[s.lobanov]

а риски, связанные с linux-админами и 100500 конфигами раскиданными по /etc и ещё где-нибудь приныканными просто несоизмеримы с затратами на норм. оборудование.

Это какие такие риски? Что сын начальника, пришедший в готовую сеть не справится и все сломает? Так это их проблемы

 

Риск в том, что какой-нибудь NiTro запилит свой дистр, внедрит его на предприятии, потом найдёт себе другое место работы, а новый админ пока с этим разберётся будет много даунтайма. Это конечно утрировано, но мой опыт по разбору freebsd/linux-софтроутеров купленных провайдеров говорит о том, что если есть возможность иметь что-то брендовое с единым конфигом (аля cisco/juniper, да пусть даже шлакотик), чем потом разгребать сотни скриптов, являющиеся плодами работы какого-нибудь админа. Чтобы разобраться в конфиге cisco, нужно конечное время, а разбираться в десятках килобайт кода bash/perl/etc-скриптов, которые вливают правила в ipfw - это просто отстой

 

А содержать команду, которая будет что-то пилить, хорошо это документировать, коммитить свои наработки в дистрибутив или как отдельное ПО - ну это уже и по деньгам выйдет дороже, чем купить ту же cisco

[myth]

а разбираться в десятках килобайт кода bash/perl/etc-скриптов, которые вливают правила в ipfw

Не многим больше времени требуется

[s.lobanov]

вообще-то LEAF-у уже поболее 16 лет есличо

 

Если честно, то кроме как от Вас, я ни разу нигде о нём ничего не слышал, хотя столько всякого софтового и "железного" перебровал, что даже и не вспомню все названия...

 

а разбираться в десятках килобайт кода bash/perl/etc-скриптов, которые вливают правила в ipfw

Не многим больше времени требуется

 

всё понятно. вы просто один из тех, кто делает такие велосипеды, а потом другие ковыряются в ваших поделиях, чтобы понять логику и как это заменить на cisco/etc после покупки сети

 

Решение очевидно:

1. ставить dnsmasq и отдавать адрес роутера в кач днс, а в dnsmasq скормить адреса потом

2. не выдавать адреса в лане пока ван не подымется и днс провайдера не станут известны или не отдавать днс пока не станут известны...

3. выдавать адрес роутера, а в фаере нарисовать редирект на один из днс провайдера когда он станет известен

Последние два варианта как то не очень в плане юзер экспириенса.

 

1. собственно, большинство soho-роутеров так и делают

2. полный отстой. если у вас дома dlna-сервер(да к тому же роутеры прицеплен hdd) и телевизор, то когда нет внешнего инета это не будет работать. нет, спасибо

3. и как следить за умершими dns. писать скрипт, который будет следить за dns-ами ISP и менять правило в iptables?

[ShyLion]

Вешать DNS на маршрутизатор - плохая идея, какой бы маршрутизатор это не был.

то-то на всех сохо роутерах днс сервера живут...

 

Это была очевидная ошибка циски вообще включать данный функционал на роутерах с хилыми процессорами. Об этом знает любой цискун.

Возможно на больших и современных роутерах и по другому, но на ISR серии вот так.

Соху - сохово.

[NiTr0]

Если честно, то кроме как от Вас, я ни разу нигде о нём ничего не слышал

https://en.wikipedia.org/wiki/Linux_Router_Project - который был похоронен разрабом, но комьюнити его форкнуло. так что да, почти 20 лет дистру...

 

Это была очевидная ошибка циски вообще включать данный функционал на роутерах с хилыми процессорами.

ну а каким боком это касается мощных софтроутеров? синдром утенка?

[ShyLion]

ну а каким боком это касается мощных софтроутеров? синдром утенка?

Никаким.

[myth]

как это заменить на cisco/etc

Но зачем?

[NiTr0]

Никаким

вот и я о том же...

[s.lobanov]

как это заменить на cisco/etc

Но зачем?

 

Чтобы обслуживать мог кто угодно со знанием cisco без навыков работы с linux/bsd фаерволами, перлом, sql и прочим.

[NiTr0]

циска заменяет sql? это что-то новенькое :)

 

или вы предлагаете ручками абонам в ACL скорости нарезать по-дедовски, а не кнопочками биллинга (который, о ужас, используе sql, а местами даже perl)? :)

[s.lobanov]

NiTr0

Ну возьмём стандартную схему - стоит cisco/juniper/etc, которая общается с биллингом по radius. cisco - black box, биллинг - это тоже black box, всё взаимодействие radius server-sql скрыто.

 

Теперь берём какой-нибудь самопальный шлюз на freebsd - это правила в ipfw, который переливает перловый скрипт, вытягивая данные из sql, с бизнес-логикой с уровнем сложности от 2x2 до высокоинтеллектуальных

 

В первом случае, найти админа, который сможет это сопровождать относительно легко, во втором же - намного сложнее + у него будет ЧСВ over 9000 и т.п. - такие люди опасны для бизнеса

[SergeiK]

NiTr0

Ну возьмём стандартную схему - стоит cisco/juniper/etc, которая общается с биллингом по radius. cisco - black box, биллинг - это тоже black box, всё взаимодействие radius server-sql скрыто.

 

Теперь берём какой-нибудь самопальный шлюз на freebsd - это правила в ipfw, который переливает перловый скрипт, вытягивая данные из sql, с бизнес-логикой с уровнем сложности от 2x2 до высокоинтеллектуальных

 

В первом случае, найти админа, который сможет это сопровождать относительно легко, во втором же - намного сложнее + у него будет ЧСВ over 9000 и т.п. - такие люди опасны для бизнеса

Вы зря спорите с фанатиком.

В бизнесе всегда надо считать. Самопальный шлюз может быть заметно эффективнее, особенно если из заметное количество и есть люди, готовые это документировать. Хотя, последнее - это уже фантастика :).

[Mystray]

реализовать что-то нестандартное - это сродни почесать ногой за ухом, и погеморроиться придется, и в сиськоконфиг оно не попадет т.е. бекап настроек превращается в попоболь...

Попадет, если надо. У той же вяты конфиг расширяется нужными ветками/параметрами до любых состояний. Да и на klish можно в принципе config-view нагородить под что угодно.

Это в голом универсальном дистре бекап настроек - попоболь.

И оператор-левел команды можно дополнить, без потери основных плюсов.

 

И да, циско/джуноподобная абстракция опций будет лучше в подавляющем числе случаев, так как тот, кто ее понимает без обвязки -- поймет и с обвязкой, а вот непривычные к зоопарку конфигов люди с самопалом будут не в ладах.

О том, что найти человека, умеющего в *config cli проще и дешевле, чем умеющего в линукс, уже не раз сказали.

[myth]

Чтобы обслуживать мог кто угодно со знанием cisco

Понятно, требуется мальчик с мануалом за 3 копейки. Ведь тому, кто умеет

с linux/bsd фаерволами, перлом, sql и прочим

платить нужно...

[Ivan_83]

2. полный отстой. если у вас дома dlna-сервер(да к тому же роутеры прицеплен hdd) и телевизор, то когда нет внешнего инета это не будет работать. нет, спасибо

Зависит от реализации.

Можно же выдавать адреса на пару минут и без днс, а когда днс появится то уже по дольше, при этом всё будет работать.

Но это несколько костыльно, я просто перечислял возможные варианты которые в принципе могут работать.

 

3. и как следить за умершими dns. писать скрипт, который будет следить за dns-ами ISP и менять правило в iptables?

Или никак или скриптом. Это был ещё один потенциально рабочий вариант.

 

 

Ну возьмём стандартную схему - стоит cisco/juniper/etc, которая общается с биллингом по radius. cisco - black box, биллинг - это тоже black box, всё взаимодействие radius server-sql скрыто.

Как это траблшутить?

 

Теперь берём какой-нибудь самопальный шлюз на freebsd - это правила в ipfw, который переливает перловый скрипт, вытягивая данные из sql, с бизнес-логикой с уровнем сложности от 2x2 до высокоинтеллектуальных

И?

Все исходники есть, бери читай, всё как на ладони )

 

В первом случае, найти админа, который сможет это сопровождать относительно легко, во втором же - намного сложнее + у него будет ЧСВ over 9000 и т.п. - такие люди опасны для бизнеса

В первом случае это человек уровня выпускника техникума натасканный на выполнение стандартных работ, шаг в сторону и приплыли.

ЧСВ понятие весьма абстрактное, я не буду говорить за всех админов, но бывают и очень разбирающиеся люди, наподобие тех что сидят в цыске и делаю железки.

Для бизнеса опасны неадекватные люди, как среди исполнителей так и среди начальства, к абстрактному ЧСВ это имеет мало отношения.

Кроме одного случая: начальник неадекват перегибает палку, его посылают и уходят в горизонт, на работу с более адекватным руководством. Сисководу тут сложнее, ибо за зверью таких как он ещё пол сотни готовых за еду работать.

 

Но тут нужно понимать: либо у тебя бизнес типовой и ты такой как все, либо ты претендуешь на что то выдающееся либо по сервисам/продуктам либо по прибылям.

Эр, рт - они типа такие как все: как то работает да и ладно. Свои регламенты писать они не в силах, пользуются тем что вендор повелел.

С наших провайдеров я что то затрудняюсь назвать более менее заметных с инновациями, а иностранными не особо интересуюсь. Но припоминаю французкий телеком который довольно усиленно занимался внедрением IPv6 с большой практикой на хомяках, железках и написанием публичного бестпрактис, уж не помню ушло ли что то ихнее в RFC.

[pfexec]

Дело в том что сейчас у нас cisco1812, и уже на полусотне пользователей и сорокаметровом канале он начинает иногда захлебываться. Сначала я смотрел на линейку 28**, потом почитав понял, что далеко от 18** она не ушла, в результате смотрю на бу 2901.Что скажете?

может проще ubnt edgerouter поставить с accel-ppp: https://community.ubnt.com/t5/EdgeMAX/PPPoE-performance-trying-accel-ppp/td-p/676925/highlight/true/page/10 ?

 

покупать 7201 сегодня странная затея, а самый лучший в мире роутер для хоминета ASR1001-x - очень преждевременная затея, раз живете на 18ой циске. :D так что edgerouter ваш выбор я думаю.

[s.lobanov]

Но тут нужно понимать: либо у тебя бизнес типовой и ты такой как все, либо ты претендуешь на что то выдающееся либо по сервисам/продуктам либо по прибылям.

 

К ISP это(инновационность) никак не относится. ISP это просто ЖКХ. Максимум на что можно претендовать это стать пилотной зоной для какого-нибудь вендора с новыми железками/технологиями.

 

И?

Все исходники есть, бери читай, всё как на ладони )

 

Это уже другие деньги в плане з/п такому сотруднику.

 

Как это траблшутить?

 

логи и дебаги, что-то можно самому исправить, остальное - тикеты к вендорам

 

Чтобы обслуживать мог кто угодно со знанием cisco

Понятно, требуется мальчик с мануалом за 3 копейки. Ведь тому, кто умеет

с linux/bsd фаерволами, перлом, sql и прочим

платить нужно...

Да, именно так оно и есть.

[NiTr0]

Теперь берём какой-нибудь самопальный шлюз на freebsd - это правила в ipfw, который переливает перловый скрипт, вытягивая данные из sql, с бизнес-логикой с уровнем сложности от 2x2 до высокоинтеллектуальных

у меня все работает через радиус. ЧЯДНТ?

 

В первом случае, найти админа, который сможет это сопровождать относительно легко

ну-ну, найдите цискоадмина в райцентре за 500 кмм от МКАДа :) не-не, не эникея, способного вбить в гугол "циско настроить бгп" и сделать копипаст вывода в консоль (при этом с вероятностью 50/50 получить "нащяльнике, я сделал как написано, а оно неработает"), а человека работавшего с цисками. уверен - хрен получится :)

 

Попадет, если надо. У той же вяты конфиг расширяется нужными ветками/параметрами до любых состояний

ок, расширьте туда конфиг bird-а так, чтобы можно было задавать фильтры хотя бы вполовину так же гибко и удобно как в bird-е (т.е. с гибкими логическими выражениями, кучкой параметров по которым фильтруется и т.п.).

 

И да, циско/джуноподобная абстракция опций будет лучше в подавляющем числе случаев, так как тот, кто ее понимает без обвязки -- поймет и с обвязкой, а вот непривычные к зоопарку конфигов люди с самопалом будут не в ладах.

вторым этапом - покажите новый конфиг тому самому дешевому цисководу и попросите его что-то изменить. паника и ступор, переходящие в маты на тему "кто это сделал и как оно работает", гарантированы.

[Mystray]

конфиг bird-а

Оно вокруг квагги построено. Если вам надо - поменяйте бекенд вайоса на бирд. Парсилку из джун-стайл в бирд-стайл тоже написать можно, разница между ними не такая большая.

Вята/Брокады же осилили впилить что-то своё.

 

самому дешевому цисководу

В cli с подсказками, автодополнением и проверялкой он разберется. А вот в нагромождениях пайпов, протоколов и фильтров - "паника и ступор" вполне вероятны.

Всегда есть люди, которые хорошо работают по накатанным схемам и готовым решениям, и они обходятся намного дешевле на своих местах, чем крутые продвинутые линуксоиды с компилятором BPF в голове.

 

Это какие-то крайности на ровном месте. Или вы компромиссов не приемлете, и берете только лучших из лучших?

[myth]

Да, именно так оно и есть.

Тупиковый путь, имхо. IT компании экономить на айтишниках.

[Butch3r]

Просмотр сообщенияNiTr0 (Сегодня, 14:29) писал:

самому дешевому цисководу

 

В cli с подсказками, автодополнением и проверялкой он разберется. А вот в нагромождениях пайпов, протоколов и фильтров - "паника и ступор" вполне вероятны.

Всегда есть люди, которые хорошо работают по накатанным схемам и готовым решениям, и они обходятся намного дешевле на своих местах, чем крутые продвинутые линуксоиды с компилятором BPF в голове.

+

[NiTr0]

Оно вокруг квагги построено

грусть-печаль... поднимите несколько независимых бгп инстансов (намекаю - квагга такое не умеет), в несколько vrf, настройте обмен маршрутами со сложными фильтрами (к примеру нейбору А анонсить только все белые подсети; нейбору В - все, включая маршруты из оспф из area 2, но не других area, т.к. это ibgp нейбор; нейбору С - только полученное от нейбора А + все белые подсети шире /24) - расскажете потом о том, как это просто делается кваггой :)

 

Если вам надо - поменяйте бекенд вайоса на бирд.

ну вот и продемонстрируйте, как это "просто"...ну или хотя бы оцените затраты (в часах) на реализацию транслятора... думается - это будет минимум 100-200 часов работы программиста (не сиськоадмина, который не может ничего кроме как по мануалу команды копипастить). со ставкой $15-20 в час (джун за $10/час навряд осилит).

 

В cli с подсказками, автодополнением и проверялкой он разберется

без хелпа, с неизвестными командами с отсутствующим/непонятным хелпом (ибо предыдущий админ нифига не документировал - мы же равные условия рассматриваем)?... ну-ну.

[Ivan_83]

К ISP это(инновационность) никак не относится. ISP это просто ЖКХ.

Относится, если ты хочешь чуть повысить риски и прибыль.

 

логи и дебаги, что-то можно самому исправить, остальное - тикеты к вендорам

Да да, вендоры так и побежали тебе исправлять.

 

 

о ставкой $15-20 в час (джун за $10/час навряд осилит).

Хз откуда у тебя эти цифры, у нас по мск не джуны получают 100-150к руб/мес.

Вот при 100к руб/мес выходит 625 руб/час, прям меньше твоего джуна по текущему курсу.

[zi_rus]

Да да, вендоры так и побежали тебе исправлять.

 

мне исправляли. чяднт?

[NiTr0]

Хз откуда у тебя эти цифры, у нас по мск не джуны получают 100-150к руб/мес.

Вот при 100к руб/мес выходит 625 руб/час, прям меньше твоего джуна по текущему курсу.

пхп небось?