[fractal]

В 08.12.2018 в 17:23, sol сказал:

Позвольте резюмировать за СаабоТик в качестве бордера:

 

1. Процесс вычисления FIB из RIB однопоточный и, даже если железка о 32 ядрах, процесс идёт на одном ядре и занимает не менее 10 минут для FV.

2. Средства отладки отсутствуют.

3. После "устаканивания" FIB форвардинг идёт всеми ядрами и непосредственно к форвардингу претензий нет.

4. В какой объём оперативной памяти влезает RIB от одного аплинка при приёме FV? На данный момент FV порядка 700к маршрутов.

5. Решение софтовое и никаких спец чипов - акселераторов чего бы то ни было там нет.

 

Общее, не относящееся к СаабоТикам:

1. В решениях, где форвардинг делается аппаратно, есть ограничение на кол-во маршрутов, влезающее в этот аппаратный форвардер. На 6500 sup720-3bxl это 1м маршрутов, что близко к современной глобальной таблице в 700к маршрутов.

2. Сколько бы FV от скольких бы аплинков вы не принимали, при должной предосторожности (фильтрация на вход всего меньше, чем /24) FIB не вырастет за пределы 700к. RIB да, будет пухнуть пропорционально кол-ву аплинков. Но, он в оперативке и её много. А у FIB нет причин расти за пределы размера глобальной таблицы маршрутизации.

да, с этим у них проблемы)))

 

во что нарыл, 

 

[Saab95]

Нету никаких проблем. Загрузка одного ядра 100 процентов не влияет на обработку данных другими ядрами.

Кроме всего нужно понимать, что это зависит от того, кто с другой стороны BGP выдает. Многие циски и иные решения очень тормозят с отдачей, после перезапуска маршруты могут и 3-4 минуты выдавать. Если на дальней стороне BGP быстрый, то он маршруты за 40 секунд - минуту отдает и с ним загрузка 100 процентов возникает не часто.

[fractal]

16 минут назад, Saab95 сказал:

Нету никаких проблем. Загрузка одного ядра 100 процентов не влияет на обработку данных другими ядрами.

Кроме всего нужно понимать, что это зависит от того, кто с другой стороны BGP выдает. Многие циски и иные решения очень тормозят с отдачей, после перезапуска маршруты могут и 3-4 минуты выдавать. Если на дальней стороне BGP быстрый, то он маршруты за 40 секунд - минуту отдает и с ним загрузка 100 процентов возникает не часто.

Есть, опытным путём. заменили вообщем микротик 1072 на 4451x и стало небо и земля, была отдача  минут 10, стало максимум 2-3, у нас на сети используют циско, но прикупили одну компанию, она на микротах сидит, вот у них 3 bgp peer-а было, FW, траблшутить не возможно, после ребута очень долгий старт. Вообщем если микрот это зачинит, то будет хорошо, так же есть опыт ребят из ТТК которые тестили его как border, также все провалилось, ждут ROS7 если там взлетит)

Изменено 21 апреля, 2019 пользователем fractal

[Saab95]

Ага, заменили новый микротик на б/у циску. Сравнение то же. Найдите что-то похожее в том же ценовом сегменте. Новое.

[fractal]

17 минут назад, Saab95 сказал:

Ага, заменили новый микротик на б/у циску. Сравнение то же. Найдите что-то похожее в том же ценовом сегменте. Новое.

Это новая циска, я выражаю своё мнение,  микрот не готов тянуть 5 fw, с 3мя fw он уже плохо справляется хоть и должен судя по даташиту

Изменено 22 апреля, 2019 пользователем fractal

[SyJet]

18 часов назад, Saab95 сказал:

Ага, заменили новый микротик на б/у циску. Сравнение то же. Найдите что-то похожее в том же ценовом сегменте. Новое.

Новое/бу - нет разницы, главное чтоб выполняло функции. Даже с300 продаются бу

[vurd]

3 часа назад, SyJet сказал:

Новое/бу - нет разницы, главное чтоб выполняло функции. Даже с300 продаются бу

Вы про ракетные установки или про snr-s300? 

[SyJet]

21 минуту назад, vurd сказал:

Вы про ракетные установки или про snr-s300? 

Ракетные 

[AlexPan]

А кто нибудь пользовал бордер от RDP ?

[vurd]

15 часов назад, AlexPan сказал:

А кто нибудь пользовал бордер от RDP ?

Цену и ТТХ покажите, пожалуйста.

[AlexPan]

Они уверяют, что вполне подойдет https://rdp.ru/products/routing/

 

Собственно, нужно найти замену джуну MX для решения до 20-40Гбит включающее border+BRAS+CGNAT

СКАТовцы предлагают взять их BRAS и просто туда Квагу водрузить.

[vvertexx]

@AlexPan 

а зачем mx менять?

PS: всё зависит от цены  за rdp.

[AlexPan]

Никто менять не собирается. Надо еще в другом месте что то поставить...

[maxkst]

Хочу по ценам сориентироваться насчет замены 1072 на циску или джун, босс интересуется. Может это и правда не такая уж и плохая идея.

Последнее время на 1072 то OSPF во все стороны отваливается, то всякая шгяна в логах типа timeout while waiting for program 20 (и другие непонятные номера)

Обычный бридж двух интерфейсов тест RFC2544 провалила. Я вообще-то большой поклонник MT, но в последнее время как то многовато проблем для уровня ядра.

[LostSoul]

26 минут назад, maxkst сказал:

но в последнее время как то многовато проблем для уровня ядра.

циска в качестве ядерной железки делает дичайшие вещи.

конкретно та-же 7600 , представляя из себя гроб где практически все дублировано легко может не загружаться из за банальной севшей батарейки cmos.

От хиленького arp флуда мегабит в 30 она встает колом с отвалом сессий bgp и.т.п.

При исчерпании памяти ( допустим где то на соседе фильтр слетел и слишком много fw загрузилось ) - либо встает колом с последующим ребутом, либо колом с последующим зависанием.

Словом приколы циски выучить и перестать им удивляться можно, но едва ли их меньше чем  у микротика

 

[fractal]

17 часов назад, LostSoul сказал:

циска в качестве ядерной железки делает дичайшие вещи.

конкретно та-же 7600 , представляя из себя гроб где практически все дублировано легко может не загружаться из за банальной севшей батарейки cmos.

От хиленького arp флуда мегабит в 30 она встает колом с отвалом сессий bgp и.т.п.

При исчерпании памяти ( допустим где то на соседе фильтр слетел и слишком много fw загрузилось ) - либо встает колом с последующим ребутом, либо колом с последующим зависанием.

Словом приколы циски выучить и перестать им удивляться можно, но едва ли их меньше чем  у микротика

 

Asr или isr4461?

Изменено 23 июля, 2019 пользователем fractal

[YuryD]

18 часов назад, LostSoul сказал:

циска в качестве ядерной железки делает дичайшие вещи.

конкретно та-же 7600 , представляя из себя гроб где практически все дублировано легко может не загружаться из за банальной севшей батарейки cmos.

 

 :) Зачем ставить маршрутизатор софтверный от циско в бгп ? Нахлебавшись с софтовыми бгп, прикупил брокаду. И не надо идти по принципу комбайнов, объединяя в одной железяке бгп, нат и нас с полиси. Это плохо кончается....

[zhenya`]

1 минуту назад, YuryD сказал:

 :) Зачем ставить маршрутизатор софтверный от циско в бгп ? Нахлебавшись с софтовыми бгп, прикупил брокаду. И не надо идти по принципу комбайнов, объединяя в одной железяке бгп, нат и нас с полиси. Это плохо кончается....

Бгп везде софтовый. Вопрос толщины контролплейна и правильных copp policy. 76 конечно нахер.

аср1001-х или 1002-х смотрите.

[YuryD]

3 минуты назад, zhenya` сказал:

Бгп везде софтовый. Вопрос толщины контролплейна и правильных copp policy. 76 конечно нахер.

аср1001-х или 1002-х смотрите.

 Квагга софтверная всасывала 4 fv минут за 5-10, с цпу в 100. Брокада после аппаратного перезагруза делает всё за 2 минуты, хоть и псевдософтовая :)  Как-то так....

[Bushi]

Мегадешёвый и отказоустойчивый вариант бордера - два "тазика" (сервера 1U) с портами 10G и установленной ОС VyOS. VyOS имеет juniper like cli, легко управляется и обновляется. Единственное, для отказоустойчивости нужно договориться с каждым аплинком о двух BGP сессиях с BFD. Ну и в таком варианте NAT не будет работать. Точнее, реализовать можно синхронизацию состояний при помощи conntrack sync, но в реальности это невозможно, так как инсерт состояний в ядро съедает много ресурсов.

 

В 23.07.2019 в 20:12, YuryD сказал:

 Квагга софтверная всасывала 4 fv минут за 5-10, с цпу в 100. Брокада после аппаратного перезагруза делает всё за 2 минуты, хоть и псевдософтовая :)  Как-то так.... 

У меня vyos (внутри frr, та же квагга) 3fv всасывает меньше чем за пару минут. Тут просто имеет значение производительность CPU control plane.

[LostSoul]

24 минуты назад, Bushi сказал:

Единственное, для отказоустойчивости нужно договориться с каждым аплинкамом о двух BGP сессиях с BFD. Н

с меня тот же вымпелком за такую щедрость 30тр в год + НДС вымогал ( вторая БГП сессия )

так что выгодность решения под большим вопросом

другой вопрос что можно ведь скорее всего как-то сделать кластер с чем-то типа VRRP.

основной вопрос тут как сохранить производительность на форвардинге ,  обеспечив при этом истинную отказоустойчивость процесса bgpd  .

но вроде бы для lxc есть какие-то наработки по реалтайм синхронизации памяти процесса и его запуске на 2 хосте в случае краха первого хоста.

 

осталось только этот крах еще правильно угадать, так как крах краху рознь.

может например сетевуха в аплинка крякнутся, а та что между нодами кластера - нет. и.т.п.

 

[YuryD]

8 часов назад, LostSoul сказал:

с меня тот же вымпелком за такую щедрость 30тр в год + НДС вымогал ( вторая БГП сессия )

так что выгодность решения под большим вопросом

 

 wix bfd даром дает

[NiTr0]

19 часов назад, YuryD сказал:

 Квагга софтверная всасывала 4 fv минут за 5-10, с цпу в 100. Брокада после аппаратного перезагруза делает всё за 2 минуты, хоть и псевдософтовая :)  Как-то так....

ну квагга - она такая, да. "цископодобный бгп для бедных".

птичка - секунд за 30 всасывает 2fv.

[YuryD]

 Ну квагга тупит при массовой смене маршрутов по бгп. А 2 минуты у брокады - это ее тесты при включении, подъем конфига и интерфейсов, и всос всех fv.

[SyJet]

В 23.07.2019 в 01:18, maxkst сказал:

Хочу по ценам сориентироваться насчет замены 1072 на циску или джун, босс интересуется. Может это и правда не такая уж и плохая идея.

Последнее время на 1072 то OSPF во все стороны отваливается, то всякая шгяна в логах типа timeout while waiting for program 20 (и другие непонятные номера)

Обычный бридж двух интерфейсов тест RFC2544 провалила. Я вообще-то большой поклонник MT, но в последнее время как то многовато проблем для уровня ядра.

Мозг не парти. Аср1001 на авито менее 100тр