shodan_x

Ну да, куда нам до вас говно-провайдеров недоделанных, у которых канал по 5 часов в день лежит, пока вы доки сисочные курите, когда новая сильно БУ сиська-свич с ибея отказывает :)

Сюрпрайз да? :))))) Да мне в *** не уперлись эти 136 гигабит ее матрицы комутации, у меня для комутации на L2+ длинк с матрицей 200 гигабит стоит с 12-ю! SPF+, при этом по цене в 4 раза ниже сиськи. Хотя за цену той сиски в 200-300 касарей я не удивлен 136 гигабитам матрицы.

Да мне товарищ сугубо похер что у тебя не прожует, у меня жует и радуется. Еще и куча проца остается на второстепенные задачи в виде тунелей и раздачи интернета. Руки выпрями слегка, и все у тебя заработает :) Провайдери-сетевики вашу мать! :) Читаешь вас и ржош ***.... жгите дальше... своими кривыми руками!

Умник *** :) Да куча вопросов! 1-вый Товар бывший в употреблении. 2-ой Гарантия: 3 месяца 3-тий Ваша цена — 973.56$ Можно продолжить и дальше, к примеру по функционалу которого нет в циске но есть в микроте, но не гочется кунать вас товарищ лицом в грязь :) Я же ставил задачу, найти новую железку за 500 баксов от именитого бренда. :) Причем тут 1 SFP+ порт? При том что на 2 SFP+ порта надо расходовать 4 потра в свиче минимум. (для не просвещенных поясню, 2 порта до сервака, 2 порта до циски, иначе смысл второго SPF+ теряется на текущей топологии) При пропускных способностях сохо дисковых полок 20Г абсолютно бесполезная штука. Тут микрот поступил очень верно поставив 1 сфп+ модуль.

Когда 4948 перестанет стоит четверть ляма за экземпляр, тогда да можно и подумать, а пока оно неприменимо нигде вообще. На работе не применимо потому что даже на сервак за такую цену шеф денег не выделит. А дома неприменимо потому-что нет охраны с автоматами, собаками и колючей проволоки по периметру :) БУ с ибея я не имею дурацкой привычки покупать, потому как это лотерея без гарантии. Единственное что из дорогого имею привычку брать забугром, это новые сетевухи с амазона, там можно их найти очень дешево, при очень-очень низком проценте обмана. При покупке микрота в магазине за 500, хотябы появляется какая-никакая годовая гарантия. Ну это для дома кончено. А для работы, вынь да полож еще пачку бух. доков на покупку. Я с удовольствием постебаюсь, когда на Авито/ёбеях CCR-ки БУ-шные пойдут, за считанные копейки. Но это не сейчас, а через год-полтора. lacp.... на один SFP+ порт, ха да вы братец приколист однако :) "скукожится на 3-4х гигабитах" - у меня отлично работает на 8-ми, с огромным запасом по производительности! Больше 8 гигабит самопальная дисковая полка не тянет.

Я приводил тесты и 0.6 мппс и 1.2, показывая что это далеко не потолок, народ всеравно не возбудило, я в этом не виноват. Новую железку с SFP+ портом от именитых брендов с характеристиками не хуже и за 500 баксов выж мне всеравно не покажите :) (как показывает общение в других топиках) Так-что господа провайдеры завязывайте этот флуд. Тут про 10 мппс писали, так нахрена ж мне 10 мппс, когда ширина канала до 10Г используется под файло-медиа-контент с джумбофреймом? (вопрос реторический, можете не отвечать) *WRT - кусок пионерии, на порядок или даже на два нестабильнее и глючнее того-же ROS. А если его обновлять регулярно, готовься к глюкам и держи при себе отвертку с RS232 кабелем, знаем проходили... Видимо вы не знаете о чем говорите. "TL-WDR4300 к примеру весьма годный девайс для этих целей" - когда оно начнет роутить 10Г за один присест, свистните, а пока оно физически не способно :) Или вы товарищ "нитро" слепой?

Я бы не сказал что там простые настройки. Взять тот-же роутинг и фаервол. Так оно мало отличается от настройки того-же в iptables iproute2, разве-что все параметры правила оформлены в виде хорошо читабельного интерфейса, но смысл то тот-же, без понимания как работает iptables c интегрированными патчами(patch-o-matic, а ныне xtables-addons) и iproute2, к микротику лучше ближе чем на километр не подходить! У меня микрот популярен за его исключительную дешевизну. При этом соотношение цена-производительность у него очень-очень высокое. Надавно получил вот 10Г карточки и провел тест SFP+ модуля у микрота, результат как всегда порадовал. У конкуретнов за эти деньги(500 баксов за новый CCR1009) нет ничего даже близкого, что способно без проблем прожувать все 10 гигабит, проверяя их по правилам фаервола(при том довольно гибким правилам), переливая их при этом из одного влана в другой. Я уже не говорю про весь прочий функционал. Еще он у меня популярен за его исключительную стабильность, по сравнению со всякими длинками-асусами-зухелями-тплинками. Не скажу за всех конечно, но сугубо уверен, что простота настройки, это далеко не то, что дает популярность микротику. Про навыки... навыки везде нужны, и микротик далеко не исключение.

Спасибо, все теперь предельно ясно, это обычный недо-роутер простой софтварный роутер находящейся в той-же нише что и микротиковские CCR, линуксы, фряхи и прочий самопал PC на дешевом железе. Из чего я делаю прямой вывод что куча наездов на данном замечательном форуме ничем не обоснована. Я и не сомневаюсь. Но за меня эту проблему будут решать те кто отвечает за предоставление нам и нашим клиентам интернет канал. Что уже случалось, и вполне быстро решалось. И микротик тут не причем. У каждого необходимости свои, мне хватает: фаервола, впн-ок, ipv6 шлюза, PCQ шейпера, балансира на 2 канала. И с этим оно отлично справляется на тех скоростях на которых мне надо. До которых SRX220 судя по этому топику недобраться никогда даже при условии что стоит он на амазоне столько-же, уже не говоря о Российских магазинах. А L3 свичу просто нехватит функционала. Вот собственно и весь расчет :) Я бы с тем-же успехом мог поставить на линухе роутер с парой доп. сетевух, но денег он бы попросил даже чуть больше, ввиду необходимости SFP+ в дополнение к обычной двухпортовой сетевухе. При этом бы комп занял больше места, сожрал бы больше энергии, и потребовал бы чуть больше времени на настройку. и всеравно был-бы более оптимальным вариантом для меня по сравнению с SRX220.

Далеко не каждый провайдер/хостер выпустит рандом-сорс IP из своей сети. Исключения есть, но их не много. А син-флуд с сотни-другой адресов можно легко блокировать автоматически. А так да, в целом, если таки рандом сорс пришел по инет каналу, я пока методов защиты на микротике не знаю. "сохо - оно и есть сохо" так по прочитанному на разных форумах включая этот, Juniper SRX это тоже сохо. Не сильно отличающееся от линухового компа. "ддос - значит исходных адресов много. а поток - это уже десятое дело" да не бред, ниразу, ведь DDOS придти может и по двум инет каналам, общей пропускной способностью 2 гигабита, что будет с это железкой при таком DDOS... мне кажется она даже от 0.5 MPPS загнется. я уже не говорю о 2-3 MPPS с двух каналов, потому что это тоже сохо, притом линейка явно начального класса.

Да вот я бы постеснялся постить килопосты флуда, без конкретных цифр. Только чистые убеждения наблюдаются у обитателей с большим колличеством постов, при полном нуле конкретики. Пусть я даже буду хоть 100 раз теоретиком, это не отменяет полного отсутствия конкретных данных со стороны сторожил. FATHER_FBI - спрашивал как улучшить, ему ответели, сорри это потолок. В моей железке это далеко не потолок. При том что джунипер SRX явно софт-роутер и точно такими-же проблеммами(больше правил, ниже производительность)... Вот из за этого у меня встает резонный вопрос, почему при равной стоимости джунипер лучше нормально настроенного микротика. Конкретно "почему"?

Например по чему это он его должен уложить, если добавить лимит количество SYN пакетов и занисение адреса в дроп-лист? Ну это опять-же проблема не железа. При включении вышеописанного, насколько падает производительность с заявленных 300 мегабит / 0.2 MPPS ? И очень интересно пробовалась ли 220-я железка под умеренным флудом, как я спрашивал выше 0.5мппс? Я вот к примеру без особо длительных усилий выжимаю при флуде с авто-блокировкой его источника через занесение в адрес-лист записи вот столько: В моем понимании можно и больше (к тому-же загрузка проца не максимальна т.к. в тестировании участвует не мощный ПК), но у меня на микротиковских клиентских свичах будут стоять лимиты по пакетам, а интернет каналы столько пакетов принять не дадут чисто из соображений пропускной способности.

т.е. вы хотите сказать что у SRX220 нет таких проблем. Видно плохой таки стенд..... Routing (Packet Mode) PPS: 200Kpps по дш SRX220 А раз вы говорите цетирую "Ддос", значит флуд может придти и по нескольким портам. То соотв, может исчислятся многими MPPS Что с ней происходит при входящих 0.5 MPPS ? можно скриншот? С гигабитом и 1 MPPS нет проблем получить... но я столько и не прошу, давайте отталкиваться хотя-бы от 0.5. Тут заявляли что требует, мол отключайте все, привращая ее в свич, в посте номер два.

К сожалению мне вероисповидание не позволяет покупать БУ вещи без хотя-бы годовой гарантии с неизвестной степени исправности и надежности. А можете рассказать чем SRX220 лучше "по функционалу"? очень хочется узнать мнение специалиста. Мне правда не ясно зачем мне функционал, когда уже на минимальной нагрузке 220-тый упирается в потолок. Пусть я даже получу меньше ненужных фенечек, но при этом железка обеспечит мне необходимую пропускную способность и весь необходимый мне функционал. С этой точки зрения Линукс выглядит тоже не плохо(даже лучше SRX), даже без наложения кучки эксперементальных патчей на ядро. Пока применительно к реальной задаче, я вижу что комп справляется лучше хваленого Juniper SRX220. Собственно я не удивлен... не должна лоу-кост железка с кучей софтварной обработки справляются с задачами лучше примерно аналогичного компа. По приведенному топу видно хорошо что SRX не способен на многоядерные операции: "43.7% idle" "99.22% flowd_octeon_hm"

С подобной нагрузкой очень хорошо справится так-же CCR1009. Через пару дней получу 10G карточки, и выдам отчет о потолках данной железки, если интересно следите за форумом. Для нее 1 гигабит внутри локалки точно не придел. А тест в мир, к сожалению я более чем за 200 мегабит провести не могу. Но при тех-же 200 мегабитах, загрузка считанные проценты. PS.Тут недавно расхваливали Juniper серии SRX как панацею от всех бед, применительно к простым задачам. Рад слышать что все-же это не так. (прошу не воспринимать эту строку как повод для очередного флейма)

Флудерасты ***.... и этот ресурс засрали...

Снабжать конкурентов ценной инфой о хайлоаде, извольте, мне платят не за это. Провода протирать по понидельникам, это задача сетевиков :)

Прослежевается полное непонимания сути слова "включить". Ну да ладно фиг с ним... Да и говорил я ТСу не об этом, а о избавлении от анализа контента или апгрейде. Вам же конкретно пытался донести, что волшебные настройки есть и вы тут не правы.... ну тоже фиг с ним, вы человек сложный, я это вижу, читаете только то что хотите а не то что пишут.... Задачи, еще раз задачи... они у всех разные. Для сведения админ и сетевик, это несколько разные по задачам должности. Мне вот иметь кучу микротов вокруг не мешает держать дохренища крупнейших ресурсов рунета. И админом я завусь совсем не из за того что микротики применяю у ряда работодателей и дома. Для меня мелкие сетевые задачи скорее нежелательная побочная нагрузка, с которой указанные железки справляются на раз-два! Ненадо путать теплое с мягким.

Так оутдор у них не очень давно появился вроде как.... хотя может и ошибаюсь. Кстати линки далеко не лучшего качества. Особенно вспоминается SXT которую обязательно надо дополнительно гермитизировать. Как и в целом вафель не отличается качеством. Тот-же QRT2, пока один канал не отключешь, классические 802.11 клиенты чувствуют себя менее комфортно в плохих условиях приема. В плане вафеля и вообще аутдора есть определенное, неистребимое желание попробовать Юбиквити. А вот роутеры микротик делает отличные.

ssh! брут?! УВОЛИТЬ к хренам такого админа надо, незамедлительно!!! Нефиг светить SSH портом куда не следует, и подвергать сеть потенциальной опасности! Темболее когда речь идет о админке сетевого оборудования. Это знаете равносильно тому как светить манежмент порты какого нить хюлитовского свича в инет... это очень увлекательно, но довольно опасно :) Если ну ОООчень надо светить портом, есть масса средств защиты, как то порт-кнокинг, тунельки, занесение в блек-лист по правилу срабатывающиму с определенной частотой.... Читаем повторно и вдумчиво мой преведущий пост, до полного просветления. Эдакий бета-тестинг у меня был в много лет назад с вечно отваливавшейся и изрядно тормозной кисокой ASA 5505, при этом неожиданно хотящей денег за нужный мне функционал. Вспоминаю как страшный сон, точнее предпочитаю не вспоминать вообще, но вы вынуждаете. NiTr0 - вы как явный спец по микротикам должны-бы были понять еще на этапе знакомства с их продукцией, что они ее делают специально для красноглазиков... хотя-бы по тем простым признакам что большая(а раньше вся) часть линейки выполненна в виде отдельных плат. Вы же судя по знанию нюансов поднятия BGP на микроте, пытались применить его для хорошего шлюза, возможно и с немалой AS за ним, получили эпик-фейл. Ну что-же отрицательный результат - тоже результат!

Нород память там меняет и использует нормально и на 2 и на 3 пира. Правда справедливости ради надо сказать, что до лета там были проблемы с мультиядерностью. Но сейчас вроде как все починили.

NiTr0 - вы прям и вправду в каком-то зазеркалье живете. ТС хотел улучшить производительность пяточка правил, я продемонстрировал как это сделать, двумя способами, и даже замер привел на желаемых правилах. Тут люди успешно решают этим железом проблемы, а у вас по всей видимости даже простые задачи не решаются. Ну так это проблема вовсе не микротика. Хотя я понимаю, вам подавай прям сразу BGP Full-View на 3 пира.... так сыровато оно еще для этого, серия новая. Да и моделька нужна хотя-бы от 36 ядер, т.к. в 9 ядерных слотов под оперативку точно нету, и 16 ядерная моделька без них была вроде-бы. Ибо специфика у них не та. Будте реалистом! А вот как роутер для локалок и для шлюза без своей AS, более чем подходит. Отсюда кстати и выбор размера ОЗУ, и отсутствие возможности смены модулей. И ваши циски остаются далеко позади с их астрономическими ценниками. Разве что какой нить софтовый циско-хлам, с негарантированным PPS за цену в разы выше реальной производительности конкурентов. Мне так вообще, висит вон эта CCR-ка зал украшает... и большего я от нее не требую. Ибо бралось на замену 850-той коробочке, когда она не смогла выдать желаемые >1Г :) :) :) Или что... вы разве видели железки от циски за 35 касарей(в рублях, в гривну сами переведите, за курсами не слежу), которые вам фулвью на 3 пира сделают?

dignity - Да я б с радостью бы и 100G построил, да зарплаты в заМКАДье не столь фееричны :( 60 ядер нынче не новость, кое-кто из бюджетного сигмента 72 ядра с некоторых пор ставит. Но удовольствие не из дешевых. 4 касаря зелени кажется, или около того. Для дома дороговато. Мне нищеброду за один лишь 10Г длинк придется 4 месяца зубы на полке держать.

Так конечно делает. Покажи мне НОВУЮ циску или джунипер за 11 000 рублей, с характеристиками RB850Gx2 или лучше. Или за 35 000р, которая аналогична или лучше CCR1009-8G-1S-1S+RM Если покажешь, я себя публично покараю :) А пока не показал, бред, это то что вы тут человеку советовали.

Я разве против что-то говорил? Простые микротики (не CCR) для этого и сделаны, для именно таких задач. Ну и не 15, а 30. А 850-тый 80 тянет хостов за милую душу, да еще и без фасттрека 300-400 мегабит между VLANами марштуризирует. Проблем пока не предвидится, инеты нынче за МКАДом очень дороги для юриков. Гигабиты никто подводить за копейки не будет. И микроты справляются(ну у меня покрайней мере). Я пока не увидел ни цисок ни ждуниперов способных делать то что делает 850-тый, за его цену в 10 000р. Бу оборудование не рассматривается, т.к. бухгалтерия за покупку БУ вещей с ибея очень любит вешать за причинное место. А вот CCR-ки подают надежды на нечто большее!!! Конечно на тысячи абонентов я бы и ццр-ку бы не поставил. Так тут это и не обсуждается. Тут Лоу-Кост.

Мы микротиковцы-красноглазики-дебиано-убунтоиды не только веруем, но и активно используем различные методы оптимизации. Вот несколько скриншотов, сделанные специально для Вас. Длобежка hping3 между VLAN со скоростью 0.28MPPS(больше одно ядро проца не генерит) - утилизация 54% CPU микрота... печалька... Потом делаем волшебство отключая мангл правил на пакеты между вланами, ибо нахрен он там не сдался. Оптимизируем дополнительными условиями и очередностью правил Filter Rules. И снова длобежка hping3 между VLAN со скоростью 0.28MPPS(больше одно ядро проца не генерит) - утилизация 17% CPU Мало скажете? Ну да... какие-то жалкие 0.28 MPPS :) Достаем из шкафа куклу вуду, тыкаем игоками, активируем FastTrack, подключаем к тесту еще декстоп на винде и генетируем столько пакетов сколько сможем, но на этот раз в приделах установленной сессии, потому как атрибут fasttrack на сессию ставим только после того как она ESTABLISHED или RELATED, и уже была проверена всеми нужными правилами фаервола. На этот раз применяем Iperf с урезанным MSS (насколько позволяют условия)... И что видим? А видим трафик между VLAN со скоростью 1.23MPPS - утилизация 13% CPU И вы еще заявляете что "тру-настройки" не помогают? Гы, да вы просто нифига не умеете микроты готовить! Правильные и оптимальные настройки не менее важны чем мегагерцы проца или пропускная способность памяти. С линухами точно так-же. (что и не удивительно) Я бы сказал, что утром CCR1009 давал 0.17MPPS, так вы-же не поверите мне без скриншота. А все потому что я набросал быстренько правила и забыл на некоторое время. Однако надо было делать не абы-как, а сразу качественно. Но времени не было на настройку. А я ж такой не один, много кто так-же на скорую руку настраивает. Посему надо понимать что оптимизация конфига очень важна! Собственно о чем я и говорил с самого начала, к любой настройке любого оборудования надо подходить с умом и с огромным запасом времени, к проектированию сети и хотелок тоже нужно аккуратно и с умом подходить. Маленькая сеточка, можно и микротик взять, криминального в нем нет ничего. Просто надо расчитывать всегда с запасом и заранее прикидывать под какие задачи оно покупается. Изменяются задачи, изменяется железо, так всегда было. А на цисках свет клином не сошелся, у них свой сигмент, у микрота свой, ненадо путать теплое с мягким. myst - ты вот убытки уже считаешь, а у меня на работе текущей RB450G уже 5 лет трудится, и выполняет все что от него требуется безотказно! Благо требуется совсем немного. Он себя уже 1 000 000 раз окупил, и в запасе лежит другой микрот на случай аварии. У топик-стартера такие-же задачи, такой-же бюджет. Только более убитая железка, но более мощные хотелки. На старой работе и на подработках целый зоопарк микротиков тоже, потому-что дериктора жадные и задачи под которые микротики отлично подходят. У знакомых тоже куча микротиков. Для дома так оно вообще вне конкуренции, нашелся бы только настройщик этого железа. Ну раз топикстартер все решил, тему можно бы и закрыть.