Здравствуйте!
Имеем:
Сеть на 100 абонентов (пока)
Пять внешних адсл-каналовСейчас в качестве роутера и балансировщика выступает линукс.
Надоело изощряться с ip route, iptables, tc.
Хочу поставить циску и забыть.
Посоветовали модель 1811.
В идеале найти решение следующего комплекса задач:
vpn-туннели от клиентов
dhcp
nat
vlan
multirouting & balancing
до 1000$
Выберете 2 из 3х ;)>Сеть на 100 абонентов (пока)
>Пять внешних адсл-каналовКак собираетесь цеплять? Внутренними картами? Внешними ADSL модемами?
>
>Сейчас в качестве роутера и балансировщика выступает линукс.
>Надоело изощряться с ip route, iptables, tc.
>Хочу поставить циску и забыть.
>Посоветовали модель 1811.Вот кто посоветовал, тот пусть и разбирается... ;)
>В идеале найти решение следующего комплекса задач:
>vpn-туннели от клиентов100 штук...1811....Гы ;)
http://www.netcube.ru/support/cisco/vpnperformance/>dhcp
>nat
>vlanЧто "VLAN"? Типа, "ДА" ;)
>multirouting
Это что за зверь?
>& balancing
>до 1000$C таким бюджетом, оставайтесь на UNIX (кроме шуток)
Имхо, минимум 2811+AIM-VPN+ Swith с подержкой VLAN (это если ADSL внешний)
Общую производительность еше нужно прикинуть...
Это далеко не 1000.
http://www.opennet.me/openforum/vsluhforumID6/13661.html
>
>Как собираетесь цеплять? Внутренними картами? Внешними ADSL модемами?
>Внешними адсл-модемами, между модемами и роутеров влан-свитч, на роутере поднимаем вланы на одном интерфейсе
>
>>multirouting
>
>Это что за зверь?
>Имеется в виду наличие нескольких маршрутов в системе
>
>C таким бюджетом, оставайтесь на UNIX (кроме шуток)
>Имхо, минимум 2811+AIM-VPN+ Swith с подержкой VLAN (это если ADSL внешний)
>Общую производительность еше нужно прикинуть...
>Это далеко не 1000.
>у меня на линуксе постоянные провалы в коннекте: играет радио, потом пару минут молчит, потом снова играет.
Сказать, что канал не тянет, нельзя, 1 мбит, просто отваливается в никуда, потом сам по себе восстанавливается.
впн-клиенты корректно таблицу маршрутизации не удаляют после себя - каждый день ручками хвосты подчищаю за ними - вобщем, все сырое.
Взял мультироутинг отсюда http://www.ssi.bg/~ja/#routes
не работает.
>>
>>Как собираетесь цеплять? Внутренними картами? Внешними ADSL модемами?
>>
>
>Внешними адсл-модемами, между модемами и роутеров влан-свитч, на роутере поднимаем вланы на
>одном интерфейсеНу это все нормальные кошки умеют....
>>
>>>multirouting
>>
>>Это что за зверь?
>>
>
>Имеется в виду наличие нескольких маршрутов в системеЭэээ... а чем от обычного рутина отличается? Ну, не суть... IMHO, любые кошки умеют....
>
>>
>>C таким бюджетом, оставайтесь на UNIX (кроме шуток)
>>Имхо, минимум 2811+AIM-VPN+ Swith с подержкой VLAN (это если ADSL внешний)
>>Общую производительность еше нужно прикинуть...
>>Это далеко не 1000.
>>
>
>у меня на линуксе постоянные провалы в коннекте: играет радио, потом пару
>минут молчит, потом снова играет.Может не в роутере причина, а в модемах? Диагностировать, в любом случае, надо...
>Сказать, что канал не тянет, нельзя, 1 мбит, просто отваливается в никуда,
>потом сам по себе восстанавливается.Повторюсь... Нужно искать причину.... Не обязательно в роутере...
>впн-клиенты корректно таблицу маршрутизации не удаляют после себя - каждый день ручками
>хвосты подчищаю за ними - вобщем, все сырое.Ээх.... Кошками занимались? Там своих тараканов - как грязи...
Это я к тому, что учиться придется...
И мой совет...
На официальных курсах...
ICND+SNRS....Дальше поймете что нужно...
Я знал пару человек (из полу-сотни знакомых админов), которые самостоятельно(без курсов) достигли уровня, класса CCNP, но, это - уникумы...Резюме, на самом деле, такое: используйте то, в чем разбираетесь...
Можно(не факт, что оптимально) реализовать вашу систему практически на любой OS (оборудовании). Только нужно досконально понимать возможности и применимость используемых решений...
В общем, Вы правы, надо решать доступными способами.
После продолжительных поисков нашел скрипт мультироутинга: http://www.ssi.bg/~ja/tmp/mpath2.sh
Правила iptables я напишу, осталось решить с шейпером: каждому зарегистрированному адресу предоставлять канал 1 Мбит. Есть список IP-адресов, мы можем организовать цикл создания классов и очереди для каждого перечисленного в списке адреса, но,как описано здесь:
http://lartc.org/howto/lartc.adv-filter.hashing.html
это не слишком хорошая идея.
Есть еще вариант такой:
http://www.netfilter.org/projects/patch-o-matic/pom-external...
This option adds a `IPMARK' target, which allows you to mark
a received packet basing on its IP address. This can replace even
thousands of mangle/mark or tc entries with only one.This target is to be used inside the mangle table, in the PREROUTING,
POSTROUTING or FORWARD hooks.IPMARK target options:
--addr src/dst Use source or destination IP address.
--and-mask mask Perform bitwise `and' on the IP address and this mask.
--or-mask mask Perform bitwise `or' on the IP address and this mask.The order of IP address bytes is reversed to meet "human order of bytes":
192.168.0.1 is 0xc0a80001. At first the `and' operation is performed, then
`or'.Examples:
We create a queue for each user, the queue number is adequate
to the IP address of the user, e.g.: all packets going to/from 192.168.5.2
are directed to 1:0502 queue, 192.168.5.12 -> 1:050c etc.
Earlier we had thousands of tc filter rules:
tc filter add dev eth3 parent 1:0 prio 10 u32 match ip dst 192.168.5.2 flowid 1:502
tc filter add dev eth3 parent 1:0 prio 10 u32 match ip dst 192.168.5.3 flowid 1:503
...
or thousands of MARK rules (with tc fw classifier):
iptables -t mangle -A POSTROUTING -o eth3 -d 192.168.5.2 -j MARK
--set-mark 0x10502
iptables -t mangle -A POSTROUTING -o eth3 -d 192.168.5.3 -j MARK
--set-mark 0x10503
...Using IPMARK target we can replace all the mangle/mark rules with ONLY ONE:
iptables -t mangle -A POSTROUTING -o eth3 -j IPMARK --addr=dst
--and-mask=0xffff --or-mask=0x10000
and all previous tc filter classifier rules with ONLY ONE:
tc filter add dev eth3 parent 1:0 protocol ip fw
On the routers with hundreds of users there should be significant load
decrease (e.g. twice).Но эта возможность доступна только при условии пересборки ядра, а мне такая роскошь не позволительна.
Возможно, Вам известны решения этой задачи, более элегантные, чем простое написание пары сотен правил шейпера?
>[оверквотинг удален]
>Надоело изощряться с ip route, iptables, tc.
>Хочу поставить циску и забыть.
>Посоветовали модель 1811.
>В идеале найти решение следующего комплекса задач:
>vpn-туннели от клиентов
>dhcp
>nat
>vlan
>multirouting & balancing
>до 1000$Есть опыт построения подобной схемы на Linux, FreeBSD. Кол-во машин в сети - около 70 и растет. Ситуация и решения - очень похожи. Всё прекрасно работает, никуда не отваливается.
Оставьте свои координаты - обсудим.
respect,
ronin
>
>Есть опыт построения подобной схемы на Linux, FreeBSD. Кол-во машин в сети
>- около 70 и растет. Ситуация и решения - очень похожи.
>Всё прекрасно работает, никуда не отваливается.
>Оставьте свои координаты - обсудим.
>
>
>respect,
>roninhandler@ua.fm
С мультироутингом и iptables разобрался, нужна помощь с шейперов, а именно чтобы написать одно правило ограничения входящего трафика (1Мбит)для каждой из всех абонентских машин, а не писать сотни одинаковых правил.
роутинг и фаервол могу скинуть скрипты.
Интересно посмотреть на Вашу схему
>С мультироутингом и iptables разобрался, нужна помощь с шейперов, а именно чтобы
>написать одно правило ограничения входящего трафика (1Мбит)для каждой из всех абонентских
>машин, а не писать сотни одинаковых правил.
>роутинг и фаервол могу скинуть скрипты.
>Интересно посмотреть на Вашу схемуПривет,
выслал описание моей схемы.
Если кого-то ещё интересует - могу продублировать здесь.
respect,
ronin