Amoled Опубликовано 31 марта, 2018 · Жалоба Добрый день. Нужен коммутатор в стойку в качестве бордера: - 24/48 х 1G по меди и как минимум 2 х 10G SFP/SFP+; - с поддержкой BGP. По производительности: - будут ставиться L3 ACL (нужна поддержка вплоть до ttl, stream-id); - очень желательно помимо accept/reject иметь rate-limit как действия ACL; - из одного 10G в другой будет моментами ходить 10G трафика. Хотел взять Juniper EX3300, ценник на саму железку заманчивый, но оказалось что BGP там только по AFL лицензии, которая стоит в полтора раза больше железки. Пишут некоторые что работает и без лицензии, а некоторые - что только 30 дней. В общем не знаю, стоит ли связываться? Возможно кто-то может посоветовать лучший вариант? Спасибо! P.s.: Если по лицензии Juniper на BGP кто-то имел опыт длительного использования без оной, было бы хорошо услышать, можно в приват. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 31 марта, 2018 · Жалоба Бгп то сколько роутов планируете? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Amoled Опубликовано 31 марта, 2018 · Жалоба 1 minute ago, zhenya` said: Бгп то сколько роутов планируете? Default. Хотя иметь запас для 2xFull View было бы неплохо, по возможности. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myst Опубликовано 31 марта, 2018 · Жалоба За каким хреном на коммутаторе FV и возлагать на него роль бордера? А так 4948е. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vvertexx Опубликовано 31 марта, 2018 · Жалоба 3 часа назад, Amoled сказал: а некоторые - что только 30 дней. такое только у триала, с соответствующей инфой в show system license, столбик expire. А тут RTU. Но могут заблокировать в дальнейших прошивках. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
GrandPr1de Опубликовано 31 марта, 2018 · Жалоба Хочу фаервол, но что б маршрутизатор, но как бы коммутатор. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Amoled Опубликовано 31 марта, 2018 · Жалоба 1 hour ago, GrandPr1de said: Хочу фаервол, но что б маршрутизатор, но как бы коммутатор. Покупать какой-нибудь SRX, чтобы поставить L3 ACL? Покупать MX, чтобы аннонсировать одну сеть с default route? Ах-ха-ха, вы смешной парень. 1 hour ago, vvertexx said: такое только у триала, с соответствующей инфой в show system license, столбик expire. А тут RTU. Но могут заблокировать в дальнейших прошивках. А был опыт длительного использования без лицензии у вас лично? Просто если да, то я купил бы EX3300 да и не парился бы, полностью удовлетворяет по всем параметрам вроде ... 2 hours ago, myst said: За каким хреном на коммутаторе FV и возлагать на него роль бордера? А так 4948е. Читал про него в соседней теме. Я так понимаю там BGP из коробки, без доп. лицензий? Ибо новый стоит 450 т.р., примерно эквивалент 48 портового EX3300 + лицензии AFL. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Mystray Опубликовано 31 марта, 2018 · Жалоба В 3300 bgp и остальное L3 работает RTU, но сама по себе железка менее гном от этого не становится. > show system license License usage: Licenses Licenses Licenses Expiry Feature name used installed needed bgp 1 0 1 invalid ospf3 1 0 1 invalid ospf2 1 0 1 invalid vrrp 1 0 1 invalid Licenses installed: none > show bgp summary Groups: 1 Peers: 2 Down peers: 0 Table Tot Paths Act Paths Suppressed History Damp State Pending inet.0 234 117 0 0 0 0 inetflow.0 0 0 0 0 0 0 Peer AS InPkt OutPkt OutQ Flaps Last Up/Dwn State|#Active/Received/Accepted/Damped... 10.0.100.61 65005 225033 217742 0 1 9w5d 13:06:13 Establ inet.0: 117/117/117/0 inetflow.0: 0/0/0/0 10.0.100.62 65005 34479 33344 0 7 1w3d 11:46:19 Establ inet.0: 0/117/117/0 inetflow.0: 0/0/0/0 > show route summary Router ID: 10.0.100.60 inet.0: 3734 destinations, 3856 routes (3734 active, 0 holddown, 0 hidden) Limit/Threshold: 8000/8000 destinations Direct: 14 routes, 14 active Local: 17 routes, 17 active OSPF: 3587 routes, 3583 active BGP: 234 routes, 117 active Static: 2 routes, 1 active Access-internal: 2 routes, 2 active inet6.0: 28 destinations, 28 routes (28 active, 0 holddown, 0 hidden) Limit/Threshold: 4096/4096 destinations Direct: 4 routes, 4 active Local: 3 routes, 3 active OSPF3: 21 routes, 21 active L3 и then policer в фильтре есть. С IPv6 бывают странности. Готовьтесь к тому, что коллизии с флудом пойдут уже с 1,5 тысяч мак-адресов. А если не повезет на хеш, то и на сотне. Или к тому, что флеш у них умирает регулярно. Или к тому, что между primary и secondary подсетями на одном vlan-интерфейсе будут дублироваться ICMP-пакеты, при чем через CPU, нагружая и без того хлипкий mips. Или к тому, что flow-control-а железка боится, как огня, и может увести свич-чип в ребут от одного сошедшего с ума д-линка. Или к тому, что при смене мастера в стеке могут отвалиться L3 фильры на влан-интерфейсах. В общем, много веселого. Хотя полноценный джунос, роутинг, даже vrf-lite с роут-ликами и остальной junos-магией. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Amoled Опубликовано 31 марта, 2018 · Жалоба 9 minutes ago, Mystray said: В 3300 bgp и остальное L3 работает RTU, но сама по себе железка менее гном от этого не становится. L3 и then policer в фильтре есть. С IPv6 бывают странности. Готовьтесь к тому, что коллизии с флудом пойдут уже с 1,5 тысяч мак-адресов. А если не повезет на хеш, то и на сотне. Или к тому, что флеш у них умирает регулярно. Или к тому, что между primary и secondary подсетями на одном vlan-интерфейсе будут дублироваться ICMP-пакеты, при чем через CPU, нагружая и без того хлипкий mips. Или к тому, что flow-control-а железка боится, как огня, и может увести свич-чип в ребут от одного сошедшего с ума д-линка. Или к тому, что при смене мастера в стеке могут отвалиться L3 фильры на влан-интерфейсах. В общем, много веселого. Хотя полноценный джунос, роутинг, даже vrf-lite с роут-ликами и остальной junos-магией. У меня и сотни mac не будет, это top of rack для двух десятков серверов. Т.е. AS и аннонсировать сеть, держать какие-то ACL'и, ну и все. Или даже в таком варианте эксплуатации он не самый лучший вариант? Что тогда посоветуете под мои задачи? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
GrandPr1de Опубликовано 31 марта, 2018 · Жалоба 1 час назад, Amoled сказал: Покупать какой-нибудь SRX, чтобы поставить L3 ACL? Покупать MX, чтобы аннонсировать одну сеть с default route? 6 часов назад, Amoled сказал: Хотя иметь запас для 2xFull View было бы неплохо 39 минут назад, Amoled сказал: это top of rack для двух десятков серверов 7 часов назад, Amoled сказал: коммутатор в стойку в качестве бордера я хз что тут добавить Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Amoled Опубликовано 31 марта, 2018 · Жалоба 21 minutes ago, GrandPr1de said: я хз что тут добавить Ну, все когда-то были новичками. Можно промолчать, можно помочь и что-то поправить, объяснить почему так. А можно писать "остроумные" комментарии. Глядя на них я и правда считаю, что вам просто "хз что добавить". Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Mystray Опубликовано 31 марта, 2018 · Жалоба 4 часа назад, Amoled сказал: У меня и сотни mac не будет, это top of rack для двух десятков серверов. Т.е. AS и аннонсировать сеть, держать какие-то ACL'и, ну и все. Или даже в таком варианте эксплуатации он не самый лучший вариант? Что тогда посоветуете под мои задачи? Не лучший из-за надежности. Если, например, с мрущим флешем еще как-то можно жить (логи не писать локально, периодически регенерировать ячейки и т. д.) то с общей стабильностью у железки тоже совсем не очень. При всей моей нежной любви к Juniper и Junos не могу советовать EX-линейку, в особенности ранних поколений (32/33). Б/У Каталист, их тут могут насоветовать немало. Те же 3750/3560, мне кажется, должны вас устроить. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
GrandPr1de Опубликовано 31 марта, 2018 · Жалоба 3 часа назад, Amoled сказал: Ну, все когда-то были новичками. Можно промолчать, можно помочь и что-то поправить, объяснить почему так. Если вы больше никакого посыла не увидели в моем комментарии, тогда я перефразирую. Конкретизируйте свои требования. Когда вы поймете что вам нужно - сможете подобрать железку. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pingz Опубликовано 31 марта, 2018 · Жалоба @Amoled В джуне нет ACL есть фильтры :D Вроде только на MPLS Лицензия нужна. https://www.juniper.net/documentation/en_US/junos/topics/concept/ex-series-software-licenses-overview.html#jd0e220 Под BGP лицензия AFL show system license License usage: Licenses Licenses Licenses Expiry Feature name used installed needed bgp 0 1 0 permanent isis 0 1 0 permanent mpls 0 1 0 permanent Licenses installed: License identifier:xxxxxxxx License version: 4 Valid for device: xxxxxxxxx Features: Routing - Advanced licensed routing protocols permanent show version fpc0: -------------------------------------------------------------------------- Hostname: EX4550 Model: ex4550-32f Junos: 15.1R6.7 JUNOS EX Software Suite [15.1R6.7] JUNOS FIPS mode utilities [15.1R6.7] JUNOS Online Documentation [15.1R6.7] JUNOS EX 4500 Software Suite [15.1R6.7] JUNOS Web Management Platform Package [15.1R6.7] Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
xcme Опубликовано 31 марта, 2018 · Жалоба 7 часов назад, Amoled сказал: Ну, все когда-то были новичками. Можно промолчать, можно помочь и что-то поправить, объяснить почему так. Есть коммутаторы доступа, коммутаторы агрегации и коммутаторы ядра. В большой сети есть смысл разделять доступ и агрегацию пользователей и доступ и агрегацию серверов/оборудования. В небольшой сети можно некоторые "уровни" объединить. Бордер обычно отдельная железка. Это рекомендует иерархический дизайн. Да, можно взять шасси типа MX480, набить модулями и сделать в нем и доступ и агрегацию и ядро, да еще и бордер, но это несколько неправильно. Если требуется держать несколько FV, то лучше взять отдельную железку. Там не требуется много портов, часто достаточно десятки на вход и десятки на выход и все (для небольших сетей). В одном из постов написано "Default или 2 FV". Это звучит как "пешком, ну или на самолете", то есть это принципиальный вопрос на самом деле. :) Надо здесь определиться и уже отсюда исходить. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myst Опубликовано 1 апреля, 2018 · Жалоба 15 часов назад, Amoled сказал: Читал про него в соседней теме. Я так понимаю там BGP из коробки, без доп. лицензий? Ибо новый стоит 450 т.р., примерно эквивалент 48 портового EX3300 + лицензии AFL. богапэ много где изкоробки. вот только FV не надо ждать. Да и вы точно уверены что вам нужен FV? 13 часов назад, Amoled сказал: Ну, все когда-то были новичками. Можно промолчать, можно помочь и что-то поправить, объяснить почему так. А можно писать "остроумные" комментарии. Глядя на них я и правда считаю, что вам просто "хз что добавить". Вам уже популярно объяснили. Коммутатор TOR и бордер с FV это разные вещи. Совсем разные. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Amoled Опубликовано 1 апреля, 2018 · Жалоба 16 hours ago, xcme said: Если требуется держать несколько FV, то лучше взять отдельную железку. Там не требуется много портов, часто достаточно десятки на вход и десятки на выход и все (для небольших сетей). В одном из постов написано "Default или 2 FV". Это звучит как "пешком, ну или на самолете", то есть это принципиальный вопрос на самом деле. :) Надо здесь определиться и уже отсюда исходить. Мм, определимся так - на первое время хватит и default. После может быть уже и чего-то другое куплю. Ранее советовали 4948е. Новый он стоит как космический корабль (не мой бюджет), остаётся либо б/у (что-то не хочется рисковать), либо везти самому из-за границы (в Китае много новых продают за более менее адекватные деньги). Есть два вопроса: 1) 4948е это оптимальный вариант, либо же есть что-то более подходящее? 2) На 4948е понадобится ли докупать какие-то лицензии? Спасибо. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myst Опубликовано 1 апреля, 2018 · Жалоба Бу стоит копейки, если страшно возьмите два, один положите на полку. 37 минут назад, Amoled сказал: 2) На 4948е понадобится ли докупать какие-то лицензии? Нет не понадобится. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myst Опубликовано 1 апреля, 2018 · Жалоба Вот же есть соседняя тема, там ответы на все вопросы Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Butch3r Опубликовано 1 апреля, 2018 · Жалоба Великолепный аппарат 4948e Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
xcme Опубликовано 1 апреля, 2018 · Жалоба Кстати, самому стало интересно. Что посоветуете под резервный бордер с 4 FV и 2x10G? Трафика будет идти около 8Гб. Других каких то требований к нему нет, главное чтобы не тупил при этом, да и все. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
GrandPr1de Опубликовано 1 апреля, 2018 · Жалоба 6 минут назад, xcme сказал: 4 FV и 2x10G? Ну я бы советовал МХ80, но больше 4 FV уже рисково. Вроде 5 стабильно на нем живет. Там всё в память упирается. На борту у него 4 sfp+. Это если бюджет не очень большой. Ну и учитывая что это резервный бордер. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
xcme Опубликовано 1 апреля, 2018 · Жалоба Juniper понятно, а есть вариант чтобы дешево и сердито? Предположим, что на время аварии достаточно будет и 2 FV. =) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vvertexx Опубликовано 1 апреля, 2018 · Жалоба @xcme Микротик. один на одну FV, один на вторую FV, один чтоб их балансировать, и один чтоб Saab95 был доволен Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
GrandPr1de Опубликовано 1 апреля, 2018 · Жалоба 4 часа назад, xcme сказал: Juniper понятно, а есть вариант чтобы дешево и сердито? Предположим, что на время аварии достаточно будет и 2 FV. =) Ну те цены что я знаю - куда уж дешевле и сердитее за железный раутер, который не плющит от одного факта кучи роутов. Не знаю как в вашем регионе, но думаю не сильно отличается. Б\У так изи найти за 3-4к$. 3 часа назад, vvertexx сказал: @xcme Микротик. один на одну FV, один на вторую FV, один чтоб их балансировать, и один чтоб Saab95 был доволен И получается что уже на цену Б\У джуна дотянули)))))) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...