AciDSAS Опубликовано 9 апреля, 2020 (изменено) · Жалоба В 02.04.2020 в 13:12, rdmitrich сказал: Доброго времени суток коллеги, на данный момент в качестве BRAS используем CCR 1016-12S-1S+, вроде все неплохо пока не начинается DDoS изнутри, т.е абоненты с инфицированным ПО, начинают лупить куда покажет неведомый повелитель и забивать запросный канал. CCR при этом не выдерживает, память переполняется и ватчдог его ребутит. В дополнении , на данный момент на нем крутится под пять сотен абонентов и 800 мегабит трафика с загрузкой 85%. Учитывая, что постоянно застраиваем новые площадки ( на данный момент строим очередную), через пару месяцев его точно не будет хватать. Есть вариант переехать на 1072 но учитывая стоимость в 230 т.р, возможно стоит посмотреть на что то из б/у cisco, juniper, ericsson ?? Что нужно от железки - 2 порта по 10G, пропуск трафика 5-10 гигабит, желательно с возможностью апгрейда, NAT, шейпинг и умение быть PPPoE сервером, вланы и в идеале некую защиту от DDoS. Прошу поделиться рекомендациями, с меня сотни нефти и вакцина от короновируса ))) В 02.04.2020 в 13:12, rdmitrich сказал: Доброго времени суток коллеги, на данный момент в качестве BRAS используем CCR 1016-12S-1S+, вроде все неплохо пока не начинается DDoS изнутри, т.е абоненты с инфицированным ПО, начинают лупить куда покажет неведомый повелитель и забивать запросный канал. CCR при этом не выдерживает, память переполняется и ватчдог его ребутит. В дополнении , на данный момент на нем крутится под пять сотен абонентов и 800 мегабит трафика с загрузкой 85%. Учитывая, что постоянно застраиваем новые площадки ( на данный момент строим очередную), через пару месяцев его точно не будет хватать. Есть вариант переехать на 1072 но учитывая стоимость в 230 т.р, возможно стоит посмотреть на что то из б/у cisco, juniper, ericsson ?? Что нужно от железки - 2 порта по 10G, пропуск трафика 5-10 гигабит, желательно с возможностью апгрейда, NAT, шейпинг и умение быть PPPoE сервером, вланы и в идеале некую защиту от DDoS. Прошу поделиться рекомендациями, с меня сотни нефти и вакцина от короновируса ))) Что-то не так... Посмотрел только что на один BRAS. CCR 1036-8G-2S+. На нем вертится BGP (внутренний), Firewall & NAT, Shaper (Simple Queues), Traffic-Flow (netflow v9), radius (accounting и управление сессиями), DHCP. Вечером on-line ~1400 абонентов. Проходит около 3Гбит/с вход + 3Гбит/с выход, ~500k pps in + ~500k pps out. Тарифы от 1мбит/с до 300мбит/с. Изменено 9 апреля, 2020 пользователем AciDSAS Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pppoetest Опубликовано 9 апреля, 2020 · Жалоба 4 часа назад, Saab95 сказал: Ага любители виртуалок, вы расскажите сколько по времени понадобится восстановить все, если жесткие диски грохнутся. Два идентичных сервака, две ноды, время восстановления минута-две. 4 часа назад, Saab95 сказал: И да, бекапы тоже надо где-то хранить, не на отдельном ли сервере? Вы ещё не делаете географически распределённых бекапов? Тогда мы идёт к вам, с бутылкой молотова ))). 1 час назад, LostSoul сказал: да уж куда нам до олигархов то, с серверами обратной зоны на флешке. флешка с алиэкспресса? Не вижу ничего плохого в флешке с али на том же бордере, сделал дамп на пачку таких же, повесил рядом на верёвочке. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
LostSoul Опубликовано 9 апреля, 2020 · Жалоба 1 час назад, pppoetest сказал: Не вижу ничего плохого в флешке с али на том же бордере, сделал дамп на пачку таких же, повесил рядом на верёвочке. у вас дрессированный дежурный постоянно живет около бордера? а сколько ему времени понадобится чтоб проснутся, дойти до сервера, понять что дело именно во флешке? неужели у вас такая нищета , что поставить пару нормальных SSD ну хотя бы по 1300р в зеркале RAID1 решительно невозможно? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pppoetest Опубликовано 9 апреля, 2020 · Жалоба 1 час назад, LostSoul сказал: Потому что у них есть негативный опыт с виртуалками , после знакомствами с такими как Трикси. Которые наворотят там мегасложной и мегатормозной хрени , когда достаточно аппаратный сервер просто взять и надежно и просто нарезать ломтями без изьёбов. И я много людей знаю и других, кто попробовав какой нибудь там Windows виртуализацию из коробки, с разделяемой памятью и qcow образами хардов кричат что это глючно и не реалтаймово. Не надо из одной овцы делать 7 шапок. Есть позитивный опыт c виртуалками, упихал то что было на 5-ти тазах, на один HP Proliant 1U, kvm+qemu+libvirt, образа на ssd, нарезаны ломтями lvm. 2 минуты назад, LostSoul сказал: вас дрессированный дежурный постоянно живет около бордера? а сколько ему времени понадобится чтоб проснутся, дойти до сервера, понять что дело именно во флешке? неужели у вас такая нищета , что поставить пару нормальных SSD ну хотя бы по 1300р в зеркале RAID1 решительно невозможно? Зачем бордеру ссд? Он там не нужен. Вы часто меняете в сиське флешку с конфигом? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 9 апреля, 2020 · Жалоба 16 минут назад, pppoetest сказал: Два идентичных сервака, две ноды, время восстановления минута-две. А если нужно просто 2 ДНС сервера, зачем такие сложности? 16 минут назад, pppoetest сказал: Вы ещё не делаете географически распределённых бекапов? Тогда мы идёт к вам, с бутылкой молотова ))). У нас все распределено, бекапы льются на 2 сервера, которые все бекапы и хранят. 17 минут назад, pppoetest сказал: Не вижу ничего плохого в флешке с али на том же бордере, сделал дамп на пачку таких же, повесил рядом на верёвочке. Флешка с али? Да тут в магазине-то не каждая купленная сможет неделю отработать, только вон самсунги по 2-5 тыс. по старому курсу больше года выдерживают. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pppoetest Опубликовано 9 апреля, 2020 · Жалоба Только что, Saab95 сказал: Флешка с али? Да тут в магазине-то не каждая купленная сможет неделю отработать, только вон самсунги по 2-5 тыс. по старому курсу больше года выдерживают. Чо там работать, бордер ребутается раз в пятилетку, флешка нужна чтобы загрузить ОСь и конфиги, после этого она не нужна. 2 минуты назад, Saab95 сказал: А если нужно просто 2 ДНС сервера, зачем такие сложности? То есть ставим два сервера или микротика? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
LostSoul Опубликовано 9 апреля, 2020 · Жалоба 1 час назад, pppoetest сказал: Есть позитивный опыт c виртуалками, упихал то что было на 5-ти тазах, на один HP Proliant 1U, kvm+qemu+libvirt, образа на ssd, нарезаны ломтями lvm. ну вот когда человек берет и сам с пониманием каждой мелочи режет ломти lvm , пишет конфиги к virsh и так далее , то более-менее надежно. то есть надежно как bare metall практически ( хотя есть вопросы с производительностью и еще с запусками всяких lxc , docker и.т.п. совместно с kvm , nested виртуализация итп ) а когда ставят какой-нибудь proxmox из коробки в режиме по умолчанию не вникая в детали, результат потом обычно катастрофический. это намного глючнеее и менее надежнее получается. 1 час назад, pppoetest сказал: Зачем бордеру ссд? Он там не нужен. Вы часто меняете в сиське флешку с конфигом? бордеру нужен на SSD , а флеш-накопитель с определенным ресурсом и надежностью, установленный и закрепленный в крепление достаточного качества ( дисковая хотсвап корзинка 2.5" ) в принципе, в серверах где предусмотрено штатное место для крепления флешки может быть не так все и плохо, но к качеству выбора флешки нужно очень основательно подходить. опять таки , обновления конфигов последние как будут попадать на запасные флешки, висящие на веревочке? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pppoetest Опубликовано 9 апреля, 2020 · Жалоба 3 минуты назад, LostSoul сказал: ну вот когда человек берет и сам с пониманием каждой мелочи режет ломти lvm , пишет конфиги к virsh и так далее , то более-менее надежно. У таких решений одна проблема, документировать приходится всё, от и до. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
LostSoul Опубликовано 9 апреля, 2020 · Жалоба 1 час назад, pppoetest сказал: У таких решений одна проблема, документировать приходится всё, от и до. оно может быть вполне наглядно, прямо на уровне чтения конфигов и названия скриптов. у меня скажем разделы виртуалок на lvm так и называются , bill-sys , bill-mysql и так далее. , а тот же proxmox если ему LVM бакенд сделать ( а это еще надо найти как , он по умолчанию вместо обычного lvm предлагает разряженный ) , то разделы все равно нельзя назвать текстом, первая часть должна быть по маске vm-XXXX , то есть сделать vm-123-sys раздел можно, vm-billing-sys - нельзя Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pppoetest Опубликовано 9 апреля, 2020 · Жалоба 7 минут назад, LostSoul сказал: обновления конфигов Последний раз менялись когда добавилась ещё одна нога. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
LostSoul Опубликовано 9 апреля, 2020 · Жалоба 1 час назад, pppoetest сказал: Последний раз менялись когда добавилась ещё одна нога. ну это у вас какие то конфиги детские. а как же 100500 компьюнити разных? скучно живете Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 9 апреля, 2020 · Жалоба А мне, кстати, интересно. Что товарищ майор и РКН думает про все эти схемы с распределенным провайдером? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
LostSoul Опубликовано 9 апреля, 2020 · Жалоба 1 час назад, VolanD666 сказал: А мне, кстати, интересно. Что товарищ майор и РКН думает про все эти схемы с распределенным провайдером? что сьёмник СОРМ нужно везде ставить, разумеется. или иметь одного аплинка любимой женой и сормится у него. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 9 апреля, 2020 · Жалоба 7 минут назад, LostSoul сказал: что сьёмник СОРМ нужно везде ставить, разумеется. Эммм... 7 минут назад, LostSoul сказал: или иметь одного аплинка любимой женой и сормится у него. Т.е. аплин клиентов натить будет? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
LostSoul Опубликовано 9 апреля, 2020 · Жалоба 1 час назад, VolanD666 сказал: Т.е. аплин клиентов натить будет? вроде есть варианты оутсорминга с nat , когда каждому клиенту предоставляется конкретный диапазон портов на вашем внешнем IP Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 9 апреля, 2020 · Жалоба 16 минут назад, VolanD666 сказал: А мне, кстати, интересно. Что товарищ майор и РКН думает про все эти схемы с распределенным провайдером? А вы пробовали когда-то сормить и блокировать сайты на скоростях за 10-20Г? Это довольно проблематично, если не покупать дорогущие железки. А вот делать это на скоростях до 10Г то вполне легко. Сетевые адаптеры с двумя SFP+ не такие дорогие, а вот с портами другого типа или большим количеством - уже не всегда адекватные цены. Да и сам сервер должен быть достаточно производительным что бы успевать данные обрабатывать. Стоимость же топовых процессоров всегда неадекватно высокая. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 9 апреля, 2020 · Жалоба У вас 10 мелких узлов по городу. Вы 10 ФСБшных снимателей планируете ставить? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zhenya` Опубликовано 9 апреля, 2020 · Жалоба Он пират. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
TriKS Опубликовано 9 апреля, 2020 (изменено) · Жалоба 3 часа назад, Saab95 сказал: Флешка с али? Да тут в магазине-то не каждая купленная сможет неделю отработать А ей не надо работать неделю. Она стартанула сервис, все загрузила в память и пусть себе умирает)) Ах ну да, там же некрик нужно раз в месяц планово бутнуть и обновить)) 5 часов назад, LostSoul сказал: Почти все. Ну вот и за 5 баксов тоже - почти все. 5 часов назад, Saab95 сказал: А заниматься этим кто будет? Это надо все барахло привезти себе в центр, посмотреть что и как с этим б/у? Дак вы еще больше некриков натыкайте. Ага. Совсем заняты будите))) 5 часов назад, Saab95 сказал: Вообще там еще и зеркало на СОРМ идет, как иначе? Это жестяк. 3 сервера вместо 1. При чем 2 некрика и один на лине. Зачтено. Нет чтоб 1 раз нормально на лине сделать. Размножайте некрики дальше.))) Сервера ради серверов))) 5 часов назад, LostSoul сказал: Потому что у них есть негативный опыт с виртуалками , после знакомствами с такими как Трикси. Которые наворотят там мегасложной и мегатормозной хрени , когда достаточно аппаратный сервер просто взять и надежно и просто нарезать ломтями без изьёбов. И я много людей знаю и других, кто попробовав какой нибудь там Windows виртуализацию из коробки, с разделяемой памятью и qcow образами хардов кричат что это глючно и не реалтаймово. Не надо из одной овцы делать 7 шапок. Выростите вы и из этих штанишек. Со временем. Ну вот сдох у тебя контроллер. Шо ты куда будешь перетыкать? У тебя дежурный там сидит, как ты в примере с флешкой приводил? Он быстро бежит на склад, берет контроллер, все разбирает\собирает? Или как? 3 часа назад, LostSoul сказал: у вас дрессированный дежурный постоянно живет около бордера? а сколько ему времени понадобится чтоб проснутся, дойти до сервера, понять что дело именно во флешке? Никому не надо жить возле бордера. Флешку можно при желании мониторить. 3 часа назад, LostSoul сказал: бордеру нужен на SSD , а флеш-накопитель с определенным ресурсом и надежностью, установленный и закрепленный в крепление достаточного качества ( дисковая хотсвап корзинка 2.5" ) ЗАЧЕМ!!!???? Коль не спится - да мониторь ты флешку заббиксом и все. Отпала - пошел перетыкнул. ВСЕ. Уже говорил что тупею с вами тут. Но удержатся не смог от такого чтива "Ыкспэрдоф" Изменено 9 апреля, 2020 пользователем TriKS Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
LostSoul Опубликовано 9 апреля, 2020 · Жалоба 1 час назад, TriKS сказал: Выростите вы и из этих штанишек. Со временем. Ну вот сдох у тебя контроллер. Шо ты куда будешь перетыкать? У тебя дежурный там сидит, как ты в примере с флешкой приводил? Он быстро бежит на склад, берет контроллер, все разбирает\собирает? Или как? детский сад. смотря какие задачи выполнял сервер, и как он был резервирован. в наиболее типовом случае, после того как указанный сервер пропадет из кворума , все его виртуалки поднимутся на сервере-дубле , расположенном в соседнем помещении в 100м от первого. С точки зрения виртуалок это будет нештатная перезагрузка. если же сервер не был резервирован таким образом, то дисковые корзины просто быстро перебрасываются в такой же аналогичный сервер, конфигурационный файл виртуалки применяется на новой ноде, с указаением на каких корзинах ее стартовать. если же все случилось совсем плохо, патроны кончились, отстреливаться нечем, итп, то в ближайшем офисе воруется компьютер секретарши , диски подключаются к нему без всякого рейд контроллера, загружаются и работают :-) 1 час назад, TriKS сказал: ЗАЧЕМ!!!???? Коль не спится - да мониторь ты флешку заббиксом и все. Отпала - пошел перетыкнул. ВСЕ. вам - незачем. продолжайте развлекать нас дальше. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SyJet Опубликовано 9 апреля, 2020 · Жалоба 7 часов назад, LostSoul сказал: вот типичный пример , небольшое отдельностоящее офисное здание в котором сидят 3-5 клиентов с тарифами по 30-50 мбит каждый. нужно поставить что-то надежное чтоб оно не сдохло, не потребляло много электричества и не занимало много места. https://shop.nag.ru/catalog/00001.kommutatory/33629.kommutatory-fastethernet/30584.snr-s2965-8t-ups Забудьте слово микротик уже Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
TriKS Опубликовано 9 апреля, 2020 · Жалоба @SyJet не выйдет. Там же тунель нужно в центр по еоип или чето подобное. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
LostSoul Опубликовано 9 апреля, 2020 · Жалоба 1 час назад, SyJet сказал: https://shop.nag.ru/catalog/00001.kommutatory/33629.kommutatory-fastethernet/30584.snr-s2965-8t-ups оно честно умеет 2-3 FV BGP , l2/l3 туннелирование с аппаратным шифрованием , NAT , NetFlow v5 , умеет работать BRAS с пакетными очередями для нарезания скорости и авторизацией по радиусу , и все прочее что стандартно используется в данном случае? Там есть 2 дублированных блока питания с контролем напряжений? Чем вообще эта мыльница лучше, чем des-3200-10 за 1000р? и какое отношение она имеет с пограничному маршрутизатору , совмещенному с mini-BRAS? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
TriKS Опубликовано 9 апреля, 2020 (изменено) · Жалоба 18 минут назад, LostSoul сказал: детский сад. смотря какие задачи выполнял сервер, и как он был резервирован. в наиболее типовом случае, после того как указанный сервер пропадет из кворума , все его виртуалки поднимутся на сервере-дубле , расположенном в соседнем помещении в 100м от первого. С точки зрения виртуалок это будет нештатная перезагрузка. если же сервер не был резервирован таким образом, то дисковые корзины просто быстро перебрасываются в такой же аналогичный сервер, конфигурационный файл виртуалки применяется на новой ноде, с указаением на каких корзинах ее стартовать. если же все случилось совсем плохо, патроны кончились, отстреливаться нечем, итп, то в ближайшем офисе воруется компьютер секретарши , диски подключаются к нему без всякого рейд контроллера, загружаются и работают :-) Вот реально. Ты читаешь что пишешь? 1) Есть сервер дубль. Зачем? Объедини их ресурсы. Выпал сервер - все работает. Пошел, заменил хоть весь сервер и вернул все в штат. Ниче не бутается. Вообще 2) Корзины и аналогичный сервер - а кто и как это будет делать? Как флешку перетыкнуть - так тебе ктото да нужен. А диски у тебя сами перекидываются? :))) Ну смешно же 3) Я посмотрю как из сервера с апаратным рейдом ты перекинешь диски в офисный комп серкретарши. Да еще и SASовские. Изменено 9 апреля, 2020 пользователем TriKS Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
LostSoul Опубликовано 9 апреля, 2020 · Жалоба 1 час назад, TriKS сказал: 1) Есть сервер дубль. Зачем? Объедини их ресурсы. Выпал сервер - все работает. Пошел, заменил хоть весь сервер и вернул все в штат. красноглазому пионеру бессмысленно это обьяснять, уж просите. Я иногда по доброте душевной, забываю с кем имею дело. 1 час назад, TriKS сказал: 2) Корзины и аналогичный сервер - а кто и как это будет делать? Как флешку перетыкнуть - так тебе ктото да нужен. А диски у тебя сами перекидываются? :))) Ну смешно же Мои SSD находятся в RAID1 и не откажут одновременно. Никуда идти не нужно. Отказавший диск будет заменен во время планового ТО. Никакие последние изменения в конфигурации при этом не будут потеряны. smart на флешке это очень круто, интересно что за чудная флешка такая? 1 час назад, TriKS сказал: 3) Я посмотрю как из сервера с апаратным рейдом ты перекинешь диски в офисный комп серкретарши. Легко. У HP суперблоки для raid1 находятся в конфе дисков. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...