[FATHER_FBI]

Добрый день, есть железка Juniper SRX220

Сегодня заметил что при трафике примерно в 500Мбит загрузка CPU прыгает под 90%

last pid:  6997;  load averages:  0.04,  0.08,  0.08                                                                                                                              up 1+05:33:53  18:16:52
72 processes:  3 running, 68 sleeping, 1 zombie
CPU states: 53.3% user,  0.0% nice,  3.0% system,  0.0% interrupt, 43.7% idle
Mem: 210M Active, 128M Inact, 547M Wired, 40M Cache, 112M Buf, 45M Free
Swap:

 PID USERNAME  THR PRI NICE   SIZE    RES STATE  C   TIME   WCPU COMMAND
1360 root        5  76    0   514M 60604K select 0  33.4H 99.22% flowd_octeon_hm
1369 root        5  76    0 38676K 28580K select 0   7:01  0.00% named
1385 root        1  76    0 12488K  6468K select 0   6:07  0.00% license-check
1348 root        1  76    0 27760K 10836K select 0   5:18  0.00% mib2d
1350 root        1  76    0 20252K  9072K select 0   3:49  0.00% l2ald
1347 root        1  76    0 19976K 12772K select 0   3:33  0.00% snmpd
1372 root        1  76    0 15692K  3656K select 0   2:52  0.00% shm-rtsdbd
1381 root        1  76    0 18944K 10556K select 0   2:13  0.00% utmd
1343 root        1  76    0 12716K  6440K select 0   1:49  0.00% alarmd
1352 root        2  76    0 23408K  9300K select 0   1:43  0.00% pfed
1380 root        1  76    0 13588K  6236K select 0   1:34  0.00% rtlogd
1339 root        1  76    0  3308K  1380K select 0   1:17  0.00% bslockd
1387 root        1   4    0 22788K 11980K kqread 0   1:08  0.00% eswd
1342 root        1  76    0   114M 17144K select 0   0:45  0.00% chassisd

Нагрузку на процессор создает процесс flowd_octeon_hm

Модули UTM выключены и выгружены.

Вот конфиг железки

## Last changed: 2015-12-27 13:49:41 EET
version 12.1X44-D45.2;
system {
   host-name SRX-GW;
   domain-name home.local;
   time-zone Europe/Kiev;
   root-authentication {
       encrypted-password "*********"; ## SECRET-DATA
   }
   name-server {
       192.168.1.1;
   }
   services {
       ssh;
       telnet;
       xnm-clear-text;
       dns {
           forwarders {
               8.8.8.8;
               8.8.4.4;
           }
           dns-proxy {
               interface {
                   vlan.0;
               }
               cache {
                   gw-srx.home.local inet 192.168.1.1;
                   n40l.home.local inet 192.168.1.100;
               }
           }
       }
       web-management {
           http {
               interface vlan.0;
           }
           https {
               system-generated-certificate;
               interface vlan.0;
           }
       }
       dhcp {
           router {
               192.168.1.1;
           }
           pool 192.168.1.0/24 {
               address-range low 192.168.1.2 high 192.168.1.254;
           }
           static-binding 20:89:84:98:bc:c4 {
               fixed-address {
                   192.168.1.2;
               }
           }
           static-binding e8:40:f2:65:f5:d5 {
               fixed-address {
                   192.168.1.3;
               }
           }
           propagate-settings ge-0/0/0.0;
       }
   }
   syslog {
       archive size 100k files 3;
       user * {
           any emergency;
       }
       file messages {
           any critical;
           authorization info;
       }
       file interactive-commands {
           interactive-commands error;
       }
   }
   max-configurations-on-flash 5;
   max-configuration-rollbacks 5;
   license {
       autoupdate {
           url https://ae1.juniper.net/junos/key_retrieval;
       }
   }
   ntp {
       server 109.87.50.122;
   }
}
interfaces {
   ge-0/0/0 {
       mac 20:89:84:98:bc:c4;
       unit 0 {
           family inet {
               dhcp {
                   client-identifier hexadecimal 20898498bcc4;
                   vendor-id ether;
               }
           }
       }
   }
   ge-0/0/1 {
       unit 0 {
           family ethernet-switching {
               vlan {
                   members vlan-trust;
               }
           }
       }
   }
   ge-0/0/2 {
       unit 0 {
           family ethernet-switching {
               vlan {
                   members vlan-trust;
               }
           }
       }
   }
   ge-0/0/3 {
       unit 0 {
           family ethernet-switching {
               vlan {
                   members vlan-trust;
               }
           }
       }
   }
   ge-0/0/4 {
       unit 0 {
           family ethernet-switching {
               vlan {
                   members vlan-trust;
               }
           }
       }
   }
   ge-0/0/5 {
       unit 0 {
           family ethernet-switching {
               vlan {
                   members vlan-trust;
               }
           }
       }
   }
   ge-0/0/6 {
       unit 0 {
           family ethernet-switching {
               vlan {
                   members vlan-trust;
               }
           }
       }
   }
   ge-0/0/7 {
       unit 0 {
           family ethernet-switching {
               vlan {
                   members vlan-trust;
               }
           }
       }
   }
   vlan {
       unit 0 {
           family inet {
               address 192.168.1.1/24;
           }
       }
   }
}
snmp {
   community ******* {
       authorization read-only;
       clients {
           192.168.1.1/24;
       }
   }
}
protocols {
   stp {
       disable;
   }
}
security {
   address-book {
       global {
           address RDP_client 192.168.1.2/32;
       }
   }
   inactive: utm {
       feature-profile {
           anti-virus {
               type kaspersky-lab-engine;
           }
       }
   }
   screen {
       ids-option untrust-screen {
           icmp {
               ping-death;
           }
           ip {
               source-route-option;
               tear-drop;
           }
           tcp {
               syn-flood {
                   alarm-threshold 1024;
                   attack-threshold 200;
                   source-threshold 1024;
                   destination-threshold 2048;
                   timeout 20;
               }
               land;
           }
       }
   }
   nat {
       source {
           rule-set trust-to-untrust {
               from zone trust;
               to zone untrust;
               rule source-nat-rule {
                   match {
                       source-address 0.0.0.0/0;
                   }
                   then {
                       source-nat {
                           interface;
                       }
                   }
               }
           }
       }
       destination {
           pool RDP_client {
               address 192.168.1.2/32 port 3389;
           }
           rule-set DNAT {
               from zone untrust;
               rule dnat_RDP {
                   match {
                       destination-address **.**.**.37/32;
                       destination-port 3389;
                   }
                   then {
                       destination-nat pool RDP_client;
                   }
               }
           }
       }
   }
   policies {
       from-zone trust to-zone untrust {
           policy trust-to-untrust {
               match {
                   source-address any;
                   destination-address any;
                   application any;
               }
               then {
                   permit;
               }
           }
       }
       from-zone untrust to-zone trust {
           policy RDP_access {
               match {
                   source-address any;
                   destination-address RDP_client;
                   application any;
               }
               then {
                   permit;
               }
           }
       }
   }
   zones {
       security-zone trust {
           host-inbound-traffic {
               system-services {
                   all;
               }
               protocols {
                   all;
               }
           }
           interfaces {
               vlan.0;
           }
       }
       security-zone untrust {
           screen untrust-screen;
           interfaces {
               ge-0/0/0.0 {
                   host-inbound-traffic {
                       system-services {
                           dhcp;
                           tftp;
                           ping;
                       }
                   }
               }
           }
       }
   }
}
vlans {
   vlan-trust {
       vlan-id 3;
       l3-interface vlan.0;
   }
}

 

Когда мало трафика

root@SRX-GW# run show security monitoring fpc 0
FPC 0
 PIC 0
   CPU utilization          :    1 %
   Memory utilization       :   58 %
   Current flow session     :  621
   Current flow session IPv4:  621
   Current flow session IPv6:    0
   Max flow session         : 49152
Total Session Creation Per Second (for last 96 seconds on average):   61
IPv4  Session Creation Per Second (for last 96 seconds on average):   61
IPv6  Session Creation Per Second (for last 96 seconds on average):    0

Когда делаю speedtest

root@SRX-GW# run show security monitoring fpc 0
FPC 0
 PIC 0
   CPU utilization          :   96 %
   Memory utilization       :   58 %
   Current flow session     :  596
   Current flow session IPv4:  596
   Current flow session IPv6:    0
   Max flow session         : 49152
Total Session Creation Per Second (for last 96 seconds on average):   63
IPv4  Session Creation Per Second (for last 96 seconds on average):   63
IPv6  Session Creation Per Second (for last 96 seconds on average):    0

 

Подскажите куда копать. Неужели 500Мбит для этой железки уже смерть?

Изменено 27 декабря, 2015 пользователем FATHER_FBI

[mightyscv]

Да.

Возможно в packet mode режиме выдаст больше, но тогда попрощайтесь со всеми функциями фаервола. Ещё можно попробовать убрать "ненужное", например screens.

Логика простая: чем меньше SRX фаервол - тем больше пропускная способность.

[FATHER_FBI]

Да.

Возможно в packet mode режиме выдаст больше, но тогда попрощайтесь со всеми функциями фаервола. Ещё можно попробовать убрать "ненужное", например screens.

Логика простая: чем меньше SRX фаервол - тем больше пропускная способность.

Включил домашний сервер с RAID10 и нормальными сетевыми картами, выжал почти 600Мбит теста в мир. Запустил тест между портами, прогнал 980Мбит.

От функций фаервола отказываться не хочется.

[shodan_x]

Включил домашний сервер с RAID10 и нормальными сетевыми картами, выжал почти 600Мбит теста в мир. Запустил тест между портами, прогнал 980Мбит.

От функций фаервола отказываться не хочется.

 

С подобной нагрузкой очень хорошо справится так-же CCR1009. Через пару дней получу 10G карточки, и выдам отчет о потолках данной железки, если интересно следите за форумом. Для нее 1 гигабит внутри локалки точно не придел. А тест в мир, к сожалению я более чем за 200 мегабит провести не могу. Но при тех-же 200 мегабитах, загрузка считанные проценты.

 

PS.Тут недавно расхваливали Juniper серии SRX как панацею от всех бед, применительно к простым задачам. Рад слышать что все-же это не так. (прошу не воспринимать эту строку как повод для очередного флейма)

Изменено 27 декабря, 2015 пользователем shodan_x

[nuclearcat]

http://www.tunnelsup.com/troubleshooting-high-cpu-on-juniper-srx-junos-devices

500Mbit для железки за $180 (ebay) - очень неплохо. У нее по спекам IMIX - 300Mbps.

Боюсь по функционалу Mikrotik даже рядом не лежал.

[shodan_x]

К сожалению мне вероисповидание не позволяет покупать БУ вещи без хотя-бы годовой гарантии с неизвестной степени исправности и надежности.

 

Боюсь по функционалу Mikrotik даже рядом не лежал.

 

А можете рассказать чем SRX220 лучше "по функционалу"? очень хочется узнать мнение специалиста.

 

Мне правда не ясно зачем мне функционал, когда уже на минимальной нагрузке 220-тый упирается в потолок.

Пусть я даже получу меньше ненужных фенечек, но при этом железка обеспечит мне необходимую пропускную способность и весь необходимый мне функционал.

С этой точки зрения Линукс выглядит тоже не плохо(даже лучше SRX), даже без наложения кучки эксперементальных патчей на ядро.

Пока применительно к реальной задаче, я вижу что комп справляется лучше хваленого Juniper SRX220.

Собственно я не удивлен... не должна лоу-кост железка с кучей софтварной обработки справляются с задачами лучше примерно аналогичного компа.

 

По приведенному топу видно хорошо что SRX не способен на многоядерные операции:

"43.7% idle"

"99.22% flowd_octeon_hm"

Изменено 27 декабря, 2015 пользователем shodan_x

[NiTr0]

С подобной нагрузкой очень хорошо справится так-же CCR1009...

...на стенде, пока нет никаких нежданчиков типа мелких ддос/червей внутри сети/прочего, после чего микротик внезапно превращается в тыкву, окукливаясь с концами.

 

Тут недавно расхваливали Juniper серии SRX как панацею от всех бед, применительно к простым задачам. Рад слышать что все-же это не так.

а в чем тут "не так"? работает согласно спекам, жует сколько заявлено (даже больше), не падает/не вешается, не требует поиска "правильных настроек" чтобы хоть как-то работать...

[shodan_x]

...на стенде, пока нет никаких нежданчиков типа мелких ддос/червей внутри сети/прочего, после чего микротик внезапно превращается в тыкву, окукливаясь с концами.

т.е. вы хотите сказать что у SRX220 нет таких проблем.

Видно плохой таки стенд.....

Routing (Packet Mode) PPS: 200Kpps по дш SRX220

 

А раз вы говорите цетирую "Ддос", значит флуд может придти и по нескольким портам. То соотв, может исчислятся многими MPPS

 

Что с ней происходит при входящих 0.5 MPPS ? можно скриншот?

С гигабитом и 1 MPPS нет проблем получить... но я столько и не прошу, давайте отталкиваться хотя-бы от 0.5.

 

не требует поиска "правильных настроек" чтобы хоть как-то работать...

Тут заявляли что требует, мол отключайте все, привращая ее в свич, в посте номер два.

Изменено 27 декабря, 2015 пользователем shodan_x

[nuclearcat]

А можете рассказать чем SRX220 лучше "по функционалу"? очень хочется узнать мнение специалиста.

 

Мне правда не ясно зачем мне функционал, когда уже на минимальной нагрузке 220-тый упирается в потолок.

Пусть я даже получу меньше ненужных фенечек, но при этом железка обеспечит мне необходимую пропускную способность и весь необходимый мне функционал.

С этой точки зрения Линукс выглядит тоже не плохо(даже лучше SRX), даже без наложения кучки эксперементальных патчей на ядро.

Пока применительно к реальной задаче, я вижу что комп справляется лучше хваленого Juniper SRX220.

Собственно я не удивлен... не должна лоу-кост железка с кучей софтварной обработки справляются с задачами лучше примерно аналогичного компа.

 

По приведенному топу видно хорошо что SRX не способен на многоядерные операции:

"43.7% idle"

"99.22% flowd_octeon_hm"

Я не специалист по джунам, пока с ними знаком весьма шапочно. Активно закупаю и знакомлюсь, свитчи меня очень впечатлили.

 

Вообще-то есть такое понятие как busy loop. Вполне возможно при превышении определенной нагрузки - проще использовать его, иначе sleep/wake transition time сожрут весомую часть процессора, не говоря о context switching. Именно в таком режиме работает например сверхпроизводительный Intel DPDK.

 

Хотя бы лучше тем, что самые распространенные вещи он делает намного проще:

https://www.fir3net.com/Firewalls/Juniper/srx-screen.html

Я могу конечно вывернутся и сделать то же на линуксе (на микротике практически никак, например SYN flood уложит Mikrotik с conntrack, syn proxy и транзитных syn cookies там нет в принципе), но потрачу кучу времени.

Если говорить об очень базовых фичах, т.е. сделать NAT для офиса, прикрыть чуток портов и зашейпить несколько адресов - Микротик может вполне оказаться более эффективным в плане цена/производительность.

Еще есть отдельные платные фичи, которые опять же - на линуксе будут стоить уйму времени. Один раз сделать можно, но если есть куча офисов с неграмотными админами, чтобы не зашиваться с самоделками, можно использовать базовые фичи +

SRX240-IDP - internet detection prevention

SRX240-S-AV - anti-virus

SRX240-W-WF - web filtering

SRX240-APPSEC-A-1 - application security

 

 

Ну и конечно джуновские commit и прочее - сверхудобная вещь. На циске и микротиках приходится извращаться макросами, чтобы сделать какое-то серьезное изменение сетевой конфигурации, где несколько команд могут нарушить сеть.

Ну и самое главное - можно написать программку под freebsd (хотя я его и не люблю), и скриптовать что угодно. Вот тут и Микротик и Циска просто адски курят бамбук:

простейший пример: https://kb.juniper.net/InfoCenter/index?page=content&id=KB25034&actp=search

[shodan_x]

например SYN flood уложит Mikrotik с conntrack

Например по чему это он его должен уложить, если добавить лимит количество SYN пакетов и занисение адреса в дроп-лист?

 

 

но если есть куча офисов с неграмотными админами

Ну это опять-же проблема не железа.

 

SRX240-IDP - internet detection prevention

SRX240-S-AV - anti-virus

SRX240-W-WF - web filtering

SRX240-APPSEC-A-1 - application security

При включении вышеописанного, насколько падает производительность с заявленных 300 мегабит / 0.2 MPPS ?

 

И очень интересно пробовалась ли 220-я железка под умеренным флудом, как я спрашивал выше 0.5мппс?

Я вот к примеру без особо длительных усилий выжимаю при флуде с авто-блокировкой его источника через занесение в адрес-лист записи вот столько:

В моем понимании можно и больше (к тому-же загрузка проца не максимальна т.к. в тестировании участвует не мощный ПК), но у меня на микротиковских клиентских свичах будут стоять лимиты по пакетам, а интернет каналы столько пакетов принять не дадут чисто из соображений пропускной способности.

Изменено 27 декабря, 2015 пользователем shodan_x

[SyJet]

Шодан, вы теоретик по большей части. Я лично уже дважды видел как ccr9 ложится на 400мбитах с мелким syn флудом, а контракт выключить низя. И на своей сети за много лет наблюдал как Джун даже на телнет еле отвечал, но роутил исправно. Вы спорите с людьми которые на голову выше вас как сетевик, я бы постеснялся к примеру спорить с ядрокотом.

[shodan_x]

Да вот я бы постеснялся постить килопосты флуда, без конкретных цифр. Только чистые убеждения наблюдаются у обитателей с большим колличеством постов, при полном нуле конкретики.

 

Пусть я даже буду хоть 100 раз теоретиком, это не отменяет полного отсутствия конкретных данных со стороны сторожил.

 

FATHER_FBI - спрашивал как улучшить, ему ответели, сорри это потолок. В моей железке это далеко не потолок. При том что джунипер SRX явно софт-роутер и точно такими-же проблеммами(больше правил, ниже производительность)... Вот из за этого у меня встает резонный вопрос, почему при равной стоимости джунипер лучше нормально настроенного микротика. Конкретно "почему"?

Изменено 27 декабря, 2015 пользователем shodan_x

[NiTr0]

А раз вы говорите цетирую "Ддос", значит флуд может придти и по нескольким портам. То соотв, может исчислятся многими MPPS

бред. ддос - значит исходных адресов много. а поток - это уже десятое дело. микротик и при десятке мегабит правильного флуда скукожится. тупо засирается коннтрак, и все падает. банальный син флуд, или даже банальный udp флуд с рандомным сорс его поставят раком.

 

сохо - оно и есть сохо.

[shodan_x]

рандомным сорс его поставят раком.

 

Далеко не каждый провайдер/хостер выпустит рандом-сорс IP из своей сети. Исключения есть, но их не много.

А син-флуд с сотни-другой адресов можно легко блокировать автоматически.

 

А так да, в целом, если таки рандом сорс пришел по инет каналу, я пока методов защиты на микротике не знаю.

 

"сохо - оно и есть сохо" так по прочитанному на разных форумах включая этот, Juniper SRX это тоже сохо. Не сильно отличающееся от линухового компа.

 

"ддос - значит исходных адресов много. а поток - это уже десятое дело" да не бред, ниразу, ведь DDOS придти может и по двум инет каналам, общей пропускной способностью 2 гигабита, что будет с это железкой при таком DDOS... мне кажется она даже от 0.5 MPPS загнется. я уже не говорю о 2-3 MPPS с двух каналов, потому что это тоже сохо, притом линейка явно начального класса.

Изменено 27 декабря, 2015 пользователем shodan_x

[nuclearcat]

Ну это опять-же проблема не железа.

Эта проблема решается программно-аппаратным комплексом. Как тут писали выше, микротики иногда удобны тем, что неграмотные айтишники на местах - с winbox-ом разобраться могут, а с cli - нет.

 

При включении вышеописанного, насколько падает производительность с заявленных 300 мегабит / 0.2 MPPS ?

 

И очень интересно пробовалась ли 220-я железка под умеренным флудом, как я спрашивал выше 0.5мппс?

Я вот к примеру без особо длительных усилий выжимаю при флуде с авто-блокировкой его источника через занесение в адрес-лист записи вот столько:

Правильная защита от syn-flood по определению не роняет производительность, IPS/IDS - в зависимости от сложности правил.

У меня сейчас тестовых комплектов нет, чтобы проводить эксперименты.

 

В моем понимании можно и больше (к тому-же загрузка проца не максимальна т.к. в тестировании участвует не мощный ПК), но у меня на микротиковских клиентских свичах будут стоять лимиты по пакетам, а интернет каналы столько пакетов принять не дадут чисто из соображений пропускной способности.

Свитч - это свитч. SOHO роутер - совершенно другая вещь. Там обычно задачи заключаются не в выжимании последних крох по цене-производительность, а в количестве необходимых фич.

Микротик никак не сможет даже близко сравнятся скажем по фичам которые должны быть у L3 свитча. Его ниша - самая высокая производительность за минимальную цену, с минимальным набором фич, условно приемлимым качеством и надежностью на уровне SOHO/Small ISP.

 

Далеко не каждый провайдер/хостер выпустит рандом-сорс IP из своей сети. Исключения есть, но их не много.

А син-флуд с сотни-другой адресов можно легко блокировать автоматически.

 

А так да, в целом, если таки рандом сорс пришел по инет каналу, я пока методов защиты на микротике не знаю.

 

"сохо - оно и есть сохо" так по прочитанному на разных форумах включая этот, Juniper SRX это тоже сохо. Не сильно отличающееся от линухового компа.

 

"ддос - значит исходных адресов много. а поток - это уже десятое дело" да не бред, ниразу, ведь DDOS придти может и по двум инет каналам, общей пропускной способностью 2 гигабита, что будет с это железкой при таком DDOS... мне кажется она даже от 0.5 MPPS загнется. я уже не говорю о 2-3 MPPS с двух каналов, потому что это тоже сохо, притом линейка явно начального класса.

Для серьезной атаки даже CCR не подойдет, любой микротик скрутится в дулю сразу же(это реальный опыт, есть клиент на 10G аплинке, который переехал на мое решение с микротика, причем ему очень не хотелось этого делать). И кстати спуфить дают почти все Tier-2, на крупных клиентах. Вы просто еще не сталкивались с серьезными атаками. Я вам за нефиг делать могу оформить (ессно нужно документальное согласие) 500 мбит syn flood с совершенно рандомных адресов. Каждый пакет будет с нового адреса.

И из опыта 10+G syn-flood и прочие пакости прекрасно фильтровал Brocade ServerIron, который под такие задачи заточен и стоит мне сопоставимо со стоимостью 36-ядерного CCR. Он на wire-speed кушает атаки, на которых микротика даже мокрого места бы не осталось.

Но стоит признать, есть DDoS "защиты", которые используют чипы Tilera для создания специфических appliances для фильтрования самых сложных атак. Но с микротиком там единственная схожесть в используемом процессоре, не более того. SRX выполняет ровно те задачи которые ему положено - защита от мелких пакостей и решение основных вопросов требующихся для SOHO шлюза в инет.

[shodan_x]

SRX выполняет ровно те задачи которые ему положено - защита от мелких пакостей и решение основных вопросов требующихся для SOHO шлюза в инет.

Спасибо, все теперь предельно ясно, это обычный недо-роутер простой софтварный роутер находящейся в той-же нише что и микротиковские CCR, линуксы, фряхи и прочий самопал PC на дешевом железе.

Из чего я делаю прямой вывод что куча наездов на данном замечательном форуме ничем не обоснована.

 

Я вам за нефиг делать могу оформить

Я и не сомневаюсь. Но за меня эту проблему будут решать те кто отвечает за предоставление нам и нашим клиентам интернет канал. Что уже случалось, и вполне быстро решалось.

И микротик тут не причем.

 

а в количестве необходимых фич.

У каждого необходимости свои, мне хватает: фаервола, впн-ок, ipv6 шлюза, PCQ шейпера, балансира на 2 канала. И с этим оно отлично справляется на тех скоростях на которых мне надо. До которых SRX220 судя по этому топику недобраться никогда даже при условии что стоит он на амазоне столько-же, уже не говоря о Российских магазинах. А L3 свичу просто нехватит функционала.

Вот собственно и весь расчет :) Я бы с тем-же успехом мог поставить на линухе роутер с парой доп. сетевух, но денег он бы попросил даже чуть больше, ввиду необходимости SFP+ в дополнение к обычной двухпортовой сетевухе. При этом бы комп занял больше места, сожрал бы больше энергии, и потребовал бы чуть больше времени на настройку. и всеравно был-бы более оптимальным вариантом для меня по сравнению с SRX220.

Изменено 28 декабря, 2015 пользователем shodan_x

[zhenya`]

вот и мучайтесь без айписеков и нормально работающего оспф.

[nuclearcat]

У каждого необходимости свои, мне хватает: фаервола, впн-ок, ipv6 шлюза, PCQ шейпера, балансира на 2 канала. И с этим оно отлично справляется на тех скоростях на которых мне надо. До которых SRX220 судя по этому топику недобраться никогда даже при условии что стоит он на амазоне столько-же, уже не говоря о Российских магазинах. А L3 свичу просто нехватит функционала.

Вот собственно и весь расчет :) Я бы с тем-же успехом мог поставить на линухе роутер с парой доп. сетевух, но денег он бы попросил даже чуть больше, ввиду необходимости SFP+ в дополнение к обычной двухпортовой сетевухе. При этом бы комп занял больше места, сожрал бы больше энергии, и потребовал бы чуть больше времени на настройку. и всеравно был-бы более оптимальным вариантом для меня по сравнению с SRX220.

Я посмотрел тщательно по всем фичам - в чем-то лучше микротик, в чем-то джун. Зависит от задачи к задаче.

К примеру у Джуна очень мощный скриптинг и flow based balancing + rpm, но у микротика более гибкий link-balancing если нужно балансировать нагрузку процентно.

У Микротика есть PPTP/SSTP, у SRX только ipsec (но Dynamic в т.ч.). Правда первый можно назвать безопасным только условно, а со вторым туговато под android/ios.

Для Микротика в принципе нет IDS/IPS/Antivirus, нет слотов расширения с *DSL/DOCSIS картами, wifi/3g модулем(Т.е. в случае железа - обычно конфигурация жестко задана).

В Juniper high availability делается через chassis cluster, в Mikrotik HA делается вручную кое-как, и по фичам несопоставим вообще.

Ну и многое другое, лень копаться

[FATHER_FBI]

Да вот я бы постеснялся постить килопосты флуда, без конкретных цифр. Только чистые убеждения наблюдаются у обитателей с большим колличеством постов, при полном нуле конкретики.

 

Пусть я даже буду хоть 100 раз теоретиком, это не отменяет полного отсутствия конкретных данных со стороны сторожил.

 

FATHER_FBI - спрашивал как улучшить, ему ответели, сорри это потолок. В моей железке это далеко не потолок. При том что джунипер SRX явно софт-роутер и точно такими-же проблеммами(больше правил, ниже производительность)... Вот из за этого у меня встает резонный вопрос, почему при равной стоимости джунипер лучше нормально настроенного микротика. Конкретно "почему"?

Почему же потолок, 600Мбит в мир через firewall. Если выключить firewall мне кажется он весь гигабит выдаст. Но тогда начнет всякое гавно на меня сыпаться. А так мне нравиться что Китайцы больше не сканируют меня, пару раз прилетал DDOS, джун его проглотил и прожевал.

Вы там задавали вопрос еще про UTM модули, у меня домашний комп довольно таки мощный (много ядер, много памяти, SSD), с включенным KIS больше 350Мбит не прокачиваю. Поднимал у себя UTM kaspersky, те же самые 350Мбит, я так думаю что тут уже ядро каспера больше выдать не может. Фича классная, но если железка стоит где нибудь в кампусе или тащит на себе 30 хомяков. А для домашнего использования дорого, так как ключик стоит под 500 евро в год.

 

P.S. Что касается микротика, поделюсь своим опытом. Стоит у нас Микротик CCR (модель не помню, 24 гигабитный порта+SFP) через него бегает исключительно management от свичей, как вы понимаете трафик нищебродский в пиках даже до 500Кбит не доходит. Основная функция это interconnect vlan. Так вот, к чему это я все, когда кетайцы начинают сканировать сеть в поисках кандидатов для ботирования (TCP SYN) или же в mgmt появляется маленький коротко временный флуд (кто-то случайно 2 порта закольцевал). Железка эта за 1500$ падает как сраная мыльница за 5$ с алиэкспресс

 

И мы слегка ушли в сторону, так как сравниваем 2 разные вещи, если на микротик навалить все правила firewall которые навалены в SRX, я думаю что он умрет на первых 10 Мегабитах. Если же выключить все фарвольные штучки, тогда железка не станет тупым свичем, она станет обычным роутером без фаерволла.

Изменено 28 декабря, 2015 пользователем FATHER_FBI

[NiTr0]

Далеко не каждый провайдер/хостер выпустит рандом-сорс IP из своей сети. Исключения есть, но их не много.

исключений предостаточно для того, чтобы

 

А син-флуд с сотни-другой адресов можно легко блокировать автоматически.

на микротике? ну-ну...

 

А так да, в целом, если таки рандом сорс пришел по инет каналу, я пока методов защиты на микротике не знаю.

да если что угодно пришло, на микротике вы его не заблокируете. потому как, повторяюсь, юдп пакеты, даже отброшенные файрволом, создают в коннтраке новые "сессии". defective by design.

 

"ддос - значит исходных адресов много. а поток - это уже десятое дело" да не бред, ниразу, ведь DDOS придти может и по двум инет каналам, общей пропускной способностью 2 гигабита, что будет с это железкой при таком DDOS... мне кажется она даже от 0.5 MPPS загнется. я уже не говорю о 2-3 MPPS с двух каналов, потому что это тоже сохо, притом линейка явно начального класса.

DDOS - это значит всего лишь то, что в атаке участвует больше одного хоста. учите матчасть. DDOS может быть и с диал-ап/жпрс клиентов :)

[alks]

рандомным сорс его поставят раком.

 

Далеко не каждый провайдер/хостер выпустит рандом-сорс IP из своей сети. Исключения есть, но их не много.

 

давайте раскройте тему поподробнее, мне аж интересно стало, что вы имеете в виду под "оператор выпустит рандомный адрес из своей сети"

[kostikbel]

P.S. Что касается микротика, поделюсь своим опытом. Стоит у нас Микротик CCR (модель не помню, 24 гигабитный порта+SFP) через него бегает исключительно management от свичей, как вы понимаете трафик нищебродский в пиках даже до 500Кбит не доходит. Основная функция это interconnect vlan. Так вот, к чему это я все, когда кетайцы начинают сканировать сеть в поисках кандидатов для ботирования (TCP SYN) или же в mgmt появляется маленький коротко временный флуд (кто-то случайно 2 порта закольцевал). Железка эта за 1500$ падает как сраная мыльница за 5$ с алиэкспресс

 

CCR с 24-мя портами не бывает. С 24-мя+SFP называется CRS (наверное 125, 226й с 2мя SFP+). Если CRS у вас скукоживается от флуда, означает, что вы ее используете не как свитч. Собственно, оно есть слабоуправляемый свитч (вланы + еще чуть) и SOHO router сбоку.

[SyJet]

P.S. Что касается микротика, поделюсь своим опытом. Стоит у нас Микротик CCR (модель не помню, 24 гигабитный порта+SFP) через него бегает исключительно management от свичей, как вы понимаете трафик нищебродский в пиках даже до 500Кбит не доходит. Основная функция это interconnect vlan. Так вот, к чему это я все, когда кетайцы начинают сканировать сеть в поисках кандидатов для ботирования (TCP SYN) или же в mgmt появляется маленький коротко временный флуд (кто-то случайно 2 порта закольцевал). Железка эта за 1500$ падает как сраная мыльница за 5$ с алиэкспресс

 

CCR с 24-мя портами не бывает. С 24-мя+SFP называется CRS (наверное 125, 226й с 2мя SFP+). Если CRS у вас скукоживается от флуда, означает, что вы ее используете не как свитч. Собственно, оно есть слабоуправляемый свитч (вланы + еще чуть) и SOHO router сбоку.

А вы CRS хорошо знаете? А то есть у меня эта неведома зверушка.

[kostikbel]

А вы CRS хорошо знаете? А то есть у меня эта неведома зверушка.

 

Что значит 'знаю' ? Vlanы настроить осилил. CRS у меня стоит дома - бесшумный, электричества есть мало, за такую цену 1G порта для дома вполне. Зачем оно может быть нужно еще, представить трудно.

[FATHER_FBI]

P.S. Что касается микротика, поделюсь своим опытом. Стоит у нас Микротик CCR (модель не помню, 24 гигабитный порта+SFP) через него бегает исключительно management от свичей, как вы понимаете трафик нищебродский в пиках даже до 500Кбит не доходит. Основная функция это interconnect vlan. Так вот, к чему это я все, когда кетайцы начинают сканировать сеть в поисках кандидатов для ботирования (TCP SYN) или же в mgmt появляется маленький коротко временный флуд (кто-то случайно 2 порта закольцевал). Железка эта за 1500$ падает как сраная мыльница за 5$ с алиэкспресс

 

CCR с 24-мя портами не бывает. С 24-мя+SFP называется CRS (наверное 125, 226й с 2мя SFP+). Если CRS у вас скукоживается от флуда, означает, что вы ее используете не как свитч. Собственно, оно есть слабоуправляемый свитч (вланы + еще чуть) и SOHO router сбоку.

Да вы были правы, посмотрел версию CRS125-24G-1S-2HnD