[Amoled]

Добрый день.

 

Нужен коммутатор в стойку в качестве бордера:

- 24/48 х 1G по меди и как минимум 2 х 10G SFP/SFP+;

- с поддержкой BGP.

По производительности:

- будут ставиться L3 ACL (нужна поддержка вплоть до ttl, stream-id);

- очень желательно помимо accept/reject иметь rate-limit как действия ACL;

- из одного 10G в другой будет моментами ходить 10G трафика.

 

Хотел взять Juniper EX3300, ценник на саму железку заманчивый, но оказалось что BGP там только по AFL лицензии, которая стоит в полтора раза больше железки.
Пишут некоторые что работает и без лицензии, а некоторые - что только 30 дней. В общем не знаю, стоит ли связываться?

Возможно кто-то может посоветовать лучший вариант?

 

Спасибо!

 

P.s.: Если по лицензии Juniper на BGP кто-то имел опыт длительного использования без оной, было бы хорошо услышать, можно в приват.

[zhenya`]

Бгп то сколько роутов планируете?

[Amoled]

1 minute ago, zhenya` said:

Бгп то сколько роутов планируете?

Default. Хотя иметь запас для 2xFull View было бы неплохо, по возможности.

[myst]

За каким хреном на коммутаторе FV и возлагать на него роль бордера? А так 4948е.

[vvertexx]

3 часа назад, Amoled сказал:

а некоторые - что только 30 дней.

такое только у триала, с соответствующей инфой в show system license, столбик expire. А тут RTU. Но могут заблокировать в дальнейших прошивках.

 

[GrandPr1de]

Хочу фаервол, но что б маршрутизатор, но как бы коммутатор.

[Amoled]

1 hour ago, GrandPr1de said:

Хочу фаервол, но что б маршрутизатор, но как бы коммутатор.

Покупать какой-нибудь SRX, чтобы поставить L3 ACL?

Покупать MX, чтобы аннонсировать одну сеть с default route? Ах-ха-ха, вы смешной парень.

 

1 hour ago, vvertexx said:

такое только у триала, с соответствующей инфой в show system license, столбик expire. А тут RTU. Но могут заблокировать в дальнейших прошивках.

 

А был опыт длительного использования без лицензии у вас лично? Просто если да, то я купил бы EX3300 да и не парился бы, полностью удовлетворяет по всем параметрам вроде ...

 

2 hours ago, myst said:

За каким хреном на коммутаторе FV и возлагать на него роль бордера? А так 4948е.

Читал про него в соседней теме.

Я так понимаю там BGP из коробки, без доп. лицензий?
Ибо новый стоит 450 т.р., примерно эквивалент 48 портового EX3300 + лицензии AFL.

[Mystray]

В 3300 bgp и остальное L3 работает RTU, но сама по себе железка менее гном от этого не становится.

> show system license          
License usage: 
                                 Licenses     Licenses    Licenses    Expiry
  Feature name                       used    installed      needed 
  bgp                                   1            0           1    invalid
  ospf3                                 1            0           1    invalid
  ospf2                                 1            0           1    invalid
  vrrp                                  1            0           1    invalid

Licenses installed: none
> show bgp summary 
Groups: 1 Peers: 2 Down peers: 0
Table          Tot Paths  Act Paths Suppressed    History Damp State    Pending
inet.0               
                     234        117          0          0          0          0
inetflow.0           
                       0          0          0          0          0          0
Peer                     AS      InPkt     OutPkt    OutQ   Flaps Last Up/Dwn State|#Active/Received/Accepted/Damped...
10.0.100.61          65005     225033     217742       0       1 9w5d 13:06:13 Establ
  inet.0: 117/117/117/0
  inetflow.0: 0/0/0/0
10.0.100.62          65005      34479      33344       0       7 1w3d 11:46:19 Establ
  inet.0: 0/117/117/0
  inetflow.0: 0/0/0/0
> show route summary 
Router ID: 10.0.100.60

inet.0: 3734 destinations, 3856 routes (3734 active, 0 holddown, 0 hidden)
Limit/Threshold: 8000/8000 destinations
              Direct:     14 routes,     14 active
               Local:     17 routes,     17 active
                OSPF:   3587 routes,   3583 active
                 BGP:    234 routes,    117 active
              Static:      2 routes,      1 active
     Access-internal:      2 routes,      2 active

inet6.0: 28 destinations, 28 routes (28 active, 0 holddown, 0 hidden)
Limit/Threshold: 4096/4096 destinations
              Direct:      4 routes,      4 active
               Local:      3 routes,      3 active
               OSPF3:     21 routes,     21 active

L3 и then policer в фильтре есть. С IPv6 бывают странности. 

Готовьтесь к тому, что коллизии с флудом пойдут уже с 1,5 тысяч мак-адресов. А если не повезет на хеш, то и на сотне.

Или к тому, что флеш у них умирает регулярно.

Или к тому, что между primary и secondary подсетями на одном vlan-интерфейсе будут дублироваться ICMP-пакеты, при чем через CPU, нагружая и без того хлипкий mips.

Или к тому, что flow-control-а железка боится, как огня, и может увести свич-чип в ребут от одного сошедшего с ума д-линка.

Или к тому, что при смене мастера в стеке могут отвалиться L3 фильры на влан-интерфейсах.

В общем, много веселого. Хотя полноценный джунос, роутинг, даже vrf-lite с роут-ликами и остальной junos-магией. 

[Amoled]

9 minutes ago, Mystray said:

В 3300 bgp и остальное L3 работает RTU, но сама по себе железка менее гном от этого не становится.

L3 и then policer в фильтре есть. С IPv6 бывают странности. 

Готовьтесь к тому, что коллизии с флудом пойдут уже с 1,5 тысяч мак-адресов. А если не повезет на хеш, то и на сотне.

Или к тому, что флеш у них умирает регулярно.

Или к тому, что между primary и secondary подсетями на одном vlan-интерфейсе будут дублироваться ICMP-пакеты, при чем через CPU, нагружая и без того хлипкий mips.

Или к тому, что flow-control-а железка боится, как огня, и может увести свич-чип в ребут от одного сошедшего с ума д-линка.

Или к тому, что при смене мастера в стеке могут отвалиться L3 фильры на влан-интерфейсах.

В общем, много веселого. Хотя полноценный джунос, роутинг, даже vrf-lite с роут-ликами и остальной junos-магией. 

 

У меня и сотни mac не будет, это top of rack для двух десятков серверов. Т.е. AS и аннонсировать сеть, держать какие-то ACL'и, ну и все.
Или даже в таком варианте эксплуатации он не самый лучший вариант? Что тогда посоветуете под мои задачи?

[GrandPr1de]

1 час назад, Amoled сказал:

Покупать какой-нибудь SRX, чтобы поставить L3 ACL?

Покупать MX, чтобы аннонсировать одну сеть с default route?

 

6 часов назад, Amoled сказал:

Хотя иметь запас для 2xFull View было бы неплохо

 

39 минут назад, Amoled сказал:

это top of rack для двух десятков серверов

 

7 часов назад, Amoled сказал:

коммутатор в стойку в качестве бордера

я хз что тут добавить

[Amoled]

21 minutes ago, GrandPr1de said:

 

 

 

я хз что тут добавить

Ну, все когда-то были новичками. Можно промолчать, можно помочь и что-то поправить, объяснить почему так.

А можно писать "остроумные" комментарии. Глядя на них я и правда считаю, что вам просто "хз что добавить".

[Mystray]

4 часа назад, Amoled сказал:

У меня и сотни mac не будет, это top of rack для двух десятков серверов. Т.е. AS и аннонсировать сеть, держать какие-то ACL'и, ну и все.
Или даже в таком варианте эксплуатации он не самый лучший вариант? Что тогда посоветуете под мои задачи?

Не лучший из-за надежности. Если, например, с мрущим флешем еще как-то можно жить (логи не писать локально, периодически регенерировать ячейки и т. д.) то с общей стабильностью у железки тоже совсем не очень.

При всей моей нежной любви к Juniper и Junos не могу советовать EX-линейку, в особенности ранних поколений (32/33). 

Б/У Каталист, их тут могут насоветовать немало. Те же 3750/3560, мне кажется, должны вас устроить.

[GrandPr1de]

3 часа назад, Amoled сказал:

Ну, все когда-то были новичками. Можно промолчать, можно помочь и что-то поправить, объяснить почему так.

Если вы больше никакого посыла не увидели в моем комментарии, тогда я перефразирую.

Конкретизируйте свои требования. Когда вы поймете что вам нужно - сможете подобрать железку.

[pingz]

@Amoled В джуне нет ACL есть фильтры :D 

 

Вроде только на MPLS Лицензия нужна. 

 

https://www.juniper.net/documentation/en_US/junos/topics/concept/ex-series-software-licenses-overview.html#jd0e220

 

Под BGP лицензия AFL

 

show system license
License usage:
                                 Licenses     Licenses    Licenses    Expiry
  Feature name                       used    installed      needed
  bgp                                   0            1           0    permanent
  isis                                  0            1           0    permanent
  mpls                                  0            1           0    permanent

Licenses installed:
  License identifier:xxxxxxxx
  License version: 4
  Valid for device: xxxxxxxxx
  Features:
  Routing          - Advanced licensed routing protocols
  permanent
 

 

show version
fpc0:
--------------------------------------------------------------------------
Hostname: EX4550
Model: ex4550-32f
Junos: 15.1R6.7
JUNOS EX  Software Suite [15.1R6.7]
JUNOS FIPS mode utilities [15.1R6.7]
JUNOS Online Documentation [15.1R6.7]
JUNOS EX 4500 Software Suite [15.1R6.7]
JUNOS Web Management Platform Package [15.1R6.7]
 

[xcme]

7 часов назад, Amoled сказал:

Ну, все когда-то были новичками. Можно промолчать, можно помочь и что-то поправить, объяснить почему так.

Есть коммутаторы доступа, коммутаторы агрегации и коммутаторы ядра. В большой сети есть смысл разделять доступ и агрегацию пользователей и доступ и агрегацию серверов/оборудования. В небольшой сети можно некоторые "уровни" объединить. Бордер обычно отдельная железка. Это рекомендует иерархический дизайн. Да, можно взять шасси типа MX480, набить модулями и сделать в нем и доступ и агрегацию и ядро, да еще и бордер, но это несколько неправильно.

 

Если требуется держать несколько FV, то лучше взять отдельную железку. Там не требуется много портов, часто достаточно десятки на вход и десятки на выход и все (для небольших сетей). В одном из постов написано "Default или 2 FV". Это звучит как "пешком, ну или на самолете", то есть это принципиальный вопрос на самом деле. :) Надо здесь определиться и уже отсюда исходить.

[myst]

15 часов назад, Amoled сказал:

Читал про него в соседней теме.

Я так понимаю там BGP из коробки, без доп. лицензий?
Ибо новый стоит 450 т.р., примерно эквивалент 48 портового EX3300 + лицензии AFL.

богапэ много где изкоробки. вот только FV не надо ждать. Да и вы точно уверены что вам нужен FV?

 

13 часов назад, Amoled сказал:

Ну, все когда-то были новичками. Можно промолчать, можно помочь и что-то поправить, объяснить почему так.

А можно писать "остроумные" комментарии. Глядя на них я и правда считаю, что вам просто "хз что добавить".

Вам уже популярно объяснили. Коммутатор TOR и бордер с FV это разные вещи. Совсем разные.

[Amoled]

16 hours ago, xcme said:

Если требуется держать несколько FV, то лучше взять отдельную железку. Там не требуется много портов, часто достаточно десятки на вход и десятки на выход и все (для небольших сетей). В одном из постов написано "Default или 2 FV". Это звучит как "пешком, ну или на самолете", то есть это принципиальный вопрос на самом деле. :) Надо здесь определиться и уже отсюда исходить.

Мм, определимся так - на первое время хватит и default. После может быть уже и чего-то другое куплю.
Ранее советовали 4948е. Новый он стоит как космический корабль (не мой бюджет), остаётся либо б/у (что-то не хочется рисковать), либо везти самому из-за границы (в Китае много новых продают за более менее адекватные деньги).
Есть два вопроса:
1) 4948е это оптимальный вариант, либо же есть что-то более подходящее?
2) На 4948е понадобится ли докупать какие-то лицензии?

 

Спасибо.

[myst]

Бу стоит копейки, если страшно возьмите два, один положите на полку.

 

37 минут назад, Amoled сказал:

2) На 4948е понадобится ли докупать какие-то лицензии?

Нет не понадобится.

[myst]

Вот же есть соседняя тема, там ответы на все вопросы 

 

 

[Butch3r]

Великолепный аппарат 4948e

[xcme]

Кстати, самому стало интересно. Что посоветуете под резервный бордер с 4 FV и 2x10G? Трафика будет идти около 8Гб. Других каких то требований к нему нет, главное чтобы не тупил при этом, да и все.

[GrandPr1de]

6 минут назад, xcme сказал:

4 FV и 2x10G?

Ну я бы советовал МХ80, но больше 4 FV уже рисково. Вроде 5 стабильно на нем живет.

Там всё в память упирается. На борту у него 4 sfp+.

Это если бюджет не очень большой. Ну и учитывая что это резервный бордер.

[xcme]

Juniper понятно, а есть вариант чтобы дешево и сердито? Предположим, что на время аварии достаточно будет и 2 FV. =)

[vvertexx]

@xcme 

Микротик. один на одну FV, один на вторую FV, один чтоб их балансировать, и один чтоб Saab95 был доволен

[GrandPr1de]

4 часа назад, xcme сказал:

Juniper понятно, а есть вариант чтобы дешево и сердито? Предположим, что на время аварии достаточно будет и 2 FV. =)

Ну те цены что я знаю - куда уж дешевле и сердитее за железный раутер, который не плющит от одного факта кучи роутов. Не знаю как в вашем регионе, но думаю не сильно отличается.

Б\У так изи найти за 3-4к$.

3 часа назад, vvertexx сказал:

@xcme 

Микротик. один на одну FV, один на вторую FV, один чтоб их балансировать, и один чтоб Saab95 был доволен

И получается что уже на цену Б\У джуна дотянули))))))