zi_rus Опубликовано 14 августа, 2015 · Жалоба Вы 13 микротиков поставите, вместо одного? он, да! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 14 августа, 2015 · Жалоба Отчего ж они "ненужные"? Их для галочки сделали чтоли? Если есть технология, почему бы ей не воспользоваться? А если у вас будет 12 провайдеров, Вы 13 микротиков поставите, вместо одного? Для галочки. Например если вам надо подключить 2 провайдера к одному устройству, то придется сделать несколько маркировок, несколько перенаправлений и т.п., все это будет занимать ресурсы. Можно поставить 3 микротика, при этом каждый из них будет делать только простую работу, что позволит передавать в разы больше трафика. 12 провайдеров быть не может, потому что если есть потребность в отказоустойчивости, то подключают операторов по BGP, если не хватает скорости, то расширяю каналы. А сейчас указывается то, что делают пионеры, когда подключают себе 10 операторов по 1000р. со скоростью 100 мегабит, а после перепродают трафик по цене 500р. за 50 мегабит по радиоканалу=) Не бывает "дефотл" маршрутов. Это жаргонизм. Бывают маршруты 0.0.0.0/0 и ничто не мешает им быть в нескольких экземплярах. Не мешает, только работать будет один из них, если не прибегать к схемам управлением передачи пакетов. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zi_rus Опубликовано 14 августа, 2015 · Жалоба со стороны офиса один default gateway кажется разговор шел про отказоустойчивость Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 14 августа, 2015 · Жалоба Вставлю еще свои 5 копеек. Когда рельно нужна отказоустойчивость и на хабе несколько операторов, то: Покупается/арендуется /24 сетка, поднимается BGP со обоими(тремя, десятью) операторами. На филиалах, когда один оператор - все понятно, когда два - на хабе делается два VPN концентратора на одном роутере, привязываются к разным /32 адресам из имеющегося /24. В филиалах просто статикой прописываются маршруты до разных /32 хаба через разных местных провайдеров. Внутри тоннелей уже все что хотитие: EIGRP, OSPF,IS-IS, RIP (гы-гы). Дефолты переключать как душе угодно. от IP SLA до BGP. Прошу заметить - и на хабе и в филиале по одному роутеру, а не по три некротика. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
devi11 Опубликовано 14 августа, 2015 (изменено) · Жалоба Например если вам надо подключить 2 провайдера к одному устройству, то придется сделать несколько маркировок, несколько перенаправлений и т.п., все это будет занимать ресурсы. Можно поставить 3 микротика, при этом каждый из них будет делать только простую работу, что позволит передавать в разы больше трафика. А можно поставить маршрутизатор помощнее, ресурсы которого маркировка не будет занимать на 100%. Да и не встречал я такого, что маркировка 2-3 100 Mbps каналов на RB1100AHx2 отбирала 20% CPU. А RB1100 далеко не самый мощный в линейке. Изменено 14 августа, 2015 пользователем devi11 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 14 августа, 2015 · Жалоба А можно поставить маршрутизатор помощнее, ресурсы которого маркировка не будет занимать на 100%. Да и не встречал я такого, что маркировка 2-3 100 Mbps каналов на RB1100AHx2 отбирала 20% CPU. А RB1100 далеко не самый мощный в линейке. Нет. Если вы видели программы институтов по сетевым технологиям, то там никогда не говорилось о том, что на одном устройстве можно объединять несколько функций, при этом даже приводились картинки, типа таких: На ней видно, что для приема каждого канала стоит отдельная железка, потом на другой железке все сводится, а сервера решают каждый свою задачу. Например ДНС сервера это 2 разных отдельных сервера, потому что в настройках на компах указывают 2 днс сервера, при этом тут смысл в том, что если один перестанет работать, то второй возьмет на себя нагрузку. А не так, когда оба адреса указывают на одном устройстве. Аналогично и другие функции - каждый решает свою задачу, что бы не было такого, когда поменяли одну настройку одной службы, а какая-то другая по не ясным причинам работать перестала. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
stas_k Опубликовано 14 августа, 2015 · Жалоба Двойное копирование это из ядра в юзерленд процесс, переключение контекста, жевание пакета, копирование п.. ну тогда ipsec Прошу заметить - и на хабе и в филиале по одному роутеру, они вон, отказоустойчивости хотят, по этому и три. :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 14 августа, 2015 · Жалоба Например если вам надо подключить 2 провайдера к одному устройству, то придется сделать несколько маркировок, несколько перенаправлений и т.п., все это будет занимать ресурсы. Какой нибудь ненужный комп с линуксом/фрёй легко с этим справится на 100 мегабит, и ещё 80% проца, как минимум, будет простаивать. Если вы видели программы институтов по сетевым технологиям, то там никогда не говорилось о том, что на одном устройстве можно объединять несколько функций, при этом даже приводились картинки, типа таких: То для студентов, чтобы у них мозг не взорвался, а к выпуску им начинают обводить это пунктиром и говорить о железках по дороже, которые всё это сразу могут. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 15 августа, 2015 · Жалоба Какой нибудь ненужный комп с линуксом/фрёй легко с этим справится на 100 мегабит, и ещё 80% проца, как минимум, будет простаивать. То есть такой компьютер будет надежнее микротика? Опять же, микротик можно купить и он работает сразу, а на комп еще нужно операционную систему поставить. То для студентов, чтобы у них мозг не взорвался, а к выпуску им начинают обводить это пунктиром и говорить о железках по дороже, которые всё это сразу могут. Только когда эта железка сломается, сразу все перестанет работать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myst Опубликовано 15 августа, 2015 · Жалоба Наоборот, два дефолтных маршрута не могут быть по определению. Показать? С тебя хорошее пиво. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
xaker1 Опубликовано 15 августа, 2015 · Жалоба А можно поставить маршрутизатор помощнее, ресурсы которого маркировка не будет занимать на 100%. Да и не встречал я такого, что маркировка 2-3 100 Mbps каналов на RB1100AHx2 отбирала 20% CPU. А RB1100 далеко не самый мощный в линейке. Нет. Если вы видели программы институтов по сетевым технологиям, то там никогда не говорилось о том, что на одном устройстве можно объединять несколько функций, при этом даже приводились картинки, типа таких: На ней видно, что для приема каждого канала стоит отдельная железка, потом на другой железке все сводится, а сервера решают каждый свою задачу. И тем не менее мы видим, что провайдер A и провайдер B подключены к одному AT AR-770S, а не к двум разным железками, и еще 3-й, которая объединяет каналы :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 15 августа, 2015 · Жалоба То есть такой компьютер будет надежнее микротика? Опять же, микротик можно купить и он работает сразу, а на комп еще нужно операционную систему поставить. Он уже надёжнее тика. Купить подразумевает трату времени и денег, а также необходимость куда то таскаться или ждать когда приедет. Накатить ОС - это из здания выходить скорее всего не нужно. Так что затраты не в пользу тика. Только когда эта железка сломается, сразу все перестанет работать. Взял любую другую, переткнул винт и оно всё снова работает, ЗИПа просто завались. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pppoetest Опубликовано 16 августа, 2015 · Жалоба То есть такой компьютер будет надежнее микротика? http://forum.nag.ru/forum/index.php?showtopic=106633&view=findpost&p=1156454 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
stas_k Опубликовано 16 августа, 2015 · Жалоба Взял любую другую, переткнул винт и оно всё снова работает, ЗИПа просто завались. там даже винт не нужен. USB Flash. на одном read only образ системы, на другом конфиг. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
devi11 Опубликовано 17 августа, 2015 · Жалоба Взял любую другую, переткнул винт и оно всё снова работает, ЗИПа просто завались. Не думаю, что это входит в понятие отказоустойчивости. Пока вы перетыкаете винт, сколько клиентов от вас уйдут? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
GrandPr1de Опубликовано 17 августа, 2015 · Жалоба Взял любую другую, переткнул винт и оно всё снова работает, ЗИПа просто завались. Не думаю, что это входит в понятие отказоустойчивости. Пока вы перетыкаете винт, сколько клиентов от вас уйдут? абсолютно нисколько, там делов на 5 минут и происходит раз в пятилетку Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 17 августа, 2015 · Жалоба И тем не менее мы видим, что провайдер A и провайдер B подключены к одному AT AR-770S, а не к двум разным железками, и еще 3-й, которая объединяет каналы :) Нет, провайдер А и провайдер B это отдельные устройства в указанной сети. А та, к которой они подключены, и объединяет каналы. Купить подразумевает трату времени и денег, а также необходимость куда то таскаться или ждать когда приедет. Накатить ОС - это из здания выходить скорее всего не нужно. Так что затраты не в пользу тика. То есть компьютер вы не покупали? Если берете какой-то старый, то его надо разобрать, почистить от пыли, проверить, если он не комплектный, подключить отсутствующие элементы. Далее записать операционку на CD или флешку, пройти процедуру установки и настройки, для чего нужно физически находится за компьютером перед монитором. Вместо того, что бы достать микротик из коробки и подключиться по маку для первоначальной настройки. абсолютно нисколько, там делов на 5 минут и происходит раз в пятилетку Это если админ в серверной живет. Если микротик сломался, достаточно вместо него поставить другой микротик. Если сломался ваш сервер, то простое перетыкание диска не поможет, потому что сетевые адаптеры будут другие и настройки к ним нужно привязывать по новой. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NikAlexAn Опубликовано 17 августа, 2015 · Жалоба Нет, провайдер А и провайдер B это отдельные устройства в указанной сети. А та, к которой они подключены, и объединяет каналы. Эт ты с чего так решил то? Судя по схеме, раз железки без наименований, то это точки подключения к провайдерам. Возможно и железки но уже провайдеров. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
devi11 Опубликовано 17 августа, 2015 · Жалоба абсолютно нисколько, там делов на 5 минут и происходит раз в пятилетку Поздравляю Вас! Спокойная у вас жизнь. А я вот не могу на минуту юзеров лишить интернета и VPN'а, поэтому и прошу отказоустойчивую схему. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
devi11 Опубликовано 17 августа, 2015 · Жалоба На ней видно, что для приема каждого канала стоит отдельная железка, потом на другой железке все сводится, а сервера решают каждый свою задачу. А с этим Saab95 был прав. Буквально сегодня столкнулся с DDoS'ом на один из линков. И маркировка входящих соединений в полочку загрузила процессор, т.к. трафик сначала проходит через Connection Tracking, а потом Mangle Prerouting и входящие коннекты ничем невозможно отсеять. Фактически, роутер не справляется со своими задачами, т.к. проц перегружен. Догадываюсь, что сейчас полетят ответы типа "Используйте специальную железку для защиты от DDoS'а стоимостью $100500", но как вы понимаете, не каждый может себе позволить такую роскошь. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NikAlexAn Опубликовано 17 августа, 2015 · Жалоба А с этим Saab95 был прав. Буквально сегодня столкнулся с DDoS'ом на один из линков. И маркировка входящих соединений в полочку загрузила процессор, т.к. трафик сначала проходит через Connection Tracking, а потом Mangle Prerouting и входящие коннекты ничем невозможно отсеять. Фактически, роутер не справляется со своими задачами, т.к. проц перегружен. Догадываюсь, что сейчас полетят ответы типа "Используйте специальную железку для защиты от DDoS'а стоимостью $100500", но как вы понимаете, не каждый может себе позволить такую роскошь. 1. В приведённой схеме только одна железка принимает каналы от операторов. 2. Если учесть что x900 - это L3 коммутаторы - то схема как раз для Вас. Добавить ещё один роутер(770s) и вперёд. 3. Конкретные модели оборудования советовать - нужно знать трафик и кол-во абонентов. Если действительно нужна высокая надёжность то с микротиком я бы не связывался уж точно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
devi11 Опубликовано 17 августа, 2015 · Жалоба 3. Конкретные модели оборудования советовать - нужно знать трафик и кол-во абонентов. Если действительно нужна высокая надёжность то с микротиком я бы не связывался уж точно. Спасибо! Я и не прошу конкретные модели оборудования. Мне хотелось узнать варианты обеспечения отказоустойчивости и выбрать из них наиболее приемлемый для меня. Хотя микротик в соотношении цена/возможности пока выигрывает. Мне не нужны какие-то сверхкрутые функции. Нужно просто поднять несколько сотен туннелей, настроить маршрутизацию/приоритезацию и обеспечить приемлемую скорость в каждом туннеле. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NikAlexAn Опубликовано 17 августа, 2015 · Жалоба Хотя микротик в соотношении цена/возможности пока выигрывает. Мне не нужны какие-то сверхкрутые функции. Ну это смотря что и как считать. Нужно просто поднять несколько сотен туннелей, настроить маршрутизацию/приоритезацию и обеспечить приемлемую скорость в каждом туннеле. Ништяк. :-() Ну прям по Саабу. Тогда стопка CCR-ов вам в помощь. :) Тут вроде про dmvpn уже упоминалось. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 17 августа, 2015 · Жалоба А с этим Saab95 был прав. Буквально сегодня столкнулся с DDoS'ом на один из линков. И маркировка входящих соединений в полочку загрузила процессор, т.к. трафик сначала проходит через Connection Tracking, а потом Mangle Prerouting и входящие коннекты ничем невозможно отсеять. Фактически, роутер не справляется со своими задачами, т.к. проц перегружен. Теперь понятно почему нельзя вешать все функции на одно устройство? 1. Когда у вас каждое устройство подключено только к одному провайдеру, не нужен Connection Tracking и Mangle Prerouting, следовательно нагрузить процессор в полочку вредоносным трафиком не выйдет. 2. Когда у вас каждое устройство подключено только к одному провайдеру, то выход его из строя не влечет перебои в работе сети, его можно легко заменить. Я и не прошу конкретные модели оборудования. Мне хотелось узнать варианты обеспечения отказоустойчивости и выбрать из них наиболее приемлемый для меня. Хотя микротик в соотношении цена/возможности пока выигрывает. Мне не нужны какие-то сверхкрутые функции. Нужно просто поднять несколько сотен туннелей, настроить маршрутизацию/приоритезацию и обеспечить приемлемую скорость в каждом туннеле. Я же писал - поставьте 3 микротика в центре и по 3 в каждом офисе. Все будет отлично и бесперебойно работать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
devi11 Опубликовано 17 августа, 2015 · Жалоба Я же писал - поставьте 3 микротика в центре и по 3 в каждом офисе. Все будет отлично и бесперебойно работать. Ну а сам механизм VPN как обеспечить? 2 туннеля + OSPF? Или всё-таки бондинг? Или вообще BGP? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...