shaper Опубликовано 7 сентября, 2016 · Жалоба исходные данные: Есть база и три магазина. все подключены к сети Провайдера1. на базе давно трудится D-link DFL-210, в магазинах - солянка: d-link DIR-130(заменим на микротик) и пара микротиков 751G, магазины подключены по радиоканалам. Поднят IPSec. Льется видеонаблюдение и обмен файлами (в среднем 5-7Мбит с магазина). на базу завели оптику Провайдера2 (статический IP,PPPoE) Аплинк 10Мбит/с (расширят до 15-20). Поставили микротик 2011, он раздает инет еще на пару арендаторов(4+1Мбит) и принимает каналы с DFL-210. Планируются подключения по оптике магазинов к Провайдеру2. каналы 5-10Мбит/с, скорее всего серые адреса (PPPoE, динамика). Задача: создать по два канала от базы к каждому магазину (через обоих провайдеров) для обеспечения стабильности обмена данными. Хочется отправить на покой DFL-210 и построить на одной железке (микротик) вопросы к практикам: 1. выдержит ли 2011? 2. Если нет. на что поменять? 3. возможно ли агрегировать каналы обоих провайдеров до магазинов? 4. какой тип каналов лучше поднять через Провайдера2? 5. Если не получается агрегация. то какой лучше алгоритм переключения каналов магазинах выбрать на 751G (в каждом магазине своя подсеть /24) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
shaper Опубликовано 7 сентября, 2016 (изменено) · Жалоба Да, забыл сказать что на 2011 поднят PPTP и к нему подключаются через интернет два удаленных сотрудника со стороны Провайдера2 Изменено 7 сентября, 2016 пользователем shaper Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
shaper Опубликовано 8 сентября, 2016 · Жалоба печально как-то..... или практиков не осталось, что некому подсказать направление или задача настолько тривиальна и не вызывает желание ответить или я настолько плохо описал проблему, что никто ничего не понял... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nik0n Опубликовано 8 сентября, 2016 · Жалоба Просто ваши 10мбит/с (и даже 25) ни кого не впечатляют :) Тут люди обсуждают проблемы на сотнях и выше. А с вашей задачей любой современный нормальный роутер справиться. В том числе и указанный Вами микротик. Тем более NAT и шейпер в условиях задачи отсутвует. ЗЫ Задача утилизации/агрегации каналов через публичные адреса на железных роутерах не решаеться в принципе. Тут может помочь тазик на линукс/фре, но я думаю это не Ваш случай ;-) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DRiVen Опубликовано 8 сентября, 2016 · Жалоба 1. выдержит ли 2011? Что именно? 30мбит IPsec - нет, максимум 20. 2. Если нет. на что поменять? На железку, жующую шифрование аппаратно, выбор вроде есть. 3. возможно ли агрегировать каналы обоих провайдеров до магазинов? Агрегация радио с оптикой... Месье поклонник альтернативных способов удовлетворения? Это в смысле "не надо". 4. какой тип каналов лучше поднять через Провайдера2? Все зависит от того, что именно вам нужно. Это к вопросу об ipsec и оправданности шифрования вообще. 5. Если не получается агрегация. то какой лучше алгоритм переключения каналов магазинах выбрать на 751G Имхо - самый простой, типа: /ip route add dst-address=0.0.0.0/0 gateway=<IP ISP1 "fiber"> distance=1 check-gateway=ping /ip route add dst-address=0.0.0.0/0 gateway=<IP ISP2 "wireless"> distance=2 check-gateway=ping Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
shaper Опубликовано 8 сентября, 2016 · Жалоба Просто ваши 10мбит/с (и даже 25) ни кого не впечатляют :) это сейчас 25. Аппетиты клиента растут. Потом захочет видео высокой четкости с магазинов и будет уже 50-60 А с вашей задачей любой современный нормальный роутер справиться. В том числе и указанный Вами микротик. Тем более NAT и шейпер в условиях задачи отсутвует. 2011 к нормальным относится? Говорят, что больше 20 не перелопатит.. Надо что-то мощнее. посоветуйте железку. Nat есть - раздает инет в три подсети и нарезает скорости: на базу (в офис) и два арендатора. Суммарно компов 10-15 ЗЫ Задача утилизации/агрегации каналов через публичные адреса на железных роутерах не решаеться в принципе. Тут может помочь тазик на линукс/фре, но я думаю это не Ваш случай ;-) никогда не пробовал, вот и спросил. Прогресс не стоит на месте Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
shaper Опубликовано 8 сентября, 2016 (изменено) · Жалоба 1. выдержит ли 2011? Что именно? 30мбит IPsec - нет, максимум 20. стоит ли рассматривать CCR1009-8G-1S-1S+ в качестве замены? С запасом на рост. Клиент готов потратится. 2. Если нет. на что поменять? На железку, жующую шифрование аппаратно, выбор вроде есть. опять "солянка". Не вижу у микротика такой железки. Плохо ищу? Добавление еще одного бренда усложняет обслуживание клиента. 4. какой тип каналов лучше поднять через Провайдера2? Все зависит от того, что именно вам нужно. Это к вопросу об ipsec и оправданности шифрования вообще. трафик идет через публичные сети, естественно надо его "закрыть". И сделать с минимальными усилиями и максимальным эффектом 5. Если не получается агрегация. то какой лучше алгоритм переключения каналов магазинах выбрать на 751G Имхо - самый простой, типа: /ip route add dst-address=0.0.0.0/0 gateway=<IP ISP1 "fiber"> distance=1 check-gateway=ping /ip route add dst-address=0.0.0.0/0 gateway=<IP ISP2 "wireless"> distance=2 check-gateway=ping т.е задействовать два провайдера одновременно до каждого магазина не получится, только переключением маршрута... Изменено 8 сентября, 2016 пользователем shaper Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 8 сентября, 2016 · Жалоба трафик идет через публичные сети, естественно надо его "закрыть". Да кому он нужен - то? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DRiVen Опубликовано 8 сентября, 2016 · Жалоба стоит ли рассматривать CCR1009-8G-1S-1S+ в качестве замены? Ничего себе замена, в четыре раза. Если в наличии полштуки свободных, я бы наверное поискал что-нибудь из SRX. А в качестве замены посмотрите на 3011, пишут, что по тестам 80мбит он шифрует, вам, думаю, хватит. Не вижу у микротика такой железки. Плохо ищу? У МТ такой нет. трафик идет через публичные сети, естественно надо его "закрыть" Закройте, но зачем же все пихать в шифрованный канал? Поднимите еще один туннель без шифрования и гоняйте видео по нему. Да кому он нужен - то? +1 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
EShirokiy Опубликовано 8 сентября, 2016 · Жалоба Ничего себе замена, в четыре раза. Если в наличии полштуки свободных, я бы наверное поискал что-нибудь из SRX. А в качестве замены посмотрите на 3011, пишут, что по тестам 80мбит он шифрует, вам, думаю, хватит. Его, вроде как в продаже еще нет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 8 сентября, 2016 · Жалоба т.е задействовать два провайдера одновременно до каждого магазина не получится, только переключением маршрута... OSPF включите. Этот протокол сам и нагрузку распределит, и работоспособность каналов проверит и т.п. трафик идет через публичные сети, естественно надо его "закрыть". И сделать с минимальными усилиями и максимальным эффектом Этот трафик, как уже заметили, никому не нужен. Вот и получается, что задачу, которую легко решает 2011 без шифрования, приходится решать на CCR1036 просто потому что заказчик так хочет, ну раз хочет то пусть оплачивает дорогие железки=) Обычно при определении стоимости сразу задают вопрос - а если без шифрования, то более простая железка потянет? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
shaper Опубликовано 9 сентября, 2016 · Жалоба Да кому он нужен - то? Раньше, при социализме, все были равны, брать было нечего. И ключи от квартир всегда под ковриками лежали. А сейчас люди все больше дифференцируются по доходам. И коммерческая информация стала стоить денег. Зачем создавать соблазн и оставлять квартиру открытой? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
shaper Опубликовано 9 сентября, 2016 · Жалоба OSPF включите. Этот протокол сам и нагрузку распределит, и работоспособность каналов проверит и т.п. правильно ли я понял: можно оставить 2011 с OSFP. поднять через каждого прова по три тоннеля типа L2TP без шифрования. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 9 сентября, 2016 (изменено) · Жалоба Зачем создавать соблазн и оставлять квартиру открытой? Ну, тогда и окна заколотите. И объект сделайте режимным. Т.к практически все утечки информации идут изнутри конторы. Изменено 9 сентября, 2016 пользователем myth Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 9 сентября, 2016 · Жалоба можно оставить 2011 с OSFP. поднять через каждого прова по три тоннеля типа L2TP без шифрования. Да, при этом если направить часть трафика по разным каналам, то шифрование не нужно, т.к. данные будут разрознены и для злоумышленника не дойдет половина или 2/3 информации. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nkusnetsov Опубликовано 10 сентября, 2016 (изменено) · Жалоба Ничего себе замена, в четыре раза. Если в наличии полштуки свободных, я бы наверное поискал что-нибудь из SRX. А в качестве замены посмотрите на 3011, пишут, что по тестам 80мбит он шифрует, вам, думаю, хватит. Его, вроде как в продаже еще нет. EShirokiy, 3011 в продаже есть, но редко. В прежних релизах были баги в поддержке именно железа 3011 - см. "changes list" к релизам RouterOS. К 6.36.2 практически всё пофиксили. Про общей производительности проца RB3011 весьма близок к RB1100HAx2. НО важно помнить, что в RB1100 стоит 2Gb RAM, и проц P2020, в котором есть аппаратная поддержка IPSec. У проца на RB3011 такой поддержки нет. Источник: http://cache.freescale.com/files/netcomm/doc/fact_sheet/QP20XXFS.pdf The P2020 and P2010 processors have an advanced set of features for ease of use. The optional integrated security engine supports the cryptographic algorithms commonly used in IPsec, SSL, 3GPP and other networking and wireless security protocols. Именно сейчас имею на руках совместно RB1100AHx2 и RB3011. Возможно, соберусь с силами запилить сравнительный тест. Изменено 10 сентября, 2016 пользователем nkusnetsov Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
EShirokiy Опубликовано 10 сентября, 2016 · Жалоба 3011 в продаже есть, но редко. Я уже давненько ее ищу. У нага в магазине написано, что ожидается поставка в 4 квартале 2016 года. Очень интересует производительность железки. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
shaper Опубликовано 10 сентября, 2016 (изменено) · Жалоба Ничего себе замена, в четыре раза. Если в наличии полштуки свободных, я бы наверное поискал что-нибудь из SRX. А в качестве замены посмотрите на 3011, пишут, что по тестам 80мбит он шифрует, вам, думаю, хватит. Его, вроде как в продаже еще нет. есть http://shop.nag.ru/catalog/00002.Marshrutizatory/08454.MikroTik/14463.CCR1009-8G-1S-1S 3011 не рассматривал, т.к. сам хотел его купить, но нигде нет. А между 2011 и 1009 ничего больше не обнаружил. Изменено 10 сентября, 2016 пользователем shaper Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
EShirokiy Опубликовано 10 сентября, 2016 · Жалоба shaper, разница в цене существенная Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nkusnetsov Опубликовано 11 сентября, 2016 (изменено) · Жалоба EShirokiy, если время пока терпит - можете поискать 3011. Я именно так, неспеша приобретал под проект. Скорее всего, впоследствии именно его выведут на смену RB1100AHx2. Если срочно, то смотрите на RB1100AHx2 или чуть дороже CCR1009. В обеих моделях (RB1100 и CCR) заявлена аппаратная поддержка IPSec. В RB3011 её нет. Изменено 11 сентября, 2016 пользователем nkusnetsov Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
EShirokiy Опубликовано 11 сентября, 2016 · Жалоба nkusnetsov, в планах нет гонять ipsec. У RB1100 нет оптического порта, поэтому не подойдет. Вообще, может x86 поставлю. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Triangle Опубликовано 11 сентября, 2016 · Жалоба У меня два 3011 сейчас стоят EOIP мостом, 40 метров канал со свистом, даже не задумываются, но... я решил что Джо не нужен, у меня там ни шифрования ничего. Покупал не напрягаясь, ещё пару месяцев назад. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
EShirokiy Опубликовано 11 сентября, 2016 · Жалоба У меня два 3011 сейчас стоят EOIP мостом, 40 метров канал со свистом, даже не задумываются, но... я решил что Джо не нужен, у меня там ни шифрования ничего. Покупал не напрягаясь, ещё пару месяцев назад. Хочу гонять до 300 мегабит суммарно через 30-40 eoip/vpls через OSPF. Будет работать шейпер на все тоннели, 10-20 DHCP-серверов и до 40 правил NAT. Мне кажется, мне не хватит 3011 под эти цели. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nkusnetsov Опубликовано 11 сентября, 2016 (изменено) · Жалоба 30-40 eoip/vpls через OSPF. ..... 10-20 DHCP-серверов Мне кажется, мсье сильно извращается с архитектурой. Пучёк EoIP + такая гроздь DHCP доставит кучу "веселья" при малейшей ошибке. Изменено 11 сентября, 2016 пользователем nkusnetsov Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
shaper Опубликовано 12 сентября, 2016 · Жалоба Коллеги, а что скажите про CRS125-24G-1S-RM? Ведь его можно к качестве маршрутизатора использовать. Не сдохнет от перегрузки? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...