[shaper]

исходные данные:

Есть база и три магазина. все подключены к сети Провайдера1. на базе давно трудится D-link DFL-210, в магазинах - солянка: d-link DIR-130(заменим на микротик) и пара микротиков 751G, магазины подключены по радиоканалам. Поднят IPSec. Льется видеонаблюдение и обмен файлами (в среднем 5-7Мбит с магазина).

на базу завели оптику Провайдера2 (статический IP,PPPoE) Аплинк 10Мбит/с (расширят до 15-20). Поставили микротик 2011, он раздает инет еще на пару арендаторов(4+1Мбит) и принимает каналы с DFL-210. Планируются подключения по оптике магазинов к Провайдеру2. каналы 5-10Мбит/с, скорее всего серые адреса (PPPoE, динамика).

Задача: создать по два канала от базы к каждому магазину (через обоих провайдеров) для обеспечения стабильности обмена данными.

Хочется отправить на покой DFL-210 и построить на одной железке (микротик)

вопросы к практикам:

1. выдержит ли 2011?

2. Если нет. на что поменять?

3. возможно ли агрегировать каналы обоих провайдеров до магазинов?

4. какой тип каналов лучше поднять через Провайдера2?

5. Если не получается агрегация. то какой лучше алгоритм переключения каналов магазинах выбрать на 751G (в каждом магазине своя подсеть /24)

[shaper]

Да, забыл сказать что на 2011 поднят PPTP и к нему подключаются через интернет два удаленных сотрудника со стороны Провайдера2

Изменено 7 сентября, 2016 пользователем shaper

[shaper]

печально как-то.....

или практиков не осталось, что некому подсказать направление

или задача настолько тривиальна и не вызывает желание ответить

или я настолько плохо описал проблему, что никто ничего не понял...

[Nik0n]

Просто ваши 10мбит/с (и даже 25) ни кого не впечатляют :)

Тут люди обсуждают проблемы на сотнях и выше.

А с вашей задачей любой современный нормальный роутер справиться. В том числе и указанный Вами микротик.

Тем более NAT и шейпер в условиях задачи отсутвует.

 

ЗЫ Задача утилизации/агрегации каналов через публичные адреса на железных роутерах не решаеться в принципе.

Тут может помочь тазик на линукс/фре, но я думаю это не Ваш случай ;-)

[DRiVen]

1. выдержит ли 2011?

Что именно? 30мбит IPsec - нет, максимум 20.

2. Если нет. на что поменять?

На железку, жующую шифрование аппаратно, выбор вроде есть.

3. возможно ли агрегировать каналы обоих провайдеров до магазинов?

Агрегация радио с оптикой... Месье поклонник альтернативных способов удовлетворения? Это в смысле "не надо".

4. какой тип каналов лучше поднять через Провайдера2?

Все зависит от того, что именно вам нужно. Это к вопросу об ipsec и оправданности шифрования вообще.

5. Если не получается агрегация. то какой лучше алгоритм переключения каналов магазинах выбрать на 751G

Имхо - самый простой, типа:

/ip route add dst-address=0.0.0.0/0 gateway=<IP ISP1 "fiber"> distance=1 check-gateway=ping
/ip route add dst-address=0.0.0.0/0 gateway=<IP ISP2 "wireless"> distance=2 check-gateway=ping

[shaper]

Просто ваши 10мбит/с (и даже 25) ни кого не впечатляют :)

это сейчас 25. Аппетиты клиента растут. Потом захочет видео высокой четкости с магазинов и будет уже 50-60

А с вашей задачей любой современный нормальный роутер справиться. В том числе и указанный Вами микротик.

Тем более NAT и шейпер в условиях задачи отсутвует.

2011 к нормальным относится? Говорят, что больше 20 не перелопатит.. Надо что-то мощнее. посоветуйте железку.

Nat есть - раздает инет в три подсети и нарезает скорости: на базу (в офис) и два арендатора. Суммарно компов 10-15

 

ЗЫ Задача утилизации/агрегации каналов через публичные адреса на железных роутерах не решаеться в принципе.

Тут может помочь тазик на линукс/фре, но я думаю это не Ваш случай ;-)

никогда не пробовал, вот и спросил. Прогресс не стоит на месте

[shaper]

1. выдержит ли 2011?

Что именно? 30мбит IPsec - нет, максимум 20.

стоит ли рассматривать CCR1009-8G-1S-1S+ в качестве замены? С запасом на рост. Клиент готов потратится.

 

2. Если нет. на что поменять?

На железку, жующую шифрование аппаратно, выбор вроде есть.

 

опять "солянка". Не вижу у микротика такой железки. Плохо ищу?

Добавление еще одного бренда усложняет обслуживание клиента.

 

4. какой тип каналов лучше поднять через Провайдера2?

Все зависит от того, что именно вам нужно. Это к вопросу об ipsec и оправданности шифрования вообще.

 

трафик идет через публичные сети, естественно надо его "закрыть". И сделать с минимальными усилиями и максимальным эффектом

 

5. Если не получается агрегация. то какой лучше алгоритм переключения каналов магазинах выбрать на 751G

Имхо - самый простой, типа:

/ip route add dst-address=0.0.0.0/0 gateway=<IP ISP1 "fiber"> distance=1 check-gateway=ping
/ip route add dst-address=0.0.0.0/0 gateway=<IP ISP2 "wireless"> distance=2 check-gateway=ping

т.е задействовать два провайдера одновременно до каждого магазина не получится, только переключением маршрута...

Изменено 8 сентября, 2016 пользователем shaper

[myth]

трафик идет через публичные сети, естественно надо его "закрыть".

Да кому он нужен - то?

[DRiVen]

стоит ли рассматривать CCR1009-8G-1S-1S+ в качестве замены?

Ничего себе замена, в четыре раза. Если в наличии полштуки свободных, я бы наверное поискал что-нибудь из SRX. А в качестве замены посмотрите на 3011, пишут, что по тестам 80мбит он шифрует, вам, думаю, хватит.

Не вижу у микротика такой железки. Плохо ищу?

У МТ такой нет.

трафик идет через публичные сети, естественно надо его "закрыть"

Закройте, но зачем же все пихать в шифрованный канал? Поднимите еще один туннель без шифрования и гоняйте видео по нему.

Да кому он нужен - то?

+1

[EShirokiy]

Ничего себе замена, в четыре раза. Если в наличии полштуки свободных, я бы наверное поискал что-нибудь из SRX. А в качестве замены посмотрите на 3011, пишут, что по тестам 80мбит он шифрует, вам, думаю, хватит.

Его, вроде как в продаже еще нет.

[Saab95]

т.е задействовать два провайдера одновременно до каждого магазина не получится, только переключением маршрута...

 

OSPF включите. Этот протокол сам и нагрузку распределит, и работоспособность каналов проверит и т.п.

 

трафик идет через публичные сети, естественно надо его "закрыть". И сделать с минимальными усилиями и максимальным эффектом

 

Этот трафик, как уже заметили, никому не нужен. Вот и получается, что задачу, которую легко решает 2011 без шифрования, приходится решать на CCR1036 просто потому что заказчик так хочет, ну раз хочет то пусть оплачивает дорогие железки=) Обычно при определении стоимости сразу задают вопрос - а если без шифрования, то более простая железка потянет?

[shaper]

Да кому он нужен - то?

Раньше, при социализме, все были равны, брать было нечего. И ключи от квартир всегда под ковриками лежали.

А сейчас люди все больше дифференцируются по доходам. И коммерческая информация стала стоить денег.

Зачем создавать соблазн и оставлять квартиру открытой?

[shaper]

OSPF включите. Этот протокол сам и нагрузку распределит, и работоспособность каналов проверит и т.п.

правильно ли я понял:

можно оставить 2011 с OSFP. поднять через каждого прова по три тоннеля типа L2TP без шифрования.

[myth]

Зачем создавать соблазн и оставлять квартиру открытой?

Ну, тогда и окна заколотите. И объект сделайте режимным. Т.к практически все утечки информации идут изнутри конторы.

Изменено 9 сентября, 2016 пользователем myth

[Saab95]

можно оставить 2011 с OSFP. поднять через каждого прова по три тоннеля типа L2TP без шифрования.

 

Да, при этом если направить часть трафика по разным каналам, то шифрование не нужно, т.к. данные будут разрознены и для злоумышленника не дойдет половина или 2/3 информации.

[nkusnetsov]

Ничего себе замена, в четыре раза. Если в наличии полштуки свободных, я бы наверное поискал что-нибудь из SRX. А в качестве замены посмотрите на 3011, пишут, что по тестам 80мбит он шифрует, вам, думаю, хватит.

Его, вроде как в продаже еще нет.

EShirokiy, 3011 в продаже есть, но редко. В прежних релизах были баги в поддержке именно железа 3011 - см. "changes list" к релизам RouterOS. К 6.36.2 практически всё пофиксили. Про общей производительности проца RB3011 весьма близок к RB1100HAx2. НО важно помнить, что в RB1100 стоит 2Gb RAM, и проц P2020, в котором есть аппаратная поддержка IPSec. У проца на RB3011 такой поддержки нет.

Источник: http://cache.freescale.com/files/netcomm/doc/fact_sheet/QP20XXFS.pdf

The P2020 and P2010 processors have an

advanced set of features for ease of use. The

optional integrated security engine supports

the cryptographic algorithms commonly used

in IPsec, SSL, 3GPP and other networking

and wireless security protocols.

 

Именно сейчас имею на руках совместно RB1100AHx2 и RB3011. Возможно, соберусь с силами запилить сравнительный тест.

Изменено 10 сентября, 2016 пользователем nkusnetsov

[EShirokiy]

3011 в продаже есть, но редко.

Я уже давненько ее ищу. У нага в магазине написано, что ожидается поставка в 4 квартале 2016 года.

Очень интересует производительность железки.

[shaper]

Ничего себе замена, в четыре раза. Если в наличии полштуки свободных, я бы наверное поискал что-нибудь из SRX. А в качестве замены посмотрите на 3011, пишут, что по тестам 80мбит он шифрует, вам, думаю, хватит.

Его, вроде как в продаже еще нет.

есть http://shop.nag.ru/catalog/00002.Marshrutizatory/08454.MikroTik/14463.CCR1009-8G-1S-1S

3011 не рассматривал, т.к. сам хотел его купить, но нигде нет.

А между 2011 и 1009 ничего больше не обнаружил.

Изменено 10 сентября, 2016 пользователем shaper

[EShirokiy]

shaper, разница в цене существенная

[nkusnetsov]

EShirokiy, если время пока терпит - можете поискать 3011. Я именно так, неспеша приобретал под проект.

Скорее всего, впоследствии именно его выведут на смену RB1100AHx2.

Если срочно, то смотрите на RB1100AHx2 или чуть дороже CCR1009. В обеих моделях (RB1100 и CCR) заявлена аппаратная поддержка IPSec. В RB3011 её нет.

Изменено 11 сентября, 2016 пользователем nkusnetsov

[EShirokiy]

nkusnetsov, в планах нет гонять ipsec. У RB1100 нет оптического порта, поэтому не подойдет. Вообще, может x86 поставлю.

[Triangle]

У меня два 3011 сейчас стоят EOIP мостом, 40 метров канал со свистом, даже не задумываются, но... я решил что Джо не нужен, у меня там ни шифрования ничего. Покупал не напрягаясь, ещё пару месяцев назад.

[EShirokiy]

У меня два 3011 сейчас стоят EOIP мостом, 40 метров канал со свистом, даже не задумываются, но... я решил что Джо не нужен, у меня там ни шифрования ничего. Покупал не напрягаясь, ещё пару месяцев назад.

Хочу гонять до 300 мегабит суммарно через 30-40 eoip/vpls через OSPF. Будет работать шейпер на все тоннели, 10-20 DHCP-серверов и до 40 правил NAT.

Мне кажется, мне не хватит 3011 под эти цели.

[nkusnetsov]

30-40 eoip/vpls через OSPF. .....

10-20 DHCP-серверов

Мне кажется, мсье сильно извращается с архитектурой. Пучёк EoIP + такая гроздь DHCP доставит кучу "веселья" при малейшей ошибке.

Изменено 11 сентября, 2016 пользователем nkusnetsov

[shaper]

Коллеги, а что скажите про CRS125-24G-1S-RM? Ведь его можно к качестве маршрутизатора использовать. Не сдохнет от перегрузки?