FATHER_FBI Posted December 27, 2015 (edited) · Report post Добрый день, есть железка Juniper SRX220 Сегодня заметил что при трафике примерно в 500Мбит загрузка CPU прыгает под 90% last pid: 6997; load averages: 0.04, 0.08, 0.08 up 1+05:33:53 18:16:52 72 processes: 3 running, 68 sleeping, 1 zombie CPU states: 53.3% user, 0.0% nice, 3.0% system, 0.0% interrupt, 43.7% idle Mem: 210M Active, 128M Inact, 547M Wired, 40M Cache, 112M Buf, 45M Free Swap: PID USERNAME THR PRI NICE SIZE RES STATE C TIME WCPU COMMAND 1360 root 5 76 0 514M 60604K select 0 33.4H 99.22% flowd_octeon_hm 1369 root 5 76 0 38676K 28580K select 0 7:01 0.00% named 1385 root 1 76 0 12488K 6468K select 0 6:07 0.00% license-check 1348 root 1 76 0 27760K 10836K select 0 5:18 0.00% mib2d 1350 root 1 76 0 20252K 9072K select 0 3:49 0.00% l2ald 1347 root 1 76 0 19976K 12772K select 0 3:33 0.00% snmpd 1372 root 1 76 0 15692K 3656K select 0 2:52 0.00% shm-rtsdbd 1381 root 1 76 0 18944K 10556K select 0 2:13 0.00% utmd 1343 root 1 76 0 12716K 6440K select 0 1:49 0.00% alarmd 1352 root 2 76 0 23408K 9300K select 0 1:43 0.00% pfed 1380 root 1 76 0 13588K 6236K select 0 1:34 0.00% rtlogd 1339 root 1 76 0 3308K 1380K select 0 1:17 0.00% bslockd 1387 root 1 4 0 22788K 11980K kqread 0 1:08 0.00% eswd 1342 root 1 76 0 114M 17144K select 0 0:45 0.00% chassisd Нагрузку на процессор создает процесс flowd_octeon_hm Модули UTM выключены и выгружены. Вот конфиг железки ## Last changed: 2015-12-27 13:49:41 EET version 12.1X44-D45.2; system { host-name SRX-GW; domain-name home.local; time-zone Europe/Kiev; root-authentication { encrypted-password "*********"; ## SECRET-DATA } name-server { 192.168.1.1; } services { ssh; telnet; xnm-clear-text; dns { forwarders { 8.8.8.8; 8.8.4.4; } dns-proxy { interface { vlan.0; } cache { gw-srx.home.local inet 192.168.1.1; n40l.home.local inet 192.168.1.100; } } } web-management { http { interface vlan.0; } https { system-generated-certificate; interface vlan.0; } } dhcp { router { 192.168.1.1; } pool 192.168.1.0/24 { address-range low 192.168.1.2 high 192.168.1.254; } static-binding 20:89:84:98:bc:c4 { fixed-address { 192.168.1.2; } } static-binding e8:40:f2:65:f5:d5 { fixed-address { 192.168.1.3; } } propagate-settings ge-0/0/0.0; } } syslog { archive size 100k files 3; user * { any emergency; } file messages { any critical; authorization info; } file interactive-commands { interactive-commands error; } } max-configurations-on-flash 5; max-configuration-rollbacks 5; license { autoupdate { url https://ae1.juniper.net/junos/key_retrieval; } } ntp { server 109.87.50.122; } } interfaces { ge-0/0/0 { mac 20:89:84:98:bc:c4; unit 0 { family inet { dhcp { client-identifier hexadecimal 20898498bcc4; vendor-id ether; } } } } ge-0/0/1 { unit 0 { family ethernet-switching { vlan { members vlan-trust; } } } } ge-0/0/2 { unit 0 { family ethernet-switching { vlan { members vlan-trust; } } } } ge-0/0/3 { unit 0 { family ethernet-switching { vlan { members vlan-trust; } } } } ge-0/0/4 { unit 0 { family ethernet-switching { vlan { members vlan-trust; } } } } ge-0/0/5 { unit 0 { family ethernet-switching { vlan { members vlan-trust; } } } } ge-0/0/6 { unit 0 { family ethernet-switching { vlan { members vlan-trust; } } } } ge-0/0/7 { unit 0 { family ethernet-switching { vlan { members vlan-trust; } } } } vlan { unit 0 { family inet { address 192.168.1.1/24; } } } } snmp { community ******* { authorization read-only; clients { 192.168.1.1/24; } } } protocols { stp { disable; } } security { address-book { global { address RDP_client 192.168.1.2/32; } } inactive: utm { feature-profile { anti-virus { type kaspersky-lab-engine; } } } screen { ids-option untrust-screen { icmp { ping-death; } ip { source-route-option; tear-drop; } tcp { syn-flood { alarm-threshold 1024; attack-threshold 200; source-threshold 1024; destination-threshold 2048; timeout 20; } land; } } } nat { source { rule-set trust-to-untrust { from zone trust; to zone untrust; rule source-nat-rule { match { source-address 0.0.0.0/0; } then { source-nat { interface; } } } } } destination { pool RDP_client { address 192.168.1.2/32 port 3389; } rule-set DNAT { from zone untrust; rule dnat_RDP { match { destination-address **.**.**.37/32; destination-port 3389; } then { destination-nat pool RDP_client; } } } } } policies { from-zone trust to-zone untrust { policy trust-to-untrust { match { source-address any; destination-address any; application any; } then { permit; } } } from-zone untrust to-zone trust { policy RDP_access { match { source-address any; destination-address RDP_client; application any; } then { permit; } } } } zones { security-zone trust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { vlan.0; } } security-zone untrust { screen untrust-screen; interfaces { ge-0/0/0.0 { host-inbound-traffic { system-services { dhcp; tftp; ping; } } } } } } } vlans { vlan-trust { vlan-id 3; l3-interface vlan.0; } } Когда мало трафика root@SRX-GW# run show security monitoring fpc 0 FPC 0 PIC 0 CPU utilization : 1 % Memory utilization : 58 % Current flow session : 621 Current flow session IPv4: 621 Current flow session IPv6: 0 Max flow session : 49152 Total Session Creation Per Second (for last 96 seconds on average): 61 IPv4 Session Creation Per Second (for last 96 seconds on average): 61 IPv6 Session Creation Per Second (for last 96 seconds on average): 0 Когда делаю speedtest root@SRX-GW# run show security monitoring fpc 0 FPC 0 PIC 0 CPU utilization : 96 % Memory utilization : 58 % Current flow session : 596 Current flow session IPv4: 596 Current flow session IPv6: 0 Max flow session : 49152 Total Session Creation Per Second (for last 96 seconds on average): 63 IPv4 Session Creation Per Second (for last 96 seconds on average): 63 IPv6 Session Creation Per Second (for last 96 seconds on average): 0 Подскажите куда копать. Неужели 500Мбит для этой железки уже смерть? Edited December 27, 2015 by FATHER_FBI Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
mightyscv Posted December 27, 2015 · Report post Да. Возможно в packet mode режиме выдаст больше, но тогда попрощайтесь со всеми функциями фаервола. Ещё можно попробовать убрать "ненужное", например screens. Логика простая: чем меньше SRX фаервол - тем больше пропускная способность. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
FATHER_FBI Posted December 27, 2015 · Report post Да. Возможно в packet mode режиме выдаст больше, но тогда попрощайтесь со всеми функциями фаервола. Ещё можно попробовать убрать "ненужное", например screens. Логика простая: чем меньше SRX фаервол - тем больше пропускная способность. Включил домашний сервер с RAID10 и нормальными сетевыми картами, выжал почти 600Мбит теста в мир. Запустил тест между портами, прогнал 980Мбит. От функций фаервола отказываться не хочется. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
shodan_x Posted December 27, 2015 (edited) · Report post Включил домашний сервер с RAID10 и нормальными сетевыми картами, выжал почти 600Мбит теста в мир. Запустил тест между портами, прогнал 980Мбит. От функций фаервола отказываться не хочется. С подобной нагрузкой очень хорошо справится так-же CCR1009. Через пару дней получу 10G карточки, и выдам отчет о потолках данной железки, если интересно следите за форумом. Для нее 1 гигабит внутри локалки точно не придел. А тест в мир, к сожалению я более чем за 200 мегабит провести не могу. Но при тех-же 200 мегабитах, загрузка считанные проценты. PS.Тут недавно расхваливали Juniper серии SRX как панацею от всех бед, применительно к простым задачам. Рад слышать что все-же это не так. (прошу не воспринимать эту строку как повод для очередного флейма) Edited December 27, 2015 by shodan_x Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
nuclearcat Posted December 27, 2015 · Report post http://www.tunnelsup.com/troubleshooting-high-cpu-on-juniper-srx-junos-devices 500Mbit для железки за $180 (ebay) - очень неплохо. У нее по спекам IMIX - 300Mbps. Боюсь по функционалу Mikrotik даже рядом не лежал. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
shodan_x Posted December 27, 2015 (edited) · Report post К сожалению мне вероисповидание не позволяет покупать БУ вещи без хотя-бы годовой гарантии с неизвестной степени исправности и надежности. Боюсь по функционалу Mikrotik даже рядом не лежал. А можете рассказать чем SRX220 лучше "по функционалу"? очень хочется узнать мнение специалиста. Мне правда не ясно зачем мне функционал, когда уже на минимальной нагрузке 220-тый упирается в потолок. Пусть я даже получу меньше ненужных фенечек, но при этом железка обеспечит мне необходимую пропускную способность и весь необходимый мне функционал. С этой точки зрения Линукс выглядит тоже не плохо(даже лучше SRX), даже без наложения кучки эксперементальных патчей на ядро. Пока применительно к реальной задаче, я вижу что комп справляется лучше хваленого Juniper SRX220. Собственно я не удивлен... не должна лоу-кост железка с кучей софтварной обработки справляются с задачами лучше примерно аналогичного компа. По приведенному топу видно хорошо что SRX не способен на многоядерные операции: "43.7% idle" "99.22% flowd_octeon_hm" Edited December 27, 2015 by shodan_x Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
NiTr0 Posted December 27, 2015 · Report post С подобной нагрузкой очень хорошо справится так-же CCR1009... ...на стенде, пока нет никаких нежданчиков типа мелких ддос/червей внутри сети/прочего, после чего микротик внезапно превращается в тыкву, окукливаясь с концами. Тут недавно расхваливали Juniper серии SRX как панацею от всех бед, применительно к простым задачам. Рад слышать что все-же это не так. а в чем тут "не так"? работает согласно спекам, жует сколько заявлено (даже больше), не падает/не вешается, не требует поиска "правильных настроек" чтобы хоть как-то работать... Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
shodan_x Posted December 27, 2015 (edited) · Report post ...на стенде, пока нет никаких нежданчиков типа мелких ддос/червей внутри сети/прочего, после чего микротик внезапно превращается в тыкву, окукливаясь с концами. т.е. вы хотите сказать что у SRX220 нет таких проблем. Видно плохой таки стенд..... Routing (Packet Mode) PPS: 200Kpps по дш SRX220 А раз вы говорите цетирую "Ддос", значит флуд может придти и по нескольким портам. То соотв, может исчислятся многими MPPS Что с ней происходит при входящих 0.5 MPPS ? можно скриншот? С гигабитом и 1 MPPS нет проблем получить... но я столько и не прошу, давайте отталкиваться хотя-бы от 0.5. не требует поиска "правильных настроек" чтобы хоть как-то работать... Тут заявляли что требует, мол отключайте все, привращая ее в свич, в посте номер два. Edited December 27, 2015 by shodan_x Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
nuclearcat Posted December 27, 2015 · Report post А можете рассказать чем SRX220 лучше "по функционалу"? очень хочется узнать мнение специалиста. Мне правда не ясно зачем мне функционал, когда уже на минимальной нагрузке 220-тый упирается в потолок. Пусть я даже получу меньше ненужных фенечек, но при этом железка обеспечит мне необходимую пропускную способность и весь необходимый мне функционал. С этой точки зрения Линукс выглядит тоже не плохо(даже лучше SRX), даже без наложения кучки эксперементальных патчей на ядро. Пока применительно к реальной задаче, я вижу что комп справляется лучше хваленого Juniper SRX220. Собственно я не удивлен... не должна лоу-кост железка с кучей софтварной обработки справляются с задачами лучше примерно аналогичного компа. По приведенному топу видно хорошо что SRX не способен на многоядерные операции: "43.7% idle" "99.22% flowd_octeon_hm" Я не специалист по джунам, пока с ними знаком весьма шапочно. Активно закупаю и знакомлюсь, свитчи меня очень впечатлили. Вообще-то есть такое понятие как busy loop. Вполне возможно при превышении определенной нагрузки - проще использовать его, иначе sleep/wake transition time сожрут весомую часть процессора, не говоря о context switching. Именно в таком режиме работает например сверхпроизводительный Intel DPDK. Хотя бы лучше тем, что самые распространенные вещи он делает намного проще: https://www.fir3net.com/Firewalls/Juniper/srx-screen.html Я могу конечно вывернутся и сделать то же на линуксе (на микротике практически никак, например SYN flood уложит Mikrotik с conntrack, syn proxy и транзитных syn cookies там нет в принципе), но потрачу кучу времени. Если говорить об очень базовых фичах, т.е. сделать NAT для офиса, прикрыть чуток портов и зашейпить несколько адресов - Микротик может вполне оказаться более эффективным в плане цена/производительность. Еще есть отдельные платные фичи, которые опять же - на линуксе будут стоить уйму времени. Один раз сделать можно, но если есть куча офисов с неграмотными админами, чтобы не зашиваться с самоделками, можно использовать базовые фичи + SRX240-IDP - internet detection prevention SRX240-S-AV - anti-virus SRX240-W-WF - web filtering SRX240-APPSEC-A-1 - application security Ну и конечно джуновские commit и прочее - сверхудобная вещь. На циске и микротиках приходится извращаться макросами, чтобы сделать какое-то серьезное изменение сетевой конфигурации, где несколько команд могут нарушить сеть. Ну и самое главное - можно написать программку под freebsd (хотя я его и не люблю), и скриптовать что угодно. Вот тут и Микротик и Циска просто адски курят бамбук: простейший пример: https://kb.juniper.net/InfoCenter/index?page=content&id=KB25034&actp=search Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
shodan_x Posted December 27, 2015 (edited) · Report post например SYN flood уложит Mikrotik с conntrack Например по чему это он его должен уложить, если добавить лимит количество SYN пакетов и занисение адреса в дроп-лист? но если есть куча офисов с неграмотными админами Ну это опять-же проблема не железа. SRX240-IDP - internet detection prevention SRX240-S-AV - anti-virus SRX240-W-WF - web filtering SRX240-APPSEC-A-1 - application security При включении вышеописанного, насколько падает производительность с заявленных 300 мегабит / 0.2 MPPS ? И очень интересно пробовалась ли 220-я железка под умеренным флудом, как я спрашивал выше 0.5мппс? Я вот к примеру без особо длительных усилий выжимаю при флуде с авто-блокировкой его источника через занесение в адрес-лист записи вот столько: В моем понимании можно и больше (к тому-же загрузка проца не максимальна т.к. в тестировании участвует не мощный ПК), но у меня на микротиковских клиентских свичах будут стоять лимиты по пакетам, а интернет каналы столько пакетов принять не дадут чисто из соображений пропускной способности. Edited December 27, 2015 by shodan_x Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
SyJet Posted December 27, 2015 · Report post Шодан, вы теоретик по большей части. Я лично уже дважды видел как ccr9 ложится на 400мбитах с мелким syn флудом, а контракт выключить низя. И на своей сети за много лет наблюдал как Джун даже на телнет еле отвечал, но роутил исправно. Вы спорите с людьми которые на голову выше вас как сетевик, я бы постеснялся к примеру спорить с ядрокотом. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
shodan_x Posted December 27, 2015 (edited) · Report post Да вот я бы постеснялся постить килопосты флуда, без конкретных цифр. Только чистые убеждения наблюдаются у обитателей с большим колличеством постов, при полном нуле конкретики. Пусть я даже буду хоть 100 раз теоретиком, это не отменяет полного отсутствия конкретных данных со стороны сторожил. FATHER_FBI - спрашивал как улучшить, ему ответели, сорри это потолок. В моей железке это далеко не потолок. При том что джунипер SRX явно софт-роутер и точно такими-же проблеммами(больше правил, ниже производительность)... Вот из за этого у меня встает резонный вопрос, почему при равной стоимости джунипер лучше нормально настроенного микротика. Конкретно "почему"? Edited December 27, 2015 by shodan_x Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
NiTr0 Posted December 27, 2015 · Report post А раз вы говорите цетирую "Ддос", значит флуд может придти и по нескольким портам. То соотв, может исчислятся многими MPPS бред. ддос - значит исходных адресов много. а поток - это уже десятое дело. микротик и при десятке мегабит правильного флуда скукожится. тупо засирается коннтрак, и все падает. банальный син флуд, или даже банальный udp флуд с рандомным сорс его поставят раком. сохо - оно и есть сохо. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
shodan_x Posted December 27, 2015 (edited) · Report post рандомным сорс его поставят раком. Далеко не каждый провайдер/хостер выпустит рандом-сорс IP из своей сети. Исключения есть, но их не много. А син-флуд с сотни-другой адресов можно легко блокировать автоматически. А так да, в целом, если таки рандом сорс пришел по инет каналу, я пока методов защиты на микротике не знаю. "сохо - оно и есть сохо" так по прочитанному на разных форумах включая этот, Juniper SRX это тоже сохо. Не сильно отличающееся от линухового компа. "ддос - значит исходных адресов много. а поток - это уже десятое дело" да не бред, ниразу, ведь DDOS придти может и по двум инет каналам, общей пропускной способностью 2 гигабита, что будет с это железкой при таком DDOS... мне кажется она даже от 0.5 MPPS загнется. я уже не говорю о 2-3 MPPS с двух каналов, потому что это тоже сохо, притом линейка явно начального класса. Edited December 27, 2015 by shodan_x Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
nuclearcat Posted December 28, 2015 · Report post Ну это опять-же проблема не железа. Эта проблема решается программно-аппаратным комплексом. Как тут писали выше, микротики иногда удобны тем, что неграмотные айтишники на местах - с winbox-ом разобраться могут, а с cli - нет. При включении вышеописанного, насколько падает производительность с заявленных 300 мегабит / 0.2 MPPS ? И очень интересно пробовалась ли 220-я железка под умеренным флудом, как я спрашивал выше 0.5мппс? Я вот к примеру без особо длительных усилий выжимаю при флуде с авто-блокировкой его источника через занесение в адрес-лист записи вот столько: Правильная защита от syn-flood по определению не роняет производительность, IPS/IDS - в зависимости от сложности правил. У меня сейчас тестовых комплектов нет, чтобы проводить эксперименты. В моем понимании можно и больше (к тому-же загрузка проца не максимальна т.к. в тестировании участвует не мощный ПК), но у меня на микротиковских клиентских свичах будут стоять лимиты по пакетам, а интернет каналы столько пакетов принять не дадут чисто из соображений пропускной способности. Свитч - это свитч. SOHO роутер - совершенно другая вещь. Там обычно задачи заключаются не в выжимании последних крох по цене-производительность, а в количестве необходимых фич. Микротик никак не сможет даже близко сравнятся скажем по фичам которые должны быть у L3 свитча. Его ниша - самая высокая производительность за минимальную цену, с минимальным набором фич, условно приемлимым качеством и надежностью на уровне SOHO/Small ISP. Далеко не каждый провайдер/хостер выпустит рандом-сорс IP из своей сети. Исключения есть, но их не много. А син-флуд с сотни-другой адресов можно легко блокировать автоматически. А так да, в целом, если таки рандом сорс пришел по инет каналу, я пока методов защиты на микротике не знаю. "сохо - оно и есть сохо" так по прочитанному на разных форумах включая этот, Juniper SRX это тоже сохо. Не сильно отличающееся от линухового компа. "ддос - значит исходных адресов много. а поток - это уже десятое дело" да не бред, ниразу, ведь DDOS придти может и по двум инет каналам, общей пропускной способностью 2 гигабита, что будет с это железкой при таком DDOS... мне кажется она даже от 0.5 MPPS загнется. я уже не говорю о 2-3 MPPS с двух каналов, потому что это тоже сохо, притом линейка явно начального класса. Для серьезной атаки даже CCR не подойдет, любой микротик скрутится в дулю сразу же(это реальный опыт, есть клиент на 10G аплинке, который переехал на мое решение с микротика, причем ему очень не хотелось этого делать). И кстати спуфить дают почти все Tier-2, на крупных клиентах. Вы просто еще не сталкивались с серьезными атаками. Я вам за нефиг делать могу оформить (ессно нужно документальное согласие) 500 мбит syn flood с совершенно рандомных адресов. Каждый пакет будет с нового адреса. И из опыта 10+G syn-flood и прочие пакости прекрасно фильтровал Brocade ServerIron, который под такие задачи заточен и стоит мне сопоставимо со стоимостью 36-ядерного CCR. Он на wire-speed кушает атаки, на которых микротика даже мокрого места бы не осталось. Но стоит признать, есть DDoS "защиты", которые используют чипы Tilera для создания специфических appliances для фильтрования самых сложных атак. Но с микротиком там единственная схожесть в используемом процессоре, не более того. SRX выполняет ровно те задачи которые ему положено - защита от мелких пакостей и решение основных вопросов требующихся для SOHO шлюза в инет. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
shodan_x Posted December 28, 2015 (edited) · Report post SRX выполняет ровно те задачи которые ему положено - защита от мелких пакостей и решение основных вопросов требующихся для SOHO шлюза в инет. Спасибо, все теперь предельно ясно, это обычный недо-роутер простой софтварный роутер находящейся в той-же нише что и микротиковские CCR, линуксы, фряхи и прочий самопал PC на дешевом железе. Из чего я делаю прямой вывод что куча наездов на данном замечательном форуме ничем не обоснована. Я вам за нефиг делать могу оформить Я и не сомневаюсь. Но за меня эту проблему будут решать те кто отвечает за предоставление нам и нашим клиентам интернет канал. Что уже случалось, и вполне быстро решалось. И микротик тут не причем. а в количестве необходимых фич. У каждого необходимости свои, мне хватает: фаервола, впн-ок, ipv6 шлюза, PCQ шейпера, балансира на 2 канала. И с этим оно отлично справляется на тех скоростях на которых мне надо. До которых SRX220 судя по этому топику недобраться никогда даже при условии что стоит он на амазоне столько-же, уже не говоря о Российских магазинах. А L3 свичу просто нехватит функционала. Вот собственно и весь расчет :) Я бы с тем-же успехом мог поставить на линухе роутер с парой доп. сетевух, но денег он бы попросил даже чуть больше, ввиду необходимости SFP+ в дополнение к обычной двухпортовой сетевухе. При этом бы комп занял больше места, сожрал бы больше энергии, и потребовал бы чуть больше времени на настройку. и всеравно был-бы более оптимальным вариантом для меня по сравнению с SRX220. Edited December 28, 2015 by shodan_x Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zhenya` Posted December 28, 2015 · Report post вот и мучайтесь без айписеков и нормально работающего оспф. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
nuclearcat Posted December 28, 2015 · Report post У каждого необходимости свои, мне хватает: фаервола, впн-ок, ipv6 шлюза, PCQ шейпера, балансира на 2 канала. И с этим оно отлично справляется на тех скоростях на которых мне надо. До которых SRX220 судя по этому топику недобраться никогда даже при условии что стоит он на амазоне столько-же, уже не говоря о Российских магазинах. А L3 свичу просто нехватит функционала. Вот собственно и весь расчет :) Я бы с тем-же успехом мог поставить на линухе роутер с парой доп. сетевух, но денег он бы попросил даже чуть больше, ввиду необходимости SFP+ в дополнение к обычной двухпортовой сетевухе. При этом бы комп занял больше места, сожрал бы больше энергии, и потребовал бы чуть больше времени на настройку. и всеравно был-бы более оптимальным вариантом для меня по сравнению с SRX220. Я посмотрел тщательно по всем фичам - в чем-то лучше микротик, в чем-то джун. Зависит от задачи к задаче. К примеру у Джуна очень мощный скриптинг и flow based balancing + rpm, но у микротика более гибкий link-balancing если нужно балансировать нагрузку процентно. У Микротика есть PPTP/SSTP, у SRX только ipsec (но Dynamic в т.ч.). Правда первый можно назвать безопасным только условно, а со вторым туговато под android/ios. Для Микротика в принципе нет IDS/IPS/Antivirus, нет слотов расширения с *DSL/DOCSIS картами, wifi/3g модулем(Т.е. в случае железа - обычно конфигурация жестко задана). В Juniper high availability делается через chassis cluster, в Mikrotik HA делается вручную кое-как, и по фичам несопоставим вообще. Ну и многое другое, лень копаться Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
FATHER_FBI Posted December 28, 2015 (edited) · Report post Да вот я бы постеснялся постить килопосты флуда, без конкретных цифр. Только чистые убеждения наблюдаются у обитателей с большим колличеством постов, при полном нуле конкретики. Пусть я даже буду хоть 100 раз теоретиком, это не отменяет полного отсутствия конкретных данных со стороны сторожил. FATHER_FBI - спрашивал как улучшить, ему ответели, сорри это потолок. В моей железке это далеко не потолок. При том что джунипер SRX явно софт-роутер и точно такими-же проблеммами(больше правил, ниже производительность)... Вот из за этого у меня встает резонный вопрос, почему при равной стоимости джунипер лучше нормально настроенного микротика. Конкретно "почему"? Почему же потолок, 600Мбит в мир через firewall. Если выключить firewall мне кажется он весь гигабит выдаст. Но тогда начнет всякое гавно на меня сыпаться. А так мне нравиться что Китайцы больше не сканируют меня, пару раз прилетал DDOS, джун его проглотил и прожевал. Вы там задавали вопрос еще про UTM модули, у меня домашний комп довольно таки мощный (много ядер, много памяти, SSD), с включенным KIS больше 350Мбит не прокачиваю. Поднимал у себя UTM kaspersky, те же самые 350Мбит, я так думаю что тут уже ядро каспера больше выдать не может. Фича классная, но если железка стоит где нибудь в кампусе или тащит на себе 30 хомяков. А для домашнего использования дорого, так как ключик стоит под 500 евро в год. P.S. Что касается микротика, поделюсь своим опытом. Стоит у нас Микротик CCR (модель не помню, 24 гигабитный порта+SFP) через него бегает исключительно management от свичей, как вы понимаете трафик нищебродский в пиках даже до 500Кбит не доходит. Основная функция это interconnect vlan. Так вот, к чему это я все, когда кетайцы начинают сканировать сеть в поисках кандидатов для ботирования (TCP SYN) или же в mgmt появляется маленький коротко временный флуд (кто-то случайно 2 порта закольцевал). Железка эта за 1500$ падает как сраная мыльница за 5$ с алиэкспресс И мы слегка ушли в сторону, так как сравниваем 2 разные вещи, если на микротик навалить все правила firewall которые навалены в SRX, я думаю что он умрет на первых 10 Мегабитах. Если же выключить все фарвольные штучки, тогда железка не станет тупым свичем, она станет обычным роутером без фаерволла. Edited December 28, 2015 by FATHER_FBI Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
NiTr0 Posted December 28, 2015 · Report post Далеко не каждый провайдер/хостер выпустит рандом-сорс IP из своей сети. Исключения есть, но их не много. исключений предостаточно для того, чтобы А син-флуд с сотни-другой адресов можно легко блокировать автоматически. на микротике? ну-ну... А так да, в целом, если таки рандом сорс пришел по инет каналу, я пока методов защиты на микротике не знаю. да если что угодно пришло, на микротике вы его не заблокируете. потому как, повторяюсь, юдп пакеты, даже отброшенные файрволом, создают в коннтраке новые "сессии". defective by design. "ддос - значит исходных адресов много. а поток - это уже десятое дело" да не бред, ниразу, ведь DDOS придти может и по двум инет каналам, общей пропускной способностью 2 гигабита, что будет с это железкой при таком DDOS... мне кажется она даже от 0.5 MPPS загнется. я уже не говорю о 2-3 MPPS с двух каналов, потому что это тоже сохо, притом линейка явно начального класса. DDOS - это значит всего лишь то, что в атаке участвует больше одного хоста. учите матчасть. DDOS может быть и с диал-ап/жпрс клиентов :) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alks Posted December 28, 2015 · Report post рандомным сорс его поставят раком. Далеко не каждый провайдер/хостер выпустит рандом-сорс IP из своей сети. Исключения есть, но их не много. давайте раскройте тему поподробнее, мне аж интересно стало, что вы имеете в виду под "оператор выпустит рандомный адрес из своей сети" Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
kostikbel Posted December 28, 2015 · Report post P.S. Что касается микротика, поделюсь своим опытом. Стоит у нас Микротик CCR (модель не помню, 24 гигабитный порта+SFP) через него бегает исключительно management от свичей, как вы понимаете трафик нищебродский в пиках даже до 500Кбит не доходит. Основная функция это interconnect vlan. Так вот, к чему это я все, когда кетайцы начинают сканировать сеть в поисках кандидатов для ботирования (TCP SYN) или же в mgmt появляется маленький коротко временный флуд (кто-то случайно 2 порта закольцевал). Железка эта за 1500$ падает как сраная мыльница за 5$ с алиэкспресс CCR с 24-мя портами не бывает. С 24-мя+SFP называется CRS (наверное 125, 226й с 2мя SFP+). Если CRS у вас скукоживается от флуда, означает, что вы ее используете не как свитч. Собственно, оно есть слабоуправляемый свитч (вланы + еще чуть) и SOHO router сбоку. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
SyJet Posted December 28, 2015 · Report post P.S. Что касается микротика, поделюсь своим опытом. Стоит у нас Микротик CCR (модель не помню, 24 гигабитный порта+SFP) через него бегает исключительно management от свичей, как вы понимаете трафик нищебродский в пиках даже до 500Кбит не доходит. Основная функция это interconnect vlan. Так вот, к чему это я все, когда кетайцы начинают сканировать сеть в поисках кандидатов для ботирования (TCP SYN) или же в mgmt появляется маленький коротко временный флуд (кто-то случайно 2 порта закольцевал). Железка эта за 1500$ падает как сраная мыльница за 5$ с алиэкспресс CCR с 24-мя портами не бывает. С 24-мя+SFP называется CRS (наверное 125, 226й с 2мя SFP+). Если CRS у вас скукоживается от флуда, означает, что вы ее используете не как свитч. Собственно, оно есть слабоуправляемый свитч (вланы + еще чуть) и SOHO router сбоку. А вы CRS хорошо знаете? А то есть у меня эта неведома зверушка. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
kostikbel Posted December 28, 2015 · Report post А вы CRS хорошо знаете? А то есть у меня эта неведома зверушка. Что значит 'знаю' ? Vlanы настроить осилил. CRS у меня стоит дома - бесшумный, электричества есть мало, за такую цену 1G порта для дома вполне. Зачем оно может быть нужно еще, представить трудно. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
FATHER_FBI Posted December 28, 2015 · Report post P.S. Что касается микротика, поделюсь своим опытом. Стоит у нас Микротик CCR (модель не помню, 24 гигабитный порта+SFP) через него бегает исключительно management от свичей, как вы понимаете трафик нищебродский в пиках даже до 500Кбит не доходит. Основная функция это interconnect vlan. Так вот, к чему это я все, когда кетайцы начинают сканировать сеть в поисках кандидатов для ботирования (TCP SYN) или же в mgmt появляется маленький коротко временный флуд (кто-то случайно 2 порта закольцевал). Железка эта за 1500$ падает как сраная мыльница за 5$ с алиэкспресс CCR с 24-мя портами не бывает. С 24-мя+SFP называется CRS (наверное 125, 226й с 2мя SFP+). Если CRS у вас скукоживается от флуда, означает, что вы ее используете не как свитч. Собственно, оно есть слабоуправляемый свитч (вланы + еще чуть) и SOHO router сбоку. Да вы были правы, посмотрел версию CRS125-24G-1S-2HnD Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...