zdar, chtěl bych se optat jaký jaký je tak maximální počet MAC (ip adres), co zvládne linuxový router přes jednu síťovku. (popřípadě kolik jich zvládne přes více)
Teoreticky ano, prakticky jsem nikdy nepotreboval neco podobneho zkouset.
net.ipv4.neigh.default.gc_thresh1 - nastavuje prah kdy jadro prestava uklizet arp tabulku
net.ipv4.neigh.default.gc_thresh2 - hodnota, pri ktere zacne "agresivne" uklizet
net.ipv4.neigh.default.gc_thresh3 - maximalni pocet zaznamu v tabulce
Nejjednodusi bude, proste to zkusit Hodne zdaru.
Ja jen doporucim s gc_thresh opatrne. V pripade trafficu v radu desitek Mbps to dokaze slusne zamavat s celkovym schovanim serveru. Akorat nevim, pro jake dimenze byl polozeny tento dotaz. Docela se vyplati vyguglit si i neco o gc_elasticity.
Nevykej mi, ja ti taky nebudu vykat...↵
Mar 13 11:53:32 nevykat last message repeated 2324661 times
Hmm, tak to doporucuji guglit i arp_proxy, arp_ignore, ip_conntrack_max a dalsi fily z /proc/sys/net. Navic si alespon chvilku posedet u nastaveni jadra v sekci networking, precist si neco o ebtables, a jestli s tim jeste nemas zkusenosti, tak preji uprimnou soustrast
Nevykej mi, ja ti taky nebudu vykat...↵
Mar 13 11:53:32 nevykat last message repeated 2324661 times
Přes ten router už asi cca 2500 počítačů běží (shapping, počítání, statistiky,... atd) to už je vše vyřešené přes ipmark,accoount atd..., ale 95% počítačů je schováno za několika routry. Všechny "bokové" routry chci vyodit (kvůli veliké z potřebě a poruchovosti HW), a místo nich nasadit "chytré" switche, a vše udělat na bázi vlanů (8021q) . (takže bude v tom hlavním routeru bude cca 300 vlan sitovek(8021q) ). Vlan sitovka se chová plnohodnotně jako kdyby tam byla normalni do PCI slotu.
Jaký můžou mít ty vlany nevýhodu ? kdys se pokazi nejaky switch tak se da spatky nahrat konfigurace, a co se tyce vykonu routru mi asi nikdo koukam nerekne.
Neumim si predstavit, ze budete routovat/shapovat/merit statistiky na jednom stroji pro 4000 ip adres, takze nemuzu poradit presne, nevim jestli pocet vlan je na linuxu nejak omezeny nebo ma vliv na prenosovou rychlost nejak razantni.
Dobry den
Hmm, a taky si nezapomente overit, jestli ty switche, pres ktere to budete pripojovat umi takovy pocet VLAN. Treba i switche Cisco WS-2950 maji podle typu image IOS pocet VLAN 64 nebo 128. V kazdem pripade bych to routovani VLAN resil asi na HW routeru. Protoze konfigurace nebude jednoducha, a hlavne se v ni posleze bude slozite orientovat. Nicmene zrejme cena zvitezi pred spolehlivosti :o)
Jurasek
Ja osobne teda preferuji vice routeru nez precpane ARP tabulky. Par pocitacu napadenych urcitymi typy malwaru dokazou vyprodukovat slusne ARP floody a to je pak na otevrene siti veselo Do detailu jsem tyto aktivity nezkoumal, byl jsem jen na strane routeru, ale vim, ze prestoze byl v pc napr. nastaven subnet /30, tak to prskalo na cele cecko, ne-li becko. Neco takoveho pres router neproleze a ucpe to maximalne nejakou minoritni cast site. A problem spotreby el. a poruchovosti hw? Tak si udelej minimalizovane routery bez disku bezici z pameti. Budes z toho mit malicke nizkospotrebove krabicky, kde se de facto nema co zkazit, ktere muzou bootovat po siti.
Nevykej mi, ja ti taky nebudu vykat...↵
Mar 13 11:53:32 nevykat last message repeated 2324661 times
Bootovat po siti nevim jestli je nejlepsi, ale my to resime ze kde je to mozne da se wrap s debianem na CF, kde ne, tak pocitac a misto hdd se da ide redukce a take CF, idealni, malo poruchove.
Co se týče toho útoku tak přeci to net.ipv4.neigh.default.gc_thresh, se nastavuje pro kazdou sitovku zvlast, a nebo to je dohromady pro celej system ?. Kdyby to bylo zlast tak pokud se tam do gc_tresch nenacpou tisicovy cisla a necháse to na málo tak by nějakej útok odrovnal jen tu jednu vlan eth ne ?