cloudsong's recent timeline updates cloudsong's recent timeline updates | cloudsongV2EX member #645554, joined on 2023-08-26 16:51:26 +08:00Today's activity rank 18839 |
 | Per cloudsong's settings, the topics list is only visible after you sign in |
Deals info, including closed deals, is not hidden
cloudsong's recent replies
1 day ago Replied to a topic by pingdog 宽带症候群 4-6 个 2.5G, 2 个 10G SFP+的软路由,搜到有好几家在卖,那个厂家做工可以? |
@pingdog 其实我的回复是开玩笑的。本意是说家里不必搞那么复杂。国内也就 1000/2000m 下行,上行 50/100 ,而且现在这个网络环境,上行多了还关小黑屋,就没那么多花样折腾了。
2 days ago Replied to a topic by pingdog 宽带症候群 4-6 个 2.5G, 2 个 10G SFP+的软路由,搜到有好几家在卖,那个厂家做工可以? |
首先,取决于你的网络接入方式,你的带宽,你是否需要跑满 64b 线速,你的并发连接数,以及 qos 的区分颗粒度(在 l3-l7 做),dpi 的具体要求,威胁库的更新来源等。在你明确知道你要什么以及能够获得什么之后,或许答案已经在你心中了。
根据你提出的需求,特别是 2 个 10g sfp+接口,我觉得你的需求是非常极限的。你拥有 2 条万兆对等网络,要求跑满 64B 小包线速转发,需要 L7 级别的 QoS ,需要基于全流量的 DPI ,拥有商业级的威胁库订阅,并发连接常年在 10 万以上,且 VPN 必须跑满万兆。而且,N100 小主机是整个需求的核心!
根据我浅薄的知识,建议如下:
1.万兆接入层,请直接采购一台企业级商业防火墙来保证万兆小包的线速转发。拿出一个 SFP+ 接口做 Mirror ,把所有流量镜像进另一台独立的 DPI 服务器做深度检测,然后通过 RESTCONF 联动给路由器下发 ACL 来阻断威胁链接。如果你对安全级别的要求极高(比如家里有金库),终端设备上还需要部署类似 Check Point 这种专业客户端,用来做 SSL 流量解包检测。
2. 万兆 WireGuard / IPSe ,这太难了。目前市面上绝大多数商业路由器都做不到 WireGuard 万兆 64B 线速( IPSec 有专用芯片勉强可以)。因此,你需要一台独立的专用网关设备,CPU 起步建议 Xeon D 2700 ( qat gen3 或者以上)支持 ChaCha20 指令集加速,配合 DPDK 和 QAT 专门用来跑隧道。当吞吐量达到 100G 时,这种性能溢出会让你获得极大的自我满足感。深夜里,机器风扇 10000 转嘶吼的声音,正是那无处安放的青春。
3. 关于 QoS 与特征库: 真正的 L7 QoS 建议交给专门的上网行为管理设备。你每个月只需支付 XXXX 元的订阅费,就能获得最及时的应用特征库更新和尊贵的技术支持服务。
4. N150 小主机,建议挑一个铝合金外壳做工精致的,买回来摆在电脑桌上。可以远观更可以随手把玩,情绪价值直接拉满!
根据你提出的需求,特别是 2 个 10g sfp+接口,我觉得你的需求是非常极限的。你拥有 2 条万兆对等网络,要求跑满 64B 小包线速转发,需要 L7 级别的 QoS ,需要基于全流量的 DPI ,拥有商业级的威胁库订阅,并发连接常年在 10 万以上,且 VPN 必须跑满万兆。而且,N100 小主机是整个需求的核心!
根据我浅薄的知识,建议如下:
1.万兆接入层,请直接采购一台企业级商业防火墙来保证万兆小包的线速转发。拿出一个 SFP+ 接口做 Mirror ,把所有流量镜像进另一台独立的 DPI 服务器做深度检测,然后通过 RESTCONF 联动给路由器下发 ACL 来阻断威胁链接。如果你对安全级别的要求极高(比如家里有金库),终端设备上还需要部署类似 Check Point 这种专业客户端,用来做 SSL 流量解包检测。
2. 万兆 WireGuard / IPSe ,这太难了。目前市面上绝大多数商业路由器都做不到 WireGuard 万兆 64B 线速( IPSec 有专用芯片勉强可以)。因此,你需要一台独立的专用网关设备,CPU 起步建议 Xeon D 2700 ( qat gen3 或者以上)支持 ChaCha20 指令集加速,配合 DPDK 和 QAT 专门用来跑隧道。当吞吐量达到 100G 时,这种性能溢出会让你获得极大的自我满足感。深夜里,机器风扇 10000 转嘶吼的声音,正是那无处安放的青春。
3. 关于 QoS 与特征库: 真正的 L7 QoS 建议交给专门的上网行为管理设备。你每个月只需支付 XXXX 元的订阅费,就能获得最及时的应用特征库更新和尊贵的技术支持服务。
4. N150 小主机,建议挑一个铝合金外壳做工精致的,买回来摆在电脑桌上。可以远观更可以随手把玩,情绪价值直接拉满!
3 days ago Replied to a topic by cloudsong 宽带症候群 深圳电信,把 myqnapcloud.com 解析到 127.0.0.1 |
@mytsing520 我不觉得是公安的问题。因为首先全国只有深圳广州两地,且只有电信一家运营商这么做。如果是公安,那么最少也会是当地所有运营商屏蔽。因此电信自己给自己加戏的可能性非常高
10 days ago Replied to a topic by metalvest 宽带症候群 告别 ALLinBOOM,用 VRRP 为折腾旁路由保驾护航 |
@Kinnice 谢谢。受教了。你这个防环路结构很棒。后面 l7 我打算前面 mosdns 先 dns 分流一次,后面 singbox sniff inbound 兜底。tun 这边还是业务层判断联网来做掉。
10 days ago Replied to a topic by metalvest 宽带症候群 告别 ALLinBOOM,用 VRRP 为折腾旁路由保驾护航 |
@Kinnice 我见过 ospf 做双线分流,但是那是多运营商分流。你如果要分流科学,那回流要单独处理,确保都去主路由。ip 分流通过路由宣告做掉,这是 l3 ,但是请教一下,l7 这层分流怎么做呢?还是用 singbox 吗?还是用 mosdns ?最后科学挂了之后,tun 是否会自动消失呀? tun 如果还在的话,岂不是依然绕不开业务层监控?
11 days ago Replied to a topic by metalvest 宽带症候群 告别 ALLinBOOM,用 VRRP 为折腾旁路由保驾护航 |
另外还要考虑 dns 用 fakeip ,以及避免 vrrp 震荡的问题。这些我都遇见过。比如出海线路很差,那么有可能系统会在两个线路之间来回切换,表现是游戏断线,视频通话断线。因此线路检测还需要加入一个延时机制,比如连续 ping 失败 3-5 次就切换。以及在你的 Keepalived 配置 fall 3 rise 2 这种,避免网关反复横跳
11 days ago Replied to a topic by metalvest 宽带症候群 告别 ALLinBOOM,用 VRRP 为折腾旁路由保驾护航 |
写得非常棒。给您锦上添花两点:1. 在 keepalived 中添加 ping 外网地址的功能,防止科学上网插件挂了但是 openwrt 还活着,PREROUTING 链依然存在,但客户端发出的数据包到达旁路由后,防火墙规则会将包扔给指定的端口,此时端口对应的监听进程已经没了,系统内核收到包后发现没有进程认领,通常会直接 DROP 或返回 RST 。2. 如果你所有设备只连接一个交换机就没问题。如果主从之间有交换机,然后下游还有交换机接设备,那么主从之间的交换机一旦坏了,主从都认为自己还活着是主机,就开始竞争给下游发包。这一点可以通过更改网络拓扑解决,大部分人不到的
14 days ago Replied to a topic by Mythologyli 宽带症候群 深圳天威光纤宽带的公网 IP 和上传限速问题 |
我昨天打电话问过,现在还有动态公网 ip ,只不过套餐是 1000m/100m ,带 iptv ,走光纤网络,而不是过去的同轴电缆。光猫密码师傅告诉你,然后自己改桥接,pppoe 拨号就自动获得公网 ip ,没有任何限制。出海线路走联通,跟香港 ix 没有连接(绕美,因此 ping 300ms+),只要是支持 AS9929 的 vps ,速度就非常快,也没有丢包(高峰时间比移动好)。因此对我来说最佳方案就是天威 ipv4+移动 ipv6.
下面是 NAT 测试:
# ./stunner
STUN Results
──────────────────────────────────────────────────────────────────────
│ │
│ Server: derp22c.tailscale.com:3478 │
│ Port: 58093 │
│ IP Address: 222.125.xx.xx │
│ Port Mapping: None │
│ │
──────────────────────────────────────────────────────────────────────
──────────────────────────────────────────────────────────────────────
│ │
│ Server: derp20c.tailscale.com:3478 │
│ Port: 58093 │
│ IP Address: 222.125.xx.xx │
│ Port Mapping: None │
│ │
──────────────────────────────────────────────────────────────────────
NAT Type Detection
──────────────────────────────────────────────────────────────────────
│ │
│ NAT Type: No NAT │
│ │
│ Difficulty: None │
│ │
│ Direct Connections: All devices │
│ │
│ Description: │
│ Your host is directly reachable from the internet. │
│ │
│ Status: Perfect! You have no NAT - ALL connections will be │
│ direct. │
│ │
──────────────────────────────────────────────────────────────────────
下面是 NAT 测试:
# ./stunner
STUN Results
──────────────────────────────────────────────────────────────────────
│ │
│ Server: derp22c.tailscale.com:3478 │
│ Port: 58093 │
│ IP Address: 222.125.xx.xx │
│ Port Mapping: None │
│ │
──────────────────────────────────────────────────────────────────────
──────────────────────────────────────────────────────────────────────
│ │
│ Server: derp20c.tailscale.com:3478 │
│ Port: 58093 │
│ IP Address: 222.125.xx.xx │
│ Port Mapping: None │
│ │
──────────────────────────────────────────────────────────────────────
NAT Type Detection
──────────────────────────────────────────────────────────────────────
│ │
│ NAT Type: No NAT │
│ │
│ Difficulty: None │
│ │
│ Direct Connections: All devices │
│ │
│ Description: │
│ Your host is directly reachable from the internet. │
│ │
│ Status: Perfect! You have no NAT - ALL connections will be │
│ direct. │
│ │
──────────────────────────────────────────────────────────────────────
20 days ago Replied to a topic by Mythologyli 宽带症候群 深圳天威光纤宽带的公网 IP 和上传限速问题 |
@skylancer 这宽带是我岳母的 已经十多年没动过了。对老人来讲,习惯了的东西,我是尽量不去改变的哈。我自己已经用移动了,去香港新加坡都很快,而且这价格都 30 一个月了,还要什么自行车,哈哈
Select Language