Rozumna prezentace acoutingu.
Dalibor Toman
dtoman na fortech.cz
Úterý Únor 5 16:50:50 CET 2002
> > jsou pripojeni i primo) Ten hlavni Linux router pred AP meri i
tok.
>
> Casto maji Ti lide jeste backup a pak je vyhodnejsi merit primo u
nich.
> Navic je pak mozna, ze lide sosaji i mezi sebou.
toky mezi lidmi nezpoplatnujeme (takovy tok jde ale prez cetralni gw,
kde je na jednu
hromadu pro jistotu shapnut - aby si lidi nezvykali prenaset CDcka
mezi sebou)
> > Pokud nemate nejakou gateway u AP, pak Vam lokalni toky klientu z
> > jednoho AP chodi po napajeckach tam a zpatky - my se snazime tyhle
> > bludny toky omezit. Proto je snadne merit "centralne" pro dany AP
>
> Jake toky mate namysli? Nejak nerozumim.
dva pristupove body zapojene ke stejnemu AP, komunikujici mezi sebou.
Pokud neni
na jejich LRP nastaveny primy rout tak posilaji vsechno na nejakou
default GW. Pokud tato
je od AP vzdalena, pak linkou napajaejici ten AP tece tok tam a
zpatky.
Protoze neshapujeme na jednotlivych routerech, musime shapovat tento
lokalni tok na GW a tak
na LRP ani nemuzeme povolit prime spojeni mezi nimi.
>
> 11Mbps radiem, to asi mysli DSSS ve 2.4G, coz? Ale to ani teoreticky
> nemuze protlacit 11Mbps dat! Ta 11 neni propustnost!
ja to snad tvrdil?? Mych nekolik Mbps nemusi nutne znamenat hned 11:-)
>
> Nicmene kdo rika, ze nejrychlejsi radio je prave tohle?
no jasne. Vsichni kdo provozujeme bezdratove site pripojujeme klienty
ve velkem
v licencovanem pasmu, ze?
Na rychlejsi radia v 2.4Ghz si jeste nejaky patek pockame.
> Podle mych zkusenosti chytre navrzene mereni (ipchains) neni na
zatezi
> > CPU znat.
> > Samozrejme desitky mbps nam tim netecou...
>
> Podle mych zkusenosti je ipchains znat. Rozhodne neni rozumne s
pravidly
> prilis plytvat.
ja jsem samozrejme taky proti plytvani. Chytrym rozdelenim merenych
toku do
vnorenych userchaninu lze ledacos usetrit.
>Mame masiny, kde toky dosahuji rychlosti PCI sbernice!
to je Vas problem. Nas ne (bohudik/bohuzel?)
> ? Proste toky z accountingu jsou zanedbatelne.
>Pokud nestaci nejake AP,
> prida se dalsi. :-)
u technologie 2.4Ghz to muze byt problem (kanalu je dost malo...)
> Arpwatch?
to je temer k nicemu. Kazdy umi zmenit vlastni MACku na cizi.
Jasne, pokud pripojujete vetsinou firemni klientelu (rozumnej - mate
vyssi ceny) tyhle
problemy se Vas asi bezprosttedne netykaji. Pokud ale zakazniky tvori
z naproste
vetsiny soukormnici ci drobne firmy, kteri kazdy prispivaji (penezi)
jen po troskach
takze jich musi byt hodne, aby to melo smysl, pak neplati, ze jeden
LRP = jeden
zakaznik, ale je jich na nem vic. Dokud staci sitovky, tak se
pridavaji nove, pak
musi prijit na radu switch. Tam pak hrozi to, ze nekdo zmeni sve IP na
jine
(treba i vcetne zmeny MACky), prohodi u routeru kabely atd.
Tunel ma jeste tu vyhodu - muzete rucit za spravnost namerenych dat.
Je-li klientuv
PC vypnuty, tunel neexistuje, neni co merit. Takze ani nejaky pokus o
napadeni
pocitadla pingem ci UDP prenosem odkudsi z tramtarie neuspeje.
D. Toman
Další informace o konferenci Linux