Замена серверу доступа
Модератор: terminus
Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
-
- сержант
- Сообщения: 170
- Зарегистрирован: 2007-02-27 11:59:41
Замена серверу доступа
Привет Всем
В виду лишнего звена в организации доступа к Инету пользователей и вытекающим из этого проблем ищу другие варианты - как давать доступ в интернет. Сейчас очень прикольно получается:
Пользователи платят предоплату, причем за месяц. Вот заплатили они за 1-н месяц, пришли вечером домой, а там -бабах один сервер лег, вернее на нем radius, mpd - всех выкидывает и сервер становится самым не нагруженым, в итоге у всех ошибка 691 - PPPoE - на серваке были "железные проблемы"...
А все что нужно - нарезать на пользователя скорость и настроить сеть - все...
1.Контроль доступа?
2.Нарезка скорости?
3.Балансировка нагрузки?
4.Доступность сервиса?
Давать На каждого влан+/30 маску? Тогда будут очень "жирно" расходоваться реальники...зато можно будет резать скорость на vlan'ах ng_car'ом(или нет???) и могут быть проблемы с количеством вланов...
Переложить контроль доступа на управляемый порт? Не все свичи умеют бороться с arp,ip,mac-spoofing and etc...
В общем интересует кто что посоветует? И чем резать скорость?
В виду лишнего звена в организации доступа к Инету пользователей и вытекающим из этого проблем ищу другие варианты - как давать доступ в интернет. Сейчас очень прикольно получается:
Пользователи платят предоплату, причем за месяц. Вот заплатили они за 1-н месяц, пришли вечером домой, а там -бабах один сервер лег, вернее на нем radius, mpd - всех выкидывает и сервер становится самым не нагруженым, в итоге у всех ошибка 691 - PPPoE - на серваке были "железные проблемы"...
А все что нужно - нарезать на пользователя скорость и настроить сеть - все...
1.Контроль доступа?
2.Нарезка скорости?
3.Балансировка нагрузки?
4.Доступность сервиса?
Давать На каждого влан+/30 маску? Тогда будут очень "жирно" расходоваться реальники...зато можно будет резать скорость на vlan'ах ng_car'ом(или нет???) и могут быть проблемы с количеством вланов...
Переложить контроль доступа на управляемый порт? Не все свичи умеют бороться с arp,ip,mac-spoofing and etc...
В общем интересует кто что посоветует? И чем резать скорость?
Услуги хостинговой компании Host-Food.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
-
- проходил мимо
- Сообщения: 11620
- Зарегистрирован: 2008-02-21 18:15:41
Re: Замена серверу доступа
на радиус ватч дог поставь и путсть охраняет
-
- сержант
- Сообщения: 170
- Зарегистрирован: 2007-02-27 11:59:41
Re: Замена серверу доступа
Дык проблема не только в этом...Тоесть - если и радиус ( демон) работает, то могут скрипты заглючить, коннект от базы отвалится, кольцо, флуд или ребут свича - люди не могут переподключится пока их не выкинет из онлайна - 10-минут таймаут, многие сдаются и потом говорят о низком сервисе и т.д.paradox писал(а):на радиус ватч дог поставь и путсть охраняет
В общем в сети 5к+ чел больше чем несколько раз в месяц пользователи ловят разные ошибки...не все конечно, но бывает разное...
В общем "пионернет"
Вот и хочется как-то тем кто заплатил за безлим - просто дать инет и всё....
-
- проходил мимо
- Сообщения: 11620
- Зарегистрирован: 2008-02-21 18:15:41
Re: Замена серверу доступа
нифига не поняллюди не могут переподключится пока их не выкинет из онлайна - 10-минут таймаут
может тогда правильно LCP настроить на mpd
что бы были адекватные подключения
-
- проходил мимо
- Сообщения: 11620
- Зарегистрирован: 2008-02-21 18:15:41
Re: Замена серверу доступа
не я могу конечно посоветовать циско нас
но чем это будет отличаться?
тот же самый циско нас может точно так же глючить
случайное вырубание питание
проливание пива на корпус
попадание молниии
итд))
но чем это будет отличаться?
тот же самый циско нас может точно так же глючить
случайное вырубание питание
проливание пива на корпус
попадание молниии
итд))
- Gamerman
- капитан
- Сообщения: 1723
- Зарегистрирован: 2009-05-17 21:01:23
- Откуда: Украина, Ужгород - Днепр
- Контактная информация:
-
- сержант
- Сообщения: 170
- Зарегистрирован: 2007-02-27 11:59:41
Re: Замена серверу доступа
Есть биллинг(abills) в нем раз в 10 минут запускается скрипт, который и решает - в онлайне пользователь или нет(если было нештатное отключение)...paradox писал(а):нифига не поняллюди не могут переподключится пока их не выкинет из онлайна - 10-минут таймаут
может тогда правильно LCP настроить на mpd
что бы были адекватные подключения
Я и не ищу замену radius+pptp/pppoe-server...paradox писал(а):не я могу конечно посоветовать циско нас
но чем это будет отличаться?
Просто знаю что некоторые провайдеры дают сейчас интернет напрямую - настроил ip/mask/getaway/ns1...
Вот собственно хочу к этой схеме прийти...
не всеGamerman писал(а):Клиенты должны иметь реальные IP?
-
- проходил мимо
- Сообщения: 11620
- Зарегистрирован: 2008-02-21 18:15:41
Re: Замена серверу доступа
ну кривой абиллзЕсть биллинг(abills) в нем раз в 10 минут запускается скрипт, который и решает - в онлайне пользователь или нет(если было нештатное отключение)...
кто ж спорит
ну так дайтеЯ и не ищу замену radius+pptp/pppoe-server...
Просто знаю что некоторые провайдеры дают сейчас интернет напрямую - настроил ip/mask/getaway/ns1...
Вот собственно хочу к этой схеме прийти...
токо будет тяжелее биллинг им делать
ну и как вы им без айпи кроме как через ppp-pppoe дадите доступ в интернет?не все
никак
-
- сержант
- Сообщения: 170
- Зарегистрирован: 2007-02-27 11:59:41
Re: Замена серверу доступа
Вообще-то Я хотел узнать, а не хвалится и навязывать "что-то"...paradox писал(а):ну и как вы им без айпи кроме как через ppp-pppoe дадите доступ в интернет?не все
никак
Мои сведения почерпнутые из разных источников... о том как это можно сделать
Сеть делим на 2-е части:
Анлим и prepaid - каждая в своем vlan'е
Для prepaid все по старому...
Для анлима:
1.Доступ - L2/L2+ "умный порт" на пользователя.
Ip-Mac-Port binding, dhcp-snooping....
Можн обыло бы: IP Unnumbered
2.от l2/l2+/l3 свичей все сходится в -> l3 на районе
3.От L3 на районах в ядро
4.От ядра в сервера...
5.Сервера:
vrrp, carp...etc - для балансировки и отказоустойчивости...
nat - он и в Африке нат
rate-limit,shape
6.Итог:
Траффик идет от клиента к серверу или же через L2->L3->ядро->L3->L2 другие юзеры...
Нет лишних демонов, костылей, скриптов и т.д. - пользователю нарезали скорость на целый месяц и все...
-
- проходил мимо
- Сообщения: 11620
- Зарегистрирован: 2008-02-21 18:15:41
Re: Замена серверу доступа
я сильно сомневаюсь что unumbered будет работать на обычных свитчах и на много_клиентов->на_один_порт
а если каждому пользователю выделять по порту
а у вас пользователей 4k
то тогда вы ну очень богатыйййййййййййййййййййййй)) миллионер?
а если каждому пользователю выделять по порту
а у вас пользователей 4k
то тогда вы ну очень богатыйййййййййййййййййййййй)) миллионер?
-
- сержант
- Сообщения: 170
- Зарегистрирован: 2007-02-27 11:59:41
Re: Замена серверу доступа
Уже сейчас больше половины сети 1юзер в 1 упр порт...paradox писал(а):я сильно сомневаюсь что unumbered будет работать на обычных свитчах и на много_клиентов->на_один_порт
а если каждому пользователю выделять по порту
а у вас пользователей 4k
то тогда вы ну очень богатыйййййййййййййййййййййй)) миллионер?
Да остались еще свичи в порты которого воткнуты тупые восьмерки
Так вот так как уже больше половины людей 1юзер в 1 упр порт и возникает вопрос - почему бы не выкинуть PPPoE/ppptp? Хотя бы для безлимитчиков?
-
- проходил мимо
- Сообщения: 11620
- Зарегистрирован: 2008-02-21 18:15:41
Re: Замена серверу доступа
аааУже сейчас больше половины сети 1юзер в 1 упр порт...
ну тогда да
токо я не представляю как вы будете в случае чего управлять всем этим)
например смена групы для пользователей
однозначно таким pppoe/pptp ненуженТак вот так как уже больше половины людей 1юзер в 1 упр порт и возникает вопрос - почему бы не выкинуть PPPoE/ppptp? Хотя бы для безлимитчиков?
DHCP+nat ядреный и забыть о таких
токо абонплату считать по биллингу)) что бы вовремя платили
- Bormental
- сержант
- Сообщения: 267
- Зарегистрирован: 2008-09-26 21:26:35
- Откуда: подмордорье
- Контактная информация:
Re: Замена серверу доступа
я опенвпн(логин пароль)+сквид(транспарент)+ipfw(нарезка скорости и подсчет) юзаю, и для 10й подсетки (которую обычно для впна юзают) маска 30 нормально, более 4 миллионов клиентов можно подключить.
-
- сержант
- Сообщения: 170
- Зарегистрирован: 2007-02-27 11:59:41
Re: Замена серверу доступа
Уже сейчас есть скрипт, который снимает по snmp fdb-table, дальше - Мы знаем кто и где сидит - PPPoE авторизация по маку жеparadox писал(а):аааУже сейчас больше половины сети 1юзер в 1 упр порт...
ну тогда да
токо я не представляю как вы будете в случае чего управлять всем этим)
например смена групы для пользователей
То есть с биллингом Мы интегрировали(Свич: порт, статус порта(Up/Down), mac на порту(или логин или Ип), и цветом - отрицательный ли баланс):
Во-во, наконец на одном языке говоримparadox писал(а):однозначно таким pppoe/pptp ненуженТак вот так как уже больше половины людей 1юзер в 1 упр порт и возникает вопрос - почему бы не выкинуть PPPoE/ppptp? Хотя бы для безлимитчиков?
DHCP+nat ядреный и забыть о таких
токо абонплату считать по биллингу)) что бы вовремя платили
Сейчас 4-е одинаковых сервака, которые отданы под PPPoE...
Код: Выделить всё
Timecounter "i8254" frequency 1193182 Hz quality 0
CPU: Dual Core AMD Opteron(tm) Processor 275 (2193.18-MHz K8-class CPU)
Origin = "AuthenticAMD" Id = 0x20f12 Stepping = 2
Features=0x178bfbff<FPU,VME,DE,PSE,TSC,MSR,PAE,MCE,CX8,APIC,SEP,MTRR,PGE,MCA,CMOV,PAT,PSE36,CLFLUSH,MMX,FXSR,SSE,SSE2,HTT>
Features2=0x1<SSE3>
AMD Features=0xe2500800<SYSCALL,NX,MMX+,FFXSR,LM,3DNow!+,3DNow!>
AMD Features2=0x3<LAHF,CMP>
Cores per package: 2
usable memory = 2137575424 (2038 MB)
avail memory = 1763106816 (1681 MB)
ACPI APIC Table: <IBM SERBLADE>
FreeBSD/SMP: Multiprocessor System Detected: 4 CPUs
cpu0 (BSP): APIC ID: 0
cpu1 (AP): APIC ID: 1
cpu2 (AP): APIC ID: 2
cpu3 (AP): APIC ID: 3
Код: Выделить всё
# netstat -w1 -I bge1
input (bge1) output
packets errs bytes packets errs bytes colls
19255 0 19782473 23521 0 15138338 0
20088 0 21692605 22861 0 13205228 0
18691 0 19557810 21637 0 13220895 0
^C
# netstat -w1
input (Total) output
packets errs bytes packets errs bytes colls
73624 0 51579140 69305 0 55276252 0
71994 0 50370743 67990 0 54089200 0
74441 0 51817672 71028 0 56696483 0
^C
Код: Выделить всё
# ifconfig|grep ng|wc -l
461
Иногда наступает напряжный момент
Код: Выделить всё
# top -S
last pid: 32819; load averages: 3.74, 3.44, 3.47 up 1+09:12:58 18:11:25
183 processes: 18 running, 152 sleeping, 13 waiting
CPU: 29.6% user, 0.0% nice, 56.5% system, 13.8% interrupt, 0.0% idle
Mem: 728M Active, 468M Inact, 704M Wired, 55M Cache, 214M Buf, 22M Free
Swap: 8192M Total, 24M Used, 8168M Free
PID USERNAME THR PRI NICE SIZE RES STATE C TIME WCPU COMMAND
15 root 1 -44 - 0K 16K CPU2 2 934:12 67.19% swi1: net
43 root 1 171 ki31 0K 16K RUN 0 29.6H 65.38% idlepoll
14 root 1 171 ki31 0K 16K RUN 0 889:24 26.03% idle: cpu0
12 root 1 171 ki31 0K 16K RUN 2 641:14 15.09% idle: cpu2
2943 squid 17 44 0 831M 668M ucond 0 0:47 15.09% squid
13 root 1 171 ki31 0K 16K RUN 1 666:29 13.13% idle: cpu1
16 root 1 -32 - 0K 16K WAIT 1 56:19 5.86% swi4: clock sio
32800 freeradius 1 -8 0 26036K 8916K piperd 1 0:01 5.03% perl5.8.9
32802 freeradius 1 97 0 62676K 7860K RUN 3 0:01 4.54% radiusd
32804 freeradius 1 96 0 21032K 6952K RUN 1 0:01 3.27% perl5.8.9
1083 root 10 45 0 37268K 10936K select 1 0:00 1.90% mpd5
11 root 1 171 ki31 0K 16K RUN 3 390:51 1.32% idle: cpu3
1237 root 1 4 0 27312K 5124K select 1 10:13 0.05% snmpd
39 root 1 -68 - 0K 16K - 1 9:44 0.00% dummynet
18 root 1 44 - 0K 16K - 0 3:56 0.00% yarrow
45 root 1 20 - 0K 16K syncer 0 3:04 0.00% syncer
Код: Выделить всё
# ipfw show
00100 1042582 221765538 allow ip from any to any via lo0
00110 1840118986 1858664188784 netgraph 61 ip from any to ххх.ххх.ххх.ххх in via bge1
00131 146 7008 allow tcp from any to ххх.ххх.ххх.ххх dst-port 137-139,135,445
00132 0 0 allow tcp from ххх.ххх.ххх.ххх to any dst-port 137-139,135,445
00150 9646519 467966474 deny tcp from any to any dst-port 137-139,135,445
01000 259161524 20017709987 fwd 127.0.0.1,8080 tcp from 172.16.0.0/16 to any dst-port 80 in recv ng*
01001 53571751 4757809429 fwd 127.0.0.1,8080 tcp from 172.17.0.0/16 to any dst-port 80 in recv ng*
60011 1324865346 840198613209 netgraph 60 ip from table(127) to any
65535 5647808903 4377747689270 allow ip from any to any
Сейчас скорость высчитывается и динамически rate-limit'иться...
И был ли у кого-то опыт с carp'ом не на резервирование, а на баласировку?