LostSoul Опубликовано 16 ноября, 2017 · Жалоба Добрый день! Требуется "роутер в виртуалке/контейнере" ( KVM , LXC ) От него хочется: IPEC с использованием AES-NI , микротиковский eoip , качественную работу BGP-бордера с full view , mpls желательно. Испробованы следующие варианты: Mikrotik CHS - плюсы: вроде бы удобно админить и через консоль и через winbox ( когда наворочено очень много всяких туннелей / правил и.т.п. при отсутствии внятной системы их наименований, начинаешь иногда ценить приемущества GUI перед консолью , при сильных лагах - аналогично. ) минусы: через жопу сделанное bgp и управление им, AES-NI работает только в aes cgm , в то время как на железячных микротиках только aes cbc - т.е. пока использовать невозможно. Отсутствие всяких tcpdump , ngrep , ntop и всяких других приятных для линукса вещей, с заменой их не всякие неполноценные torch. Обычный линукс + квага + eoip от NuclearCat : Плюсы : -Производительность - можно запускать в контейнере с использованием venet , -натюрлих cisco cli на bgp с удобным конфигурированием через консоль. -все очень модульно и в высшей степени гибко для переделки. -богатейший инструментарий для отладки и управления начиная от всяких conntrack tools с редактированием контреков , и заканчивая всякими snort которые можно быстро удобно взгромоздить. Минусы: -не тождественность runtime и save настроек. Чтоб проверить что у тебя например гарантированно все интерфейсы и роуты прописаны без ошибок ( типа лишних запятых, точек и иных помарок ) - нужно реально перезагрузить систему. -квага тоже местами не торт -сложности в наглядности конфигов, когда интерфейсов , туннелей , бриджей и прочей фигни становится слишком много Обычный линукс + bird + eoip от NuclearCat : Плюсы: -Гораздо более функциональный route демон чем вариант 2 Минусы -Нет вменяемого CLI для управления на живую, после почти любого финта в конфигах приходится рестартовать демон с ноги, что для BGP-бордера совсем не здорово. vyatta ещё не пробовал, расскажите как оно openwrt x86 + quagga плюсы: возможность администрирования через luci , luci-web с сравнительно повторяемым и предсказуемым результатом, тождественность runtime и save конфигурации минусы: достаточно убого , замучаешься какие-то штуки из репература iproute2 вырисовывать на нем. бредовый вариант: А может взять и завести IOS от какой-нибудь 7200 циски в эмуляторе? Или ни в каком эмуляторе на IPSEC с нормальной скоростью расчитывать не придется? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
taf_321 Опубликовано 16 ноября, 2017 · Жалоба 1 час назад, LostSoul сказал: -Нет вменяемого CLI для управления на живую, после почти любого финта в конфигах приходится рестартовать демон с ноги, что для BGP-бордера совсем не здорово. погодите, чем вас не устраивает CLI в birdc и configure check для проверки корректности и configure для принятия настроек? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ne-vlezay80 Опубликовано 16 ноября, 2017 · Жалоба А FRRouting, GoBGP, ExaBGP? Что касается MPLS - то его поддержка уже появилась в Linux. VPLS тоже должен появится. Ещё кстати есть VPP. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
LostSoul Опубликовано 16 ноября, 2017 · Жалоба 2 минуты назад, ne-vlezay80 сказал: VPLS тоже должен появится. Ещё кстати есть VPP. Ну мне интересно то, что можно подружить с распиханными по разным медвежьим углам Mikrotik HEX RB750Gr3 Скорее всего, этого они ещё не умеют. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ne-vlezay80 Опубликовано 16 ноября, 2017 · Жалоба Microtik умеет VPLS. Только там есть ограничение на количество меток в стеке. В linux количество меток в MPLS стеке 30. Правда, пока там нет VPLS. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
LostSoul Опубликовано 16 ноября, 2017 · Жалоба У меня по MPLS опыт пока чисто теоретический, но из прочитанного я пришел к заключению что мне в конечном виде нужен только traffic engineering. То есть создание неких виртуальных vpn-каналов через MPLS-сеть с наличием основного и заранее просчитанного и быстро переключаемого за мс запасного предпочительного пути. При этом топология между самими микротиками может быть весьма причудливая с множеством оговорок ( ограниченная связанность, разные задержки по каналам и.т.п. ) Подскажите про FRRouting . Помню, что слезать с quagga на bird меня в свое время заставило то-ли невозможность сделать recursive route , то ли невозможность задать prf_src при динамическом добавлении маршрута квагой. А еще невозможность держать более одной роут-таблицы в одном демоне. Про несколько таблиц как я понял, они в FFRouting это допилили. А вот первые 2 момента? 20 минут назад, taf_321 сказал: погодите, чем вас не устраивает CLI в birdc и configure check для проверки корректности и configure для принятия настроек? оно как-то все запутанно, непонятно, непредсказуемо. А я почти всегда хочу странного, от моего странного оно упадет и порушит bgp-анонсы. А мне от такого будет очень-очень больно. У меня даже сейчас с bird есть ряд багов. Например когда у меня выключается из сети, а затем включается в сеть микротик который в кольцо по OSPF с двумя бирдами и одной циской вставлен - после рестарта микротика бирд внезапно теряет все разученные по ospf маршруты и более их не находит пока не передернешь ( оба ). Я понимаю что дело скорее всего в конфигах и кривых фильтрах, но треблшутить это на живую очень неудобно. А ещё у меня bird просто выпадал в корку при добавлении /32 интерфейсов на какие-то типы устройств, не помню на какие. на loopback что-ли, или на dummy. ( эти /32 оверфлапились с большой сеткой, прибитой к router-id в качестве основной network и завернутой в блекхол ) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
saaremaa Опубликовано 16 ноября, 2017 · Жалоба VPLS работает просто чудесно, чистый MPLS мы не используем. Расстраивает что... MPLS features that RouterOS DOES NOT HAVE yet: IPv6 support LDP features: downstream on demand label advertisement ordered label distribution control conservative label retention TE features fast reroute link/node protection Support for BGP as label distribution protocol Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
LostSoul Опубликовано 16 ноября, 2017 · Жалоба 2 минуты назад, saaremaa сказал: MPLS features that RouterOS DOES NOT HAVE yet: TE features fast reroute ну блин. значит этот пункт пока вычеркиваем. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ne-vlezay80 Опубликовано 16 ноября, 2017 · Жалоба 50 минут назад, saaremaa сказал: VPLS работает просто чудесно, чистый MPLS мы не используем. Расстраивает что... MPLS features that RouterOS DOES NOT HAVE yet: IPv6 support LDP features: downstream on demand label advertisement ordered label distribution control conservative label retention TE features fast reroute link/node protection Support for BGP as label distribution protocol Короче, ждём VPLS в Linux... Только что, ne-vlezay80 сказал: VPLS работает просто чудесно, чистый MPLS мы не используем. Расстраивает что... С таким же успехом можно использовать OpenBSD ))) А сколько меток используется в стеке? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 16 ноября, 2017 · Жалоба шта. vpls это сервис поверх мплс. для vpls / l3vpn / l2vpn достаточно двух меток в label stack. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ne-vlezay80 Опубликовано 16 ноября, 2017 · Жалоба 4 минуты назад, zhenya` сказал: шта. vpls это сервис поверх мплс. для vpls / l3vpn / l2vpn достаточно двух меток в label stack. А если использовать VPLS из OpenBSD? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 16 ноября, 2017 · Жалоба больше двух меток в стэке нужно только для CSC и SR Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ne-vlezay80 Опубликовано 16 ноября, 2017 · Жалоба А сколько меток в стеке у VPP/fd.io? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 16 ноября, 2017 · Жалоба 6 часов назад, LostSoul сказал: после почти любого финта в конфигах приходится рестартовать демон с ноги birdc -> configure; reload <protocol> или restart <protocol> 6 часов назад, LostSoul сказал: vyatta ещё не пробовал, расскажите как оно quagga в кишках. со всеми вытекающими. bird как-то более предсказуем. 4 часа назад, LostSoul сказал: Например когда у меня выключается из сети, а затем включается в сеть микротик который в кольцо по OSPF с двумя бирдами и одной циской вставлен - после рестарта микротика бирд внезапно теряет все разученные по ospf маршруты и более их не находит пока не передернешь ( оба ). Я понимаю что дело скорее всего в конфигах и кривых фильтрах, но треблшутить это на живую очень неудобно. скорее всего некротик становится ASBR, и "забывает" опросить/разослать уведомления о роутах. надо поднять птичкам proirity. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
LostSoul Опубликовано 16 ноября, 2017 · Жалоба 34 минуты назад, NiTr0 сказал: bird как-то более предсказуем. У меня единственная непредсказуемость от кваги за долгие годы использования - это что лезешь искать найденную в цисковском howto опцию, а её нету. Других неожиданностей не выявлял ни разу. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 16 ноября, 2017 · Жалоба 1 час назад, LostSoul сказал: Других неожиданностей не выявлял ни разу. тута вон недавно был случай, определенные анонсы вызывали у квагги дисконнект сессии. ну и так периодически бывает маршруты теряет... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
taf_321 Опубликовано 17 ноября, 2017 · Жалоба 20 часов назад, LostSoul сказал: А ещё у меня bird просто выпадал в корку при добавлении /32 интерфейсов на какие-то типы устройств, не помню на какие. на loopback что-ли, или на dummy. ( эти /32 оверфлапились с большой сеткой, прибитой к router-id в качестве основной network и завернутой в блекхол ) Про то, как там она в OSPF не скажу (в свое время сполз на iBGP и жизнь поскучнела на порядок), но вот /32 на интерфейсе вполне себе в наличии во многих местах, и птица их хавает как надо с правильным анонсированием соседям. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...