проверьте параметры ядра:

/proc/sys/net/ipv4/icmp_ratelimit
/proc/sys/net/ipv4/icmp_ratemask
/proc/sys/net/ipv4/icmp_msgs_per_sec
/proc/sys/net/ipv4/icmp_msgs_burst

Подскажите в какую сторону копать? Метрики?

Да, метрики, большие для резервных маршрутов.

Пример для windows-машины, основные маршруты:

route add 192.168.102.0 mask 255.255.255.0 192.168.3.2 metric 1
route add 192.168.103.0 mask 255.255.255.0 192.168.3.2 metric 1

резервные маршруты:

route add 192.168.102.0 mask 255.255.255.0 192.168.1.1 metric 100
route add 192.168.103.0 mask 255.255.255.0 192.168.1.1 metric 100

Для остальных машин аналогично. Смысл в том, что при пропадании линка на интерфейсе соответствующий маршрут, как правило, удаляется из таблицы маршрутизации (проверил только что на win7). Имейте в виду, что при неработоспособности двух линков из трех вы получите петлю маршрутизации (но это мелочи по сравнению с недоступностью части сети). Ну и другие недостатки статической маршрутизации тоже проявятся (невозможность отследить неработоспособность следующего хопа кроме как через состояние интерфейса и т.д.)

Пакеты, адресованные «наружу» должны уходить через GW.

Здесь можно поступить так. На linux-сервере (на картинке по центру) поднять loopback-интерфейс. На двух остальных машинах прописать маршруты по умолчанию через него. На них же - по два маршрута непосредственно до него (основной и резервный). На основном linux-сервере прописать маршрут по умолчанию в интернет.

вот я хочу узнать, что же ждать от него?

На мой взгляд, представляется конструктивным выделить функциональность, которая потребуется от устройства в рабочем режиме (в "продакшене") и затем каждый пункт протестировать отдельно. В частности, стоит проверить работу xSTP и его нюансов (BPDU guard и т.д.), ARP Inspection, фильтрации по MAC-адресам, ограничения широковещательного/многоадресного трафика (storm control), DHCP snooping, IGMP (если планируется использовать). Для этого может потребоваться собрать тестовый стенд и сгенерировать необходимый трафик (под linux рекомендую scapy для формирования специфичных пакетов/фреймов и hping для генерации интенсивного трафика).

Не вижу особого смысла в попытках полностью утилизировать ресурсы коммутационной матрицы ("фабрики"). Для этого потребуется задействовать все порты коммутатора. Etherchannel здесь, на мой взгляд, вряд ли сильно поможет, учитывая поддерживаемый коммутатором режим разделения трафика по линкам внутри etherchannel ("Поддержка балансировки по destination-MAC", отсюда).

Вопрос практический или теоретический? Если практический, то что у вас есть (ноутбук со снифеером, какое-то специфичное устройство, подключенное к сети или .pcap-файл с дампом трафика), и что должно получиться на выходе?

Почти добил Сетевую академию Cisco потом буду пробовать получить ССNA. Вопрос куда дальше ССNP, ССIE или развиваться в строну SDN?

По поводу направления обучения - полагаю, что все эти волшебные SDN, с которыми ничего не делаешь, а все есть, это, конечно, замечательно, но база (routing&switching) для нормальной работы необходима, поэтому стоит сконцентрироваться на ней. Параллельно (но не в ущерб базе) - Linux/FreeBSD на уровне разворачивания и поддержки серверов мониторинга (nagios, cacti, zabbix), программирование на уровне элементарного скриптинга (предлагаю python, но тут на ваш вкус).

Все эти "облачные распределенные отказоустойчивые решения" прекрасны, пока работают. В случае аварии же резко требуется человек, который понимает, что именно скрывается за завесой маркетинговых терминов.

По поводу сертификатов. Лучше тратить на них деньги работодателя, чем свои. Если все-таки решили оплачивать сами, то посмотрите в сторону Juniper (JNCIA-JunOS и JNCIS-ENT), экзамены стоят дешевле, организованы, на мой взгляд, гораздо корректнее и удобнее (cisco-буквоедства я в них не обнаружил), документация и обучающие материалы на сайте Juniper тоже хороши.

Успехов!

он глюканул теперь у него на сетевухе мак 00:00:00:00:00, Cisco пакеты с таким маком дропает

Вы проверяли (анализатором трафика или по записям в таблице MAC-адресов коммутатора, в который подключен ip-kvm), в Ethernet-фреймах от устройства Dlink именно этот адрес в качестве MAC-адреса источника?

IP-адрес начинающийся с 10.ххх.ххх..., действующий в рамках подсети провайдера. Я этот IP-адрес вводил в настройках подключения

Это статический (вы однажды адрес указали сами, а не получаете по DHCP каждый раз новый) частный/приватный (не глобально маршрутизируемый, "серый" на сленге) IPv4-адрес. Список диапазонов частных IPv4 адресов представлен в RFC1918.

Я этот IP-адрес вводил в настройках подключения (настройки протокола IPv6)

Думаю, вы имели в виду настройки IPv4.

В сети мой компьютер виден под другим адресом, причём всегда под одним и тем же, начинается он с 217.ххх.ххх...

Это глобально маршрутизируемый ("белый" на сленге) IPv4-адрес. Если вам всегда "выдается" этот адрес, значит на соответствующем устройстве (маршрутизатор провайдера) имеет место статическая трансляция адресов.

Если я вас правильно понял, то вам стоит использовать capture filter not dst net 192.168.0.0/16 или display filter ip.dst!=192.168.0.0/16.
Если это не то, что вам надо, то уточните цель, которую хотите достигнуть.

Конечная цель какова? Что значит "логически ее представить"?
Вам, в зависимости от цели, может помочь GNS3. Также, насколько мне известно, были удачные попытки запустить Cisco Packet Tracer под MacOS. Может быть, вам подойдет mininet, существующий в т.ч. в виде образов под VirtualBox.

Если речь о построении схемы/диаграммы сети, то у Diagrammix, насколько я помню, были соответствующие шаблоны.

Можно ли подключить к маршрутизаторы 5 коммутаторов,а каждому коммутатору подключены 12 пк?

Можно, если хватит портов. Если правильно настроить (и оборудование поддерживает необходимые технологии), то еще и работать будет.

Что такое vlan?

Технология (их несколько, на самом деле), позволяющая, с точки зрения перенаправления (форвардинга) фреймов, логически разделить один коммутатор на несколько "виртуальных" коммутаторов с тем, чтобы трафик в разных VLAN ("виртуальных коммутаторах") между собой не взаимодействовал. Наиболее распространенная реализация - port-based vlan (разделение коммутатора на виртуальные) и 802.1q trunking (трафик между коммутаторами).

Можно ли подключить два маршрутизатора находящиеся на расст. 1км с помощью оптики если у маршрутизатора нет интерфейся для оптики а только etherenet? т.е ему нужен(маршрутизаторы) медиаконвертор?

Да, если есть пара подходящих медиаконвертеров. Есть еще вариант использовать атмосферную оптику, но лучше все же использовать оптоволокно.

Покажите вывод с коммутатора:
show int gi3/28 status
sh run int gi3/28
Покажите настройки сетевой карты (дуплекс, скорость, mdi/mdi-x).

Почему винда показывает скорость в 100Mbps?

Возможные причины: некорректные настройки, проблемный патч-корд, проблемные трансиверы (маловероятно, но возможно).

Как сделать гигабитку?

Определить и устранить причину такого режима работы оборудования.

Встречал ссылки на такое решение, но сам его не использовал (под мои задачи проще самому написать).