@
neroxps 抱歉关于 802.11r 没有太多的经验,建议可以搜索一下 openwrt+802.11r ,查询更多讨论。这个其实纸面上的内容就是减少两部验证过程的时间。特别的要求就是终端也要支持,大部分手机在 wifi 连接管理器下都能见到 802.11r 的标识。但是不懂抓包无法验证。
早期我在 mesh 上也加载了 802.11r ,而且这是个 adhoc 组网,观察的一个更有趣的情况,同一个终端是同时连接在 2 个 ap 上,一个信号好,一个信号差,现在给它来个弱信号踢除是什么情况。当时观察比较细致,无法确定是否是 802.11r 导致。
另外我认为 mesh 状态还是比 ap 时先进的,至少对于 batman adv mesh 这种声明有一定漫游特性的实现,可以在后台看到大量终端状态变化的信息的。
组 mesh 时最好是两设备间可视无障碍,毕竟无线弱信号导致的 ap 呑吐下降也是存在的,那个 mesh point 接口就是通过无线建立一直存在的。公司里就选择了 5g 频道用来 mesh 通讯,2.4g 进行覆盖。把性能影响降到最低。
哈哈,这么多年无线网络组网经验我也不敢回答这个问题,看看大家的回复我认为有些回复也是错的。
首先我真的不知道什么叫无缝漫游,无缝是什么意思,至少 9 年过去了我依然不知道什么叫无缝漫游,也许可以查一下华为的无缝漫游解释。就像不知道谁创造出了个叫有线回程,传着传着都叫有线回程。新兴的名词叫 802.11r 快速漫游而不是什么无缝漫游。
针对这个有线 mesh 组网,漫游效果。
1.大部分设备实现用的 802.11s
2.要明确终端自己决定了该什么时候发起漫游,比如苹果的漫游阈值是-75dbm
3.我是 ac 无用论用户,因为用的 openwrt 可以用脚本实现一些,比如最简单的踢除弱信号,再让终端自行选择信号最好的 ap 。
base_rate 可以在低速率时自行断开
4.为什么要用有线 mesh ,谁能想 uap ac 系列在 openwrt 无线 mesh 时 180mbps 都跑不起来。。。连 tplink wdr4310 都不如。最后全部将 mesh point 接口和 br-lan 桥接,直接接于交换机端口上。
有线 mesh 时和有线 ap 时测不出性能差别。此时两 mesh 设备会通过无线的 mesh point 接口进行少量通讯,理论上是有一点点点点性能占用。如果有一个有线断,这时候将通过无线 mesh point 借另外一个通讯,就是上面说到的 30%性能差别。
当时采用有线 mesh 就是为了解决性能+漫游(刚开始没应用弱信号踢除,比较明显的问题,换一个 ap 都要输入一次密码,后来应用了公认的有一定漫游特性的,指的是具备数据快速从 ap1 切换到 ap2 的 batman adv mesh )
5.如何制造-75dbm 的切换过程
无线网络工程能否成功取决于一开始的布点规划,可以想像现在有两个圆圈代表两个 ap ,两个圆圈的交集代表从 ap1 过渡到 ap2 。实际上公司开扩现场每 ap 覆盖半径都 12 米左右,单 ap 之前是以左右覆盖 25 米规划的。一般家庭没这么大区域。此时只能通过调整两 ap 的发射功率,通过 tplink 的网络百宝箱在两 ap 的直线交汇中心点测是否差不多到-75dbm 就差不多了。我估计 10 米长的房子 2.4g 17dbm 发射功率差不多了。
从 ap1 由近走远由-60 走到-75,到 ap2 由远走近-75 走到-60 ,这就是所谓的终端决定漫游。当然如果设备有弱信号踢除选项最好开启,公司里我设定值是-80dbm 。
没什么要说了,自己试了就知道了,最简单的家庭无线漫游就是统一 ssid/统一密码+统一 dhcp 在漫游切换时获得一样的 ip 设定,这就是华为的所谓设备间无缝漫游。当然无线这种设备 /终端的兼容性我也不敢打包票。同事家就一个 tplink+华为,300 块都没的成本从 1 楼覆盖到 5 楼,没 ac 什么事。
自己试了就知道了,真正要掌握的是通过发射功率控制覆盖面积,制造出漫游切换区域,就这么简单。
刚看了 smartdns 通过 ping/tcping 返回最快的唯一结果不知道是否真的就是最好。延迟有时候只能反应一种拥塞程度。
这么多年使用 isp 提供的就是最好的,真被封锁的网站直接翻出去。有意识到农行有问题的,直接使用电信 dns 解析结果,用 dnsmasq 指定在联通线路上使用。
有空验证一下 smartdns
拼多多在我的 moto g7 plus ,美行系统挺正常的。强制关闭不存在自己启动的情况。
手机一直安装蓝色盾牌 android firewall ,这应该是一个 2013 年的 app 。
从观察的现象通常是网络通,唤起 app,app 之间又互相唤醒,最后简单到把这些自己会启动的 app 删除。。。
已经好多年没用过 海卓手机加速 什么开机启动 /网络切换唤醒之类的设定了。
新买就不要浪费时间,直接退换,跟卖家描述一下故障现象就可以了,thinkpad e595 我都遇到系统都重装成功,就是会间谒性死机,最后换新了事。
连接到其它公司内网,对方提供的是深信服的 sangfor ,也是在移动专线过一会儿就断,至今无力解决,因为网上一堆遇到这种问题的。
softether 自己的协议倒是可以一直在线,必竟它一直强调它用的是 https 。
l2tp 中国电信也是会表现为用用突然连不了了。。。现在我知道是电信有问题,不是服务器端有问题。电信这种我算是看透了,几年前对一些 vps 提供商提供的大文件测速链接,一点直接丢来 N 个 tcp reset 。无良的电信,能访问什么不能访问什么,人家说了算。
真好,因为流量咨费问题,从移动换到联通。可能是咱真的不懂移动吧,当时用着 26 块的月租才 300MB 。。。现在动不动就送人半年。。。
现在换联通天神卡,神了每个月通知我只用了 0mbps.每个月都 6G 流量。问题,房间内基本一格,经常接不到电话等来短信通知。。。
算了反正也没什么电话,省事了。。。
公司的服务器基本早上 7 点网络唤醒,晚上 21:30 左右关闭。双硬盘,没别的了,我也感叹才这么点电。。。
Dell r720 2667v2 16 核相当 i5 9 代那个不带核显型号。。。
做了两天功课,利用中午时间心惊胆颤的把服务器升级了。
这台 2013 年 6 月 28 日购入,2016 年 6 月 29 日停止支持的 dell R720 还在线上运行。虽然不喜欢 dell 的台式办公机,不喜欢它家的笔记本电脑。服务器还是只能没有选择的喜欢,必竟一台 2013 年的产品至今还在持续提供固件支持,这就是买服务器真正花钱花得值的地方。
2017 年 3 月份,当时将 ERP 迁移到一台 I5 的台式机上,终于好好的将这服务器玩了一星期。从 2017 年 3 月 8 日至 2021 年 11 月 7 日用电量 1667.129 KWh 。
有时候很难回答该不该对服务器进行升级,花了几万块到底有几秒钟的提升。上星期 8G 内存终于遇到瓶颈问题将它更换成了 16G 内存,目前来看还至少有 1 半剩余内存可以使用。
今天将 Integrated Dell Remote Access Controller 由之前的 2.41.40.40 升级为 2.65.65.65
将 BIOS 由 2.5.4 升级到 2.9.0
根据网上的讨论,这两个组件还是得一起升级,据说还对 CPU 刷分数有非常高的提升。BIOS 的更新说明都提供了对 CPU Microcode 的更新
Updated the Intel Xeon Processor E5-2600 v2 Product Family Processor Microcode to version 0x42E.
Updated the Intel Xeon Processor E5-2600 Product Family Processor (C-1 Stepping) Microcode to version 0x61F.
Updated the Intel Xeon Processor E5-2600 Product Family Processor (C-2 Stepping) Microcode to version 0x718.
Updated the Intel Xeon Processor E5-2600 Product Family Processor (C-1 Stepping) Microcode to version 0x61D.
Updated the Intel Xeon Processor E5-2600 Product Family Processor (C-2 Stepping) Microcode to version 0x714.
预备将 CPU 由 E5 2609 更新为 E5 2667v2 ,这些当年上万块的 CPU 如今在二手市场也就 500 左右的价位。。。这是一个主频 3.3G,全核 3.6G,单核 4G 的 CPU 。甩 2609 好几条街。按照官方的文档 R720 支持 2xCPU ,每 CPU 最多 8 核。看起来这颗就是性价比最好的选择了。
不知道你怎么玩的,至少 l2tp 我使用的电信线路是有问题的。这个问题甚至简单到每天用脚本换一个跟昨天不一样的 ip ,然后会发现 tcp 80 443 等等都有问题。还以为 vps 上的服务有问题,最后竟然是 pppoe,至少换了 4 次 ip 才正常。
其它的像流量超标导致低速率也经常碰到。
感觉你需要的是一个带 reconnect 的软件,像 softether 。或者对脚本进行判断重连。或者用 softether 组成反向连接。
真不知道你这网怎么组的,既然云在线,网络在,那只能是服务器端 ip 变化。难道不是 ddns,不是想看的时候看一眼,一直使用 vpn 通讯?
Windows ie 之流得用特殊的软件才能 socks5 上网,一般人不会吧,至少得装了 profixer 才能全局。
之前在网关屏蔽内网 ip ,微信非企业微信通过 socks5 上网会导致放大不了聊天内容中的图片。
钉钉用 socks5 倒没任何问题。。。
这几年踩过的坑,一般家用还算好用的是 nat ,但是如果没有 openwrt 这种完全定制化的固化,很多安全防护是很难做到的
1.iptables -P INPUT DROP
防火墙入方向要先拒绝,然后一个个允许。这问题当时在使用 vps 时傻眼了,默认 ACCEPT 怎么可以连接到基于公网的 ip
2.强制所有的 DNS 查询都经过网关,这样才可以做一些基于 dnsmasq 的访问限制
-A prerouting_rule -s 192.168.0.0/16 -p udp -m udp --dport 53 -j DNAT --to-destination 192.168.99.253
3.syn flood 抑制,这个 openwrt 默认就有了
iptables -F syn_flood
iptables -N syn_flood
iptables -A syn_flood -m limit --limit 100/s --limit-burst 50 -j RETURN
iptables -A syn_flood -j DROP
4.动态封禁扫描,可以用 hacker iptables recent 搜索一下,之前介绍的文章是用 iptables recent 模块实现,后来因为有了 ipset ,事情就更简单了,所有踩中陷阱的源 ip ,统统封禁 3 分钟。
iptables -I INPUT 3 -i eth0.2 -m set --match-set banned_hosts src -j DROP
iptables -I INPUT 4 -i eth0.2 -p udp -m multiport --dports 80,161,1863,5060 -j SET --add-set banned_hosts src
iptables -I INPUT 5 -i eth0.2 -p tcp -m multiport --dports 20,23,25,110,135,137:139,161,445,1080,2323,3128,3306,3389 -j SET --add-set banned_hosts s
ipset destroy banned_hosts
ipset -N banned_hosts hash:net timeout 180
5.集成 softether ,vpn 到内网再访问服务是个好习惯。避免突然有天发现端口被 ISP 封禁了。。。
Select Language