может есть еще какие годные варианты соорудить отказоустойчивый шлюз, который будет трафик от ISP форвардить в локалку на нужные ипы и порты?

https://www.google.ru/search?client=safari&rls=en&q=linux+lvs&ie=UTF-8&oe=UTF-8&gfe_rd=cr&dcr=0&ei=nhkdWtfSIYOr8wfC5oH4CQ

Господа, доброго всем утра. Сооружал ли кто-нибудь на микротиках VRRP на WAN с одним IP?

Наружу не сооружал, но проблемы не вижу.

Наружу не сооружал, но проблемы не вижу.

Они же будут под одним маком висеть наружу, верно?

мне не нужен load sharing. Мне только basic

Они же будут под одним маком висеть наружу, верно?

Верно

мне не нужен load sharing. Мне только basic

для vrrp минимум /29 надо некаких проблем с VRRP нет, гнлавное чтобы провайдер динамик mac не блочил

для vrrp минимум /29 надо некаких проблем с VRRP нет, гнлавное чтобы провайдер динамик mac не блочил

наружу смотрит /28

но ип на vrrp-кластере будет один

п одному ip на каждый интерфейс, все отсальные на vrrp и только /32

мне не нужен load sharing. Мне только basic

много костылей богу костылей придется отдать

например, если у мастера отвалится локалка

п одному ip на каждый интерфейс, все отсальные на vrrp и только /32

яннп

например, если у мастера отвалится локалка

тааааак

что "тааак"

ну можно же vrrp в обратную сторону)

в циске костыли штатно зашиты в реализацию

и в обе стороны в итоге получится

в микротике все трекинги надо на скрептах делать

fhrp без трекинга - деньги на ветер

в микротике все трекинги надо на скрептах делать

ну эт не проблема

и в обе стороны в итоге получится

в обе не советую

в обе не советую

херовая затея, да?

да

ставите два маршрутизатора с vrrp в сторону провайдера

два в cторону локалки

и между ними крутите ospf

ну да, можно и так

то есть один ип наружу, два в локалку

и vrrp сооружаю на те два интерфейса, которые смотрят наружу

метароутеры не покатят?

у метароутеров слетают интерфейс листы при ребуте

и это до сих пор не пофиксили)

в 7.0 исправят :D

ога

сразу после выхода HL3

электросигарет

изобрел электронные деньги, электромобили и электроракеты

ы

ой сорян

А наши ракеты того... https://www.roscosmos.ru/24385/

Народ, кто знает, как оценить уровень загруженности коммутатора? есть 2960х-48 тянет 5 серверов, 2 ASA, 1 ASR, нужно добавить ещё 2 сервера... нужно понять надо покупать новые коммутаторы или эти потянут. Пытался разовтраться в bits/sec и packets/sec, но не придумал как замониторить эти параметры суммарно по всем портам.. У кого-нибудь есть опыт в этом?

Что имеется ввиду под загруженностью коммутатора?

Что имеется ввиду под загруженностью коммутатора?

например я добавлю ему суммарную нагрузку 2 гб/с на 4 порта по 1Гб/с и он захлебнётся, начнёт дропать пакеты

по datasheet мой коммутатор переваривает 130.9 Mpps, как увидеть текущую нагрузку по параметру Forwarding rate

snmp?

snmp?

есть такой OID ?

есть, конечно

пойду искать

А наши ракеты того... https://www.roscosmos.ru/24385/

космический аппарат забыли положить в трюм?

по datasheet мой коммутатор переваривает 130.9 Mpps, как увидеть текущую нагрузку по параметру Forwarding rate

сколько портов на борту?

по datasheet мой коммутатор переваривает 130.9 Mpps, как увидеть текущую нагрузку по параметру Forwarding rate

это примерно пропускная сопобность на 65 гигабитных портов

Коммутатор WS-C2960X-24TD-L в стеке 2 шт

я бы скорее смотрел на аплинк - справится ли он с нагрузкой суммарной?

свитч справится

аплинки 10G оптика

и большинство трафика ходит внутри стека

Коммутатор WS-C2960X-24TD-L в стеке 2 шт

https://habrahabr.ru/company/cbs/blog/269529/

Общая пропускная способность стековой шины - 80 Гбит/с

очевидно, что это более узкое место, чем сам свитч

а еще более узкое место - конкретный порт или их агрегат

а есть информацие сколько ASIC в 2960x ?

надо искать тех хар-ки

а есть информацие сколько ASIC в 2960x ?

https://people.ucsc.edu/~warner/Bufs/2960X

ERROR: S client not available

вообще, современные свичи управляемые делаются с неблокируемой матрицей. Хотя есть нюансы там с группами портов и прочим, но в целом более важный параметр на мой вгляд - нагрузка на конкретные порты, и состояние буферов очередей

https://people.ucsc.edu/~warner/Bufs/2960X

Спасибо

Дратути) у меня к вам глупый вопрос. Почему при фтп соединении кроме портов 20,21 используются динамические, если связи с ПК нет, а если открыто рдп соединение или какое-либо другое, то порты замечены не были. Это моя параноя или это какое-то секретное соединение?

потому что фтп соединений одновременно может быть много

а рдп видимо одно :D

Ну и чего? Во всех документах говорится о 20,21

это согласование

А работает исключительно с динамическими

ftp-data порт передается в контрольных сообщениях

это согласование

А где прочитать про это согласование

Фтпдата вроде как 20

поэтому собственно и проблемы происходят(происходили) при работе фтп через файрвол

нет, это порт сообщается клиенту

FTP может работать в активном или пассивном режиме, от выбора которого зависит способ установки соединения. В активном режиме клиент создаёт управляющее TCP-соединение с сервером и отправляет серверу свой IP-адрес и произвольный номер клиентского порта, после чего ждёт, пока сервер запустит TCP-соединение с этим адресом и номером порта. В случае, если клиент находится за брандмауэром и не может принять входящее TCP-соединение, может быть использован пассивный режим. В этом режиме клиент использует поток управления, чтобы послать серверу команду PASV, и затем получает от сервера его IP-адрес и номер порта, которые затем используются клиентом для открытия потока данных с произвольного клиентского порта к полученному адресу и порту. Оба режима были обновлены в сентябре 1998 г. для поддержки IPv6. В это время были проведены дальнейшие изменения пассивного режима, обновившие его до расширенного пассивного режима.

https://ru.wikipedia.org/wiki/FTP

Фтпдата вроде как 20

там два режима работы активный и пассивный

да, зависит от режима работы ftp

нет, это порт сообщается клиенту

Проблема в том, что динамические порты присваиваются к серверу!!! То бишь пишу правила на Мэ где разрешаю соурс с любого порта только на destination 20,21 и оно не работает

я все придумал. надо просто быстренько сделать двойную редистрибуцию.

А если к destination добавляю порты 32000-61000 то работает

В этом режиме клиент использует поток управления, чтобы послать серверу команду PASV, и затем получает от сервера его IP-адрес и номер порта, которые затем используются клиентом для открытия потока данных с произвольного клиентского порта к полученному адресу и порту.

@kate я об этом и говорил. Для дополнительного открытия ftp-data некоторые приложения (типа iptables) умеют просматривать payload ftp сегментов и дополнительно создавать разрешающее правило для передачи данных

https://www.cyberciti.biz/faq/iptables-passive-ftp-is-not-working/

по datasheet мой коммутатор переваривает 130.9 Mpps, как увидеть текущую нагрузку по параметру Forwarding rate

вот кстати, http://astupnikov.blogspot.ru/2013/06/switching-fabric-forwarding-rate.html

@kate я об этом и говорил. Для дополнительного открытия ftp-data некоторые приложения (типа iptables) умеют просматривать payload ftp сегментов и дополнительно создавать разрешающее правило для передачи данных

Спасибо

Стало не слишком но понятнее)

я думаю можно в виртуалках поднять фпт сервер и клиент и посмотреть обмен пакетами между ними в tcpdump/wireshark. :)

добавлю, что на на каждый минимальный фрейм размером 64КБ приходится заголовки 18Б (14 заголовки + 4 FCS) + длина преамбалы для синхронизации сигнала 8Б + еще минимальный промежуток между фреймами 12,2Б (примерно)

Дык я на живой системе следила за этими пакетиками

Когда думала, что я сделала не так