newtomy Опубликовано 3 февраля, 2018 · Жалоба приветствую! имеем корпоративного клиента у которого взят в аренду пул адресов и они соединяются с нами по BGP всё хорошо, прошивка 6.30 клиент получает фулл вью (надо для управления трафиком) есть проблема, утекает память, т.к. поднимается сессия получаем все префиксы, остаётся грубо ~500М, проходит пару дней уже ~100 доходит до 50 и роутер ребутается... толи из за перестроений толи еще из-за чего-то может кто подскажет? можно поправить? стоит обновится на крайнюю версию? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
newtomy Опубликовано 5 февраля, 2018 · Жалоба ни у кого такого нет? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
xakep7 Опубликовано 6 февраля, 2018 · Жалоба Сколько в устройстве памяти всего? На сколько помню там 2 разные версии с 2 гб и 16 гб памяти. У меня на 1072 на 3 сессии пожирается 3-4 гб памяти. 2 миллиона маршрутов Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
newtomy Опубликовано 6 февраля, 2018 · Жалоба 6 часов назад, xakep7 сказал: Сколько в устройстве памяти всего? На сколько помню там 2 разные версии с 2 гб и 16 гб памяти. У меня на 1072 на 3 сессии пожирается 3-4 гб памяти. 2 миллиона маршрутов а трафика в ЧНН сколько держит? 7 Гбит вход и 4 выход, будет держать? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
xakep7 Опубликовано 7 февраля, 2018 (изменено) · Жалоба 13 часов назад, newtomy сказал: а трафика в ЧНН сколько держит? 7 Гбит вход и 4 выход, будет держать? Пока только 2.6 Гбит/с Больше нечем грузить. Железка стоит в ДЦ моем. Опять же ценник на каналы на старте неподъемный :( Загрузка около 2% сейчас. В основном видео трафик и потоки с камер по городу собирает. По идее должен. Летела атака в 12 Гбит/с, спокойно ее фильтровал при увеличении нагрузки до 11%. Изменено 7 февраля, 2018 пользователем xakep7 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
newtomy Опубликовано 7 февраля, 2018 (изменено) · Жалоба а CCR1072 вообще сильно отличается от 1036 ?) смысл вообще есть покупать 1072? Изменено 7 февраля, 2018 пользователем newtomy Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
xakep7 Опубликовано 7 февраля, 2018 (изменено) · Жалоба 5 часов назад, newtomy сказал: а CCR1072 вообще сильно отличается от 1036 ?) смысл вообще есть покупать 1072? 8 портов по 10 гиг против 2х10 + 8х1 у 1036 72 ядра против 36 у 1036 16 гб памяти на борту Для малого провайдера в нем нет смысла и раскрывается он тупо как роутер без изысков (без ната, лимитов и т.п.), максимум что на нем можно сделать, дополнительно, это фильтрацию raw правилами, но не более. Тогда он сможет пропустить сквозь себя все 80 гбит/с Но BGP все равно одно ядро юзает :( Изменено 7 февраля, 2018 пользователем xakep7 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 8 февраля, 2018 · Жалоба 13 часов назад, xakep7 сказал: раскрывается он тупо как L3 свитч Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
xakep7 Опубликовано 8 февраля, 2018 · Жалоба 1 час назад, myth сказал: L3 свитч С фильтрацией и бгп на 3 и более fullview. Очень мало свитчей потянут такое, но в принципе верно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 8 февраля, 2018 · Жалоба 2 часа назад, xakep7 сказал: С фильтрацией acl. Аппаратно и на wirespeed. 2 часа назад, xakep7 сказал: бгп на 3 и более fullview на 1 ядре, ага Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
xakep7 Опубликовано 8 февраля, 2018 · Жалоба 43 минуты назад, myth сказал: acl. Аппаратно и на wirespeed. на 1 ядре, ага А какой у него ценник по сравнению с тиком? Про 1 ядро не спорю - бред. Обещают исправить в 7-ой вертке, но как водится, обещанного 3 года ждут... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 8 февраля, 2018 · Жалоба 3 часа назад, xakep7 сказал: бгп на 3 и более fullview сделайте рестарт бгп сессий :) если ваши 3fv оно хотя бы за полчаса всосет при рестарте (ну считайте что это аналог случая когда у аплинка линк на пару минут слег) - это будет большим достижением. ну и да, ровно по этой причине никто на микротыках fv не держит. негодны они для этого. 7 минут назад, xakep7 сказал: А какой у него ценник по сравнению с тиком? ASR1001X б/у немногим дороже 1072. при том что это таки энтерпрайз, а не сохо поделка с текущей памятью, тормозным недобгп и прочими болячками характерными для сохо. брокады с 256к роутов аппаратно (fv порезанный до /23 с дефолтом вполне влазит) - дешевле тиков. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 8 февраля, 2018 · Жалоба 5 минут назад, NiTr0 сказал: ASR1001X б/у немногим дороже 1072. А можно линки на недорогие asr1001x? сколько не смотрел, шлакотики всегда дешевле даже самых б/у asr1000 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myth Опубликовано 8 февраля, 2018 · Жалоба Если нужен только голый форвард L3 и ACL, то какой-нибудь Eltex 3124 подойдет, например. Или еще какое-нибудь L2+ Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
xakep7 Опубликовано 8 февраля, 2018 (изменено) · Жалоба 1 час назад, NiTr0 сказал: сделайте рестарт бгп сессий :) если ваши 3fv оно хотя бы за полчаса всосет при рестарте (ну считайте что это аналог случая когда у аплинка линк на пару минут слег) - это будет большим достижением. ну и да, ровно по этой причине никто на микротыках fv не держит. негодны они для этого. ASR1001X б/у немногим дороже 1072. при том что это таки энтерпрайз, а не сохо поделка с текущей памятью, тормозным недобгп и прочими болячками характерными для сохо. брокады с 256к роутов аппаратно (fv порезанный до /23 с дефолтом вполне влазит) - дешевле тиков. Все 3 сессии собирает за 3-4 минуты без проблем. Флап около минуты перестраивает без проблем. Каждая сессия - 680000 маршрутов. ASR не имеет портов 10 гиг в себе (по дефолту) и не может пропустить более 20 гиг сквозь себя. Ближайший аналог 1002-х и стоит он 1.2кк на наге в фул комплектации с 8-ю портами 10 гиг. Еще варианты? Изменено 8 февраля, 2018 пользователем xakep7 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pppoetest Опубликовано 8 февраля, 2018 · Жалоба 8 минут назад, xakep7 сказал: ASR не имеет портов 10 гиг в себе (по дефолту) Даладна Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
xakep7 Опубликовано 8 февраля, 2018 · Жалоба Только что, pppoetest сказал: Даладна Полоса пропускания: 20Gbit/s Против 80 гбит/с в обе стороны Еще варианты? Сейчас есть 3 оператора с портами по 10 гбит/с Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pppoetest Опубликовано 8 февраля, 2018 · Жалоба 80Гбит на микротике? Нунах, проще уволиться из конторы с такими объёмами на таком железе. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
xakep7 Опубликовано 8 февраля, 2018 (изменено) · Жалоба 5 минут назад, pppoetest сказал: 80Гбит на микротике? Нунах, проще уволиться из конторы с такими объёмами на таком железе. Удачного вам увольнения. ДЦ держу за свой счет. У вас есть лишние 1.2кк на роутер? У меня, к сожалению, нет. Я на эти деньги лучше сервера закуплю и коммутаторы... За свои деньги это отличное железо выполняющее все необходимое для моих нужд. Опять же за ту цену нет аналогов с той же производительностью. Как подойду к пределу, естественно буду менять его на более стоящие аналоги, на ранней же стадии нет смысла светить понтами распыляясь на дорогостоящее железо, которое по производительности будет примерно таким же Изменено 8 февраля, 2018 пользователем xakep7 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 9 февраля, 2018 · Жалоба 12 часов назад, s.lobanov сказал: А можно линки на недорогие asr1001x? относительно недорогие (в районе 5 штук). дешевле стопки микротиков, которую предлагают продаваны на замену. хотя здесь таки больше напрашивается брокада mlx, которая полноценный железный свич, а не роутер с аппаратными оффлоадами, и легко прожует сотни гигабит. правда платы под 1М роутов (-X суффикс) немного дороговаты, но если 512к роутов хватит - то шасси (с мозгами) + плата на 8 дырок на ибее обойдется дешевле чем 1072. 11 часов назад, xakep7 сказал: Все 3 сессии собирает за 3-4 минуты без проблем. Флап около минуты перестраивает без проблем. Каждая сессия - 680000 маршрутов. не верю. на 6.38 какой-то (если память не подводит) 1072 вундервафля при флапе линков (down + up) либо при рестарте бгп сессий изучала 2 фуллвью + мелочь от IX 20 минут. медленно и печально, по 1000 маршрутов в секунду. а вот пока в таблице пусто и никакие роуты не удаляются - да, всасывает изначально шустро. только толку с этого... 11 часов назад, xakep7 сказал: ДЦ держу за свой счет. сочувствую. устроит кто-то из клиентов udp флуд (либо, наоборот, прилетит куча малких пакетов от ддос) - и поляжет ваш "дата центр" весь и сразу. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
xakep7 Опубликовано 9 февраля, 2018 (изменено) · Жалоба 3 часа назад, NiTr0 сказал: не верю. на 6.38 какой-то (если память не подводит) 1072 вундервафля при флапе линков (down + up) либо при рестарте бгп сессий изучала 2 фуллвью + мелочь от IX 20 минут. медленно и печально, по 1000 маршрутов в секунду. а вот пока в таблице пусто и никакие роуты не удаляются - да, всасывает изначально шустро. только толку с этого... сочувствую. устроит кто-то из клиентов udp флуд (либо, наоборот, прилетит куча малких пакетов от ддос) - и поляжет ваш "дата центр" весь и сразу. У меня с этим все ок. Забирает по 10000-16000 маршрутов в секунду если не больше. На другом конце стоит ASR более хороший чем 1002-x. Задержка между ними менее 1 мс. Удаляются и заливаются быстро. Уже флудили, достаточно хорошо атака отфильтровалась. Читайте пост выше, я уже писал про это. Атака была на 12 гбит/с в пике при этом дц продолжил нормальную работу. От мелкопакетного флуда ложится и более стоящее оборудование типа Juniper SRX и ему подобных. Было на тесте. Прилетел SYN флуд и тот сдох. 3 часа назад, NiTr0 сказал: относительно недорогие (в районе 5 штук). дешевле стопки микротиков, которую предлагают продаваны на замену. хотя здесь таки больше напрашивается брокада mlx, которая полноценный железный свич, а не роутер с аппаратными оффлоадами, и легко прожует сотни гигабит. правда платы под 1М роутов (-X суффикс) немного дороговаты, но если 512к роутов хватит - то шасси (с мозгами) + плата на 8 дырок на ибее обойдется дешевле чем 1072. Опять же за цену тика альтернатив ему по производительности нет и это достаточно печально. Малым провайдерам и ДЦ выбирать фактически не из чего. 512к маршрутов забьются быстро при наращивании связанности и подключении 2-х и более операторов. Изменено 9 февраля, 2018 пользователем xakep7 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 9 февраля, 2018 · Жалоба 19 часов назад, xakep7 сказал: У меня с этим все ок. Забирает по 10000-16000 маршрутов в секунду если не больше. это после минутного разрыва связи (с падением и поднятием по новой сессий), когда роуты одновременно и удаляются из ядреной таблицы, и добавляются в нее? 19 часов назад, xakep7 сказал: Атака была на 12 гбит/с в пике при этом дц продолжил нормальную работу. 12 гбит пакетами по 1500 байт? или пакетами по 64 байта? 19 часов назад, xakep7 сказал: От мелкопакетного флуда ложится и более стоящее оборудование типа Juniper SRX и ему подобных. SRX - small business вообще-то. из той же песочницы что и микротик, разве что софт более вылизан. еще бы циску 871 в пример привели :) ну и да, небось на SRX был коннтрак включен? включите его на некротике - сдохнет очень быстро, на паре сот тысяч кппс :) 19 часов назад, xakep7 сказал: Опять же за цену тика альтернатив ему по производительности нет и это достаточно печально. тащемта на х86 тазик, жующий больше чем CCR1072, собирается за куда меньшие деньги. даже с богомерзкой глюкавой роутерос, если руки стоят только к мышкотыку, а не линевой консоли. и единственное преимущество CCR тут - компактность и имитация "аппаратного решения" своей формой коробочки. в остальном он довольно уныл. 19 часов назад, xakep7 сказал: Малым провайдерам и ДЦ выбирать фактически не из чего. мелкие провы вполне себе прекрасно живут на *никсовых тазиках, если руки стоят ровно. до 5-7 гбит особо и думать насчет чего-то аппаратного смысла нет. а при правильно построенной схеме сети - то и гораздо поболее. ну и да, CCR1072 вундервафля в роли бгп бордера (даже с дефолтом, без фуллов), пппое браса, шейпера + ната и + роутера транзитного трафа загибается менее чем на 2 гбитах входящего трафика и паре тысяч пппое сессий. ну т.е. где-то как современный целерон по производительности :) 3 штуки баксов за это просят, да. 19 часов назад, xakep7 сказал: 512к маршрутов забьются быстро при наращивании связанности и подключении 2-х и более операторов. с какой радости? открою секрет: в FIB кол-во маршрутов не зависит от кол-ва аплинков. от слова вообще (ессно, не считая уникальные анонсы). хоть 100 аплинков включите. как было 670к с одного пира, так и будет 670к со 100 пиров. если порезать до /23 - фулл вполне в 512к влезет. остальное - в дефолт слать. вайрспид дешево и сердито, да. сотка-другая гигабит 64байтными пакетами за пару тысяч баксов, да. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vvertexx Опубликовано 10 февраля, 2018 · Жалоба В 09.02.2018 в 08:09, xakep7 сказал: От мелкопакетного флуда ложится и более стоящее оборудование типа Juniper SRX и ему подобных. Было на тесте. Прилетел SYN флуд и тот сдох. Там надо правильно настраивать IDS. В целом, положить control plane относительно не сложно, forwarding plane будет жить Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vurd Опубликовано 10 февраля, 2018 · Жалоба В 08.02.2018 в 13:56, NiTr0 сказал: сделайте рестарт бгп сессий :) если ваши 3fv оно хотя бы за полчаса всосет при рестарте (ну считайте что это аналог случая когда у аплинка линк на пару минут слег) - это будет большим достижением. ну и да, ровно по этой причине никто на микротыках fv не держит. негодны они для этого. ASR1001X б/у немногим дороже 1072. при том что это таки энтерпрайз, а не сохо поделка с текущей памятью, тормозным недобгп и прочими болячками характерными для сохо. брокады с 256к роутов аппаратно (fv порезанный до /23 с дефолтом вполне влазит) - дешевле тиков. До /21. /23 около 350 дает. Возможно /22 влезет, но на грани, поэтому /21 - будет 150 тысяч где-то Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 10 февраля, 2018 · Жалоба 4 часа назад, vurd сказал: До /21. /23 около 350 дает. не экспериментировал как-то ввиду отсутствия необходимости. впрочем, брокады на 512к роутов тоже дешевле CCR1072. при том - модульные, расширяемые. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...