[newtomy]

приветствую!

 

имеем корпоративного клиента у которого взят в аренду пул адресов и они соединяются с нами по BGP

всё хорошо, прошивка 6.30

клиент получает фулл вью (надо для управления трафиком)

есть проблема, утекает память, т.к. поднимается сессия получаем все префиксы, остаётся грубо ~500М, проходит пару дней уже ~100 доходит до 50 и роутер ребутается...

толи из за перестроений толи еще из-за чего-то может кто подскажет?

можно поправить? стоит обновится на крайнюю версию?

[newtomy]

ни у кого такого нет?

[xakep7]

Сколько в устройстве памяти всего? На сколько помню там 2 разные версии с 2 гб и 16 гб памяти.

У меня на 1072 на 3 сессии пожирается 3-4 гб памяти. 2 миллиона маршрутов

[newtomy]

6 часов назад, xakep7 сказал:

Сколько в устройстве памяти всего? На сколько помню там 2 разные версии с 2 гб и 16 гб памяти.

У меня на 1072 на 3 сессии пожирается 3-4 гб памяти. 2 миллиона маршрутов

а трафика в ЧНН сколько держит? 7 Гбит вход и 4 выход, будет держать?

[xakep7]

13 часов назад, newtomy сказал:

а трафика в ЧНН сколько держит? 7 Гбит вход и 4 выход, будет держать?

Пока только 2.6 Гбит/с
Больше нечем грузить. Железка стоит в ДЦ моем.

Опять же ценник на каналы на старте неподъемный :(

Загрузка около 2% сейчас. В основном видео трафик и потоки с камер по городу собирает.

По идее должен. Летела атака в 12 Гбит/с, спокойно ее фильтровал при увеличении нагрузки до 11%.

Изменено 7 февраля, 2018 пользователем xakep7

[newtomy]

а CCR1072 вообще сильно отличается от 1036 ?) смысл вообще есть покупать 1072?

Изменено 7 февраля, 2018 пользователем newtomy

[xakep7]

5 часов назад, newtomy сказал:

а CCR1072 вообще сильно отличается от 1036 ?) смысл вообще есть покупать 1072?

 

8 портов по 10 гиг против 2х10 + 8х1 у 1036

72 ядра против 36 у 1036

16 гб памяти на борту

Для малого провайдера в нем нет смысла и раскрывается он тупо как роутер без изысков (без ната, лимитов и т.п.), максимум что на нем можно сделать, дополнительно, это фильтрацию raw правилами, но не более. Тогда он сможет пропустить сквозь себя все 80 гбит/с

Но BGP все равно одно ядро юзает :(

Изменено 7 февраля, 2018 пользователем xakep7

[myth]

13 часов назад, xakep7 сказал:

раскрывается он тупо как

L3 свитч

[xakep7]

1 час назад, myth сказал:

L3 свитч

С фильтрацией и бгп на 3 и более fullview. Очень мало свитчей потянут такое, но в принципе верно.

[myth]

2 часа назад, xakep7 сказал:

С фильтрацией

acl. Аппаратно и на wirespeed.

 

2 часа назад, xakep7 сказал:

бгп на 3 и более fullview

на 1 ядре, ага

[xakep7]

43 минуты назад, myth сказал:

acl. Аппаратно и на wirespeed.

 

на 1 ядре, ага

А какой у него ценник по сравнению с тиком?

Про 1 ядро не спорю - бред. Обещают исправить в 7-ой вертке, но как водится, обещанного 3 года ждут...

[NiTr0]

3 часа назад, xakep7 сказал:

бгп на 3 и более fullview

сделайте рестарт бгп сессий :)

если ваши 3fv оно хотя бы за полчаса всосет при рестарте (ну считайте что это аналог случая когда у аплинка линк на пару минут слег) - это будет большим достижением.

 

ну и да, ровно по этой причине никто на микротыках fv не держит. негодны они для этого.

 

7 минут назад, xakep7 сказал:

А какой у него ценник по сравнению с тиком?

ASR1001X б/у немногим дороже 1072. при том что это таки энтерпрайз, а не сохо поделка с текущей памятью, тормозным недобгп и прочими болячками характерными для сохо.

 

брокады с 256к роутов аппаратно (fv порезанный до /23 с дефолтом вполне влазит) - дешевле тиков.

[s.lobanov]

5 минут назад, NiTr0 сказал:

ASR1001X б/у немногим дороже 1072.

А можно линки на недорогие asr1001x? сколько не смотрел, шлакотики всегда дешевле даже самых б/у asr1000

[myth]

Если нужен только голый форвард L3 и ACL, то какой-нибудь Eltex 3124 подойдет, например. Или еще какое-нибудь L2+

[xakep7]

1 час назад, NiTr0 сказал:

сделайте рестарт бгп сессий :)

если ваши 3fv оно хотя бы за полчаса всосет при рестарте (ну считайте что это аналог случая когда у аплинка линк на пару минут слег) - это будет большим достижением.

 

ну и да, ровно по этой причине никто на микротыках fv не держит. негодны они для этого.

 

ASR1001X б/у немногим дороже 1072. при том что это таки энтерпрайз, а не сохо поделка с текущей памятью, тормозным недобгп и прочими болячками характерными для сохо.

 

брокады с 256к роутов аппаратно (fv порезанный до /23 с дефолтом вполне влазит) - дешевле тиков.

 Все 3 сессии собирает за 3-4 минуты без проблем. Флап около минуты перестраивает без проблем. Каждая сессия - 680000 маршрутов.

ASR не имеет портов 10 гиг в себе (по дефолту) и не может пропустить более 20 гиг сквозь себя. Ближайший аналог 1002-х и стоит он 1.2кк на наге в фул комплектации с 8-ю портами 10 гиг.

Еще варианты?

Изменено 8 февраля, 2018 пользователем xakep7

[pppoetest]

8 минут назад, xakep7 сказал:

ASR не имеет портов 10 гиг в себе (по дефолту)

Даладна

[xakep7]

Только что, pppoetest сказал:

Даладна

• Полоса пропускания: 20Gbit/s

Против 80 гбит/с в обе стороны

Еще варианты?

Сейчас есть 3 оператора с портами по 10 гбит/с

[pppoetest]

80Гбит на микротике? Нунах, проще уволиться из конторы с такими объёмами на таком железе.

[xakep7]

5 минут назад, pppoetest сказал:

80Гбит на микротике? Нунах, проще уволиться из конторы с такими объёмами на таком железе.

Удачного вам увольнения. ДЦ держу за свой счет. У вас есть лишние 1.2кк на роутер? У меня, к сожалению, нет. Я на эти деньги лучше сервера закуплю и коммутаторы...

За свои деньги это отличное железо выполняющее все необходимое для моих нужд. Опять же за ту цену нет аналогов с той же производительностью.

Как подойду к пределу, естественно буду менять его на более стоящие аналоги, на ранней же стадии нет смысла светить понтами распыляясь на дорогостоящее железо, которое по производительности будет примерно таким же

Изменено 8 февраля, 2018 пользователем xakep7

[NiTr0]

12 часов назад, s.lobanov сказал:

А можно линки на недорогие asr1001x?

относительно недорогие (в районе 5 штук). дешевле стопки микротиков, которую предлагают продаваны на замену.

хотя здесь таки больше напрашивается брокада mlx, которая полноценный железный свич, а не роутер с аппаратными оффлоадами, и легко прожует сотни гигабит. правда платы под 1М роутов (-X суффикс) немного дороговаты, но если 512к роутов хватит - то шасси (с мозгами) + плата на 8 дырок на ибее обойдется дешевле чем 1072.

 

11 часов назад, xakep7 сказал:

Все 3 сессии собирает за 3-4 минуты без проблем. Флап около минуты перестраивает без проблем. Каждая сессия - 680000 маршрутов.

не верю. на 6.38 какой-то (если память не подводит) 1072 вундервафля при флапе линков (down + up) либо при рестарте бгп сессий изучала 2 фуллвью + мелочь от IX 20 минут. медленно и печально, по 1000 маршрутов в секунду.

 

а вот пока в таблице пусто и никакие роуты не удаляются - да, всасывает изначально шустро. только толку с этого...

 

11 часов назад, xakep7 сказал:

ДЦ держу за свой счет.

сочувствую. устроит кто-то из клиентов udp флуд (либо, наоборот, прилетит куча малких пакетов от ддос) - и поляжет ваш "дата центр" весь и сразу.

[xakep7]

3 часа назад, NiTr0 сказал:

 

не верю. на 6.38 какой-то (если память не подводит) 1072 вундервафля при флапе линков (down + up) либо при рестарте бгп сессий изучала 2 фуллвью + мелочь от IX 20 минут. медленно и печально, по 1000 маршрутов в секунду.

 

а вот пока в таблице пусто и никакие роуты не удаляются - да, всасывает изначально шустро. только толку с этого...

 

сочувствую. устроит кто-то из клиентов udp флуд (либо, наоборот, прилетит куча малких пакетов от ддос) - и поляжет ваш "дата центр" весь и сразу.

У меня с этим все ок. Забирает по 10000-16000 маршрутов в секунду если не больше. На другом конце стоит ASR более хороший чем 1002-x. Задержка между ними менее 1 мс.

Удаляются и заливаются быстро.

Уже флудили, достаточно хорошо атака отфильтровалась. Читайте пост выше, я уже писал про это. Атака была на 12 гбит/с в пике при этом дц продолжил нормальную работу.

От мелкопакетного флуда ложится и более стоящее оборудование типа Juniper SRX и ему подобных. Было на тесте. Прилетел SYN флуд и тот сдох.

 

3 часа назад, NiTr0 сказал:

относительно недорогие (в районе 5 штук). дешевле стопки микротиков, которую предлагают продаваны на замену.

хотя здесь таки больше напрашивается брокада mlx, которая полноценный железный свич, а не роутер с аппаратными оффлоадами, и легко прожует сотни гигабит. правда платы под 1М роутов (-X суффикс) немного дороговаты, но если 512к роутов хватит - то шасси (с мозгами) + плата на 8 дырок на ибее обойдется дешевле чем 1072.

Опять же за цену тика альтернатив ему по производительности нет и это достаточно печально. Малым провайдерам и ДЦ выбирать фактически не из чего. 512к маршрутов забьются быстро при наращивании связанности и подключении 2-х и более операторов.

Изменено 9 февраля, 2018 пользователем xakep7

[NiTr0]

19 часов назад, xakep7 сказал:

У меня с этим все ок. Забирает по 10000-16000 маршрутов в секунду если не больше.

это после минутного разрыва связи (с падением и поднятием по новой сессий), когда роуты одновременно и удаляются из ядреной таблицы, и добавляются в нее?

 

19 часов назад, xakep7 сказал:

Атака была на 12 гбит/с в пике при этом дц продолжил нормальную работу.

12 гбит пакетами по 1500 байт? или пакетами по 64 байта?

 

19 часов назад, xakep7 сказал:

От мелкопакетного флуда ложится и более стоящее оборудование типа Juniper SRX и ему подобных.

SRX - small business вообще-то. из той же песочницы что и микротик, разве что софт более вылизан.

еще бы циску 871 в пример привели :)

 

ну и да, небось на SRX был коннтрак включен? включите его на некротике - сдохнет очень быстро, на паре сот тысяч кппс :)

 

19 часов назад, xakep7 сказал:

Опять же за цену тика альтернатив ему по производительности нет и это достаточно печально.

тащемта на х86 тазик, жующий больше чем CCR1072, собирается за куда меньшие деньги.  даже с богомерзкой глюкавой роутерос, если руки стоят только к мышкотыку, а не линевой консоли. и единственное преимущество CCR тут - компактность и имитация "аппаратного решения" своей формой коробочки. в остальном он довольно уныл.

 

19 часов назад, xakep7 сказал:

Малым провайдерам и ДЦ выбирать фактически не из чего.

мелкие провы вполне себе прекрасно живут на *никсовых тазиках, если руки стоят ровно. до 5-7 гбит особо и думать насчет чего-то аппаратного смысла нет. а при правильно построенной схеме сети - то и гораздо поболее.

 

ну и да, CCR1072 вундервафля в роли бгп бордера (даже с дефолтом, без фуллов), пппое браса, шейпера + ната и + роутера транзитного трафа загибается менее чем на 2 гбитах входящего трафика и паре тысяч пппое сессий. ну т.е. где-то как современный целерон по производительности :) 3 штуки баксов за это просят, да.

 

19 часов назад, xakep7 сказал:

512к маршрутов забьются быстро при наращивании связанности и подключении 2-х и более операторов.

с какой радости?

открою секрет: в FIB кол-во маршрутов не зависит от кол-ва аплинков. от слова вообще (ессно, не считая уникальные анонсы). хоть 100 аплинков включите. как было 670к с одного пира, так и будет 670к со 100 пиров.

если порезать до /23 - фулл вполне в 512к влезет. остальное - в дефолт слать.

вайрспид дешево и сердито, да. сотка-другая гигабит 64байтными пакетами за пару тысяч баксов, да.

[vvertexx]

В 09.02.2018 в 08:09, xakep7 сказал:

От мелкопакетного флуда ложится и более стоящее оборудование типа Juniper SRX и ему подобных. Было на тесте. Прилетел SYN флуд и тот сдох.

Там надо правильно настраивать IDS. В целом, положить control plane относительно не сложно, forwarding plane будет жить

[vurd]

В 08.02.2018 в 13:56, NiTr0 сказал:

сделайте рестарт бгп сессий :)

если ваши 3fv оно хотя бы за полчаса всосет при рестарте (ну считайте что это аналог случая когда у аплинка линк на пару минут слег) - это будет большим достижением.

 

ну и да, ровно по этой причине никто на микротыках fv не держит. негодны они для этого.

 

ASR1001X б/у немногим дороже 1072. при том что это таки энтерпрайз, а не сохо поделка с текущей памятью, тормозным недобгп и прочими болячками характерными для сохо.

 

брокады с 256к роутов аппаратно (fv порезанный до /23 с дефолтом вполне влазит) - дешевле тиков.

До /21. /23 около 350 дает.

Возможно /22 влезет, но на грани, поэтому /21 - будет 150 тысяч где-то

[NiTr0]

4 часа назад, vurd сказал:

До /21. /23 около 350 дает.

не экспериментировал как-то ввиду отсутствия необходимости.

впрочем, брокады на 512к роутов тоже дешевле CCR1072. при том - модульные, расширяемые.