|
|
Не так давно была статья о установке SmokePing, но совсем не обязательно ставить SmokePing для оценки задержек и потерь на каналах. Можно воспользоваться дополнительным модулем для MRTG. Он есть в портах и называется MRTG ping probe. Его возможностей вполне достаточно для определения проблемных сегментов сети.
Устанавливается он, как я уже и писал из портов:
cd /usr/ports/net-mgmt/mrtg-ping-probe make install clean
До появления протокола OSPF, повсеместно использовался протокол RIP. RIP и OSPF используются для динамической маршрутизации внутри локальной сети . Позже, по мере роста размеров сетей, протокол RIP оказался несостоятелен, поскольку во первых он ограничен 15 хопами, во вторых время перестройки маршрутов по протоколу RIP через-чур велико для нормальной работы, ну а в третьих RIP ретранслирует всю таблицу маршрутизации раз 30 секунд(это по умолчанию), тем самым генерируя довольно ощутимые объемы трафика.
Read more »
SquidGuard – редиректор предназначенный для фильтрации посещаемых сайтов. Этот редиректор достаточно гибкий в своих настройках, позволяет создавать отдельные группы пользователей, с отдельными списками доступа, временными интервалами действия правил. Позволяет фильтровать доступ к сайтам по урлам, включая фильтрацию по регекспам.
Установим SquidGuard из портов:
cd /usr/ports/www/squidguard/ make install clean
За свою практику, мне приходилось работать на многих фирмах, и оутсорсить и работать штатным сисадмином. Можно пересчитать по пальцам компании, где не требовали ограничить доступ к некоторым сайтам. Под запрет попадают как правило, социальные сети, сайты знакомств, развлекательные сайты. Некоторые еще требовали не давать офисным работникам ICQ, сайты по трудоустройству и сайты конкурентов. Ввести ограничения можно несколькими способами.
Первый, самый простой – административный запрет.
То есть по предприятию издается приказ запрещающий доступ к этим сайтам, иначе …. Ну тут руководители обычно дают полет фантазии. С одной стороны, сисадмину вроде бы и хорошо, ничего делать не надо. Но этот метод перестает работать после того, как один или два человека попадутся.
Read more »
Когда строишь bgp сессию с кем либо, сам собой возникает вопрос, что мы анонсируем. Проверить можно командой:
show ip bgp neighbors 89.252.34.107 advertised-routes
В результате появятся все префиксы которые мы анонсируем нейджбору 89.252.34.107
Ну а соответственно посмотреть, что за префиксы мы приняли от 89.252.34.107 можно с помощью команды:
show ip bgp neighbors 89.252.34.107 received-routes
В портах FreeBSD есть openbgp – продукт из проекта OpenBSD для поддержки протокола динамической маршрутизации BGP. Проэкт OpenBSD славится отсутствием проблем с безопасностью и одним из методов достижения этого является реализация всего необходимого по возможности своими силами. То есть они стараются минимизировать наличие продуктов от сторонних разработчиков в своей системе.
Ну а как по мне, то просто интересно посмотреть на продукт отличный от Quagga. Для этого я сделал небольшую тестовую лабораторию из двух хостов. На одном будет стоять Quagga, на втором хосте поставим OpenBGPd. Задача обменяться анонсами.
Конфиг Quagga выглядит так:
Read more »
С ростом сети и увеличением трафика через маршрутизатор возможна ситуация, когда роутер начинает не справляться с нагрузкой и начинает потихоньку терять пакеты на интерфейсах. Пока это эпизодическое явление, в пиковые моменты – ничего страшного, когда это явление становится постоянным и только растет число отброшенных пакетов нужно снимать нагрузку. Тут самое важное не пропустить тот момент, когда ошибки начинают появляться и планировать ввод второго маршрутизатора или апгрейд текущего. Лучше всего наблюдать за потерянными пакетами на графике.
Я использую такой конфиг для MRTG:
Read more »
Графики работы системы – один из мощных инструментов сисадмина с помощью которых легко анализировать сетевую обстановку. По графикам наглядно видно откуда берется трафик, в какой интерфейс уходит, где появилась необычная сетевая активнойсть, где наоборот пропал трафик.
Для того, что бы построить систему графиков, нужно начать с установки snmp. Я писал в статье MRTG, провалы в графиках о проблеме переполнения счетчиков на гигабитных интерфейсах. Решение приведенное в той статье не совсем корректно.
Read more »
