[LostSoul]

Добрый день!

 

Требуется "роутер в виртуалке/контейнере" ( KVM , LXC )

От него хочется:   IPEC  с использованием AES-NI , микротиковский eoip , качественную работу BGP-бордера с full view , mpls желательно.

 

Испробованы следующие варианты:

Mikrotik CHS -

 

плюсы: вроде бы удобно админить и  через консоль и через winbox  ( когда наворочено очень много всяких туннелей / правил и.т.п.   при отсутствии внятной системы их наименований, начинаешь иногда ценить приемущества GUI перед консолью , при сильных лагах - аналогично. )

 

минусы:  через жопу сделанное bgp и управление им,  AES-NI работает только в aes cgm , в то время как на железячных микротиках только aes cbc - т.е. пока использовать невозможно.

Отсутствие всяких tcpdump , ngrep , ntop и всяких других приятных для линукса вещей, с заменой их не всякие неполноценные torch.

 

Обычный линукс + квага + eoip от NuclearCat :

Плюсы : 

-Производительность - можно запускать в контейнере с использованием venet , 

-натюрлих cisco cli на bgp  с удобным конфигурированием через консоль.

-все очень модульно и в высшей степени гибко для переделки.

-богатейший инструментарий для отладки и управления начиная от всяких conntrack tools с редактированием контреков , и заканчивая всякими snort которые можно быстро удобно взгромоздить.

 

Минусы:

-не тождественность runtime и save настроек.  Чтоб проверить что у тебя например гарантированно все интерфейсы и роуты прописаны без ошибок ( типа лишних запятых, точек и иных помарок ) - нужно реально перезагрузить систему.

-квага тоже местами не торт

-сложности в наглядности конфигов, когда интерфейсов , туннелей , бриджей и прочей фигни становится слишком много

 

Обычный линукс + bird + eoip от NuclearCat :

Плюсы:

-Гораздо более функциональный route демон чем вариант 2

 

Минусы

-Нет вменяемого CLI  для управления на живую, после почти любого финта в конфигах приходится рестартовать демон с ноги, что для BGP-бордера совсем не здорово.

 

vyatta

ещё не пробовал, расскажите как оно

 

openwrt x86 + quagga

плюсы:

возможность администрирования через luci , luci-web с сравнительно повторяемым и предсказуемым результатом, тождественность runtime и save конфигурации

минусы:

достаточно убого , замучаешься какие-то штуки из репература iproute2 вырисовывать на нем.

 

бредовый вариант:

А может взять и завести IOS от какой-нибудь 7200 циски в эмуляторе?

Или ни в каком эмуляторе на IPSEC с нормальной скоростью расчитывать не придется?

 

[taf_321]

1 час назад, LostSoul сказал:

-Нет вменяемого CLI  для управления на живую, после почти любого финта в конфигах приходится рестартовать демон с ноги, что для BGP-бордера совсем не здорово.

погодите, чем вас не устраивает CLI в birdc и configure check для проверки корректности и configure для принятия настроек?

[ne-vlezay80]

А FRRouting, GoBGP, ExaBGP? Что касается MPLS - то его поддержка уже появилась в Linux. VPLS тоже должен появится. Ещё кстати есть VPP.

[LostSoul]

2 минуты назад, ne-vlezay80 сказал:

 VPLS тоже должен появится. Ещё кстати есть VPP.

Ну мне интересно то, что можно подружить с распиханными по разным медвежьим углам Mikrotik HEX RB750Gr3

Скорее всего, этого они ещё не умеют.

 

[ne-vlezay80]

Microtik умеет VPLS. Только там есть ограничение на количество меток в стеке. В linux количество меток в MPLS стеке 30. Правда, пока там нет VPLS.

[LostSoul]

У меня по MPLS опыт пока чисто теоретический, но из прочитанного я пришел к заключению что мне в конечном виде нужен только traffic engineering.

То есть создание неких виртуальных vpn-каналов через MPLS-сеть с наличием основного и заранее просчитанного и быстро переключаемого за мс запасного предпочительного пути.

При этом топология между самими микротиками может быть весьма причудливая с множеством оговорок ( ограниченная связанность, разные задержки по каналам  и.т.п.  )

 

Подскажите про FRRouting .

Помню, что слезать с quagga на bird меня в свое время заставило то-ли невозможность сделать recursive route , то ли невозможность задать prf_src при динамическом добавлении маршрута квагой.

А еще невозможность держать более одной роут-таблицы в одном демоне.

Про несколько таблиц как я понял, они в FFRouting это допилили.

А вот первые 2 момента?

 

 

20 минут назад, taf_321 сказал:

погодите, чем вас не устраивает CLI в birdc и configure check для проверки корректности и configure для принятия настроек?

оно как-то все запутанно, непонятно, непредсказуемо.

А  я почти всегда хочу странного, от моего странного оно упадет и порушит bgp-анонсы. 

А мне от такого будет очень-очень больно.

У меня даже сейчас с bird есть ряд багов.

Например когда у меня выключается из сети, а затем включается в сеть микротик который в кольцо по OSPF с двумя бирдами и одной циской вставлен - после рестарта микротика бирд внезапно теряет все разученные по ospf маршруты и более их не находит пока не передернешь ( оба ).  Я понимаю что дело скорее всего  в конфигах и кривых фильтрах, но треблшутить это на живую очень неудобно.

 

А ещё у меня bird просто выпадал в корку при добавлении /32 интерфейсов на какие-то типы устройств, не помню на какие. на loopback что-ли, или на dummy.  ( эти /32 оверфлапились с большой сеткой, прибитой к router-id в качестве основной network  и завернутой в блекхол )

 

 

[saaremaa]

VPLS работает просто чудесно, чистый MPLS мы не используем. Расстраивает что...

MPLS features that RouterOS DOES NOT HAVE yet:

• IPv6 support
• LDP features:
  • downstream on demand label advertisement
  • ordered label distribution control
  • conservative label retention
• TE features
  • fast reroute
  • link/node protection
• Support for BGP as label distribution protocol

[LostSoul]

2 минуты назад, saaremaa сказал:

MPLS features that RouterOS DOES NOT HAVE yet:

• TE features
  • fast reroute

ну блин.

значит этот пункт пока вычеркиваем.

 

[ne-vlezay80]

50 минут назад, saaremaa сказал:

VPLS работает просто чудесно, чистый MPLS мы не используем. Расстраивает что...

MPLS features that RouterOS DOES NOT HAVE yet:

• IPv6 support
• LDP features:
  • downstream on demand label advertisement
  • ordered label distribution control
  • conservative label retention
• TE features
  • fast reroute
  • link/node protection
• Support for BGP as label distribution protocol

Короче, ждём VPLS в Linux...

 

Только что, ne-vlezay80 сказал:

VPLS работает просто чудесно, чистый MPLS мы не используем. Расстраивает что...

С таким же успехом можно использовать OpenBSD ))) А сколько меток используется в стеке?

[zhenya`]

шта. vpls это сервис поверх мплс. для vpls / l3vpn / l2vpn достаточно двух меток в label stack.

[ne-vlezay80]

4 минуты назад, zhenya` сказал:

шта. vpls это сервис поверх мплс. для vpls / l3vpn / l2vpn достаточно двух меток в label stack.

А если использовать VPLS из OpenBSD?

[zhenya`]

больше двух меток в стэке нужно только для CSC и SR

[ne-vlezay80]

А сколько меток в стеке у VPP/fd.io?

[NiTr0]

6 часов назад, LostSoul сказал:

после почти любого финта в конфигах приходится рестартовать демон с ноги

birdc -> configure; reload <protocol> или restart <protocol>

 

6 часов назад, LostSoul сказал:

vyatta

ещё не пробовал, расскажите как оно

quagga в кишках. со всеми вытекающими. bird как-то более предсказуем.

 

 

 

4 часа назад, LostSoul сказал:

Например когда у меня выключается из сети, а затем включается в сеть микротик который в кольцо по OSPF с двумя бирдами и одной циской вставлен - после рестарта микротика бирд внезапно теряет все разученные по ospf маршруты и более их не находит пока не передернешь ( оба ).  Я понимаю что дело скорее всего  в конфигах и кривых фильтрах, но треблшутить это на живую очень неудобно.

скорее всего некротик становится ASBR, и "забывает" опросить/разослать уведомления о роутах. надо поднять птичкам proirity.

[LostSoul]

34 минуты назад, NiTr0 сказал:

bird как-то более предсказуем.

У меня единственная непредсказуемость от кваги за долгие годы использования - это что лезешь искать найденную в цисковском howto опцию, а её нету.

Других неожиданностей не выявлял ни разу.

 

[NiTr0]

1 час назад, LostSoul сказал:

Других неожиданностей не выявлял ни разу.

тута вон недавно был случай, определенные анонсы вызывали у квагги дисконнект сессии. ну и так периодически бывает маршруты теряет...

[taf_321]

20 часов назад, LostSoul сказал:

 

А ещё у меня bird просто выпадал в корку при добавлении /32 интерфейсов на какие-то типы устройств, не помню на какие. на loopback что-ли, или на dummy.  ( эти /32 оверфлапились с большой сеткой, прибитой к router-id в качестве основной network  и завернутой в блекхол )

Про то, как там она в OSPF не скажу (в свое время сполз на iBGP и жизнь поскучнела на порядок), но вот /32 на интерфейсе вполне себе в наличии во многих местах, и птица их хавает как надо с правильным анонсированием соседям.