Перейти к содержимому
Калькуляторы

quuaga или bird или mikrotik или vyatta

Добрый день!

 

Требуется "роутер в виртуалке/контейнере" ( KVM , LXC )

От него хочется:   IPEC  с использованием AES-NI , микротиковский eoip , качественную работу BGP-бордера с full view , mpls желательно.

 

Испробованы следующие варианты:

Mikrotik CHS -

 

плюсы: вроде бы удобно админить и  через консоль и через winbox  ( когда наворочено очень много всяких туннелей / правил и.т.п.   при отсутствии внятной системы их наименований, начинаешь иногда ценить приемущества GUI перед консолью , при сильных лагах - аналогично. )

 

минусы:  через жопу сделанное bgp и управление им,  AES-NI работает только в aes cgm , в то время как на железячных микротиках только aes cbc - т.е. пока использовать невозможно.

Отсутствие всяких tcpdump , ngrep , ntop и всяких других приятных для линукса вещей, с заменой их не всякие неполноценные torch.

 

Обычный линукс + квага + eoip от NuclearCat :

Плюсы : 

-Производительность - можно запускать в контейнере с использованием venet , 

-натюрлих cisco cli на bgp  с удобным конфигурированием через консоль.

-все очень модульно и в высшей степени гибко для переделки.

-богатейший инструментарий для отладки и управления начиная от всяких conntrack tools с редактированием контреков , и заканчивая всякими snort которые можно быстро удобно взгромоздить.

 

Минусы:

-не тождественность runtime и save настроек.  Чтоб проверить что у тебя например гарантированно все интерфейсы и роуты прописаны без ошибок ( типа лишних запятых, точек и иных помарок ) - нужно реально перезагрузить систему.

-квага тоже местами не торт

-сложности в наглядности конфигов, когда интерфейсов , туннелей , бриджей и прочей фигни становится слишком много

 

Обычный линукс + bird + eoip от NuclearCat :

Плюсы:

-Гораздо более функциональный route демон чем вариант 2

 

Минусы

-Нет вменяемого CLI  для управления на живую, после почти любого финта в конфигах приходится рестартовать демон с ноги, что для BGP-бордера совсем не здорово.

 

vyatta

ещё не пробовал, расскажите как оно

 

openwrt x86 + quagga

плюсы:

возможность администрирования через luci , luci-web с сравнительно повторяемым и предсказуемым результатом, тождественность runtime и save конфигурации

минусы:

достаточно убого , замучаешься какие-то штуки из репература iproute2 вырисовывать на нем.

 

бредовый вариант:

А может взять и завести IOS от какой-нибудь 7200 циски в эмуляторе?

Или ни в каком эмуляторе на IPSEC с нормальной скоростью расчитывать не придется?

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 час назад, LostSoul сказал:

-Нет вменяемого CLI  для управления на живую, после почти любого финта в конфигах приходится рестартовать демон с ноги, что для BGP-бордера совсем не здорово.

погодите, чем вас не устраивает CLI в birdc и configure check для проверки корректности и configure для принятия настроек?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А FRRouting, GoBGP, ExaBGP? Что касается MPLS - то его поддержка уже появилась в Linux. VPLS тоже должен появится. Ещё кстати есть VPP.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

2 минуты назад, ne-vlezay80 сказал:

 VPLS тоже должен появится. Ещё кстати есть VPP.

Ну мне интересно то, что можно подружить с распиханными по разным медвежьим углам Mikrotik HEX RB750Gr3

Скорее всего, этого они ещё не умеют.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Microtik умеет VPLS. Только там есть ограничение на количество меток в стеке. В linux количество меток в MPLS стеке 30. Правда, пока там нет VPLS.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

У меня по MPLS опыт пока чисто теоретический, но из прочитанного я пришел к заключению что мне в конечном виде нужен только traffic engineering.

То есть создание неких виртуальных vpn-каналов через MPLS-сеть с наличием основного и заранее просчитанного и быстро переключаемого за мс запасного предпочительного пути.

При этом топология между самими микротиками может быть весьма причудливая с множеством оговорок ( ограниченная связанность, разные задержки по каналам  и.т.п.  )

 

Подскажите про FRRouting .

Помню, что слезать с quagga на bird меня в свое время заставило то-ли невозможность сделать recursive route , то ли невозможность задать prf_src при динамическом добавлении маршрута квагой.

А еще невозможность держать более одной роут-таблицы в одном демоне.

Про несколько таблиц как я понял, они в FFRouting это допилили.

А вот первые 2 момента?

 

 

20 минут назад, taf_321 сказал:

погодите, чем вас не устраивает CLI в birdc и configure check для проверки корректности и configure для принятия настроек?

оно как-то все запутанно, непонятно, непредсказуемо.

А  я почти всегда хочу странного, от моего странного оно упадет и порушит bgp-анонсы. 

А мне от такого будет очень-очень больно.

У меня даже сейчас с bird есть ряд багов.

Например когда у меня выключается из сети, а затем включается в сеть микротик который в кольцо по OSPF с двумя бирдами и одной циской вставлен - после рестарта микротика бирд внезапно теряет все разученные по ospf маршруты и более их не находит пока не передернешь ( оба ).  Я понимаю что дело скорее всего  в конфигах и кривых фильтрах, но треблшутить это на живую очень неудобно.

 

А ещё у меня bird просто выпадал в корку при добавлении /32 интерфейсов на какие-то типы устройств, не помню на какие. на loopback что-ли, или на dummy.  ( эти /32 оверфлапились с большой сеткой, прибитой к router-id в качестве основной network  и завернутой в блекхол )

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

VPLS работает просто чудесно, чистый MPLS мы не используем. Расстраивает что...

MPLS features that RouterOS DOES NOT HAVE yet:

  • IPv6 support
  • LDP features:
    • downstream on demand label advertisement
    • ordered label distribution control
    • conservative label retention
  • TE features
    • fast reroute
    • link/node protection
  • Support for BGP as label distribution protocol

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

2 минуты назад, saaremaa сказал:

MPLS features that RouterOS DOES NOT HAVE yet:

  • TE features
    • fast reroute

ну блин.

значит этот пункт пока вычеркиваем.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

50 минут назад, saaremaa сказал:

VPLS работает просто чудесно, чистый MPLS мы не используем. Расстраивает что...

MPLS features that RouterOS DOES NOT HAVE yet:

  • IPv6 support
  • LDP features:
    • downstream on demand label advertisement
    • ordered label distribution control
    • conservative label retention
  • TE features
    • fast reroute
    • link/node protection
  • Support for BGP as label distribution protocol

Короче, ждём VPLS в Linux...

 

Только что, ne-vlezay80 сказал:

VPLS работает просто чудесно, чистый MPLS мы не используем. Расстраивает что...

С таким же успехом можно использовать OpenBSD ))) А сколько меток используется в стеке?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

шта. vpls это сервис поверх мплс. для vpls / l3vpn / l2vpn достаточно двух меток в label stack.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

4 минуты назад, zhenya` сказал:

шта. vpls это сервис поверх мплс. для vpls / l3vpn / l2vpn достаточно двух меток в label stack.

А если использовать VPLS из OpenBSD?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А сколько меток в стеке у VPP/fd.io?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

6 часов назад, LostSoul сказал:

после почти любого финта в конфигах приходится рестартовать демон с ноги

birdc -> configure; reload <protocol> или restart <protocol>

 

6 часов назад, LostSoul сказал:

vyatta

ещё не пробовал, расскажите как оно

quagga в кишках. со всеми вытекающими. bird как-то более предсказуем.

 

 

 

4 часа назад, LostSoul сказал:

Например когда у меня выключается из сети, а затем включается в сеть микротик который в кольцо по OSPF с двумя бирдами и одной циской вставлен - после рестарта микротика бирд внезапно теряет все разученные по ospf маршруты и более их не находит пока не передернешь ( оба ).  Я понимаю что дело скорее всего  в конфигах и кривых фильтрах, но треблшутить это на живую очень неудобно.

скорее всего некротик становится ASBR, и "забывает" опросить/разослать уведомления о роутах. надо поднять птичкам proirity.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

34 минуты назад, NiTr0 сказал:

bird как-то более предсказуем.

У меня единственная непредсказуемость от кваги за долгие годы использования - это что лезешь искать найденную в цисковском howto опцию, а её нету.

Других неожиданностей не выявлял ни разу.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 час назад, LostSoul сказал:

Других неожиданностей не выявлял ни разу.

тута вон недавно был случай, определенные анонсы вызывали у квагги дисконнект сессии. ну и так периодически бывает маршруты теряет...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

20 часов назад, LostSoul сказал:

 

А ещё у меня bird просто выпадал в корку при добавлении /32 интерфейсов на какие-то типы устройств, не помню на какие. на loopback что-ли, или на dummy.  ( эти /32 оверфлапились с большой сеткой, прибитой к router-id в качестве основной network  и завернутой в блекхол )

Про то, как там она в OSPF не скажу (в свое время сполз на iBGP и жизнь поскучнела на порядок), но вот /32 на интерфейсе вполне себе в наличии во многих местах, и птица их хавает как надо с правильным анонсированием соседям.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.