Ho un Cisco 2800 con 4 linee adsl fasciate in PPP multilink per una banda totale di 16/2 Mbps che va sempre a banda piena.
dietro il cisco c'e' un firewall Mikrotik con dietro circa 500 Host di cui statisticamente mediamente 200 attivi.
Il mio problema e' che in certi orari sembra che il cisco vada un po' in crisi in quanto pur essendoci ancora banda sulla linea i ping in esterno passano da 16 ms (mix milano) a 500ms o 1000ms provati dal prompt del cisco.
Per fare abbassare il ping devo stroncare dalla rete alcuni host che utilizzano e-mule o simili (dei 200 attivi sono una cinquantina di solito).
Possibile che il cisco sia al limite del numero delle connessioni?
Mediamente un host con P2p mi apre circa 200 connessioni che x 50 fa 10000 connessioni aperte.
Il cisco mi dice che ha la CPU tra il 60 e 80 percento e usa solo il 10 percento di memoria.
Sul Cisco c'e' attivo un QOS per il voip.
Secondo voi ho il cisco al limite o devo andare a cercare altrove?
stefano
Cisco 2800 con 500 Host pretendo troppo?
Moderatore: Federico.Lagni
- Wizard
- Intergalactic subspace network admin
- Messaggi: 3441
- Iscritto il: ven 03 feb , 2006 10:04 am
- Località: Emilia Romagna
- Contatta:
Io mi preoccuperei di sta cosa...Per fare abbassare il ping devo stroncare dalla rete alcuni host che utilizzano e-mule o simili (dei 200 attivi sono una cinquantina di solito).
Dal firewall nn puoi bloccare il p2p?
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
-
- Network Emperor
- Messaggi: 229
- Iscritto il: lun 03 ott , 2005 7:17 pm
- Località: Sicilia
Il problema è quasi sicuramente dovuto alla cinquantina di terminali che usano emule.
Potresti provare a bloccare le porte di emule, in modo che con id basso il numero di connessioni diminuiscono.
Faresti respirare il router e non toglieresti il pane completamente dalla bocca dei cinquantini.
Il firewall per sostenere questo traffico deve avere una cpu non indifferente.
Altra cosa... hai un 2801, un 2811, un 2821, o un 2851 ?
Potresti provare a bloccare le porte di emule, in modo che con id basso il numero di connessioni diminuiscono.
Faresti respirare il router e non toglieresti il pane completamente dalla bocca dei cinquantini.
Il firewall per sostenere questo traffico deve avere una cpu non indifferente.
Altra cosa... hai un 2801, un 2811, un 2821, o un 2851 ?
- Helix
- Messianic Network master
- Messaggi: 1175
- Iscritto il: mar 04 dic , 2007 6:45 pm
- Località: Frosinone
- Contatta:
Diciamo che dove lavoro ora hanno i 2811 e ci fanno girare anche più di 500 utenti!!!
---
Ciao, Leonardo
"Guarda che il VSS è migliore dell' MPLS"
"Io amo le rotte statiche e non mi fido dei protocolli di RUTING"
"Io ho lavorato per Telecom...li è tutto Layer 2 e tutto RUTING statico"
"L'MPLS VPN è come l' ATM e farà la sua stessa fine"
"A noi l'MPLS non CE n'teressa...mejo se usamo il FlexLink"
"Spostiamo il Livello 3 della Vlan dal Core al Service Edge ma senza modificare il RUTING..."
"Ma sul 3650 a 4 porte si può fare lo stAcK?"
"Noi usiamo quel coso lì...che maschera gli IPPPI'...capito no?"
"Forse non hai capito...puoi risolvere il problema usando le sub-vlan"
Cisco CCNP, CCDP Certified
Ciao, Leonardo
"Guarda che il VSS è migliore dell' MPLS"
"Io amo le rotte statiche e non mi fido dei protocolli di RUTING"
"Io ho lavorato per Telecom...li è tutto Layer 2 e tutto RUTING statico"
"L'MPLS VPN è come l' ATM e farà la sua stessa fine"
"A noi l'MPLS non CE n'teressa...mejo se usamo il FlexLink"
"Spostiamo il Livello 3 della Vlan dal Core al Service Edge ma senza modificare il RUTING..."
"Ma sul 3650 a 4 porte si può fare lo stAcK?"
"Noi usiamo quel coso lì...che maschera gli IPPPI'...capito no?"
"Forse non hai capito...puoi risolvere il problema usando le sub-vlan"
Cisco CCNP, CCDP Certified
- Wizard
- Intergalactic subspace network admin
- Messaggi: 3441
- Iscritto il: ven 03 feb , 2006 10:04 am
- Località: Emilia Romagna
- Contatta:
Blocca assolutamente il p2p!
1) Non è legale e se la finanza fa un controllo siete nelle grane
2) Si usa banda di produzione
3) Fa lavorare peggio 3/4 della azienda
1) Non è legale e se la finanza fa un controllo siete nelle grane
2) Si usa banda di produzione
3) Fa lavorare peggio 3/4 della azienda
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
- Helix
- Messianic Network master
- Messaggi: 1175
- Iscritto il: mar 04 dic , 2007 6:45 pm
- Località: Frosinone
- Contatta:
esatto!!!
---
Ciao, Leonardo
"Guarda che il VSS è migliore dell' MPLS"
"Io amo le rotte statiche e non mi fido dei protocolli di RUTING"
"Io ho lavorato per Telecom...li è tutto Layer 2 e tutto RUTING statico"
"L'MPLS VPN è come l' ATM e farà la sua stessa fine"
"A noi l'MPLS non CE n'teressa...mejo se usamo il FlexLink"
"Spostiamo il Livello 3 della Vlan dal Core al Service Edge ma senza modificare il RUTING..."
"Ma sul 3650 a 4 porte si può fare lo stAcK?"
"Noi usiamo quel coso lì...che maschera gli IPPPI'...capito no?"
"Forse non hai capito...puoi risolvere il problema usando le sub-vlan"
Cisco CCNP, CCDP Certified
Ciao, Leonardo
"Guarda che il VSS è migliore dell' MPLS"
"Io amo le rotte statiche e non mi fido dei protocolli di RUTING"
"Io ho lavorato per Telecom...li è tutto Layer 2 e tutto RUTING statico"
"L'MPLS VPN è come l' ATM e farà la sua stessa fine"
"A noi l'MPLS non CE n'teressa...mejo se usamo il FlexLink"
"Spostiamo il Livello 3 della Vlan dal Core al Service Edge ma senza modificare il RUTING..."
"Ma sul 3650 a 4 porte si può fare lo stAcK?"
"Noi usiamo quel coso lì...che maschera gli IPPPI'...capito no?"
"Forse non hai capito...puoi risolvere il problema usando le sub-vlan"
Cisco CCNP, CCDP Certified
-
- n00b
- Messaggi: 9
- Iscritto il: gio 04 ott , 2007 10:24 pm
E' un 2811.
Il firewall e' un mikrotik OS 2.9.39 che gita su pentium 4 2800 con carico di CPU al 50 percento. Per ora regge.
Per il P2P non so proprio come bloccarlo. Il mikrotik ha gia' l'opzione blocca P2P attiva e mi stronca il P2P classico ma con attivo l'offuscamento del protocollo questo filtro viene bypassato.
Avevo pensato di limitare la banda alle porte tcp dalla 1000 alla 65000.
Che ne pensate?
Posso anche bloccare a mano le reti dei server ma e' una guerra continua, dovrei passare le giornate solo a fare questo.
Stefano
Il firewall e' un mikrotik OS 2.9.39 che gita su pentium 4 2800 con carico di CPU al 50 percento. Per ora regge.
Per il P2P non so proprio come bloccarlo. Il mikrotik ha gia' l'opzione blocca P2P attiva e mi stronca il P2P classico ma con attivo l'offuscamento del protocollo questo filtro viene bypassato.
Avevo pensato di limitare la banda alle porte tcp dalla 1000 alla 65000.
Che ne pensate?
Posso anche bloccare a mano le reti dei server ma e' una guerra continua, dovrei passare le giornate solo a fare questo.
Stefano
-
- Network Emperor
- Messaggi: 229
- Iscritto il: lun 03 ott , 2005 7:17 pm
- Località: Sicilia
In effetti ciò che dice wizard non sono eresie, ma realtà.
Tranne nel 3° punto perche ti peggiora 4/4 dell'azienda
Diciamo che se i client utilizzassero una vpn esterna non effettuerebbo il natting di tutte quelle connessioni sul router, e neanche sul firewall se hanno il doppio nat.
Comunque se sei l'amministratore o sei vicino ad esso, ti conviene veramente bloccare il tutto, non si sa mai
Wizard ti ha consigliato il mentadent, meglio prevenire che curare.
Tranne nel 3° punto perche ti peggiora 4/4 dell'azienda
Diciamo che se i client utilizzassero una vpn esterna non effettuerebbo il natting di tutte quelle connessioni sul router, e neanche sul firewall se hanno il doppio nat.
Comunque se sei l'amministratore o sei vicino ad esso, ti conviene veramente bloccare il tutto, non si sa mai
Wizard ti ha consigliato il mentadent, meglio prevenire che curare.
- Wizard
- Intergalactic subspace network admin
- Messaggi: 3441
- Iscritto il: ven 03 feb , 2006 10:04 am
- Località: Emilia Romagna
- Contatta:
Io in questi casi consiglio la seguente cosa dato che "poca spesa tanta resa"!
Sul FW (meglio) o sul router crei delle acl in uscita che permettono solo le porte necessarie e tutto il resto lo chiudi!
In questo modo i vari client di file sharing nn si connetteranno neanche!
Le porte da aprire sono la
80 tcp
443 tcp
53 udp
25 tcp
110 tcp
...
Sul FW (meglio) o sul router crei delle acl in uscita che permettono solo le porte necessarie e tutto il resto lo chiudi!
In questo modo i vari client di file sharing nn si connetteranno neanche!
Le porte da aprire sono la
80 tcp
443 tcp
53 udp
25 tcp
110 tcp
...
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
-
- Network Emperor
- Messaggi: 229
- Iscritto il: lun 03 ott , 2005 7:17 pm
- Località: Sicilia
Limitare la banda non limita le connessioni, se blocchi le porte limiti qualcosa.
Però se non ricordo male emule puo essere impostato anche con le porte di navigazione in rete e si connette ugualmente.
La politica di offuscamento l'hanno inserita nelle ultime versione mi sembra; l'intento era di bypassare i filtri delle compagnie che fornisco adsl, ma alla fine bypassano solamente i filtri interni della propria rete.
Wizard ed altri utenti partecipi ne sa sicuramnete 1 milione di volte più di me; però questi filtri che utilizzano gli isp sono prodotti sempre dalla cisco, però non sono a conoscenza se possono essere montati a livello personale (amatoriale)
Purtroppo la politica in ufficio è questa, se qualcuno trova una soluzione, tutti i colleghi ne vengono a conoscenza.
Si potrebbe usare un poco di politica aziendale, individuare gli ip della lan e mettere in croce in qualche modo queste persone (non prendere l'esempio di quelli delle FS, che sono scannati vivi a momenti).
Diciamo di impressionare con un poco di coercizione
Attendi che altri sicuramente ti risponderanno con altre idee utili alla causa
Però se non ricordo male emule puo essere impostato anche con le porte di navigazione in rete e si connette ugualmente.
La politica di offuscamento l'hanno inserita nelle ultime versione mi sembra; l'intento era di bypassare i filtri delle compagnie che fornisco adsl, ma alla fine bypassano solamente i filtri interni della propria rete.
Wizard ed altri utenti partecipi ne sa sicuramnete 1 milione di volte più di me; però questi filtri che utilizzano gli isp sono prodotti sempre dalla cisco, però non sono a conoscenza se possono essere montati a livello personale (amatoriale)
Purtroppo la politica in ufficio è questa, se qualcuno trova una soluzione, tutti i colleghi ne vengono a conoscenza.
Si potrebbe usare un poco di politica aziendale, individuare gli ip della lan e mettere in croce in qualche modo queste persone (non prendere l'esempio di quelli delle FS, che sono scannati vivi a momenti).
Diciamo di impressionare con un poco di coercizione
Attendi che altri sicuramente ti risponderanno con altre idee utili alla causa
-
- Network Emperor
- Messaggi: 229
- Iscritto il: lun 03 ott , 2005 7:17 pm
- Località: Sicilia
Ah dimenticavo... il router... scusami.
Il 2811 monta una cpu a 350 mhz, che per gestire 500 utenti è piu che sufficiente, vai tranquillo.
Il 2811 monta una cpu a 350 mhz, che per gestire 500 utenti è piu che sufficiente, vai tranquillo.
- Wizard
- Intergalactic subspace network admin
- Messaggi: 3441
- Iscritto il: ven 03 feb , 2006 10:04 am
- Località: Emilia Romagna
- Contatta:
Punto primo (non tecnico):
- Si manda una bella mail (magari la manda un dirigente) dove si vieta l'uso di software di file sharing in azienda
- Tutti quelli che continuano a scaricare vengono trovati e dati in pasto al dirigente
Punto secondo (tecnico):
- Si configurano le acl come ti dicevo prima sul firewall
- Si configurano i filtri per il p2p sul router Cisco (NBAR)
- Si manda una bella mail (magari la manda un dirigente) dove si vieta l'uso di software di file sharing in azienda
- Tutti quelli che continuano a scaricare vengono trovati e dati in pasto al dirigente
Punto secondo (tecnico):
- Si configurano le acl come ti dicevo prima sul firewall
- Si configurano i filtri per il p2p sul router Cisco (NBAR)
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
- k4mik4ze
- Cisco pathologically enlightened user
- Messaggi: 196
- Iscritto il: mar 20 mag , 2008 1:24 am
non essere così STRICT suvviaWizard ha scritto: 80 tcp
443 tcp
53 udp
25 tcp
110 tcp
...
diamogliela anche la 20 e la 21, che possono servire....e la 666
Cmq quoto in toto: tutto chiuso tranne il necessario!
- Wizard
- Intergalactic subspace network admin
- Messaggi: 3441
- Iscritto il: ven 03 feb , 2006 10:04 am
- Località: Emilia Romagna
- Contatta:
Questa è una cosa che andrebbe cmq fatta in ogni situazione!Cmq quoto in toto: tutto chiuso tranne il necessario!
Siamo OT però nella maggior parte delle realtà ci sn filtri in entrata ma in uscita è tutto aperto...
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
-
- Cisco power user
- Messaggi: 78
- Iscritto il: mar 20 mar , 2007 11:01 am
Si beh dai, le porte che servono per le applicazioni, si fa richiesta ufficiale, una bella ACL in uscita e un bell' ip deny any any log così vedi tutto su un bel syslog aziendale e li vai a cazziare uno x uno quando non hai niente da farek4mik4ze ha scritto:non essere così STRICT suvviaWizard ha scritto: 80 tcp
443 tcp
53 udp
25 tcp
110 tcp
...
diamogliela anche la 20 e la 21, che possono servire....e la 666
Cmq quoto in toto: tutto chiuso tranne il necessario!
CCNA Certified (R)
Sun Solaris 10 Sistem Administrator Certified (R)
Sun Java Programmer Certified (R)
100% dj
Sun Solaris 10 Sistem Administrator Certified (R)
Sun Java Programmer Certified (R)
100% dj