• Mikrotik*. Как выделить время подлючения конкретных клиентов и записать в файл?

    @Strabbo
    Надо: Прошу подсказать альтернативные варианты решения, если такие есть?

    Есть, турникет называется.
    микротик тут сооооовсем лишний
    Написано
  • При загрузке торрент процессор сильно нагружается, как это решать?

    @Strabbo
    Bermut, раньше тоже искал приличный линукс маршрутизатор и нашел его. на 20г не тестил, но люди в интернетах говорят что работает и используют его на бордерах. Посмотрите может вам тоже подойдет. У меня на 2г хорошо работал (большей нагрузги в сети не было).
    Написано
  • Как использовать полученный посредством OSPF gateway для BGP маршрутов?

    @Strabbo
    aborouhin,
    P.S. Кажется, я понял, что Вы имели в виду (рисовать схемки полезно, наступает просветление :) Если по BGP маршруты будет отдавать не сторонний сервер (10.2.2.2), а сам тот сервер, через который и надо строить маршрут (10.0.0.1) - то он может указать next-hop self, и вместо этого self подставится тот адрес, который сейчас выбран OSPF. Так?

    Да, именно так и есть. ну почти :) смотря как построен BGP, Если на лупбеках, то подставится адрес лупбека, который должен знать каждый роутеро отовсюду по оспф. это можно провернуть и со сторонним сервером тоже.
    Тут еще есть пару моментов:
    1. Если делать EBGP то там next hop self по дефолт указывается IP соседа. в таком случае вам ниче менять не надо, всё само поменяется.
    2.в IBGP next hop self сам не меняется. вам надо делать это в фильтре или полисе, когда будуте передавать IBGP IBGP.
    3. Ну и последний вариант, не знаю как у вас сделанно в данный момент. но когда вы используете IGP underlay для BGP, то BGP надо строить на loopback(этот интерфейс всегда в UP и его статус не зависит от падения интерфейся/туннеля). Так мы получим топологию OSPF, где мы будем знать все линки до lookback-ов, дальше работает SPF алгоритм и он сам найдет самый короткий путь до loopback-а. Если линк, который используется в данный момент упадет, то оспф сам перестроит маршрут до лупбека и вам ничего нигде не надо менять. Таким образом если хоть один линк(даже если он идет через 10 роутеров) жив и по нему мы знаем лупбек, то траффик от BGP сам будет переключаться автоматически. Если построить BGP на лупбеках и указать next-hop-self, то думаю это то что вам надо.

    VPN1 отвалился, маршрут до 10.0.0.1 строится через два VPN и промежуточный узел 10.3.3.3. Как рассказать нашему 10.1.1.1, что полученные по BGP маршруты должны теперь идти через шлюз 10.0.2.1?

    Если использовать 3 вариант, то OSPF и BGP сами всё сделают.
    10.0.0.1 будет next-hop для BGP роутов. когда отвалится VPN-1, то дорогу до 10.0.0.1 мы узнаем от оспф от соседа VPN-2.

    P.S.
    Не зная всех деталей, всё-таки думаю что вам надо построить OSPF на всех роутерах и анонсировать в нем лупбеки, а на лупбеках строить bgp, не знаю как в bird/mikrotik но например когда на лупбеках строите в cisco надо указать update source и next-hop self. строите Full mesh ibgp если роутеров мало, если много то смотрите в сторону Route reflector. BGP тема большая, так сразу всё и не подскажешь
    Написано
  • Как использовать полученный посредством OSPF gateway для BGP маршрутов?

    @Strabbo
    aborouhin,
    В фильтре BGP я не могу указать или один, или другой.

    не надо ничего указывать. BGP посылает префикс с атрибутом next-hop. В вашем случае насколько я понял next-hop адресса маршрутизируются по OSPF и по дефолут next-hop IP и IP BGP Peer-а будут маршрутизироваться через один и тот же оспф линк.
    Написано
  • Как использовать полученный посредством OSPF gateway для BGP маршрутов?

    @Strabbo
    aborouhin,

    -
    - роутер знает, что к этим подсетям надо ходить через хост 10.0.0.1
    - но к хосту 10.0.0.1 есть много потенциальных маршрутов, конкретный из которых выбирается OSPF
    - надо указать шлюзом для этих подсетей тот, через который мы сейчас ходим к 10.0.0.1

    Это всё так и работает по дефолту. Если у вас не работает, значит что-то намудрили :)
    Написано
  • В чем разница между interface vlan и interface loopback на cisco?

    @Strabbo
    hint000,
    Вот уж loopback вы в принципе никак не сможете для этого использовать, хоть на cisco, хоть на eltex, хоть на ПК, этот тип интерфейса недоступен извне и используется в пределах самого устройства.

    У многих это получилось и у меня тоже. Создаете loopback интерфейс, делаете динамичскую маршрутизацию и засовываете туда этот Loopback.
    Результат: когда отвалится один линк, маршрутизация перестроится и Loopback будет доступен с другой стороны.

    P.S. Делал это на cisco.
    P.S.S. Это делается чтобы не менялся MGMT IP устройства, если делать interface vlan, то когда упадет линк, а вместе с ним и interface vlan, то по IP вы уже не достучитесь до устройства. Надо будет использовать IP другого interface vlan, ну или можно растянуть это влан на все порты чтобы он не падал. Мне больше нравится вариант с Loopback-ом.
    Написано
  • Закончились eRACL фильтры на QFX5110?

    @Strabbo
    вообще странно, у нас есть
    Model: qfx5110-48s-4c
    Junos: 18.4R2-S3
    И там Allocated на Egress 2048, а у вас всего 256.
    Тут уже были? Говорят что Counter занимет +1 место в TCAM, попробуйте убрать.
    Starting in Junos OS Release 19.1R1, you can increase the number of egress VLAN firewall filters on the QFX5110 from 1024 to 2048 by using the egress-to-ingress option. You include this option under the from statement at the [edit firewall] hierarchy.
    Вот это тоже попробуйте
    Написано
  • Закончились eRACL фильтры на QFX5110?

    @Strabbo
    Какая версия софта у вас?
    Написано
  • Нужны ли стекируемые коммутаторы?

    @Strabbo
    Валентин, Насколько я помню это не LAG, у него порты в standalone , которые находятся в одном виртуальном свиче + mac pining, он конкретные маки по конкретным портам разносит.
    A DVS and/or VSS-switches offers multiple load-balancing options: by default load balancing based on Virtual Port id (sometimes called Source-MAC pinning) is being used on the VSS and DVS.

    Не нашел официального документа, но эта фича работает по дефолту.
    тык
    Написано
  • Нужны ли стекируемые коммутаторы?

    @Strabbo
    Добавлю. Если у вас возникли сомнения и вы не знаете что вам нужно сейчас, то я бы взял на вашем месте Cisco Catalyst 9k, которые умеют работать в виртулаьном стеке без специальных стек портов. Хотите используйте как обычные свичи, а когда передумаете переделаете в стек. Не обязателньо брать Cisco, можно поискать других вендоров с похожим функционалом. у Cisco это Virtual Stackwise, У Juniper это Virtual chassis.

    P.S. А вообще я бы смотрел на те железки, которые преднозначены для работы в DC. Cisco Nexus/Juniper QFX. Они решат любые ваши проблемы
    Написано
  • Каким заклинанием в cisco пропускать vlanы?

    @Strabbo
    ReapperX,
    А вот с циской мне не совсем понятно, что ему вписать, чтобы он раздавал тегированный vlan на все порты и отправлял дальше.

    тоже всё просто, на всех портах указываете switchport mode trunk
    Написано
  • Каким заклинанием в cisco пропускать vlanы?

    @Strabbo
    Помогите с заклинанием, так как гугл не совсем понимает, что я от него хочу.

    Мы тоже не совсем поняли что вы хотите. Там всё просто, что у вас не получилось нам не понятно...
    Попробуйте chatgpt, он щас в моде, ну или более подробно опишите что вы хотите.

    только не понимаю, как его заставить брать vlan´ы например на первом порту или в принципе, как в других свичах и транзитом отправлять дальше?

    ну смотря с какого порта брать и куда дальше отправлять. Это имеет значение. Скорее всего вам нужен Trunk, но это не точно
    Написано
  • Как перенаправить весь трафик с хоста на виртуалку pfsense на хосте, чтобы использовать pfsense как личный шлюз?

    @Strabbo
    PawelSrangers,
    Нет я хочу поднять влан между пфсенсом и хостом.

    Зачем именно влан? делайте без него.

    , есди я поменяю ip на пфсенс, то как он сможет получать инет по мосту, есди интерфейс будет смотреть на пфсенс?

    Магия, так сразу и не объяснишь.

    P.S. смотря как пфсенс получает инет. Если через мост, то по простому всё будет работать как я написал.
  • Как найти причину двойных пингов в Mikrotik?

    @Strabbo
    Как найти причину двойных пингов в Mikrotik?

    Так тут не двойной, а четверной.
  • Почему количество найденных хостов обратно пропорционально скорости отправки пакетов?

    @Strabbo
    Harold7,
    Ну вот в интернете можно найти статьи про то как люди все ipv4 адреса сканируют за 5 минут. Получается они врут?

    Да
  • Роутер Mikrotik как заблокировать чужой транзитный трафик по UDP?

    @Strabbo
    HodOut,
    Хорошо, что нет теперь оплаты за гигабайты, а то насчитали бы :).

    Не волнуйтесь, в вашем случае трафик считается на pppoe сервере :) так что ниче там не насчитали бы
  • Роутер Mikrotik как заблокировать чужой транзитный трафик по UDP?

    @Strabbo
    HodOut, Ну смотрите, этот трафик приходя на ваш роутер просто дропается. с фаерволом вы добьетесь того же. смысла что-то делать в вашем случае на фаерволе нету, потому что траффик все равно придет к вам на порт. Если у вас забивается канал и вы не можете получить скорость, которую купили у провайдера, тогда стоит ругаться с провайдером. А если проблем нету, то пусть будет так как есть сейчас.