Jump to content
Калькуляторы

Бюджетный бордер 2fw 1G

@bqd 

это не отказоустойчивость. При смерти одной будет деградация (потеря одной fv-ноги).

ISR4431 с fv тоже довольно нетороплив...

Share this post


Link to post
Share on other sites

ну да расскажите нам почему потеря одной ноги это обязательно деградация

и как правильно делать отказоустойчивое подключение

 

при смерти одного бордера пакеты исходящие пойдут в другой или третий четвертый (какой ближе будет по оспф метрикам)

и маршрутизатор стандартно выпустит пакет по маршруту в своем FIB

никакой деградации не случится вообще.

Да, для входящих пакетов на время сходимости между провами возможны потери,

но та же херня произойдет и при одном маршрутизаторе с двумя и более аплинками

 

если из предыдущего сообщения не понятно то у меня не транзит, а обычный тупиковый энтырпрайс

 

Share this post


Link to post
Share on other sites

т.е. ситуацию с одновременной потерей функциональности одно из двух роутеров и потерей связности до аплинка у второго вы не рассматриваете в принципе? 

...я просто тоже энтерпрайс, и у меня 2 роутера с 2 аплинками от 2-х провайдеров на каждом...

Edited by guеst

Share this post


Link to post
Share on other sites

ну да и конечно вторые линки провайдер физически протянул через разные колодцы и воткнул в разные CPE свичи, которые воткнуты в разные UPS итп...

не пробовали посчитать целесообразность такого решения, т.е во сколько обходится такая инсталяция, сколько %SLA добавляется (или вычитается см. ниже)

и сколько стоит час/минута/секунда недоступности сервиса для вашего планктона?

 

вот почитай умного дядьку https://blog.ipspace.net/2019/04/decide-how-badly-you-want-to-fail.html

там кроме всего прочего есть такая, на мой взгляд, весьма мудрая фраза: adding redundancy reduces availability

там это обосновывается немного другим примером, но по моему опыту этот постулат универсален в любой более-менее сложной системе и не только в ИТ

 

короче, тут получается спор: over-engineering vs KISS

я сторонник последнего и не надо голословно утверждать что "это не отказоустойчивость". Ты мой дизайн не видел чтобы давать ему оценку.

В моем случае я безболезненно могу потерять 3 маршрутизатора и/или провайдера или потерять по одному маршрутизатору на каждом сайте и DCI линк.

 

Кстати, в твоем сценарии с двумя маршрутизаторами я бы не стал переусложнять. Собственно такой сценарий у меня есть. Так что проверено на практике.

И практика показывает,что если проблема и происходит то чаще от кривых рук чем от недостаточно отказоустойчивого дизайна.

А в простом дизайне кривые руки косячат меньше чем в сложном.

Share this post


Link to post
Share on other sites
В 07.08.2019 в 09:57, bqd сказал:

у меня под FV трудятся ISR4431 с 16Г мозга

всего их 4 штуки

каждый держит один FV от своего аплинка + кеш (soft-configaration in) + 3 FV от соседей по ibgp (+ примерно миллион префиксов)

с каким софтом работают?   Boost лицензия активирована? хотя с вашей загрузкой uplink/downlink это лишнее.

 

Share this post


Link to post
Share on other sites

Cisco IOS-XE 03.16.04b.S.155-3.S4b-ext (UNIVERSALK9_NPE)

лицензия только одна: ipbasek9

Share this post


Link to post
Share on other sites
В 03.08.2019 в 22:50, reef сказал:
В 03.08.2019 в 21:22, fractal сказал:

4451x и 16gb озу, 5 fw держит норм 

профит сомнительный, он по цене догоняет 1001-X а по производительности сильно отстает.

Да и с лицензиями там какая то чехарда.

 

В 07.08.2019 в 09:57, bqd сказал:

у меня под FV трудятся ISR4431 с 16Г мозга

всего их 4 штуки

каждый держит один FV от своего аплинка + кеш (soft-configaration in) + 3 FV от соседей по ibgp (+ примерно миллион префиксов)

 

 

4431 +16 Gb RAM  с RTU лицензией PERF  зажат программно на гигабит,  т.е. в таком виде может спокойно выступать как RR или гиабитный бордер с полноценным FV.

бюджет в пределах 160т.р. за б/у-шку, собственно примерно то на что рассчитывает топикстартер.

 

 

Edited by maruk

Share this post


Link to post
Share on other sites

тазик на двух 5450 с микротиком спокойно ест 3 аплинка с FV и пару пиринга. 

Упор 1 ядра в 100% не мешает, но мозолит глаза, на сеть не влияет. Всасывает префиксы на скорости как их отдают. Траблшутить надо уметь, немного не привычно было поначалу. 

Share this post


Link to post
Share on other sites
9 часов назад, korsakik сказал:

тазик на двух 5450 с микротиком спокойно ест 3 аплинка с FV и пару пиринга. 

Упор 1 ядра в 100% не мешает, но мозолит глаза, на сеть не влияет. Всасывает префиксы на скорости как их отдают. Траблшутить надо уметь, немного не привычно было поначалу. 

Почему bird не воткнули, раз у вас ПК, а не железка?

Share this post


Link to post
Share on other sites
10 часов назад, korsakik сказал:

тазик на двух 5450 с микротиком спокойно ест 3 аплинка с FV и пару пиринга. 

Упор 1 ядра в 100% не мешает, но мозолит глаза, на сеть не влияет. Всасывает префиксы на скорости как их отдают. Траблшутить надо уметь, немного не привычно было поначалу. 

извиняюсь, у микротика нет траблшута, от слова совсем. то недоразумение которое там на борту это не траблшут а порно в чистом виде.

Share this post


Link to post
Share on other sites

Очень давно лет надцать назад,

я также мучался с cisco, памятью и FV плюнул и поставил таз c Linux. Сейчас таз пропускает через себя более 20ГБит/с,  про проблемы Fv и памятью, лицензии, версии Ios, я давно не слышал а тут опять сову на глобус натягивают.

Share this post


Link to post
Share on other sites

Таз это софт. Когда вас будут драть во все дыры ддосом, тогда поймёте разницу между железом и софтом.

Share this post


Link to post
Share on other sites
46 минут назад, TriKS сказал:

Таз это софт. Когда вас будут драть во все дыры ддосом, тогда поймёте разницу между железом и софтом.

И те же сказки про ddos, джитеры и cisco. Ни чего не поменялось. Советую прочитать про возможности современных сетевых карт, серверных материнских плат, ядра Linux. Вы наверное будете удивлены что некоторые модели роутеров от известных брендов это софт роутеры и что многие уже продают не железки а образы для pc как решения операторского класса.

Share this post


Link to post
Share on other sites
1 час назад, TriKS сказал:

Таз это софт. Когда вас будут драть во все дыры ддосом, тогда поймёте разницу между железом и софтом.

Железо ляжет без COPP и порушит все сессии?))

Share this post


Link to post
Share on other sites
1 час назад, nickD сказал:

Очень давно лет надцать назад,

я также мучался с cisco, памятью и FV плюнул и поставил таз c Linux. Сейчас таз пропускает через себя более 20ГБит/с,  про проблемы Fv и памятью, лицензии, версии Ios, я давно не слышал а тут опять сову на глобус натягивают.

Ну года дорастете хотябы до 100 мегабит - поговорим. Про гигабиты и транзитные AS я молчу.

 

 

Мы получили ценные сведенья, некто, nickD ниосилил, сделал костыль и решил высказаться.

 

1 час назад, nickD сказал:

И те же сказки про ddos, джитеры и cisco. Ни чего не поменялось. Советую прочитать про возможности современных сетевых карт, серверных материнских плат, ядра Linux. Вы наверное будете удивлены что некоторые модели роутеров от известных брендов это софт роутеры и что многие уже продают не железки а образы для pc как решения операторского класса.

Советую вам сейчас не нести херни на форуме профессиональных сетевиков. Очень плохо закончится, например втаптыванием в говно.

 

3 минуты назад, vurd сказал:

Железо ляжет без COPP и порушит все сессии?))

Тссс, не спугни, набег непуганых пионеров у которых 100 мегабит аплинка. ,)

Share this post


Link to post
Share on other sites
В 02.08.2019 в 16:46, Zerozed сказал:

Вот это вы мне сейчас Америку открыли. Все время думал что там фикс 4. Но это не повод грубить.

Надеюсь на вопросы ТС мы ответили.

 

У 1002 фиксированно 4 гига памяти :( Но у меня 3 фуллвью держала. Сейчас спокойно держит 2 фуллвью.

Share this post


Link to post
Share on other sites
48 минут назад, ayf сказал:

У 1002 фиксированно 4 гига памяти :( Но у меня 3 фуллвью держала. Сейчас спокойно держит 2 фуллвью.

У меня тоже держит 2 впритык. Но тут разговор на будущее и люди с уверенностью говорят о возможности расширения памяти до 8 гигов.

Share this post


Link to post
Share on other sites
5 часов назад, Zerozed сказал:

У меня тоже держит 2 впритык. Но тут разговор на будущее и люди с уверенностью говорят о возможности расширения памяти до 8 гигов.

Тут про другие сказать не могу. а 1002 не апгрейдится. Что весьма печально.

Share this post


Link to post
Share on other sites

а другие это только 1001.

Share this post


Link to post
Share on other sites
В 10.08.2019 в 14:06, TriKS сказал:

Таз это софт. Когда вас будут драть во все дыры ддосом, тогда поймёте разницу между железом и софтом.

может при 10+гбит аплинка разница и будет, на паре гигабит - даже с тазиком 10-летней тухлости (какой-нить nehalem, да) проблем не возникнет, если руки из плеч. канал в полку и дропы пакетов на зафлуженном линке - да, но не более того.

Share this post


Link to post
Share on other sites

При 10+гбит. При нормальной материнке и сетевых картах всё упирается в количество ядер, количество cpu и их частоту.

При правильном подборе и прямых руках при ddos всё продолжает работать,

в самом критическом случае в полку уйдут только те ядра которые привязаны к интерфейсу с которого сыплется DDOS,

но обычно он и так в полке, на крайний случай на нормальных сетевых картах например Intel x520 есть аппаратный фаэрвол и классификатор.

ы сидели под DDoS 10ГБит/c в сумме, неприятно, но жить можно, пока абонент не попросился в блэкхол на uplink добавить.

 

Да на серьёзный нагруженный узел таз не поставишь.

Но по моему задачи до 40ГБит/c на современных серверных платформах решать можно спокойно

и это будет во много раз дешевле и гибче.

В современных реалиях, под задачи топик стартера,

считать мегобайтики для FV и думать как зарезать префиксы при наличии более дешёвых,

производительных и гибких альтернатив как то не то.

 

Если с linux копаться трудно,

есть например Vyatta или что-то типа продукции ВАС Экспертс у них и поддержка есть и куча фич к бордеру.

А вот Микротик не советую :)

 

А вот темка и про soft router'ы, включая Cisco CSR1000V и Juniper vMX. Вроде тренд виден.

 

Share this post


Link to post
Share on other sites

@nickD Поддерживаю. И при чем тут DDoS. Нам на скорости интерфейса пофиг какие пакеты форвардить. DDoS там или нет нам до лампочки.

Пакет и пакет, передали и взяли следующий. Это пусть дальше файрволы загибаются и балансировщики.

А наши NC пакеты (BGP keepalive/updates) в своей приоритетной очереди пойдут. COPP реализуется iptables-ом.

Правда железо все же может оказаться дешевле софта в итоге если надо чтоб оно работало в жопе мира без присмотра.

 

@myst Хорош ретроградствовать, обернись вокруг. Мир изменился. Прочитай про kernel-offload про DPDK и OpenOnload.

На график посмотри как с версиями ядра меняется производительность форвардинга.

lpc-trie-perf-v2.svg

CloudFlare вся на тазиках, а Juniper уже года 3 продает свои vMX и vSRX с поддержкой 40Г (правда строго для интеловых процов и NIC)

Share this post


Link to post
Share on other sites
4 часа назад, bqd сказал:

Хорош ретроградствовать, обернись вокруг. Мир изменился. Прочитай про kernel-offload про DPDK и OpenOnload.

На график посмотри как с версиями ядра меняется производительность форвардинга.

lpc-trie-perf-v2.svg

CloudFlare вся на тазиках, а Juniper уже года 3 продает свои vMX и vSRX с поддержкой 40Г (правда строго для интеловых процов и NIC)

вы щас будите рассказывать приемущества CPU над ASIC?

 

5 часов назад, nickD сказал:

При 10+гбит. При нормальной материнке и сетевых картах всё упирается в количество ядер, количество cpu и их частоту.

При правильном подборе и прямых руках при ddos всё продолжает работать,

в самом критическом случае в полку уйдут только те ядра которые привязаны к интерфейсу с которого сыплется DDOS,

но обычно он и так в полке, на крайний случай на нормальных сетевых картах например Intel x520 есть аппаратный фаэрвол и классификатор.

ы сидели под DDoS 10ГБит/c в сумме, неприятно, но жить можно, пока абонент не попросился в блэкхол на uplink добавить.

 

Да на серьёзный нагруженный узел таз не поставишь.

Но по моему задачи до 40ГБит/c на современных серверных платформах решать можно спокойно

и это будет во много раз дешевле и гибче.

В современных реалиях, под задачи топик стартера,

считать мегобайтики для FV и думать как зарезать префиксы при наличии более дешёвых,

производительных и гибких альтернатив как то не то.

  

Если с linux копаться трудно,

есть например Vyatta или что-то типа продукции ВАС Экспертс у них и поддержка есть и куча фич к бордеру.

А вот Микротик не советую :)

 

А вот темка и про soft router'ы, включая Cisco CSR1000V и Juniper vMX. Вроде тренд виден.

 

Сделайте выгрузку конфигурации тазика с линуксом 1й командой?

Share this post


Link to post
Share on other sites
4 часа назад, bqd сказал:

Juniper уже года 3 продает свои vMX и vSRX с поддержкой 40Г

они до 100G. Но асики от этого не вырастают

Share this post


Link to post
Share on other sites
5 минут назад, vvertexx сказал:

они до 100G. Но асики от этого не вырастают

На мой взгляд смысл в асик есть но на скоростях как минимум более 40ГБит/c.

И с развитем серверного железа эта планка повышается.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now