shaper Posted September 7, 2016 · Report post исходные данные: Есть база и три магазина. все подключены к сети Провайдера1. на базе давно трудится D-link DFL-210, в магазинах - солянка: d-link DIR-130(заменим на микротик) и пара микротиков 751G, магазины подключены по радиоканалам. Поднят IPSec. Льется видеонаблюдение и обмен файлами (в среднем 5-7Мбит с магазина). на базу завели оптику Провайдера2 (статический IP,PPPoE) Аплинк 10Мбит/с (расширят до 15-20). Поставили микротик 2011, он раздает инет еще на пару арендаторов(4+1Мбит) и принимает каналы с DFL-210. Планируются подключения по оптике магазинов к Провайдеру2. каналы 5-10Мбит/с, скорее всего серые адреса (PPPoE, динамика). Задача: создать по два канала от базы к каждому магазину (через обоих провайдеров) для обеспечения стабильности обмена данными. Хочется отправить на покой DFL-210 и построить на одной железке (микротик) вопросы к практикам: 1. выдержит ли 2011? 2. Если нет. на что поменять? 3. возможно ли агрегировать каналы обоих провайдеров до магазинов? 4. какой тип каналов лучше поднять через Провайдера2? 5. Если не получается агрегация. то какой лучше алгоритм переключения каналов магазинах выбрать на 751G (в каждом магазине своя подсеть /24) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
shaper Posted September 7, 2016 (edited) · Report post Да, забыл сказать что на 2011 поднят PPTP и к нему подключаются через интернет два удаленных сотрудника со стороны Провайдера2 Edited September 7, 2016 by shaper Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
shaper Posted September 8, 2016 · Report post печально как-то..... или практиков не осталось, что некому подсказать направление или задача настолько тривиальна и не вызывает желание ответить или я настолько плохо описал проблему, что никто ничего не понял... Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Nik0n Posted September 8, 2016 · Report post Просто ваши 10мбит/с (и даже 25) ни кого не впечатляют :) Тут люди обсуждают проблемы на сотнях и выше. А с вашей задачей любой современный нормальный роутер справиться. В том числе и указанный Вами микротик. Тем более NAT и шейпер в условиях задачи отсутвует. ЗЫ Задача утилизации/агрегации каналов через публичные адреса на железных роутерах не решаеться в принципе. Тут может помочь тазик на линукс/фре, но я думаю это не Ваш случай ;-) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
DRiVen Posted September 8, 2016 · Report post 1. выдержит ли 2011? Что именно? 30мбит IPsec - нет, максимум 20. 2. Если нет. на что поменять? На железку, жующую шифрование аппаратно, выбор вроде есть. 3. возможно ли агрегировать каналы обоих провайдеров до магазинов? Агрегация радио с оптикой... Месье поклонник альтернативных способов удовлетворения? Это в смысле "не надо". 4. какой тип каналов лучше поднять через Провайдера2? Все зависит от того, что именно вам нужно. Это к вопросу об ipsec и оправданности шифрования вообще. 5. Если не получается агрегация. то какой лучше алгоритм переключения каналов магазинах выбрать на 751G Имхо - самый простой, типа: /ip route add dst-address=0.0.0.0/0 gateway=<IP ISP1 "fiber"> distance=1 check-gateway=ping /ip route add dst-address=0.0.0.0/0 gateway=<IP ISP2 "wireless"> distance=2 check-gateway=ping Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
shaper Posted September 8, 2016 · Report post Просто ваши 10мбит/с (и даже 25) ни кого не впечатляют :) это сейчас 25. Аппетиты клиента растут. Потом захочет видео высокой четкости с магазинов и будет уже 50-60 А с вашей задачей любой современный нормальный роутер справиться. В том числе и указанный Вами микротик. Тем более NAT и шейпер в условиях задачи отсутвует. 2011 к нормальным относится? Говорят, что больше 20 не перелопатит.. Надо что-то мощнее. посоветуйте железку. Nat есть - раздает инет в три подсети и нарезает скорости: на базу (в офис) и два арендатора. Суммарно компов 10-15 ЗЫ Задача утилизации/агрегации каналов через публичные адреса на железных роутерах не решаеться в принципе. Тут может помочь тазик на линукс/фре, но я думаю это не Ваш случай ;-) никогда не пробовал, вот и спросил. Прогресс не стоит на месте Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
shaper Posted September 8, 2016 (edited) · Report post 1. выдержит ли 2011? Что именно? 30мбит IPsec - нет, максимум 20. стоит ли рассматривать CCR1009-8G-1S-1S+ в качестве замены? С запасом на рост. Клиент готов потратится. 2. Если нет. на что поменять? На железку, жующую шифрование аппаратно, выбор вроде есть. опять "солянка". Не вижу у микротика такой железки. Плохо ищу? Добавление еще одного бренда усложняет обслуживание клиента. 4. какой тип каналов лучше поднять через Провайдера2? Все зависит от того, что именно вам нужно. Это к вопросу об ipsec и оправданности шифрования вообще. трафик идет через публичные сети, естественно надо его "закрыть". И сделать с минимальными усилиями и максимальным эффектом 5. Если не получается агрегация. то какой лучше алгоритм переключения каналов магазинах выбрать на 751G Имхо - самый простой, типа: /ip route add dst-address=0.0.0.0/0 gateway=<IP ISP1 "fiber"> distance=1 check-gateway=ping /ip route add dst-address=0.0.0.0/0 gateway=<IP ISP2 "wireless"> distance=2 check-gateway=ping т.е задействовать два провайдера одновременно до каждого магазина не получится, только переключением маршрута... Edited September 8, 2016 by shaper Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
myth Posted September 8, 2016 · Report post трафик идет через публичные сети, естественно надо его "закрыть". Да кому он нужен - то? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
DRiVen Posted September 8, 2016 · Report post стоит ли рассматривать CCR1009-8G-1S-1S+ в качестве замены? Ничего себе замена, в четыре раза. Если в наличии полштуки свободных, я бы наверное поискал что-нибудь из SRX. А в качестве замены посмотрите на 3011, пишут, что по тестам 80мбит он шифрует, вам, думаю, хватит. Не вижу у микротика такой железки. Плохо ищу? У МТ такой нет. трафик идет через публичные сети, естественно надо его "закрыть" Закройте, но зачем же все пихать в шифрованный канал? Поднимите еще один туннель без шифрования и гоняйте видео по нему. Да кому он нужен - то? +1 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
EShirokiy Posted September 8, 2016 · Report post Ничего себе замена, в четыре раза. Если в наличии полштуки свободных, я бы наверное поискал что-нибудь из SRX. А в качестве замены посмотрите на 3011, пишут, что по тестам 80мбит он шифрует, вам, думаю, хватит. Его, вроде как в продаже еще нет. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted September 8, 2016 · Report post т.е задействовать два провайдера одновременно до каждого магазина не получится, только переключением маршрута... OSPF включите. Этот протокол сам и нагрузку распределит, и работоспособность каналов проверит и т.п. трафик идет через публичные сети, естественно надо его "закрыть". И сделать с минимальными усилиями и максимальным эффектом Этот трафик, как уже заметили, никому не нужен. Вот и получается, что задачу, которую легко решает 2011 без шифрования, приходится решать на CCR1036 просто потому что заказчик так хочет, ну раз хочет то пусть оплачивает дорогие железки=) Обычно при определении стоимости сразу задают вопрос - а если без шифрования, то более простая железка потянет? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
shaper Posted September 9, 2016 · Report post Да кому он нужен - то? Раньше, при социализме, все были равны, брать было нечего. И ключи от квартир всегда под ковриками лежали. А сейчас люди все больше дифференцируются по доходам. И коммерческая информация стала стоить денег. Зачем создавать соблазн и оставлять квартиру открытой? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
shaper Posted September 9, 2016 · Report post OSPF включите. Этот протокол сам и нагрузку распределит, и работоспособность каналов проверит и т.п. правильно ли я понял: можно оставить 2011 с OSFP. поднять через каждого прова по три тоннеля типа L2TP без шифрования. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
myth Posted September 9, 2016 (edited) · Report post Зачем создавать соблазн и оставлять квартиру открытой? Ну, тогда и окна заколотите. И объект сделайте режимным. Т.к практически все утечки информации идут изнутри конторы. Edited September 9, 2016 by myth Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted September 9, 2016 · Report post можно оставить 2011 с OSFP. поднять через каждого прова по три тоннеля типа L2TP без шифрования. Да, при этом если направить часть трафика по разным каналам, то шифрование не нужно, т.к. данные будут разрознены и для злоумышленника не дойдет половина или 2/3 информации. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
nkusnetsov Posted September 10, 2016 (edited) · Report post Ничего себе замена, в четыре раза. Если в наличии полштуки свободных, я бы наверное поискал что-нибудь из SRX. А в качестве замены посмотрите на 3011, пишут, что по тестам 80мбит он шифрует, вам, думаю, хватит. Его, вроде как в продаже еще нет. EShirokiy, 3011 в продаже есть, но редко. В прежних релизах были баги в поддержке именно железа 3011 - см. "changes list" к релизам RouterOS. К 6.36.2 практически всё пофиксили. Про общей производительности проца RB3011 весьма близок к RB1100HAx2. НО важно помнить, что в RB1100 стоит 2Gb RAM, и проц P2020, в котором есть аппаратная поддержка IPSec. У проца на RB3011 такой поддержки нет. Источник: http://cache.freescale.com/files/netcomm/doc/fact_sheet/QP20XXFS.pdf The P2020 and P2010 processors have an advanced set of features for ease of use. The optional integrated security engine supports the cryptographic algorithms commonly used in IPsec, SSL, 3GPP and other networking and wireless security protocols. Именно сейчас имею на руках совместно RB1100AHx2 и RB3011. Возможно, соберусь с силами запилить сравнительный тест. Edited September 10, 2016 by nkusnetsov Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
EShirokiy Posted September 10, 2016 · Report post 3011 в продаже есть, но редко. Я уже давненько ее ищу. У нага в магазине написано, что ожидается поставка в 4 квартале 2016 года. Очень интересует производительность железки. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
shaper Posted September 10, 2016 (edited) · Report post Ничего себе замена, в четыре раза. Если в наличии полштуки свободных, я бы наверное поискал что-нибудь из SRX. А в качестве замены посмотрите на 3011, пишут, что по тестам 80мбит он шифрует, вам, думаю, хватит. Его, вроде как в продаже еще нет. есть http://shop.nag.ru/catalog/00002.Marshrutizatory/08454.MikroTik/14463.CCR1009-8G-1S-1S 3011 не рассматривал, т.к. сам хотел его купить, но нигде нет. А между 2011 и 1009 ничего больше не обнаружил. Edited September 10, 2016 by shaper Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
EShirokiy Posted September 10, 2016 · Report post shaper, разница в цене существенная Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
nkusnetsov Posted September 11, 2016 (edited) · Report post EShirokiy, если время пока терпит - можете поискать 3011. Я именно так, неспеша приобретал под проект. Скорее всего, впоследствии именно его выведут на смену RB1100AHx2. Если срочно, то смотрите на RB1100AHx2 или чуть дороже CCR1009. В обеих моделях (RB1100 и CCR) заявлена аппаратная поддержка IPSec. В RB3011 её нет. Edited September 11, 2016 by nkusnetsov Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
EShirokiy Posted September 11, 2016 · Report post nkusnetsov, в планах нет гонять ipsec. У RB1100 нет оптического порта, поэтому не подойдет. Вообще, может x86 поставлю. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Triangle Posted September 11, 2016 · Report post У меня два 3011 сейчас стоят EOIP мостом, 40 метров канал со свистом, даже не задумываются, но... я решил что Джо не нужен, у меня там ни шифрования ничего. Покупал не напрягаясь, ещё пару месяцев назад. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
EShirokiy Posted September 11, 2016 · Report post У меня два 3011 сейчас стоят EOIP мостом, 40 метров канал со свистом, даже не задумываются, но... я решил что Джо не нужен, у меня там ни шифрования ничего. Покупал не напрягаясь, ещё пару месяцев назад. Хочу гонять до 300 мегабит суммарно через 30-40 eoip/vpls через OSPF. Будет работать шейпер на все тоннели, 10-20 DHCP-серверов и до 40 правил NAT. Мне кажется, мне не хватит 3011 под эти цели. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
nkusnetsov Posted September 11, 2016 (edited) · Report post 30-40 eoip/vpls через OSPF. ..... 10-20 DHCP-серверов Мне кажется, мсье сильно извращается с архитектурой. Пучёк EoIP + такая гроздь DHCP доставит кучу "веселья" при малейшей ошибке. Edited September 11, 2016 by nkusnetsov Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
shaper Posted September 12, 2016 · Report post Коллеги, а что скажите про CRS125-24G-1S-RM? Ведь его можно к качестве маршрутизатора использовать. Не сдохнет от перегрузки? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...