[iceman00758]

Добрый день. коллеги. Сильно нуждаюсь в пинке в нужную сторону. Имею построение сети как на прикрепленном рисунке1 . В подробности вдаваться не буду почему именно так и тд и тп, стоил не я . Хочу разнести отдельно NAT+OSPF и BGP(сделать подобие edge и core) , так как в вечернее время проходит 4,5 гига трафика и загрузка проца достигает 100% . В tools-frofile networking 20 % , firewall 40+ . 

 

 

Вопрос1 : как реализовать разнесение функций на разное железо, допустим bgp у меня будет крутиться на CCR 1016 , а nat и ospf будет работать на 1036 - будет ли норм ? 

Вопрос1.1: если схема с первого вопроса рабочая , то как маршрутизировать трафик 1016 и 1036 ? 

Вопрос2: катит ли схема, представленная на рисунке2 ? 

 

 

ps. заранее спасибо за уделенное время

Pss. буду рад любому совету, который поможет разгрузить ЦП , на все доп вопросы отвечу 

 

[Chexov]

Вторая схема(рисунке2) лучше и надежней.

[xcme]

1 час назад, iceman00758 сказал:

Вопрос1 : как реализовать разнесение функций на разное железо, допустим bgp у меня будет крутиться на CCR 1016 , а nat и ospf будет работать на 1036 - будет ли норм ? 

Я не спец по микротикам, но, имхо, микротик + fullview = проблемы. На схеме показан микротик с NAT и BGP. Для NAT нужен connection tracking, не будет ли он в сочетании с fullview BGP еще больше грузить проц?

Думаю, надо стремиться к такому дизайну, чтобы на микротиках было как можно меньше маршрутов, тогда все будет ок. Одно время у меня было примерно как на схеме, так микротик тупил и глючил, а потраблшутить на нем что-то при этом было решительно невозможно. Хотя, если изначально все взлетело как надо и потом не трогать, тогда все хорошо. :)

[iceman00758]

xcme как Вы перестроили такую схему в итоге , подскажите ? 

[xcme]

Отказался от использования микротика...

Если на бордер нельзя поставить Juniper/Cisco и такая возможность в будущем не предвидится, я бы скорее рискнул воткнуть комп с Bird, чем держал бы на микротике 4 FullView. Оставил бы его для NAT.

[korsakik]

4 ноги с микротиком будут очень долго втягивать данные. Я недавно из льда откапывал тему за 2012 год, где писали про проблему со 100% нагрузкой на одно ядро, по итогу собрал бордер на х86 и, в принципе, проблем нету, но нат и бордер - разное железо.

Если короче - либо х86, либо другое решение, но не CCR для бгп, просто толку не будет от большого количества ядер.

[Никола Тесла]

1.

Расположите правила в файрволе в порядке убывания трафика (если их несколько) - каждый пакет проверяется микротиком по всем правилам по очереди до тех пор, пока не найдется подходящее.

таким образом - можно снизить нагрузку на 10-15%. это даст некоторое время на раздумье.

2.

4 Линка с FV занимают много места в памяти (это надо иметь в виду при выборе аппаратных роутеров для BGP) но даже с таким трафиком - процы грузит не сильно, так что вынеся BGP на другую железку больше, чем 10 % загрузки отыграть не выйдет (маршрутизация останется хоть и в другом протоколе).

 

Отсюда вывод: надо либо ставить второй такойже CCR на NAT, либо выносить NAT на что-то более производительное. на что именно - зависит от доступного бюджета и заточенности рук...

 

[Saab95]

Нат на бгп не сильно влияет на работу. Есть много микротиков которые совмещают эти функции, а шейпер делает отдельный микротик.

Если 4 провайдера, выгодно поставить и 4 микротика на каждый, тогда будет полное резервирование. А уже после поставите микротик который будет ограничивать скорость и всего делов. Обычное дело.

 

Про микротик и бгп пишут те, кто с ним не разобрался.

[myth]

нужно больше микротиков)))

[korsakik]

Цитата

Если 4 провайдера, выгодно поставить и 4 микротика на каждый

может лучше тогда ASR какой-нибудь? на каждую ногу, 4 штуки и 2 запасных.