vvertexx Опубликовано 7 августа, 2019 · Жалоба @bqd это не отказоустойчивость. При смерти одной будет деградация (потеря одной fv-ноги). ISR4431 с fv тоже довольно нетороплив... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bqd Опубликовано 7 августа, 2019 · Жалоба ну да расскажите нам почему потеря одной ноги это обязательно деградация и как правильно делать отказоустойчивое подключение при смерти одного бордера пакеты исходящие пойдут в другой или третий четвертый (какой ближе будет по оспф метрикам) и маршрутизатор стандартно выпустит пакет по маршруту в своем FIB никакой деградации не случится вообще. Да, для входящих пакетов на время сходимости между провами возможны потери, но та же херня произойдет и при одном маршрутизаторе с двумя и более аплинками если из предыдущего сообщения не понятно то у меня не транзит, а обычный тупиковый энтырпрайс Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
guеst Опубликовано 8 августа, 2019 (изменено) · Жалоба т.е. ситуацию с одновременной потерей функциональности одно из двух роутеров и потерей связности до аплинка у второго вы не рассматриваете в принципе? ...я просто тоже энтерпрайс, и у меня 2 роутера с 2 аплинками от 2-х провайдеров на каждом... Изменено 8 августа, 2019 пользователем guеst Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bqd Опубликовано 8 августа, 2019 · Жалоба ну да и конечно вторые линки провайдер физически протянул через разные колодцы и воткнул в разные CPE свичи, которые воткнуты в разные UPS итп... не пробовали посчитать целесообразность такого решения, т.е во сколько обходится такая инсталяция, сколько %SLA добавляется (или вычитается см. ниже) и сколько стоит час/минута/секунда недоступности сервиса для вашего планктона? вот почитай умного дядьку https://blog.ipspace.net/2019/04/decide-how-badly-you-want-to-fail.html там кроме всего прочего есть такая, на мой взгляд, весьма мудрая фраза: adding redundancy reduces availability там это обосновывается немного другим примером, но по моему опыту этот постулат универсален в любой более-менее сложной системе и не только в ИТ короче, тут получается спор: over-engineering vs KISS я сторонник последнего и не надо голословно утверждать что "это не отказоустойчивость". Ты мой дизайн не видел чтобы давать ему оценку. В моем случае я безболезненно могу потерять 3 маршрутизатора и/или провайдера или потерять по одному маршрутизатору на каждом сайте и DCI линк. Кстати, в твоем сценарии с двумя маршрутизаторами я бы не стал переусложнять. Собственно такой сценарий у меня есть. Так что проверено на практике. И практика показывает,что если проблема и происходит то чаще от кривых рук чем от недостаточно отказоустойчивого дизайна. А в простом дизайне кривые руки косячат меньше чем в сложном. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
reef Опубликовано 8 августа, 2019 · Жалоба В 07.08.2019 в 09:57, bqd сказал: у меня под FV трудятся ISR4431 с 16Г мозга всего их 4 штуки каждый держит один FV от своего аплинка + кеш (soft-configaration in) + 3 FV от соседей по ibgp (+ примерно миллион префиксов) с каким софтом работают? Boost лицензия активирована? хотя с вашей загрузкой uplink/downlink это лишнее. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bqd Опубликовано 9 августа, 2019 · Жалоба Cisco IOS-XE 03.16.04b.S.155-3.S4b-ext (UNIVERSALK9_NPE) лицензия только одна: ipbasek9 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
maruk Опубликовано 9 августа, 2019 (изменено) · Жалоба В 03.08.2019 в 22:50, reef сказал: В 03.08.2019 в 21:22, fractal сказал: 4451x и 16gb озу, 5 fw держит норм профит сомнительный, он по цене догоняет 1001-X а по производительности сильно отстает. Да и с лицензиями там какая то чехарда. В 07.08.2019 в 09:57, bqd сказал: у меня под FV трудятся ISR4431 с 16Г мозга всего их 4 штуки каждый держит один FV от своего аплинка + кеш (soft-configaration in) + 3 FV от соседей по ibgp (+ примерно миллион префиксов) 4431 +16 Gb RAM с RTU лицензией PERF зажат программно на гигабит, т.е. в таком виде может спокойно выступать как RR или гиабитный бордер с полноценным FV. бюджет в пределах 160т.р. за б/у-шку, собственно примерно то на что рассчитывает топикстартер. Изменено 10 августа, 2019 пользователем maruk Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
korsakik Опубликовано 9 августа, 2019 · Жалоба тазик на двух 5450 с микротиком спокойно ест 3 аплинка с FV и пару пиринга. Упор 1 ядра в 100% не мешает, но мозолит глаза, на сеть не влияет. Всасывает префиксы на скорости как их отдают. Траблшутить надо уметь, немного не привычно было поначалу. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vurd Опубликовано 10 августа, 2019 · Жалоба 9 часов назад, korsakik сказал: тазик на двух 5450 с микротиком спокойно ест 3 аплинка с FV и пару пиринга. Упор 1 ядра в 100% не мешает, но мозолит глаза, на сеть не влияет. Всасывает префиксы на скорости как их отдают. Траблшутить надо уметь, немного не привычно было поначалу. Почему bird не воткнули, раз у вас ПК, а не железка? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myst Опубликовано 10 августа, 2019 · Жалоба 10 часов назад, korsakik сказал: тазик на двух 5450 с микротиком спокойно ест 3 аплинка с FV и пару пиринга. Упор 1 ядра в 100% не мешает, но мозолит глаза, на сеть не влияет. Всасывает префиксы на скорости как их отдают. Траблшутить надо уметь, немного не привычно было поначалу. извиняюсь, у микротика нет траблшута, от слова совсем. то недоразумение которое там на борту это не траблшут а порно в чистом виде. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nickD Опубликовано 10 августа, 2019 · Жалоба Очень давно лет надцать назад, я также мучался с cisco, памятью и FV плюнул и поставил таз c Linux. Сейчас таз пропускает через себя более 20ГБит/с, про проблемы Fv и памятью, лицензии, версии Ios, я давно не слышал а тут опять сову на глобус натягивают. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
TriKS Опубликовано 10 августа, 2019 · Жалоба Таз это софт. Когда вас будут драть во все дыры ддосом, тогда поймёте разницу между железом и софтом. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nickD Опубликовано 10 августа, 2019 · Жалоба 46 минут назад, TriKS сказал: Таз это софт. Когда вас будут драть во все дыры ддосом, тогда поймёте разницу между железом и софтом. И те же сказки про ddos, джитеры и cisco. Ни чего не поменялось. Советую прочитать про возможности современных сетевых карт, серверных материнских плат, ядра Linux. Вы наверное будете удивлены что некоторые модели роутеров от известных брендов это софт роутеры и что многие уже продают не железки а образы для pc как решения операторского класса. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vurd Опубликовано 10 августа, 2019 · Жалоба 1 час назад, TriKS сказал: Таз это софт. Когда вас будут драть во все дыры ддосом, тогда поймёте разницу между железом и софтом. Железо ляжет без COPP и порушит все сессии?)) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myst Опубликовано 10 августа, 2019 · Жалоба 1 час назад, nickD сказал: Очень давно лет надцать назад, я также мучался с cisco, памятью и FV плюнул и поставил таз c Linux. Сейчас таз пропускает через себя более 20ГБит/с, про проблемы Fv и памятью, лицензии, версии Ios, я давно не слышал а тут опять сову на глобус натягивают. Ну года дорастете хотябы до 100 мегабит - поговорим. Про гигабиты и транзитные AS я молчу. Мы получили ценные сведенья, некто, nickD ниосилил, сделал костыль и решил высказаться. 1 час назад, nickD сказал: И те же сказки про ddos, джитеры и cisco. Ни чего не поменялось. Советую прочитать про возможности современных сетевых карт, серверных материнских плат, ядра Linux. Вы наверное будете удивлены что некоторые модели роутеров от известных брендов это софт роутеры и что многие уже продают не железки а образы для pc как решения операторского класса. Советую вам сейчас не нести херни на форуме профессиональных сетевиков. Очень плохо закончится, например втаптыванием в говно. 3 минуты назад, vurd сказал: Железо ляжет без COPP и порушит все сессии?)) Тссс, не спугни, набег непуганых пионеров у которых 100 мегабит аплинка. ,) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ayf Опубликовано 10 августа, 2019 · Жалоба В 02.08.2019 в 16:46, Zerozed сказал: Вот это вы мне сейчас Америку открыли. Все время думал что там фикс 4. Но это не повод грубить. Надеюсь на вопросы ТС мы ответили. У 1002 фиксированно 4 гига памяти :( Но у меня 3 фуллвью держала. Сейчас спокойно держит 2 фуллвью. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Zerozed Опубликовано 10 августа, 2019 · Жалоба 48 минут назад, ayf сказал: У 1002 фиксированно 4 гига памяти :( Но у меня 3 фуллвью держала. Сейчас спокойно держит 2 фуллвью. У меня тоже держит 2 впритык. Но тут разговор на будущее и люди с уверенностью говорят о возможности расширения памяти до 8 гигов. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ayf Опубликовано 10 августа, 2019 · Жалоба 5 часов назад, Zerozed сказал: У меня тоже держит 2 впритык. Но тут разговор на будущее и люди с уверенностью говорят о возможности расширения памяти до 8 гигов. Тут про другие сказать не могу. а 1002 не апгрейдится. Что весьма печально. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
reef Опубликовано 10 августа, 2019 · Жалоба а другие это только 1001. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 11 августа, 2019 · Жалоба В 10.08.2019 в 14:06, TriKS сказал: Таз это софт. Когда вас будут драть во все дыры ддосом, тогда поймёте разницу между железом и софтом. может при 10+гбит аплинка разница и будет, на паре гигабит - даже с тазиком 10-летней тухлости (какой-нить nehalem, да) проблем не возникнет, если руки из плеч. канал в полку и дропы пакетов на зафлуженном линке - да, но не более того. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nickD Опубликовано 12 августа, 2019 · Жалоба При 10+гбит. При нормальной материнке и сетевых картах всё упирается в количество ядер, количество cpu и их частоту. При правильном подборе и прямых руках при ddos всё продолжает работать, в самом критическом случае в полку уйдут только те ядра которые привязаны к интерфейсу с которого сыплется DDOS, но обычно он и так в полке, на крайний случай на нормальных сетевых картах например Intel x520 есть аппаратный фаэрвол и классификатор. ы сидели под DDoS 10ГБит/c в сумме, неприятно, но жить можно, пока абонент не попросился в блэкхол на uplink'и добавить. Да на серьёзный нагруженный узел таз не поставишь. Но по моему задачи до 40ГБит/c на современных серверных платформах решать можно спокойно и это будет во много раз дешевле и гибче. В современных реалиях, под задачи топик стартера, считать мегобайтики для FV и думать как зарезать префиксы при наличии более дешёвых, производительных и гибких альтернатив как то не то. Если с linux копаться трудно, есть например Vyatta или что-то типа продукции ВАС Экспертс у них и поддержка есть и куча фич к бордеру. А вот Микротик не советую :) А вот темка и про soft router'ы, включая Cisco CSR1000V и Juniper vMX. Вроде тренд виден. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bqd Опубликовано 12 августа, 2019 · Жалоба @nickD Поддерживаю. И при чем тут DDoS. Нам на скорости интерфейса пофиг какие пакеты форвардить. DDoS там или нет нам до лампочки. Пакет и пакет, передали и взяли следующий. Это пусть дальше файрволы загибаются и балансировщики. А наши NC пакеты (BGP keepalive/updates) в своей приоритетной очереди пойдут. COPP реализуется iptables-ом. Правда железо все же может оказаться дешевле софта в итоге если надо чтоб оно работало в жопе мира без присмотра. @myst Хорош ретроградствовать, обернись вокруг. Мир изменился. Прочитай про kernel-offload про DPDK и OpenOnload. На график посмотри как с версиями ядра меняется производительность форвардинга. CloudFlare вся на тазиках, а Juniper уже года 3 продает свои vMX и vSRX с поддержкой 40Г (правда строго для интеловых процов и NIC) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myst Опубликовано 12 августа, 2019 · Жалоба 4 часа назад, bqd сказал: Хорош ретроградствовать, обернись вокруг. Мир изменился. Прочитай про kernel-offload про DPDK и OpenOnload. На график посмотри как с версиями ядра меняется производительность форвардинга. CloudFlare вся на тазиках, а Juniper уже года 3 продает свои vMX и vSRX с поддержкой 40Г (правда строго для интеловых процов и NIC) вы щас будите рассказывать приемущества CPU над ASIC? 5 часов назад, nickD сказал: При 10+гбит. При нормальной материнке и сетевых картах всё упирается в количество ядер, количество cpu и их частоту. При правильном подборе и прямых руках при ddos всё продолжает работать, в самом критическом случае в полку уйдут только те ядра которые привязаны к интерфейсу с которого сыплется DDOS, но обычно он и так в полке, на крайний случай на нормальных сетевых картах например Intel x520 есть аппаратный фаэрвол и классификатор. ы сидели под DDoS 10ГБит/c в сумме, неприятно, но жить можно, пока абонент не попросился в блэкхол на uplink'и добавить. Да на серьёзный нагруженный узел таз не поставишь. Но по моему задачи до 40ГБит/c на современных серверных платформах решать можно спокойно и это будет во много раз дешевле и гибче. В современных реалиях, под задачи топик стартера, считать мегобайтики для FV и думать как зарезать префиксы при наличии более дешёвых, производительных и гибких альтернатив как то не то. Если с linux копаться трудно, есть например Vyatta или что-то типа продукции ВАС Экспертс у них и поддержка есть и куча фич к бордеру. А вот Микротик не советую :) А вот темка и про soft router'ы, включая Cisco CSR1000V и Juniper vMX. Вроде тренд виден. Сделайте выгрузку конфигурации тазика с линуксом 1й командой? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vvertexx Опубликовано 12 августа, 2019 · Жалоба 4 часа назад, bqd сказал: Juniper уже года 3 продает свои vMX и vSRX с поддержкой 40Г они до 100G. Но асики от этого не вырастают Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nickD Опубликовано 12 августа, 2019 · Жалоба 5 минут назад, vvertexx сказал: они до 100G. Но асики от этого не вырастают На мой взгляд смысл в асик есть но на скоростях как минимум более 40ГБит/c. И с развитем серверного железа эта планка повышается. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...