BF-Systems

Я почему то думал что этот форум для людей имеющих отношение к сетям в любом их виде, неважно - провайдер, корпоратив, или просто домашний юзер. Я ошибся и этот форум только для сисадминов провайдеров а остальные могут гулять лесом ? Железок "все в одном" - небывает поопределению, где то что то лучше проработано производителем, где то хуже. Если девайсы которые мы придумали и продаем - позиционаруются как универсальный компактный сервер/гипервайзер с низким потреблением и хорошими сетевухами, и заявляем с ответственностью что гигабит делает влегкую как ни крути - это не значит что этим девайсом можно заменить ВАЩЕ ВСЕ. Да - роутер достаточно продвинутый нормально будет работать, да - телефонию туда же всунуть можно в соседнюю виртуалку, да - можно сайты запихнуть туда же, в еще одну виртуалку, да - оно будет нормально делать гарантированый гигабит, даже на большом количестве пользователей... но оно не может быть вообще блин всем сразу и заменить вообще все. Так же как и любое другое оборудование, не важно какого вендора. Так же как небывает людей которые "знают и умеют все". Так же как небывает стоек с оборудованием только одного вендора, как ни крути, но алл инклюзив не сделаеш на одной коробке. По поводу хает или не хает - ну вы все микротик хаете - так чем вы лучше того сааба о котором говорите ? Теже яйца только вид в профиль. А разделить функционал - это не плохая идея и кредо. divide et impera - разделяй и властвуй. З.Ы. вот и закончились мои "3 сообщения в день" ((( по поводу поста который ниже: Паваротти мне не нравится, полное гавно, мне сосед напевал, а оригинал я даже слушать не стал. Гигабит делает гарантировано, перенесли на один девайс три ccr1009, которые усирались в полку на 100%, так еще и ресурсы остались свободные. Переваривает все что делали целых три штуки апаратных микрота, не самых худших. на фильтрации и НАТ - нагрузка на процессор идет, в любом софтроутере. а сеть и килопакеты упираются в количество прерываний, и очередей. неважно каком, будь то микротик, линукс, фрибсд, и все производные от них где взят за основу сетевой стек того что я перечислил, и где все проводится через вычислительне блоки ЦПУ - упираются в мощьность оборудования. если оборудование может переварить - значит может, если не может - значит не может.

вы тут все либо свихнулись со свои БГП, либо читать напрочь неумеете и по русски не понимаете... на каком языке мне нужно написать, что я считаю что принимать фулвьювы и бжп, на микрготик НАХ... НУНУЖНО ? или вы издиваетесь что ли ? и делать на миктотике ip unnumbered - я считаю что ТОЖЕ НАХ.й НЕНУЖНО ! сколько раз мне нужно это повторить и как написать, что бы до вас всех наконецто это дошло ? выпад, не конкретно в вашу сторону, но мля хоть пытайтесь понять что вам пишет собеседник, пожалуста. достали уже со своим БГП. я сто раз повторил уже что в каждой зоне ответственности и для каждой конкретной задачи надо выбирать свой софт и оборудование.

Да-да, и при этом клиенты друг друга увидят и смогут обмениваться инфой? А что с crs (и всеми клиентами на нем) случится, если один клиент воткнет кабель в полугорелую сетевуху личного ноута, которая жестко флудит, в надежде "а вдруг на работе заработает раз дома не хочет", и уйдет пить чай? Да-да, плевать на асимметрию, плевать что трафик будет ходить невесть куда - труЪ-интерпрайз админы фуллвью не юзают... Потому, что в багтрекере микротика критические баги (ну как к примеру краш от ssh брутфорса) висят годами неправленные? Тогда странным выглядит желание запихнуть роутер в виртуалку, делая кпд этого поделия на уровне паровоза, с эдак 3-5-кратной просадкой производительности в маршрутизации... долбаное ограничение в три сообщения... извините напишу с этого акаунта. 1. вы вообще читаете чьи либо сообщения, кроме своих собственных ? Мы с вами общаемся на разных языках ? Я опять спрошу - я где то сказал что БГП ненужен ? Я сказал - что 5 фулвьюв на микротике не нужны так же как и уплотнение сети делать на нем не нужно. ВАША МОЯ ПОНИМАТЬ, ВАША УМЕТЬ РУССКИЙ ЯЗЫК ЧИТАТЬ ? 2. я клал на багтрекер прибор, так же как и на брутфорс микротиковского ССШ. первое что делает любой вменяемый и дружащий с головой админ - ограничивает доступ к системам управления только для определенных ипов или сетей, выключает ненужные службы, перевешивает нужные на нестандартные порты. В случае использования гипервайзера - ссш вообще можно выключить совсем и осуществлять доступ к консоли - из VMware vSphere Client, напрямую в виртуалку, как если бы вы находились за консолью включеной в устройство. 3. процитирую часть сообщения, которое я наисал другому пользователю в личке, касательно устройств которые производит _моя_ фирма.: VmWare ESXI 5.5: в дефолтном имедже отсутствует драйвер одной из набортных сетевых карт, мы предоставляем готовый поправленый имедж, либо можно взять драйвер этой сетевки на форуме supermicro - в их серверах ставится такой же комплект сетевух. гость Juniper vSRX firefly perimetr - углубленно не тестировали, за ненадобностью. гость pfSense - отлично работает, прокачивает через себя полку 970мбит через нат и фаервол, при нагрузке на процессоре в 40-60% гость Mikrotik RouterOS 6.x - отлично работает, прокачивает через себя полку 980-990мбит через нат и фаервол, при нагрузке на процессоре 30-40%. везде где стоит именно такая комбинация софта - либо два-три роутероса с большой нагрузкой, либо большая пачка до 10-15 микротов с мелкой нагрузкой. 4. если неумеете или не знаете как делать так что бы виртуалка полноценно работала с сетью - могу научить, расказать, показать на примерах, поделиться опытом. мне не тяжело. 6. по поводу свича mikrotik CRS125 - это полноценный свич, с полноценным набором функций присущих нормальному свичу + возможностью роутинга (на мой взгляд совершенно ненужной) З.Ы. добавлю пару картинок, НАТ, фаервол Л7 примерно около 50 сигнатур, 40 пользователей, замер посреди рабочего дня. все пользователм на свиче в отдельных влаланх, видят друг друга через роутер, после фильтрации. роутерос в виртуалке.

ну ну. особенно когда по ночам это гавно под названием мкт валится/вещается здоровее становитесь. ))))))))))))))))))))) конкретные примеры приведете ? у меня это говно используется только как виртуалки на девайсах которые я показал выше, либо как свичи crs серии. есть дешевые коробочки на точках где не нужно больше 50-100мбит и более 5 портов, весь функционал которых - поднять eoip и пустить весь трафик через центральній офис. я говорю не о операторсом уровне а о корпоративном. даже рб2011 - выполняет свою задачу - забриджевать еоип и вланы с еоип и физикой - на все 120 долларов которые он стоит, и 970 мбит. а через нат и фаервол на нем больше 300-350 ну не выдавиш. fasttrack непонятно работает (по сути является мтк вариацие cg-nat как я понял) но когда работает - то и через нат 600-700 пролезет. фаерволить или натить/бордерить на апаратном микроте за 30-700 баксов - бред. мощьность паршивая. а вот делать тоже самое на х86 роутеросе с хорошими сетевухами - вполне нормально. как ведут себя топовые ccr сказать немогу - не имел с ними дала за ненадобностью. или тут всем хочется что бы вонючка 30 долларовая с 64 мегабайтами ОЗУ и просом в 400МГц умела фулвьюв и натить гигабит без потерь ? о чем беседа ? оборудование из своего кармана покупаете, или из шефовского? от того что там есть пачка возможностей - не значит что их все сразу можно юзать. полегчает от того если выпилят все лишнее и оставят только то с чем эта говнокоробочка 100% справится, подстегнув таким образом к покупке более дорогостоящей, как это делают другие вендоры ? так вот сравнивать надо с равноценным товаром - мтк за 700 бачей с циской/джуном за 700 бачей, мтк за 2 куска с циской/джуном за 2 куска. мтк за 30-120 баксов с хх-линками за 30-120 баксов. так кто привлекательней смотреться будет то ? если сравнивать устройства которые стоят одинаково ? и одинаково новые не поюзаные с гарантией ? и да, я люблю сидеть почесывая промежность и заниматься ничего не деланьем, вместо того что бы дротить в консоле элементарное. на джуне srx вланы и наты настраивали когданибудь ? я его в окно хотел выбросить пока сделал. и пока понял что же все таки секьюрити зоны, и почему у меня вобще ничего не ходит никуда. З.Ы. добавлю еще что сетевой стек фрибсд - неумеет бриджевать вланы с тунелями и физическими интерфейсами. а в том же микроте можно засунуть в бридж тунель+влан+физическую дырку, да еще и л2тп туда же, и все что находится в этом бридже - полетит в один л2 сегмент, в три тыка мышкой, без всякого БДСМ и костылей, за 2 минуты.

питание 9-25 вольт. до 35 ватт потребления всего навсего. интел и5. 4 гиг ОЗУ (максимум 8 гиг). ссд мсата. закапывает некротики которые никогда особо не славились апаратной частью. на борту vmware esxi+routeros несколько (триальные канешна... ну вы поняли). пластиковая передняя морда с акуратными прорезями и лого - снята на данных фото. на борту даже сокет под сим и жсм модуль есть. любой каприз за ваши деньги, хоть второй БП - место там есть. оптика снимается если не нужна или меняется на другую. на материнке сетевки раздельные. работает от 12 вольт акамулятора, если надо. подвод питания на мать спереди + -. новый с гарантией год. на складе в достаточном количестве.

Т.е. уже изветсных явных багов мало, чтобы выкинуть эту сохо поделку туда, где ей место - в качестве домашнего роутера или максимум роутера в маленьком офисе? :) Не зная IP? курить маны на линуксовіх форумах - mndp, mactelnet и сидеть фапать в консоле то что за 5 минут в винбоксе делаеется. все тут кричат жунипер. жунипер... жунипер - то еще гавно, на которое даже пинг не сделаеш когда из коробки достанеш. имел неудовольствие работать с фаерволами srx серии. знаю людей которые купили себе мх80, но при этом не знают как посчитать MTU и где настроить в нем MSS, что бы пакеты без фрагментации через аплинка пролазили... аплинк как я понял не жунипер и со своей идеологией того что называть МТУ. любители цисок тоже подобным страдают. простой пример еще.... сколько нужно секаса что бы настроить на циско или джуне DPI/layer7 с учетом требований корпоративной безопасности ? при том что сигнатуры софта который нужно зарезать - уже вычисены и известны ? все кто тут бьет себя в грудь как кинг конг, что аж ребра трещат - привыкли получать бабло за то что они сидят с умным видом за компом с 10 утра до 19 вечера и изображают видимость работы, наяривая часами в консоле, для того что бы сделать то - что в том же самом микроте делается за 5 минут. а всем кому нехватает мощьности говножелезки за 100 долларов, которая просто физически по определению не может переварить через свой убогий одноядерный проц, больше 350 мбит через НАТ, я могу сказать - подбирайте оборудование и софт четко под свои задачи и не гоните волну на оборудование которое за те деньги которые стоит - более чем нормальное. З.Ы. ярым фанатом микрота не являюсь, просто ценю свое время, деньги, нервы

порт ssh перевесте на любой другой кроме 22, отключите все кроме ssh и winbox

запросто. через адресс листы. для этого нужно взять где то готовый адреслист, отпарсить и заблокировать одним правилом весь этот адреслист. пример : на микротике : ччч.ччч.ччч.ччч - айпи вебсервера которій занимается парсингом блоклиста /system script add name=runet-0 policy=\ ftp,reboot,read,write,policy,test,winbox,password,sniff,sensitive,api \ source="/tool fetch address=\"ччч.ччч.ччч.ччч\" mode=\"http\" src-path=\"/ru\ net/runet.txt\" dst-path=\"/runet.txt\"\r\ \n:delay 10\r\ \n#/system backup save\r\ \n:delay 5\r\ \n/system script run 1" add name=runet-1 policy=\ ftp,reboot,read,write,policy,test,winbox,password,sniff,sensitive,api \ source="if ( [/file get [/file find name=\"runet.txt\"] size] > 0 ) do={\r\ \n\r\ \n:global prfxses [/file get [/file find name=\"runet.txt\"] contents] ;\r\ \n:global prfend 0;\r\ \n\r\ \n:do {\r\ \n\r\ \n/tool fetch address=\"ччч.ччч.ччч.ччч\" mode=\"http\" src-path=\"/runet/ru\ netip\$prfend.txt\" dst-path=\"/runetip\$prfend.txt\"\r\ \n:set prfend ( \$prfend + 1 ) ;\r\ \n\r\ \n} while=( \$prfend < \$prfxses ); /system script run 2} else={ /system s\ cript run 0 }" add name=runet-2 policy=\ ftp,reboot,read,write,policy,test,winbox,password,sniff,sensitive,api \ source=":global cprfxses [/file get [/file find name=\"runet.txt\"] conten\ ts] ;\r\ \n:global cprfend 0;\r\ \n\r\ \n/ip firewall address-list remove [/ip firewall address-list find list=ru\ net]\r\ \n\r\ \n:do {\r\ \n\r\ \n:global content [/file get [/file find name=\"runetip\$cprfend.txt\"] co\ ntents] ;\r\ \n:global contentLen [ :len \$content ] ;\r\ \n\r\ \n:global lineEnd 0;\r\ \n:global line \"\";\r\ \n:global lastEnd 0;\r\ \n\r\ \n:do {\r\ \n:set lineEnd [:find \$content \"\\n\" \$lastEnd ] ;\r\ \n:set line [:pick \$content \$lastEnd \$lineEnd] ;\r\ \n:set lastEnd ( \$lineEnd + 1 ) ;\r\ \n\r\ \n/ip firewall address-list add list=runet address=\$line\r\ \n\r\ \n} while=(\$lineEnd + 1 < \$contentLen) ;\r\ \n:set cprfend ( \$cprfend + 1 ) ; } while=(\$cprfend < \$cprfxses); \r\ \n\r\ \n/system script run 0" на вебсервере с айпи ччч.ччч.ччч.ччч : <?php #Отримуємо список префіксів: $file = file("http://noc.masterhost.ru/allrunet/runet"); $num = 0; $g=1; $tmp=true; while ($tmp) { $tmp = array_slice($file, $num*215, 215); if($tmp) { #Кладемо в директорію Вашого веб-сервера: file_put_contents("./runet/runetip$num.txt", $tmp); } $num++; } #Кладемо в директорію Вашого веб-сервера: file_put_contents("./runet/runet.txt", $num-1) ?> используем для єтого php cli и crontab

routeros x86 - не умеет видеть больше 2 гиг оперативной памяти. по поводу производительности - у нас прокачивает 980 мегабит в пике, на устройстве нашего производства, через НАТ и леер 7 фаервол с кучей сигнатур, при нагрузке на проце не более 35%. Спеки девайса и подробности могу озвучить в личку, насколько я понял тут реклама платная (?) З.Ы. девайс 1U с глубиной 26см, никаких больших гробов, 2015 год на дворе.