[AciDSAS]

В 02.04.2020 в 13:12, rdmitrich сказал:

Доброго времени суток коллеги, на данный момент в качестве BRAS используем CCR 1016-12S-1S+, вроде все неплохо пока не начинается  DDoS изнутри, т.е абоненты с инфицированным ПО, начинают лупить куда покажет неведомый повелитель и забивать запросный канал. CCR при этом не выдерживает, память переполняется и ватчдог его ребутит. 

В дополнении , на данный момент на нем крутится под пять сотен абонентов и 800 мегабит трафика с загрузкой 85%. Учитывая, что постоянно застраиваем новые площадки ( на данный момент строим очередную), через пару месяцев его точно не будет хватать.

Есть вариант переехать на 1072 но учитывая стоимость в 230 т.р, возможно стоит посмотреть на что то из б/у cisco, juniper, ericsson ?? 

Что нужно от железки - 2 порта по 10G, пропуск трафика 5-10 гигабит, желательно с возможностью апгрейда,  NAT, шейпинг  и умение быть PPPoE сервером, вланы и в идеале некую защиту от DDoS. Прошу поделиться рекомендациями, с меня сотни нефти и вакцина от короновируса )))

 

 

В 02.04.2020 в 13:12, rdmitrich сказал:

Доброго времени суток коллеги, на данный момент в качестве BRAS используем CCR 1016-12S-1S+, вроде все неплохо пока не начинается  DDoS изнутри, т.е абоненты с инфицированным ПО, начинают лупить куда покажет неведомый повелитель и забивать запросный канал. CCR при этом не выдерживает, память переполняется и ватчдог его ребутит. 

В дополнении , на данный момент на нем крутится под пять сотен абонентов и 800 мегабит трафика с загрузкой 85%. Учитывая, что постоянно застраиваем новые площадки ( на данный момент строим очередную), через пару месяцев его точно не будет хватать.

Есть вариант переехать на 1072 но учитывая стоимость в 230 т.р, возможно стоит посмотреть на что то из б/у cisco, juniper, ericsson ?? 

Что нужно от железки - 2 порта по 10G, пропуск трафика 5-10 гигабит, желательно с возможностью апгрейда,  NAT, шейпинг  и умение быть PPPoE сервером, вланы и в идеале некую защиту от DDoS. Прошу поделиться рекомендациями, с меня сотни нефти и вакцина от короновируса )))

Что-то не так... Посмотрел только что на один BRAS. CCR 1036-8G-2S+. На нем вертится BGP (внутренний), Firewall & NAT, Shaper (Simple Queues), Traffic-Flow (netflow v9), radius (accounting и управление сессиями), DHCP. Вечером on-line ~1400 абонентов. Проходит около 3Гбит/с вход + 3Гбит/с выход, ~500k pps in + ~500k pps out. Тарифы от 1мбит/с до 300мбит/с.

Изменено 9 апреля, 2020 пользователем AciDSAS

[pppoetest]

4 часа назад, Saab95 сказал:

Ага любители виртуалок, вы расскажите сколько по времени понадобится восстановить все, если жесткие диски грохнутся.

Два идентичных сервака, две ноды, время восстановления минута-две.

4 часа назад, Saab95 сказал:

И да, бекапы тоже надо где-то хранить, не на отдельном ли сервере?

Вы ещё не делаете географически распределённых бекапов? Тогда мы идёт к вам, с бутылкой молотова ))).

 

1 час назад, LostSoul сказал:

да уж куда нам до олигархов то, с серверами обратной зоны на флешке.   флешка с алиэкспресса?

Не вижу ничего плохого в флешке с али на том же бордере, сделал дамп на пачку таких же, повесил рядом на верёвочке.

[LostSoul]

1 час назад, pppoetest сказал:

Не вижу ничего плохого в флешке с али на том же бордере, сделал дамп на пачку таких же, повесил рядом на верёвочке.

у вас дрессированный дежурный постоянно живет около бордера?

а сколько ему времени понадобится чтоб проснутся, дойти до сервера, понять что дело именно во флешке?

неужели у вас такая нищета , что поставить пару нормальных SSD ну хотя бы по 1300р в зеркале RAID1 решительно невозможно?

 

[pppoetest]

1 час назад, LostSoul сказал:

Потому что у них есть негативный опыт с виртуалками , после знакомствами с такими как Трикси.  Которые наворотят там мегасложной и мегатормозной хрени , когда достаточно аппаратный сервер просто взять и надежно и просто нарезать ломтями без изьёбов. И я много людей знаю и других, кто попробовав какой нибудь там Windows виртуализацию из коробки, с разделяемой памятью и qcow образами хардов кричат что это глючно и не реалтаймово.

Не надо из одной овцы делать 7 шапок.

Есть позитивный опыт c виртуалками, упихал то что было на 5-ти тазах, на один HP Proliant 1U, kvm+qemu+libvirt, образа на ssd, нарезаны ломтями lvm.

 

2 минуты назад, LostSoul сказал:

вас дрессированный дежурный постоянно живет около бордера?

а сколько ему времени понадобится чтоб проснутся, дойти до сервера, понять что дело именно во флешке? 

неужели у вас такая нищета , что поставить пару нормальных SSD ну хотя бы по 1300р в зеркале RAID1 решительно невозможно?

Зачем бордеру ссд? Он там не нужен. Вы часто меняете в сиське флешку с конфигом?

[Saab95]

16 минут назад, pppoetest сказал:

Два идентичных сервака, две ноды, время восстановления минута-две.

А если нужно просто 2 ДНС сервера, зачем такие сложности?

 

16 минут назад, pppoetest сказал:

Вы ещё не делаете географически распределённых бекапов? Тогда мы идёт к вам, с бутылкой молотова ))).

У нас все распределено, бекапы льются на 2 сервера, которые все бекапы и хранят.

 

17 минут назад, pppoetest сказал:

Не вижу ничего плохого в флешке с али на том же бордере, сделал дамп на пачку таких же, повесил рядом на верёвочке.

Флешка с али? Да тут в магазине-то не каждая купленная сможет неделю отработать, только вон самсунги по 2-5 тыс. по старому курсу больше года выдерживают.

[pppoetest]

Только что, Saab95 сказал:

Флешка с али? Да тут в магазине-то не каждая купленная сможет неделю отработать, только вон самсунги по 2-5 тыс. по старому курсу больше года выдерживают.

Чо там работать, бордер ребутается раз в пятилетку, флешка нужна чтобы загрузить ОСь и конфиги, после этого она не нужна.

 

2 минуты назад, Saab95 сказал:

А если нужно просто 2 ДНС сервера, зачем такие сложности?

То есть ставим два сервера или микротика?

[LostSoul]

1 час назад, pppoetest сказал:

Есть позитивный опыт c виртуалками, упихал то что было на 5-ти тазах, на один HP Proliant 1U, kvm+qemu+libvirt, образа на ssd, нарезаны ломтями lvm.

ну вот когда человек берет и сам с пониманием каждой мелочи режет ломти lvm , пишет конфиги к virsh и так далее , то более-менее надежно.

то есть надежно как bare metall практически ( хотя есть вопросы с производительностью и еще с запусками всяких lxc , docker и.т.п. совместно с kvm , nested виртуализация итп )

а когда ставят какой-нибудь proxmox из коробки в режиме по умолчанию не вникая в детали, результат потом обычно катастрофический.

это намного глючнеее и менее надежнее получается.

 

 

 

1 час назад, pppoetest сказал:

Зачем бордеру ссд? Он там не нужен. Вы часто меняете в сиське флешку с конфигом?

бордеру нужен на SSD , а флеш-накопитель с определенным ресурсом и надежностью, установленный и закрепленный в крепление достаточного качества ( дисковая хотсвап корзинка 2.5"  )

 

в принципе, в серверах где предусмотрено штатное место для крепления флешки может быть не так все и плохо,  но к качеству выбора флешки нужно очень основательно подходить.

опять таки , обновления конфигов последние как будут попадать на запасные флешки, висящие на веревочке?

 

[pppoetest]

3 минуты назад, LostSoul сказал:

ну вот когда человек берет и сам с пониманием каждой мелочи режет ломти lvm , пишет конфиги к virsh и так далее , то более-менее надежно.

У таких решений одна проблема, документировать приходится всё, от и до.

[LostSoul]

1 час назад, pppoetest сказал:

У таких решений одна проблема, документировать приходится всё, от и до.

оно может быть вполне наглядно, прямо на уровне чтения конфигов и  названия скриптов.

 

у меня скажем разделы виртуалок на lvm так и называются  ,   bill-sys , bill-mysql и так далее.    , а тот же proxmox если ему LVM бакенд сделать ( а это еще надо найти как , он по умолчанию вместо обычного lvm предлагает разряженный )  , то разделы все равно нельзя назвать текстом,  первая часть должна быть по маске vm-XXXX  , то есть сделать vm-123-sys  раздел можно,  vm-billing-sys   - нельзя

 

[pppoetest]

7 минут назад, LostSoul сказал:

обновления конфигов

Последний раз менялись когда добавилась ещё одна нога.

[LostSoul]

1 час назад, pppoetest сказал:

Последний раз менялись когда добавилась ещё одна нога.

ну это у вас какие то конфиги детские.

а как же 100500 компьюнити разных? скучно живете

 

 

[VolanD666]

А мне, кстати, интересно. Что товарищ майор и РКН думает про все эти схемы с распределенным провайдером?

[LostSoul]

1 час назад, VolanD666 сказал:

А мне, кстати, интересно. Что товарищ майор и РКН думает про все эти схемы с распределенным провайдером?

что сьёмник СОРМ нужно везде ставить, разумеется.   или иметь одного аплинка любимой женой и сормится у него.

 

[VolanD666]

7 минут назад, LostSoul сказал:

что сьёмник СОРМ нужно везде ставить, разумеется.

Эммм...

 

7 минут назад, LostSoul сказал:

или иметь одного аплинка любимой женой и сормится у него.

Т.е. аплин клиентов натить будет?

[LostSoul]

1 час назад, VolanD666 сказал:

Т.е. аплин клиентов натить будет?

вроде есть варианты оутсорминга с nat , когда каждому клиенту предоставляется конкретный диапазон портов на вашем внешнем IP

 

[Saab95]

16 минут назад, VolanD666 сказал:

А мне, кстати, интересно. Что товарищ майор и РКН думает про все эти схемы с распределенным провайдером?

А вы пробовали когда-то сормить и блокировать сайты на скоростях за 10-20Г?

Это довольно проблематично, если не покупать дорогущие железки. А вот делать это на скоростях до 10Г то вполне легко.

Сетевые адаптеры с двумя SFP+ не такие дорогие, а вот с портами другого типа или большим количеством - уже не всегда адекватные цены. Да и сам сервер должен быть достаточно производительным что бы успевать данные обрабатывать. Стоимость же топовых процессоров всегда неадекватно высокая.

[VolanD666]

У вас 10 мелких узлов по городу. Вы 10 ФСБшных снимателей планируете ставить?

[zhenya`]

Он пират.

[TriKS]

3 часа назад, Saab95 сказал:

Флешка с али? Да тут в магазине-то не каждая купленная сможет неделю отработать

А ей не надо работать неделю. Она стартанула сервис, все загрузила в память и пусть себе умирает))

Ах ну да, там же некрик нужно раз в месяц планово бутнуть и обновить))

5 часов назад, LostSoul сказал:

Почти все. 

Ну вот и за 5 баксов тоже - почти все.

5 часов назад, Saab95 сказал:

А заниматься этим кто будет? Это надо все барахло привезти себе в центр, посмотреть что и как с этим б/у?

Дак вы еще больше некриков натыкайте. Ага. Совсем заняты будите)))

5 часов назад, Saab95 сказал:

Вообще там еще и зеркало на СОРМ идет, как иначе?

Это жестяк. 3 сервера вместо 1. При чем 2 некрика и один на лине. Зачтено. Нет чтоб 1 раз нормально на лине сделать. Размножайте некрики дальше.))) Сервера ради серверов)))

5 часов назад, LostSoul сказал:

Потому что у них есть негативный опыт с виртуалками , после знакомствами с такими как Трикси.  Которые наворотят там мегасложной и мегатормозной хрени , когда достаточно аппаратный сервер просто взять и надежно и просто нарезать ломтями без изьёбов. И я много людей знаю и других, кто попробовав какой нибудь там Windows виртуализацию из коробки, с разделяемой памятью и qcow образами хардов кричат что это глючно и не реалтаймово.

Не надо из одной овцы делать 7 шапок.

Выростите вы и из этих штанишек. Со временем. Ну вот сдох у тебя контроллер. Шо ты куда будешь перетыкать? У тебя дежурный там сидит, как ты в примере с флешкой приводил? Он быстро бежит на склад, берет контроллер, все разбирает\собирает? Или как?

 

3 часа назад, LostSoul сказал:

у вас дрессированный дежурный постоянно живет около бордера?

а сколько ему времени понадобится чтоб проснутся, дойти до сервера, понять что дело именно во флешке?

Никому не надо жить возле бордера. Флешку можно при желании мониторить.

3 часа назад, LostSoul сказал:

бордеру нужен на SSD , а флеш-накопитель с определенным ресурсом и надежностью, установленный и закрепленный в крепление достаточного качества ( дисковая хотсвап корзинка 2.5"  )

ЗАЧЕМ!!!???? Коль не спится - да мониторь ты флешку заббиксом и все. Отпала - пошел перетыкнул. ВСЕ.

 

 

Уже говорил что тупею с вами тут. Но удержатся не смог от такого чтива "Ыкспэрдоф"

Изменено 9 апреля, 2020 пользователем TriKS

[LostSoul]

1 час назад, TriKS сказал:

Выростите вы и из этих штанишек. Со временем. Ну вот сдох у тебя контроллер. Шо ты куда будешь перетыкать? У тебя дежурный там сидит, как ты в примере с флешкой приводил? Он быстро бежит на склад, берет контроллер, все разбирает\собирает? Или как?

 

детский сад.

смотря какие задачи выполнял  сервер, и как он был резервирован.

в наиболее типовом случае,  после того как указанный сервер пропадет из кворума , все его виртуалки поднимутся на сервере-дубле , расположенном в соседнем помещении в 100м от первого. 

С точки зрения виртуалок это будет нештатная перезагрузка.

 

если же сервер не был резервирован таким образом,  то дисковые корзины просто быстро перебрасываются в такой же аналогичный сервер, конфигурационный файл виртуалки применяется на новой ноде, с указаением на каких корзинах ее стартовать.

 

если же все случилось совсем плохо, патроны кончились, отстреливаться нечем, итп,  то в ближайшем офисе воруется компьютер секретарши , диски подключаются к нему без всякого рейд контроллера, загружаются и работают :-)

 

 

 

1 час назад, TriKS сказал:

ЗАЧЕМ!!!???? Коль не спится - да мониторь ты флешку заббиксом и все. Отпала - пошел перетыкнул. ВСЕ.

вам - незачем.   продолжайте развлекать нас дальше.

 

[SyJet]

7 часов назад, LostSoul сказал:

вот типичный пример  ,  небольшое отдельностоящее офисное здание в котором сидят 3-5 клиентов с тарифами по 30-50 мбит каждый.

нужно поставить что-то надежное чтоб оно не сдохло, не потребляло много электричества и не занимало много места.

https://shop.nag.ru/catalog/00001.kommutatory/33629.kommutatory-fastethernet/30584.snr-s2965-8t-ups

 

Забудьте слово микротик уже

[TriKS]

@SyJet не выйдет. Там же тунель нужно в центр по еоип или чето подобное.

[LostSoul]

1 час назад, SyJet сказал:

https://shop.nag.ru/catalog/00001.kommutatory/33629.kommutatory-fastethernet/30584.snr-s2965-8t-ups

оно честно умеет 2-3 FV BGP ,  l2/l3 туннелирование с аппаратным шифрованием ,   NAT , NetFlow v5 ,   умеет работать BRAS с пакетными очередями для нарезания скорости и авторизацией по радиусу , и все прочее что стандартно используется в данном случае?

Там есть 2 дублированных блока питания с контролем напряжений?

Чем вообще эта мыльница лучше, чем des-3200-10  за 1000р?

и какое отношение она имеет с пограничному маршрутизатору , совмещенному с mini-BRAS?

 

 

[TriKS]

18 минут назад, LostSoul сказал:

детский сад.

смотря какие задачи выполнял  сервер, и как он был резервирован.

в наиболее типовом случае,  после того как указанный сервер пропадет из кворума , все его виртуалки поднимутся на сервере-дубле , расположенном в соседнем помещении в 100м от первого.  

С точки зрения виртуалок это будет нештатная перезагрузка. 

 

если же сервер не был резервирован таким образом,  то дисковые корзины просто быстро перебрасываются в такой же аналогичный сервер, конфигурационный файл виртуалки применяется на новой ноде, с указаением на каких корзинах ее стартовать.

 

если же все случилось совсем плохо, патроны кончились, отстреливаться нечем, итп,  то в ближайшем офисе воруется компьютер секретарши , диски подключаются к нему без всякого рейд контроллера, загружаются и работают :-)

Вот реально. Ты читаешь что пишешь?

 

1) Есть сервер дубль. Зачем? Объедини их ресурсы. Выпал сервер - все работает. Пошел, заменил хоть весь сервер и вернул все в штат. Ниче не бутается. Вообще

2) Корзины и аналогичный сервер - а кто и как это будет делать? Как флешку перетыкнуть - так тебе ктото да нужен. А диски у тебя сами перекидываются? :))) Ну смешно же

3) Я посмотрю как из сервера с апаратным рейдом ты перекинешь диски в офисный комп серкретарши. Да еще и SASовские.

 

 

Изменено 9 апреля, 2020 пользователем TriKS

[LostSoul]

1 час назад, TriKS сказал:

1) Есть сервер дубль. Зачем? Объедини их ресурсы. Выпал сервер - все работает. Пошел, заменил хоть весь сервер и вернул все в штат.

красноглазому пионеру бессмысленно это обьяснять, уж просите.  Я иногда по доброте душевной, забываю с кем имею дело.

 

 

1 час назад, TriKS сказал:

2) Корзины и аналогичный сервер - а кто и как это будет делать? Как флешку перетыкнуть - так тебе ктото да нужен. А диски у тебя сами перекидываются? :))) Ну смешно же

Мои SSD находятся в RAID1  и не откажут одновременно.  

Никуда идти не нужно.

Отказавший диск будет заменен во время планового ТО. 

Никакие последние изменения в конфигурации при этом не будут потеряны.

 

smart на флешке это очень круто, интересно что за чудная флешка такая?

 

 

 

1 час назад, TriKS сказал:

3) Я посмотрю как из сервера с апаратным рейдом ты перекинешь диски в офисный комп серкретарши.

Легко.   У HP суперблоки для raid1 находятся в конфе дисков.