faq обучение настройка
Текущее время: Вс июл 27, 2025 03:17

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 24 ]  На страницу 1, 2  След.
Автор Сообщение
 Заголовок сообщения: Вопросы по настройке DFL-210
СообщениеДобавлено: Вт авг 05, 2008 18:29 
Не в сети

Зарегистрирован: Вт авг 05, 2008 06:45
Сообщений: 94
господа,

имеется вопрос перед приобретением DFL-210.

устройство будет использоваться следующим образом:

имеется PPPoE интернет канал 8 Мбит/с, его включаем в WAN порт... далее, в три порта к устройству подключаем три сегмента локальной сети (по 10 машин в каждой) плюс к четвертому порту два сервера MSSQL, которые интенсивно используются извне... таким образом среднее количество одновременных NAT сессий будет около 3-6 тысяч, в пике до 9-10 тысяч...

как он будет себя вести при больших количествах одновременных соединений? не будет ли потерь, глюков или тормозов? насколько он быстр?

дело в том, что несколько раз покупал различные устройства длинк и они оставили отчетливое негативное впечатление о брэнде... правда, это были дешевые девайсы... хочется сделать всё по принципу "включил-настроил-забыл", а не перешивать каждый месяц, перезапускать или искать ошибки...

подойдет ли мне этот девайс?


Последний раз редактировалось ilovedlink Чт авг 07, 2008 17:08, всего редактировалось 1 раз.

Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вт авг 05, 2008 18:44 
Такое не будет работать. Не пытайтесь добиться функционала NAS от маленького устройства.
1. У устройства нет столько портов, сколько Вам нужно 3 сегмента сети это 3 независимых интерфейса у DFL-210 их всего 3 (WAN,DMZ,LAN) Если конечно вы не говорите о VLAN 802,1q
2. Устройство физически не сможет проработать такое колличество сессий потому что максимум NAT это ~12k

В вашем случаее нужно иметь не меньше DFL-1600 это 6 гигабитных НЕЗАВИСИМЫХ интерфейсов и 400k одновременных сессий.


Вернуться наверх
  
 
 Заголовок сообщения:
СообщениеДобавлено: Вт авг 05, 2008 19:12 
Не в сети

Зарегистрирован: Вт авг 05, 2008 06:45
Сообщений: 94
видимо, Вы не так меня поняли... 3-6 тысяч имелось ввиду от 3 до 6 тысяч сессий, а не 36 тысяч... это я прикинул даже со всеми попутно инициируемыми соединениями, так что в 12000 квоту вполне вложился...

насчет трех сегментов LAN - имелось ввиду что это части одной сети, просто физически они находятся в разных концах здания и сходятся в серверной... т.е. втыкаем их в три LAN порта DFL-210 и всё... трафик там не особо интенсивный.. а два MSSQL сервера через свитч включаем в четвертый LAN порт DFL-210 (или в DMZ) - вот это будет основная нагрузка...

смысл в том, чтобы обеспечить MSSQL серверам и всем машинам сети доступ в интернет, разделить 8Мбит на них, а так же чтобы MSSQL сервера были доступны извне...


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вт авг 05, 2008 21:20 
я исходил из пиковой нагрузки. При таком колличестве соединений устройство будет работать пределе возможноестей, чтобы этого избежать рекомедую устройство с большим запасом ресурса.
По плотности сегментов всё ясно -- вопросов нет, в таком случае можно и DFL-800.
Если Вы организация, то у нас есть замечательная программа тестирования:
http://dlink.ru/technical/gletter.php


Вернуться наверх
  
 
 Заголовок сообщения:
СообщениеДобавлено: Ср авг 06, 2008 10:42 
Не в сети

Зарегистрирован: Вт авг 05, 2008 06:45
Сообщений: 94
Stanislav Kozlov писал(а):
я исходил из пиковой нагрузки. При таком колличестве соединений устройство будет работать пределе возможноестей, чтобы этого избежать рекомедую устройство с большим запасом ресурса.
По плотности сегментов всё ясно -- вопросов нет, в таком случае можно и DFL-800.
Если Вы организация, то у нас есть замечательная программа тестирования:
http://dlink.ru/technical/gletter.php


пиковая нагрузка подразумевалась максимальная, он кратковременная... интернет канал же всего 8 Мбит...

в данный момент вместо DFL-210 стоит старый комп P-II 266MHz 128RAM под FreeBSD4 с двумя сетевухами... справляется абсолютно не напрягаясь, но ввиду старости железа боюсь что жить ему осталось недолго, поэтому решил заменить его на DFL-210...

выбор DFL-210 продиктован бюджетом... если же DFL-210 для моего случая не подходит, то, к сожалению, придется оставить всё как есть...

ваша программа тестирования тоже, к сожалению, не подойдет.. это маленькая частная компания на Украине...


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Вопрос перед покупкой DFL-210
СообщениеДобавлено: Ср авг 06, 2008 10:54 
Не в сети

Зарегистрирован: Вт июл 10, 2007 12:42
Сообщений: 7188
Откуда: Екатеринбург
ilovedlink писал(а):
имеется PPPoE интернет канал 8 Мбит/с, его включаем в WAN порт... далее, в три порта к устройству подключаем три сегмента локальной сети (по 10 машин в каждой) плюс к четвертому порту два сервера MSSQL, которые интенсивно используются извне... таким образом среднее количество одновременных NAT сессий будет около 3-6 тысяч, в пике до 9-10 тысяч...


В целом, вероятно, подойдет. Однако кол-во соединений велико. И я бы в связи с этим, вам рекомендовал начать рассмотрение вариантов с DFL-800, как вам уже советовали. У меня есть опыт работы с тремя DFL-210. Один дома, два на работе. Нагрузка на них меньше чем ваша планируемая. Но работают они устойчиво. В штатном режиме практически безотказно.

Была пара отказов. Один раз при первоначальной настройке после очередного выключения слетела прошивка. В другом случае при удаленной перезагрузке устройства оно тоже не поднядось. В обоих случаях помог сброс к фабричным настройкам и заливка ранее сохраненной конфигурации. Поэтому настроятельно рекомендую сохранять конфигурацию периодически и каждый раз перед внесением серьезных изменений и после. Я храню все эти конфигурации и сплю спокойно.

Лично я доволен этими железками и заказываю сейчас под пару проектов еще DFL-210 и DFL-800.

Что касается кол-ва одновременных соединений... Самый загруженный DFL-210 стоит в офисе на 15 компьютеров. За ним почтовый сервер, торрент клиент, емул клиент, штуки 4 DC++ клиентов. На нем PPTP сервер с парой подключенных маленьких филиалов. Кол-во соединений обычно около 1 тысячи. Нареканий нет. на данный момент непрерывно в онлайне 100 суток. Общий срок эксплуатации - год или немного меньше.

У меня была пара случаев, когда дома кол-во соединений достигало 3500-5000 из-за странной работы через прокси сервер провайдера. В этом случае девайс практически не работал. Был огромный пинг наружу и трафик не ходил. Помогло уменьшение таймаута с 3 суток до 4 часов. Это уменьшило кол-во соединений и за ночь они всегда исчезали.

ilovedlink писал(а):
как он будет себя вести при больших количествах одновременных соединений? не будет ли потерь, глюков или тормозов? насколько он быстр?
Скорость WAN-LAN через файрволл выдает свои обещанные 80 МБит/с. Что касается рутеров на базе компа под управлением *nix, они всегда будут лучше по соотношению производительность/цена. Но плюсы и минусы этих решений повторять не буду. О них говорилось много раз. И любые варианты решений имеют право на жизнь.

ilovedlink писал(а):
дело в том, что несколько раз покупал различные устройства длинк и они оставили отчетливое негативное впечатление о брэнде... правда, это были дешевые девайсы... хочется сделать всё по принципу "включил-настроил-забыл", а не перешивать каждый месяц, перезапускать или искать ошибки...
По правде сказать по сообщениям на форуме, а не из своего личного опыта, я сам крайне настороженно отношусь к бюджетным моделям D-Link. Однако, линейка DFL - другой случай. К ним я по собственному опыту отношусь однозначно положительно.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Ср авг 06, 2008 11:50 
Не в сети

Зарегистрирован: Вт авг 05, 2008 06:45
Сообщений: 94
YuriAM, спасибо за живые примеры. Решил, всё-таки, взять его.

Пример офиса с 15 машинами наводит на мысль, что мне его хватит. У нас хоть и почти 30 машин, но они будут минимально использовать канал - никаких р2р, лишь web, почта и мессенжеры. VPN тоже не планируется пока. Основная нагрузка - MSSQL серверы.

После Вашего поста заказал DFL-210 в интернет-магазине, завтра привезут и пощупаю сиё чудо. Почитал доки - представляю сколько танцев с бубном надо будет исполнить...


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Ср авг 06, 2008 16:59 
Не в сети

Зарегистрирован: Пт июл 20, 2007 19:07
Сообщений: 8629
Откуда: Москва
Почитайте пока доки: ftp://ftp.dlink.ru/pub/FireWall

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт авг 07, 2008 10:53 
Не в сети

Зарегистрирован: Вт авг 05, 2008 06:45
Сообщений: 94
в общем, получил только что DFL-210 и сразу вопрос: стОит ил его сразу же прошивать до последней версии?

инфа об устройстве:

Цитата:
P/N: IFL210E......A4G
H/W Ver.: A4
F/W Ver.: 2.12.00.44
S/N: BS2J484000369


кстати, скажите, а существуют ли другие ревизии железа этого девайса?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт авг 07, 2008 11:03 
Не в сети

Зарегистрирован: Пт июл 20, 2007 19:07
Сообщений: 8629
Откуда: Москва
ilovedlink писал(а):
стОит ил его сразу же прошивать до последней версии?
Однозначно.
ftp://ftp.dlink.ru/pub/FireWall/DFL-210 ... re/2_20_01

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт авг 07, 2008 12:41 
Не в сети

Зарегистрирован: Вт июл 10, 2007 12:42
Сообщений: 7188
Откуда: Екатеринбург
ilovedlink писал(а):
в общем, получил только что DFL-210 и сразу вопрос: стОит ил его сразу же прошивать до последней версии?

инфа об устройстве:

Цитата:
P/N: IFL210E......A4G
H/W Ver.: A4
F/W Ver.: 2.12.00.44
S/N: BS2J484000369


кстати, скажите, а существуют ли другие ревизии железа этого девайса?
Прошить, конечно.

Я знаю A1, A2, A4. Видимо, есть и A3.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт авг 07, 2008 15:29 
Не в сети

Зарегистрирован: Вт авг 05, 2008 06:45
Сообщений: 94
прошил... настроил... подключил... :)

что могу сказать.. отличный девайс :) забираю свои слова насчет сомнений по поводу брэнда D-Link обратно :) свой ник на форуме выбирал с саркастическим подтекстом, но теперь он полностью соответствует моим убеждениям :)

прошивка становиться не хотела через https - залил через http...
в общем, скурил три мана - с подключением, правилами и роутингом разобрался... вот только осталось пара вопросов:

1. В этой штуке нет UPnP ? Если я недосмотрел - подскажите как эту фичу включить.. такой облом для каждой машины создавать по несколько правил...

2. Настроил DNS Relay с помощью этого мана
http://ftp.dlink.ru/pub/FireWall/How%20 ... 0Relay.doc
только вот никак не пойму как сделать, чтобы IP адрес DNS не вручную вводить в Objects -> Address Book -> Interface Addresses, а чтобы подхватывался тот, который присваивает провайдер при PPPoE соединении... может есть такой объект, а я не заметил? почему-то объекты wan_dns1 и wan_dns2 имеют значение 0.0.0.0
что я делаю не так?

3. С этим совсем запарился, не могу элементарный порт маппинг сделать. В LAN сети есть машина 192.168.1.20. На ней стоит апач - сайт компании. Как сделать так, чтобы http запросы из WAN шли именно на эту машину и сайт был доступен из инета?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт авг 07, 2008 17:01 
Не в сети

Зарегистрирован: Вт авг 05, 2008 06:45
Сообщений: 94
В общем, с третьим пунктом разобрался благодаря этому топику

viewtopic.php?t=61198 (спасибо)

но возник еще вопрос... каким образом можно перенаправить диапазон TCP/UDP портов, скажем, 60701-60725 с WAN на определенную локальную машину, напимер 192.168.1.20 ?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт авг 07, 2008 19:37 
Не в сети

Зарегистрирован: Вт июл 10, 2007 12:42
Сообщений: 7188
Откуда: Екатеринбург
ilovedlink писал(а):
В общем, с третьим пунктом разобрался благодаря этому топику

viewtopic.php?t=61198 (спасибо)

но возник еще вопрос... каким образом можно перенаправить диапазон TCP/UDP портов, скажем, 60701-60725 с WAN на определенную локальную машину, напимер 192.168.1.20 ?
точно также как и один порт. только сервис создаете на диапазон.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт авг 07, 2008 19:57 
Не в сети

Зарегистрирован: Вт авг 05, 2008 06:45
Сообщений: 94
ок всё понял.. а как насчет этих двух пунктов?

Цитата:
1. В этой штуке нет UPnP ? Если я недосмотрел - подскажите как эту фичу включить.. такой облом для каждой машины создавать по несколько правил...

2. Настроил DNS Relay с помощью этого мана
http://ftp.dlink.ru/pub/FireWall/How%20 ... 0Relay.doc
только вот никак не пойму как сделать, чтобы IP адрес DNS не вручную вводить в Objects -> Address Book -> Interface Addresses, а чтобы подхватывался тот, который присваивает провайдер при PPPoE соединении... может есть такой объект, а я не заметил? почему-то объекты wan_dns1 и wan_dns2 имеют значение 0.0.0.0
что я делаю не так?


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 24 ]  На страницу 1, 2  След.

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 257


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB