poloniumv's

Подвисшие PPtP-сессии в mpd5

24 июля 2012 г. 12:56

После перезагрузки сервера, на котором установлены mpd5 и FreeRADIUS, клиентам, которые коннектятся по PPtP начала вылетать ошибка 691, при том, что логин/пароль и параметры безопасности были введены правильно. В radius.log'е была куча таких сообщений:

Tue Jul 24 10:34:33 2012 : Auth: Multiple logins (max 1) [MPP attempt]: [vpnlogin/] (from client localhost port 4 cli )

Похоже, подвисли сессии. Решилось просто: командой radwho получил список сессий, а командой radzap их прибил. После этого все стало хорошо :)

Передача BGP-префиксов на Cisco

13 апреля 2012 г. 12:40

Дано: два апстрима, от одного из которых я принимаю full-view (World), от второго только украинские префиксы (UA).
Задача: отдать default route и, отдельно, украинские префиксы пиру Target и принять и проанонсить его префиксы аплинкам. Украинский трафик, естественно, должен ходить через UA, остальной через World.

Решение:

interface GigabitEthernet1/1
 switchport
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 10
 switchport mode trunk
 switchport nonegotiate
!
interface GigabitEthernet1/2
 switchport
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 20
 switchport mode trunk
 switchport ...

Ограничение скорости внутри VLAN на Cisco

13 апреля 2012 г. 11:27
mls qos
class-map match-any CustomerVLAN
 match access-group name customer-policy_inbound
 match access-group name customer-policy_outbound
!
policy-map VLAN-policy
 class CustomerVLAN
  police 1000000000 conform-action transmit exceed-action drop violate-action drop
!
interface Vlan10
 description Customer
 ip address x.x.x.x x.x.x.x
 mls qos bridged
 service-policy input VLAN-policy
 service-policy output VLAN-policy
!
interface TenGigabitEthernet4/1
 description Trunk
 switchport
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 10
 switchport mode trunk
 mls qos vlan-based
! 

 

BGP и два канала

5 апреля 2011 г. 12:53

К одной удаленной точке, которая была доступна только по WiFi, появился 100 Мбит/с канал. Решили сделать так, чтобы при падении 100 Мбит/с канала связь переруливалась на WiFi, а при восстановлении - все переруливалось обратно (т. к. пользователям той удаленной точки мы предоставляем интернет). С обеих сторон стоят циски, есть небольшой пул "белых" IP-адресов.
Первым делом задал два default-маршрута с разной метрикой:

ip route 0.0.0.0 0.0.0.0 A.B.C.73
ip route 0.0 ...

Soekris net4511, GPRS и PPTP

10 ноября 2010 г. 16:20

Дано. Интернет, Soekris net4511, флеш-карта на 128 МБайт, PCMCIA GPRS-модем Huawei EG602, карточка от МТС, консольный шнурок, пинок.

Необходимо. Вставить карточку в модем, модем в Soekris, нарулить на эту железяку ОС, которая и карточку подхватит, и на 128 МБайтах поместится, выйдет в Интернет да построит с одним из серваков PPTP-тоннель.

Итак. Первым делом начал с выбора ОС. Естественно, выбор небольшой - GNU/Linux или FreeBSD (с Open- и NetBSD ни разу не работал, а времени разбираться нет). Для того, чтобы меньше ...

Ограничение скорости по MAC-адресу во FreeBSD

4 октября 2010 г. 19:47

На днях возникла необходимость на FreeBSD маршрутизаторе порезать канал для одной из машин. Поскольку на нем стоит DHCP-сервер без привязки IP-адресов к MAC'ам - пришлось исхитриться, полазить в гугле и понять, как порезать ширину канала, используя только MAC-адрес.

ipfw add <номер_правила> pipe <номер_правила> \
ip from any to any MAC any <MAC-адрес> \
layer 2 in # Входящий трафик
ipfw add <номер_правила+5> pipe <номер_правила+5> \
ip from any to any MAC any <MAC-адрес> \
layer 2 out # Исходящий трафик 

А теперь указываем ширину канала ...

Изменение Init RAM FS

23 марта 2010 г. 14:33

Недавно возникла ситуация, когда после аварии системы охлаждения упал сервак. Ремонт сделали, но он упорно не хотел подниматься на том ядре, на котором он должен был. Матерился на то, что модуль ehci-hcd вызывает сбой, который приводит ядро в панику. Поскольку на том сервере нахер не нужен USB я решил не заморачиваться, а просто исключить его из списка загружаемых модулей.
Итак. Копируем куда-нибудь initrd образ и распаковываем его:

cp /boot/initrd-2.6.25.img ~/temp/
mv initrd-2.6.25.img initrd-2 ...

Тюнинг Squid'а. Отсебятина

11 марта 2010 г. 14:54

Использование рекомендаций, указанных в предыдущем посте позволило уменьшить потребление ресурсов на моем сервере (RHEL 5, ядро 2.6.25.11, Squid-3.0.STABLE24, кол-во клиентов 1500+).
Что было предпринято:

  1. Отключено логирование access.log и store.log
  2. Включена директива pipeline_prefetch

В итоге нагрузка на процессор упала с ~60-80% до ~1-15% в "спокойное" время, нагрузка на память с ~90% до ~20-60%. Но, к сожалению, я уделил внимание чтению лога cache.log, в котором было очень много сообщений о том, что закончились свободные ...

Тюнинг и закалка Squid'а

9 марта 2010 г. 14:23

Автор статьи не я. Это всего лишь мой перевод этой статьи. Некоторые абзацы я пропущу, да простит меня автор статьи. Итак:

Тюнинг и закалка Squid'а является темой данной статьи, где под тюнингом мы будем подразумевать некоторое ускорение работы данного ПО, а под закалкой -- обеспечение более безопасной и менее уязвимой работоспособности прокси-сервера. Стандартная установка Squid'а на Debian-сервер имеет множество включенных фич, большинство из которых просто-напросто не используется. Собственно их мы и хотим отключить. Также возможны ситуации, при которых нам нужно использовать ...