pfexec

если ненужно тягать виланы, то сделать все стыки между свичам л3 п2п на /31 или /30 сетках и все запихать в 0 арию и будет ок.

а зачем большие префикс листы на свиче?

ничо вы с этим не сделаете, у вас в ареи 0 кольцо из 4 устройств, в такой топологии ясен красен будут перерыв трафика когда вы ломаете линк. так что угомонитесь и смиритесь. Ж)

В 5100 второй трайдент, он не умеет л3втепы, только л2, irb на vxlan'е не будет работать.

с чего вдруг оптимальный, как вы вообще решили что это оптимальнее не разобравшись о чем речь вообще: O_O зачем gre вообще, если ipsec сам прекрасно умеет быть туннелем и все линуксы/фряшечки это поддерживают, равно как и все приличные вендоры (juniper/paloalto/cisco/ubnt)? потому что микротик не умеет, то сразу ненужно? xD

эээ... микротик вроде не умеет route-based ipsec, так что тут только гре/ипенкапом обмазываться и заворачивать в ипсек. неудобно, но что поделать.

https://www.cisco.com/c/en/us/about/security-center/copp-best-practices.html вот тут что-то написано. только 49 не умеет обжыкт группы.

из академического интереса да, на проде - я что конченный ? если бузинесу надо форвардить не детские объемы трафика, то и бабосики должны быть купить что-то нормальное.

1. если нужны 10G лучше брать sfp+ и уже модулями решать что там будет - 10ка оптикой, или мультирейтовый 10/100/1000 медью (надо мультирейтовые медные модули). 2. толстые буферы нужны при берстах трафика, когда за короткое время кучку пакетов свищ не успевает вывалить в порт. если трафика мало, то об этом можно не думать. 3. хз, покупать в 2017 году железки с реинкарнацией легаси иоса так себе затея кмк. судя по беглому изучению описания - какой то маркетинговый продукт с популярными словами в описании, вобщем надо изучать юзкейсы в которых они позиционируют их. последнее время у циски все очень плохо с маркетингом и позиционированием железа. тут наверно знатоки расскажут.

мангалы 65/76 тоже морально устарели. на писюках та нончы модно vpp с бирдом тяп-ляп и форвардить десятки гигабит и мппсов )) оно само, я не виноват. лучше повыбирать иос на асре, чем страдать с мангалами. а так вам тз надо расширить и бюджет вписать, чо-нибудь тут насоветуют. но мангалы 65/76 - плохой выбор при любом раскладе.

как мило когда в 2017 люди не стесняются мечтать купить мангал 65/76 и фантазируют о "много фуллвью" и включеном софт-реконфиге. ох. а чо в "ТЗ" нет ни слова про ip6 ? решили отложить, пока не надо? может стоит немного подумать про ТЗ побольше и купить что-то актуальное дате в календаре, а не окаменелого бесполезного мамонта с ворохом родовых травм.

в 2017 году покупать 65/76 - это что-то с чем-то. морально и физически устаревшее железо. ничего кроме относительной дешевизны там нет. зачем такой запас сразу ? есть 100% уверенность вырасти в близжайшее время сохранив доходность с мегабита, т.е. за счет прироста абонентской базы ? если да, то конечно надо сразу брать на 20-40Gbps, а если "ну посмотрим как пойдет" то зачем покупать морально устаревшее железо лишь для того чтобы костылями и такой то матерью обеспечивать на нем желаемые фичи.. вобщем имхо, ASR1001-X который можно найти за 500к или даже дешевле - просто без вариантов, самый лучший бордер/брас в одной коробке. бгп считает реактивно, маршруты инсталит в фиб еще быстрее, брас фичи умеет, cg-nat умеет, лицензии right to use, пропускная способность апгрейдится до 20Gbps... вобщем один аср закрывает сразу несколько задач для оператора: 1. бордер, 2. нат, 3. брас. в качестве расширителя портов к нему можно пристегнуть любой свищ, хоть илтех, хоть кутек, хоть делинк это совсем не важно.

да б-га ради. :)

агитируешь купить мультинет дерьма с ебаев ? xD ps: если я конечно правильно узнал ник.

да кто-то диплом наверно пишет, скоро лето ж.

у вас bgp-сессия с аплинком флапается (пир присылается сиз с ризоном "изменения конфигурации"). пересчет глобалвью на калькуляторе от RE MX80 процесс весьма долгий и затратный, маршруты инсталятся/удаляются в/из fib с задержкой, перерывы в форвардинге в данный момент - нормальное дело. Вам необходимо стучать по голове аплинк, пусть чинят свое хозяйство.

открывайте кейс у TAC, скорее всего rma.

https://www.ubnt.com/edgemax/edgerouter/норм варик ваще, и коммиты есть. я щитаю надо брать.

зависит от того какие фичи вы хотите использовать. роутинг, мплс, ipsec'и и стейтфул файервол не требуют лицензий. для некоторых фич лицензий немного есть в коробке (для клиентского впна - 2 шт.).так же для BGP RR нужна SRX-BGP-ADV-LTU. но в целом держать RR на srx мне никогда не требовалось. но тут уж все зависит от вашей сети. но лицензия дорогая: $3k по GPL. я тут обычно топлю за J, поэтому да, SRX самый лучший файервол на рынке. просто потому что он еще и роутер ок, в отличии от конкурентов. про J: софт получить не проблема, если у вас есть железка. можно даже ее себе на аккаунт повесить, если J предоставить инвойсы и платежные документы по покупке оборудования на вторичном рынке. и даже потом можно саппорт на нее купить, если она, конечно, исправна. но надо быть готовым заплатить штраф за дырку в саппорте, если она такая есть. но обычно миллионов там не насчитывают.подписки на антивирусы и идс лично я не покупал (нет нужды) и, вероятно, у вас ее тоже не будет, ибо для 650ого это не три копейки: антивирус касперь-софос почти $4k, идс-ипс/защита приложений - около $6k. это в GPL, но расчитывать на большие скидки для лицензий на оборудование со вторичных рынков я бы не стал. всяких разных лицензий и их бандлов там много, можете сами по изучать, цены я привел только для идс и антивируса для того чтобы осозновать их порядок. про циску тут и так вам расскажут или вы сами знаете. :)

может проще ubnt edgerouter поставить с accel-ppp: https://community.ubnt.com/t5/EdgeMAX/PPPoE-performance-trying-accel-ppp/td-p/676925/highlight/true/page/10 ? покупать 7201 сегодня странная затея, а самый лучший в мире роутер для хоминета ASR1001-x - очень преждевременная затея, раз живете на 18ой циске. :D так что edgerouter ваш выбор я думаю.

ну откажет и что ? дежурный пойдет и переткнет патчкорд в другой порт. А если нет дежурного, то вероятно и цена даунтайма копеешная, а значит и на утро кто-нибудь приедет и подчинит.да и шансов что просто так на месте умрет свежекупленный свищ довольно мало. На моей практике прежде чем что-то умирало оно сначало много лет исправно работало.

ipv6 unicast-routing вообще включен ?

так j и запилил журнал для уфс во фряше специально для этого и дуалбут запилил. уже давно нет проблемы с хотрезетом. но грузятся они не быстро, но вряд ли тут дело во фряше. это не ***ская циска 65/76, никакой магии не нужно. просто вставляешь второй SCB, в него RE и ждешь когда оно загрузится. проваливаешься в него и делаешь что угодно: обновляешь софт, рестартишь, синкаешь конфиг; затем настраиваешь редунданси и успех.инструкцию, конечно, почитай перед экшном.

так dpdk же. почему нет ? в vmx у них pfe тоже на dpdk. ну да, уже утомительно в каждом месте читать линагз-фан-боев Ж) у линуксятников такое же не редкость. у вас какой-то расизм на почве предпочтений в ОС: все нигеры - воры, все фряша-одминчики - вахтеры. смешно. порог вхождения у фряши, кстати, самый низкий из пост-юнигз поделок, мимикрирующих под юнигз. странное очень утверждение короч. у вас там стереотипы стаями похоже выгуливаются :D

все правильно, надо демонтировать эти воздушки. есть кабельная каналеза, пользуйтесь. сломана, затоплена, закопана ? ну так пусть чинят. понятно дело что сначала надо каналезу в порядок приводить и операторов туда заталкивать, а потом уже воздушки резать... но воздушки - это жуть, конечно.