Jump to content
Калькуляторы

Посоветуйте MikroTik для BGP с FW на 3 канала

Прошу посоветовать железку для использования внутри организации.

Кроме BGP, планируется поднимать порядка 50 EoIP туннелей, NAT не будем использовать вообще.

 

Решение должно быть в стойку.

Share this post


Link to post
Share on other sites

Что же всех тянет использовать такие гадости?

50 EoIP это же ужас...

Я понимаю, когда в случае крайней необходимости в порядке исключения, можно пильнуть 1-2 EoIP. Но 50... 50... То есть вы считаете это нормальной практикой делать гигантский L2?

Ну а 3 FV (FW = FireWall) старшие модели (а-ля CCR), конечно, прожуют.

 

Но дизайн, в целом, дерьмовый. Ждите сааба, он посчитает сколько вам нужно микротиков.

Share this post


Link to post
Share on other sites

EoIP используется не как VPN, а для выноса. Это нормальный подход.

Там где нужно прокинуть сеть, будет испозоваться IPSec.

Share this post


Link to post
Share on other sites

Ну а 3 FV (FW = FireWall) старшие модели (а-ля CCR), конечно, прожуют.

боюсь что ТС имеет ввиду Full View от трех аплинков

Share this post


Link to post
Share on other sites

Первое впечатление от загрузки FV на них - "вау, действительно работает!". Потом начинаются удивления с флапами - это общепризнанная проблема, и пока никак не решена. 3 FV заводить лично я бы просто зассал.

А вообще - о какой нагрузке идёт речь?

Share this post


Link to post
Share on other sites

Ну а 3 FV (FW = FireWall) старшие модели (а-ля CCR), конечно, прожуют.

боюсь что ТС имеет ввиду Full View от трех аплинков

боюсь, что Вы не в теме), FV - действительно Full view, а FW - файрвол, но смысл предложения у g3fox все же корректный и в тему.

Share this post


Link to post
Share on other sites

EoIP используется не как VPN, а для выноса. Это нормальный подход.

Там где нужно прокинуть сеть, будет испозоваться IPSec.

 

Какое еще IPSec? Вы микротик с циской не перепутали?

 

Вместо EoIP отлично работает анонс адресов поштучно через OSPF совместно с proxy-arp, при этом нет никакого широковещательного мусора, для самого клиентского оборудования с точки зрения работы никакой разницы.

Вместо IPSec отлично работает L2TP, с натянутым поверх OSPF, аналогично и с вашей первой задачей - все удаленные микротики должны так же через L2TP подключаться.

 

Кроме BGP, планируется поднимать порядка 50 EoIP туннелей, NAT не будем использовать вообще.

 

Решение должно быть в стойку.

 

Целесообразно взять 16 ядерный CCR.

Share this post


Link to post
Share on other sites

EoIP используется не как VPN, а для выноса. Это нормальный подход.

Там где нужно прокинуть сеть, будет испозоваться IPSec.

 

Какая разница под что он используется?

L2 и есть L2.

Share this post


Link to post
Share on other sites

Конечно же, я опечатался и имел в виду FullView.

Share this post


Link to post
Share on other sites

Какая разница под что он используется?

L2 и есть L2.

Как вы выполните вынос провайдерской точки подключения /30, которую вам дал провайдер?

 

Какое еще IPSec? Вы микротик с циской не перепутали?

Оно отлично работает на Микротике, что я сделал не так?

 

Целесообразно взять 16 ядерный CCR.

А пример расчёта?

Share this post


Link to post
Share on other sites

Как вы выполните вынос провайдерской точки подключения /30, которую вам дал провайдер?

 

Вешаете на провайдерский порт прокси арп, через L3 устанавливаете белый адрес с маской /32 на нужном устройстве. Все работает.

 

А пример расчёта?

 

Микротик класса RB2011 не пойдет, т.к. у него мало памяти, RB1100 не пойдет, т.к. он уже морально устарел, версия CCR с 9 ядрами максимально удешевлена, в принципе пойдет, но если есть возможность взять CCR на 16 ядер, это будет оптимальным вариантом.

Share this post


Link to post
Share on other sites

следующая тема от ТС- памагите, микротик глючит, начальство имеет во все щели))))))

бери нормальное железо и спи спокойно.

Share this post


Link to post
Share on other sites

Server x64 1U, quagga для BGP, openvpn или pptp для туннелей. OS по вкусу и знаниям. Микротик - фтопку.

Share this post


Link to post
Share on other sites

ТС, а как у вас сейчас всё реализовано?

Share this post


Link to post
Share on other sites

скоро люди начнут меряться сертификатами по микротику похоже

Share this post


Link to post
Share on other sites

скоро люди начнут меряться сертификатами по микротику похоже

пусть для начала сам микротик обзаведется сертификатами :D

а до тех пор, это мыльницы.

Share this post


Link to post
Share on other sites

скоро люди начнут меряться сертификатами по микротику похоже

пусть для начала сам микротик обзаведется сертификатами :D

а до тех пор, это мыльницы.

если верить "Реестр зарегистрированных сертификатов соответствия на средства связи" с сайта россвязи, то уже обзавелся.

Share this post


Link to post
Share on other sites

Ух ты, действительно, свеженькие, только только в силу вступили

Срок действия: с 30 марта 2015 г. до 30 марта 2018 г.

Share this post


Link to post
Share on other sites

Ух ты, действительно, свеженькие, только только в силу вступили

Срок действия: с 30 марта 2015 г. до 30 марта 2018 г.

 

Ну так у циски пропало основное преимущество.

Share this post


Link to post
Share on other sites

Ну так у циски пропало основное преимущество.

Надежность? да вроде никуда она не пропадала. Ах да, продаваны думают только о деньгах.

Share this post


Link to post
Share on other sites

Взяли в тест RB1100AHx2, CPU загружен под 50% с FullVew.

Edited by korobeynikov

Share this post


Link to post
Share on other sites

Взяли в тест 2011, CPU загружен под 50% с FullVew.

сам факт наличия полной таблицы маршрутизации в памяти на загрузку цпу не сильно влияет. А вот что будет если начнутся флапы, вопрос другой.

Кстати, даже в топовом 2011 памяти всего 128М как там фулл вью живет?

Share this post


Link to post
Share on other sites

kaist, RB1100AHx2. Исправил, форум не даёт фотку вставить.

Share this post


Link to post
Share on other sites

ТС, так как у вас раньше-то было?

Share this post


Link to post
Share on other sites

g3fox, да ни как не было, мы не оператор. Нам нужно свою инфраструктуру резервировать.

Раньше было в своей стойке, стоял ЦентОС с Квагой, OSPF в которой постоянно глючил (хотя, как потом выяснилось из-за оборудования провайдера, который вланы давал).

 

Обслуживать свою стойку дорого: Интернет получается в 4 раза дороже, по питанию вообще не сравнить.

 

В общем, нужно решение в стойку для переезда на площадку IX. Никакого NATа. От работы железки будут зависеть прямым или косвенным путём 200 человек.

 

P.S. Не надо устраивать войны, что Микротик гавно. Я отлично знаю Циску, и поверьте, лимит на 8 VLAN`ов бесит ещё больше. В целом они отрабатывают свои $40 за железку. Мы подключаем удалённые точки где работают по 3 человека (2 компьютера + телефон). Таких точек 50.

P.P.S. Есть в сегменте Циска, но удовольствия пока от Микротика получаем больше.

Edited by korobeynikov

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this