s.lobanov Опубликовано 13 сентября, 2016 · Жалоба а риски, связанные с linux-админами и 100500 конфигами раскиданными по /etc и ещё где-нибудь приныканными просто несоизмеримы с затратами на норм. оборудование. Это какие такие риски? Что сын начальника, пришедший в готовую сеть не справится и все сломает? Так это их проблемы Риск в том, что какой-нибудь NiTro запилит свой дистр, внедрит его на предприятии, потом найдёт себе другое место работы, а новый админ пока с этим разберётся будет много даунтайма. Это конечно утрировано, но мой опыт по разбору freebsd/linux-софтроутеров купленных провайдеров говорит о том, что если есть возможность иметь что-то брендовое с единым конфигом (аля cisco/juniper, да пусть даже шлакотик), чем потом разгребать сотни скриптов, являющиеся плодами работы какого-нибудь админа. Чтобы разобраться в конфиге cisco, нужно конечное время, а разбираться в десятках килобайт кода bash/perl/etc-скриптов, которые вливают правила в ipfw - это просто отстой А содержать команду, которая будет что-то пилить, хорошо это документировать, коммитить свои наработки в дистрибутив или как отдельное ПО - ну это уже и по деньгам выйдет дороже, чем купить ту же cisco Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 13 сентября, 2016 · Жалоба а разбираться в десятках килобайт кода bash/perl/etc-скриптов, которые вливают правила в ipfw Не многим больше времени требуется Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 13 сентября, 2016 · Жалоба вообще-то LEAF-у уже поболее 16 лет есличо Если честно, то кроме как от Вас, я ни разу нигде о нём ничего не слышал, хотя столько всякого софтового и "железного" перебровал, что даже и не вспомню все названия... а разбираться в десятках килобайт кода bash/perl/etc-скриптов, которые вливают правила в ipfw Не многим больше времени требуется всё понятно. вы просто один из тех, кто делает такие велосипеды, а потом другие ковыряются в ваших поделиях, чтобы понять логику и как это заменить на cisco/etc после покупки сети Решение очевидно: 1. ставить dnsmasq и отдавать адрес роутера в кач днс, а в dnsmasq скормить адреса потом 2. не выдавать адреса в лане пока ван не подымется и днс провайдера не станут известны или не отдавать днс пока не станут известны... 3. выдавать адрес роутера, а в фаере нарисовать редирект на один из днс провайдера когда он станет известен Последние два варианта как то не очень в плане юзер экспириенса. 1. собственно, большинство soho-роутеров так и делают 2. полный отстой. если у вас дома dlna-сервер(да к тому же роутеры прицеплен hdd) и телевизор, то когда нет внешнего инета это не будет работать. нет, спасибо 3. и как следить за умершими dns. писать скрипт, который будет следить за dns-ами ISP и менять правило в iptables? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 14 сентября, 2016 · Жалоба Вешать DNS на маршрутизатор - плохая идея, какой бы маршрутизатор это не был. то-то на всех сохо роутерах днс сервера живут... Это была очевидная ошибка циски вообще включать данный функционал на роутерах с хилыми процессорами. Об этом знает любой цискун. Возможно на больших и современных роутерах и по другому, но на ISR серии вот так. Соху - сохово. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 14 сентября, 2016 · Жалоба Если честно, то кроме как от Вас, я ни разу нигде о нём ничего не слышал https://en.wikipedia.org/wiki/Linux_Router_Project - который был похоронен разрабом, но комьюнити его форкнуло. так что да, почти 20 лет дистру... Это была очевидная ошибка циски вообще включать данный функционал на роутерах с хилыми процессорами. ну а каким боком это касается мощных софтроутеров? синдром утенка? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 14 сентября, 2016 · Жалоба ну а каким боком это касается мощных софтроутеров? синдром утенка? Никаким. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 14 сентября, 2016 · Жалоба как это заменить на cisco/etc Но зачем? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 14 сентября, 2016 · Жалоба Никаким вот и я о том же... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 14 сентября, 2016 · Жалоба как это заменить на cisco/etc Но зачем? Чтобы обслуживать мог кто угодно со знанием cisco без навыков работы с linux/bsd фаерволами, перлом, sql и прочим. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 14 сентября, 2016 · Жалоба циска заменяет sql? это что-то новенькое :) или вы предлагаете ручками абонам в ACL скорости нарезать по-дедовски, а не кнопочками биллинга (который, о ужас, используе sql, а местами даже perl)? :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 14 сентября, 2016 · Жалоба NiTr0 Ну возьмём стандартную схему - стоит cisco/juniper/etc, которая общается с биллингом по radius. cisco - black box, биллинг - это тоже black box, всё взаимодействие radius server-sql скрыто. Теперь берём какой-нибудь самопальный шлюз на freebsd - это правила в ipfw, который переливает перловый скрипт, вытягивая данные из sql, с бизнес-логикой с уровнем сложности от 2x2 до высокоинтеллектуальных В первом случае, найти админа, который сможет это сопровождать относительно легко, во втором же - намного сложнее + у него будет ЧСВ over 9000 и т.п. - такие люди опасны для бизнеса Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SergeiK Опубликовано 14 сентября, 2016 · Жалоба NiTr0 Ну возьмём стандартную схему - стоит cisco/juniper/etc, которая общается с биллингом по radius. cisco - black box, биллинг - это тоже black box, всё взаимодействие radius server-sql скрыто. Теперь берём какой-нибудь самопальный шлюз на freebsd - это правила в ipfw, который переливает перловый скрипт, вытягивая данные из sql, с бизнес-логикой с уровнем сложности от 2x2 до высокоинтеллектуальных В первом случае, найти админа, который сможет это сопровождать относительно легко, во втором же - намного сложнее + у него будет ЧСВ over 9000 и т.п. - такие люди опасны для бизнеса Вы зря спорите с фанатиком. В бизнесе всегда надо считать. Самопальный шлюз может быть заметно эффективнее, особенно если из заметное количество и есть люди, готовые это документировать. Хотя, последнее - это уже фантастика :). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Mystray Опубликовано 14 сентября, 2016 · Жалоба реализовать что-то нестандартное - это сродни почесать ногой за ухом, и погеморроиться придется, и в сиськоконфиг оно не попадет т.е. бекап настроек превращается в попоболь... Попадет, если надо. У той же вяты конфиг расширяется нужными ветками/параметрами до любых состояний. Да и на klish можно в принципе config-view нагородить под что угодно. Это в голом универсальном дистре бекап настроек - попоболь. И оператор-левел команды можно дополнить, без потери основных плюсов. И да, циско/джуноподобная абстракция опций будет лучше в подавляющем числе случаев, так как тот, кто ее понимает без обвязки -- поймет и с обвязкой, а вот непривычные к зоопарку конфигов люди с самопалом будут не в ладах. О том, что найти человека, умеющего в *config cli проще и дешевле, чем умеющего в линукс, уже не раз сказали. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 14 сентября, 2016 · Жалоба Чтобы обслуживать мог кто угодно со знанием cisco Понятно, требуется мальчик с мануалом за 3 копейки. Ведь тому, кто умеет с linux/bsd фаерволами, перлом, sql и прочим платить нужно... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 14 сентября, 2016 · Жалоба 2. полный отстой. если у вас дома dlna-сервер(да к тому же роутеры прицеплен hdd) и телевизор, то когда нет внешнего инета это не будет работать. нет, спасибо Зависит от реализации. Можно же выдавать адреса на пару минут и без днс, а когда днс появится то уже по дольше, при этом всё будет работать. Но это несколько костыльно, я просто перечислял возможные варианты которые в принципе могут работать. 3. и как следить за умершими dns. писать скрипт, который будет следить за dns-ами ISP и менять правило в iptables? Или никак или скриптом. Это был ещё один потенциально рабочий вариант. Ну возьмём стандартную схему - стоит cisco/juniper/etc, которая общается с биллингом по radius. cisco - black box, биллинг - это тоже black box, всё взаимодействие radius server-sql скрыто. Как это траблшутить? Теперь берём какой-нибудь самопальный шлюз на freebsd - это правила в ipfw, который переливает перловый скрипт, вытягивая данные из sql, с бизнес-логикой с уровнем сложности от 2x2 до высокоинтеллектуальных И? Все исходники есть, бери читай, всё как на ладони ) В первом случае, найти админа, который сможет это сопровождать относительно легко, во втором же - намного сложнее + у него будет ЧСВ over 9000 и т.п. - такие люди опасны для бизнеса В первом случае это человек уровня выпускника техникума натасканный на выполнение стандартных работ, шаг в сторону и приплыли. ЧСВ понятие весьма абстрактное, я не буду говорить за всех админов, но бывают и очень разбирающиеся люди, наподобие тех что сидят в цыске и делаю железки. Для бизнеса опасны неадекватные люди, как среди исполнителей так и среди начальства, к абстрактному ЧСВ это имеет мало отношения. Кроме одного случая: начальник неадекват перегибает палку, его посылают и уходят в горизонт, на работу с более адекватным руководством. Сисководу тут сложнее, ибо за зверью таких как он ещё пол сотни готовых за еду работать. Но тут нужно понимать: либо у тебя бизнес типовой и ты такой как все, либо ты претендуешь на что то выдающееся либо по сервисам/продуктам либо по прибылям. Эр, рт - они типа такие как все: как то работает да и ладно. Свои регламенты писать они не в силах, пользуются тем что вендор повелел. С наших провайдеров я что то затрудняюсь назвать более менее заметных с инновациями, а иностранными не особо интересуюсь. Но припоминаю французкий телеком который довольно усиленно занимался внедрением IPv6 с большой практикой на хомяках, железках и написанием публичного бестпрактис, уж не помню ушло ли что то ихнее в RFC. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pfexec Опубликовано 15 сентября, 2016 · Жалоба Дело в том что сейчас у нас cisco1812, и уже на полусотне пользователей и сорокаметровом канале он начинает иногда захлебываться. Сначала я смотрел на линейку 28**, потом почитав понял, что далеко от 18** она не ушла, в результате смотрю на бу 2901.Что скажете?может проще ubnt edgerouter поставить с accel-ppp: https://community.ubnt.com/t5/EdgeMAX/PPPoE-performance-trying-accel-ppp/td-p/676925/highlight/true/page/10 ? покупать 7201 сегодня странная затея, а самый лучший в мире роутер для хоминета ASR1001-x - очень преждевременная затея, раз живете на 18ой циске. :D так что edgerouter ваш выбор я думаю. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 15 сентября, 2016 · Жалоба Но тут нужно понимать: либо у тебя бизнес типовой и ты такой как все, либо ты претендуешь на что то выдающееся либо по сервисам/продуктам либо по прибылям. К ISP это(инновационность) никак не относится. ISP это просто ЖКХ. Максимум на что можно претендовать это стать пилотной зоной для какого-нибудь вендора с новыми железками/технологиями. И? Все исходники есть, бери читай, всё как на ладони ) Это уже другие деньги в плане з/п такому сотруднику. Как это траблшутить? логи и дебаги, что-то можно самому исправить, остальное - тикеты к вендорам Чтобы обслуживать мог кто угодно со знанием cisco Понятно, требуется мальчик с мануалом за 3 копейки. Ведь тому, кто умеет с linux/bsd фаерволами, перлом, sql и прочим платить нужно... Да, именно так оно и есть. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 15 сентября, 2016 · Жалоба Теперь берём какой-нибудь самопальный шлюз на freebsd - это правила в ipfw, который переливает перловый скрипт, вытягивая данные из sql, с бизнес-логикой с уровнем сложности от 2x2 до высокоинтеллектуальных у меня все работает через радиус. ЧЯДНТ? В первом случае, найти админа, который сможет это сопровождать относительно легко ну-ну, найдите цискоадмина в райцентре за 500 кмм от МКАДа :) не-не, не эникея, способного вбить в гугол "циско настроить бгп" и сделать копипаст вывода в консоль (при этом с вероятностью 50/50 получить "нащяльнике, я сделал как написано, а оно неработает"), а человека работавшего с цисками. уверен - хрен получится :) Попадет, если надо. У той же вяты конфиг расширяется нужными ветками/параметрами до любых состояний ок, расширьте туда конфиг bird-а так, чтобы можно было задавать фильтры хотя бы вполовину так же гибко и удобно как в bird-е (т.е. с гибкими логическими выражениями, кучкой параметров по которым фильтруется и т.п.). И да, циско/джуноподобная абстракция опций будет лучше в подавляющем числе случаев, так как тот, кто ее понимает без обвязки -- поймет и с обвязкой, а вот непривычные к зоопарку конфигов люди с самопалом будут не в ладах. вторым этапом - покажите новый конфиг тому самому дешевому цисководу и попросите его что-то изменить. паника и ступор, переходящие в маты на тему "кто это сделал и как оно работает", гарантированы. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Mystray Опубликовано 15 сентября, 2016 · Жалоба конфиг bird-а Оно вокруг квагги построено. Если вам надо - поменяйте бекенд вайоса на бирд. Парсилку из джун-стайл в бирд-стайл тоже написать можно, разница между ними не такая большая. Вята/Брокады же осилили впилить что-то своё. самому дешевому цисководу В cli с подсказками, автодополнением и проверялкой он разберется. А вот в нагромождениях пайпов, протоколов и фильтров - "паника и ступор" вполне вероятны. Всегда есть люди, которые хорошо работают по накатанным схемам и готовым решениям, и они обходятся намного дешевле на своих местах, чем крутые продвинутые линуксоиды с компилятором BPF в голове. Это какие-то крайности на ровном месте. Или вы компромиссов не приемлете, и берете только лучших из лучших? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 15 сентября, 2016 · Жалоба Да, именно так оно и есть. Тупиковый путь, имхо. IT компании экономить на айтишниках. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Butch3r Опубликовано 15 сентября, 2016 · Жалоба Просмотр сообщенияNiTr0 (Сегодня, 14:29) писал: самому дешевому цисководу В cli с подсказками, автодополнением и проверялкой он разберется. А вот в нагромождениях пайпов, протоколов и фильтров - "паника и ступор" вполне вероятны. Всегда есть люди, которые хорошо работают по накатанным схемам и готовым решениям, и они обходятся намного дешевле на своих местах, чем крутые продвинутые линуксоиды с компилятором BPF в голове. + Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 15 сентября, 2016 · Жалоба Оно вокруг квагги построено грусть-печаль... поднимите несколько независимых бгп инстансов (намекаю - квагга такое не умеет), в несколько vrf, настройте обмен маршрутами со сложными фильтрами (к примеру нейбору А анонсить только все белые подсети; нейбору В - все, включая маршруты из оспф из area 2, но не других area, т.к. это ibgp нейбор; нейбору С - только полученное от нейбора А + все белые подсети шире /24) - расскажете потом о том, как это просто делается кваггой :) Если вам надо - поменяйте бекенд вайоса на бирд. ну вот и продемонстрируйте, как это "просто"...ну или хотя бы оцените затраты (в часах) на реализацию транслятора... думается - это будет минимум 100-200 часов работы программиста (не сиськоадмина, который не может ничего кроме как по мануалу команды копипастить). со ставкой $15-20 в час (джун за $10/час навряд осилит). В cli с подсказками, автодополнением и проверялкой он разберется без хелпа, с неизвестными командами с отсутствующим/непонятным хелпом (ибо предыдущий админ нифига не документировал - мы же равные условия рассматриваем)?... ну-ну. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 15 сентября, 2016 · Жалоба К ISP это(инновационность) никак не относится. ISP это просто ЖКХ. Относится, если ты хочешь чуть повысить риски и прибыль. логи и дебаги, что-то можно самому исправить, остальное - тикеты к вендорам Да да, вендоры так и побежали тебе исправлять. о ставкой $15-20 в час (джун за $10/час навряд осилит). Хз откуда у тебя эти цифры, у нас по мск не джуны получают 100-150к руб/мес. Вот при 100к руб/мес выходит 625 руб/час, прям меньше твоего джуна по текущему курсу. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zi_rus Опубликовано 16 сентября, 2016 · Жалоба Да да, вендоры так и побежали тебе исправлять. мне исправляли. чяднт? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 16 сентября, 2016 · Жалоба Хз откуда у тебя эти цифры, у нас по мск не джуны получают 100-150к руб/мес. Вот при 100к руб/мес выходит 625 руб/час, прям меньше твоего джуна по текущему курсу. пхп небось? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...