Jump to content
Калькуляторы

CCR-1036-BGP

Reply to this topic

newtomy   

newtomy
Posted

приветствую!

 

имеем корпоративного клиента у которого взят в аренду пул адресов и они соединяются с нами по BGP

всё хорошо, прошивка 6.30

клиент получает фулл вью (надо для управления трафиком)

есть проблема, утекает память, т.к. поднимается сессия получаем все префиксы, остаётся грубо ~500М, проходит пару дней уже ~100 доходит до 50 и роутер ребутается...

толи из за перестроений толи еще из-за чего-то может кто подскажет?

можно поправить? стоит обновится на крайнюю версию?

Share this post

Link to post
Share on other sites

xakep7   

xakep7
Posted

Сколько в устройстве памяти всего? На сколько помню там 2 разные версии с 2 гб и 16 гб памяти.

У меня на 1072 на 3 сессии пожирается 3-4 гб памяти. 2 миллиона маршрутов

Share this post

Link to post
Share on other sites

newtomy   

newtomy
Posted
6 часов назад, xakep7 сказал:

Сколько в устройстве памяти всего? На сколько помню там 2 разные версии с 2 гб и 16 гб памяти.

У меня на 1072 на 3 сессии пожирается 3-4 гб памяти. 2 миллиона маршрутов

а трафика в ЧНН сколько держит? 7 Гбит вход и 4 выход, будет держать?

Share this post

Link to post
Share on other sites

xakep7   

xakep7
Posted (edited)
13 часов назад, newtomy сказал:

а трафика в ЧНН сколько держит? 7 Гбит вход и 4 выход, будет держать?

Пока только 2.6 Гбит/с
Больше нечем грузить. Железка стоит в ДЦ моем.

Опять же ценник на каналы на старте неподъемный :(

Загрузка около 2% сейчас. В основном видео трафик и потоки с камер по городу собирает.

По идее должен. Летела атака в 12 Гбит/с, спокойно ее фильтровал при увеличении нагрузки до 11%.

Edited by xakep7

Share this post

Link to post
Share on other sites

xakep7   

xakep7
Posted (edited)
5 часов назад, newtomy сказал:

а CCR1072 вообще сильно отличается от 1036 ?) смысл вообще есть покупать 1072?

 

8 портов по 10 гиг против 2х10 + 8х1 у 1036

72 ядра против 36 у 1036

16 гб памяти на борту

Для малого провайдера в нем нет смысла и раскрывается он тупо как роутер без изысков (без ната, лимитов и т.п.), максимум что на нем можно сделать, дополнительно, это фильтрацию raw правилами, но не более. Тогда он сможет пропустить сквозь себя все 80 гбит/с

Но BGP все равно одно ядро юзает :(

Edited by xakep7

Share this post

Link to post
Share on other sites

xakep7   

xakep7
Posted
1 час назад, myth сказал:

L3 свитч

С фильтрацией и бгп на 3 и более fullview. Очень мало свитчей потянут такое, но в принципе верно.

Share this post

Link to post
Share on other sites

xakep7   

xakep7
Posted
43 минуты назад, myth сказал:

acl. Аппаратно и на wirespeed.

 

на 1 ядре, ага

А какой у него ценник по сравнению с тиком?

Про 1 ядро не спорю - бред. Обещают исправить в 7-ой вертке, но как водится, обещанного 3 года ждут...

Share this post

Link to post
Share on other sites

NiTr0   

NiTr0
Posted
3 часа назад, xakep7 сказал:

бгп на 3 и более fullview

сделайте рестарт бгп сессий :)

если ваши 3fv оно хотя бы за полчаса всосет при рестарте (ну считайте что это аналог случая когда у аплинка линк на пару минут слег) - это будет большим достижением.

 

ну и да, ровно по этой причине никто на микротыках fv не держит. негодны они для этого.

 

7 минут назад, xakep7 сказал:

А какой у него ценник по сравнению с тиком?

ASR1001X б/у немногим дороже 1072. при том что это таки энтерпрайз, а не сохо поделка с текущей памятью, тормозным недобгп и прочими болячками характерными для сохо.

 

брокады с 256к роутов аппаратно (fv порезанный до /23 с дефолтом вполне влазит) - дешевле тиков.

Share this post

Link to post
Share on other sites

s.lobanov   

s.lobanov
Posted
5 минут назад, NiTr0 сказал:

ASR1001X б/у немногим дороже 1072.

А можно линки на недорогие asr1001x? сколько не смотрел, шлакотики всегда дешевле даже самых б/у asr1000

Share this post

Link to post
Share on other sites

xakep7   

xakep7
Posted (edited)
1 час назад, NiTr0 сказал:

сделайте рестарт бгп сессий :)

если ваши 3fv оно хотя бы за полчаса всосет при рестарте (ну считайте что это аналог случая когда у аплинка линк на пару минут слег) - это будет большим достижением.

 

ну и да, ровно по этой причине никто на микротыках fv не держит. негодны они для этого.

 

ASR1001X б/у немногим дороже 1072. при том что это таки энтерпрайз, а не сохо поделка с текущей памятью, тормозным недобгп и прочими болячками характерными для сохо.

 

брокады с 256к роутов аппаратно (fv порезанный до /23 с дефолтом вполне влазит) - дешевле тиков.

 Все 3 сессии собирает за 3-4 минуты без проблем. Флап около минуты перестраивает без проблем. Каждая сессия - 680000 маршрутов.

ASR не имеет портов 10 гиг в себе (по дефолту) и не может пропустить более 20 гиг сквозь себя. Ближайший аналог 1002-х и стоит он 1.2кк на наге в фул комплектации с 8-ю портами 10 гиг.

Еще варианты?

Edited by xakep7

Share this post

Link to post
Share on other sites

xakep7   

xakep7
Posted
Только что, pppoetest сказал:

Даладна

  • Полоса пропускания: 20Gbit/s

Против 80 гбит/с в обе стороны

Еще варианты?

Сейчас есть 3 оператора с портами по 10 гбит/с

Share this post

Link to post
Share on other sites

xakep7   

xakep7
Posted (edited)
5 минут назад, pppoetest сказал:

80Гбит на микротике? Нунах, проще уволиться из конторы с такими объёмами на таком железе.

Удачного вам увольнения. ДЦ держу за свой счет. У вас есть лишние 1.2кк на роутер? У меня, к сожалению, нет. Я на эти деньги лучше сервера закуплю и коммутаторы...

За свои деньги это отличное железо выполняющее все необходимое для моих нужд. Опять же за ту цену нет аналогов с той же производительностью.

Как подойду к пределу, естественно буду менять его на более стоящие аналоги, на ранней же стадии нет смысла светить понтами распыляясь на дорогостоящее железо, которое по производительности будет примерно таким же

Edited by xakep7

Share this post

Link to post
Share on other sites

NiTr0   

NiTr0
Posted
12 часов назад, s.lobanov сказал:

А можно линки на недорогие asr1001x?

относительно недорогие (в районе 5 штук). дешевле стопки микротиков, которую предлагают продаваны на замену.

хотя здесь таки больше напрашивается брокада mlx, которая полноценный железный свич, а не роутер с аппаратными оффлоадами, и легко прожует сотни гигабит. правда платы под 1М роутов (-X суффикс) немного дороговаты, но если 512к роутов хватит - то шасси (с мозгами) + плата на 8 дырок на ибее обойдется дешевле чем 1072.

 

11 часов назад, xakep7 сказал:

Все 3 сессии собирает за 3-4 минуты без проблем. Флап около минуты перестраивает без проблем. Каждая сессия - 680000 маршрутов.

не верю. на 6.38 какой-то (если память не подводит) 1072 вундервафля при флапе линков (down + up) либо при рестарте бгп сессий изучала 2 фуллвью + мелочь от IX 20 минут. медленно и печально, по 1000 маршрутов в секунду.

 

а вот пока в таблице пусто и никакие роуты не удаляются - да, всасывает изначально шустро. только толку с этого...

 

11 часов назад, xakep7 сказал:

ДЦ держу за свой счет.

сочувствую. устроит кто-то из клиентов udp флуд (либо, наоборот, прилетит куча малких пакетов от ддос) - и поляжет ваш "дата центр" весь и сразу.

Share this post

Link to post
Share on other sites

xakep7   

xakep7
Posted (edited)
3 часа назад, NiTr0 сказал:

 

не верю. на 6.38 какой-то (если память не подводит) 1072 вундервафля при флапе линков (down + up) либо при рестарте бгп сессий изучала 2 фуллвью + мелочь от IX 20 минут. медленно и печально, по 1000 маршрутов в секунду.

 

а вот пока в таблице пусто и никакие роуты не удаляются - да, всасывает изначально шустро. только толку с этого...

 

сочувствую. устроит кто-то из клиентов udp флуд (либо, наоборот, прилетит куча малких пакетов от ддос) - и поляжет ваш "дата центр" весь и сразу.

У меня с этим все ок. Забирает по 10000-16000 маршрутов в секунду если не больше. На другом конце стоит ASR более хороший чем 1002-x. Задержка между ними менее 1 мс.

Удаляются и заливаются быстро.

Уже флудили, достаточно хорошо атака отфильтровалась. Читайте пост выше, я уже писал про это. Атака была на 12 гбит/с в пике при этом дц продолжил нормальную работу.

От мелкопакетного флуда ложится и более стоящее оборудование типа Juniper SRX и ему подобных. Было на тесте. Прилетел SYN флуд и тот сдох.

 

3 часа назад, NiTr0 сказал:

относительно недорогие (в районе 5 штук). дешевле стопки микротиков, которую предлагают продаваны на замену.

хотя здесь таки больше напрашивается брокада mlx, которая полноценный железный свич, а не роутер с аппаратными оффлоадами, и легко прожует сотни гигабит. правда платы под 1М роутов (-X суффикс) немного дороговаты, но если 512к роутов хватит - то шасси (с мозгами) + плата на 8 дырок на ибее обойдется дешевле чем 1072.

Опять же за цену тика альтернатив ему по производительности нет и это достаточно печально. Малым провайдерам и ДЦ выбирать фактически не из чего. 512к маршрутов забьются быстро при наращивании связанности и подключении 2-х и более операторов.

Edited by xakep7

Share this post

Link to post
Share on other sites

NiTr0   

NiTr0
Posted
19 часов назад, xakep7 сказал:

У меня с этим все ок. Забирает по 10000-16000 маршрутов в секунду если не больше.

это после минутного разрыва связи (с падением и поднятием по новой сессий), когда роуты одновременно и удаляются из ядреной таблицы, и добавляются в нее?

 

19 часов назад, xakep7 сказал:

Атака была на 12 гбит/с в пике при этом дц продолжил нормальную работу.

12 гбит пакетами по 1500 байт? или пакетами по 64 байта?

 

19 часов назад, xakep7 сказал:

От мелкопакетного флуда ложится и более стоящее оборудование типа Juniper SRX и ему подобных.

SRX - small business вообще-то. из той же песочницы что и микротик, разве что софт более вылизан.

еще бы циску 871 в пример привели :)

 

ну и да, небось на SRX был коннтрак включен? включите его на некротике - сдохнет очень быстро, на паре сот тысяч кппс :)

 

19 часов назад, xakep7 сказал:

Опять же за цену тика альтернатив ему по производительности нет и это достаточно печально.

тащемта на х86 тазик, жующий больше чем CCR1072, собирается за куда меньшие деньги.  даже с богомерзкой глюкавой роутерос, если руки стоят только к мышкотыку, а не линевой консоли. и единственное преимущество CCR тут - компактность и имитация "аппаратного решения" своей формой коробочки. в остальном он довольно уныл.

 

19 часов назад, xakep7 сказал:

Малым провайдерам и ДЦ выбирать фактически не из чего.

мелкие провы вполне себе прекрасно живут на *никсовых тазиках, если руки стоят ровно. до 5-7 гбит особо и думать насчет чего-то аппаратного смысла нет. а при правильно построенной схеме сети - то и гораздо поболее.

 

ну и да, CCR1072 вундервафля в роли бгп бордера (даже с дефолтом, без фуллов), пппое браса, шейпера + ната и + роутера транзитного трафа загибается менее чем на 2 гбитах входящего трафика и паре тысяч пппое сессий. ну т.е. где-то как современный целерон по производительности :) 3 штуки баксов за это просят, да.

 

19 часов назад, xakep7 сказал:

512к маршрутов забьются быстро при наращивании связанности и подключении 2-х и более операторов.

с какой радости?

открою секрет: в FIB кол-во маршрутов не зависит от кол-ва аплинков. от слова вообще (ессно, не считая уникальные анонсы). хоть 100 аплинков включите. как было 670к с одного пира, так и будет 670к со 100 пиров.

если порезать до /23 - фулл вполне в 512к влезет. остальное - в дефолт слать.

вайрспид дешево и сердито, да. сотка-другая гигабит 64байтными пакетами за пару тысяч баксов, да.

Share this post

Link to post
Share on other sites

vvertexx   

vvertexx
Posted
В 09.02.2018 в 08:09, xakep7 сказал:

От мелкопакетного флуда ложится и более стоящее оборудование типа Juniper SRX и ему подобных. Было на тесте. Прилетел SYN флуд и тот сдох.

Там надо правильно настраивать IDS. В целом, положить control plane относительно не сложно, forwarding plane будет жить

Share this post

Link to post
Share on other sites

vurd   

vurd
Posted
В 08.02.2018 в 13:56, NiTr0 сказал:

сделайте рестарт бгп сессий :)

если ваши 3fv оно хотя бы за полчаса всосет при рестарте (ну считайте что это аналог случая когда у аплинка линк на пару минут слег) - это будет большим достижением.

 

ну и да, ровно по этой причине никто на микротыках fv не держит. негодны они для этого.

 

ASR1001X б/у немногим дороже 1072. при том что это таки энтерпрайз, а не сохо поделка с текущей памятью, тормозным недобгп и прочими болячками характерными для сохо.

 

брокады с 256к роутов аппаратно (fv порезанный до /23 с дефолтом вполне влазит) - дешевле тиков.

До /21. /23 около 350 дает.

Возможно /22 влезет, но на грани, поэтому /21 - будет 150 тысяч где-то

Share this post

Link to post
Share on other sites

NiTr0   

NiTr0
Posted
4 часа назад, vurd сказал:

До /21. /23 около 350 дает.

не экспериментировал как-то ввиду отсутствия необходимости.

впрочем, брокады на 512к роутов тоже дешевле CCR1072. при том - модульные, расширяемые.

Share this post

Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
Go to topic listing Mikrotik коммутаторы и маршрутизаторы