[rdmitrich]

4 минуты назад, Saab95 сказал:

Потому что вы пишите что микротик не справляется, а на деле это всегда от не верных настроек.

 

не то, чтобы не справляется, есть минусы которые не устраивают, ищем лучшие варианты для себя, собственно по этиму и открыто обсуждение

 

6 минут назад, Saab95 сказал:

а настраивать и разбираться с ее проблемами кто будет?

этот вопрос мы конечно решим ))) Давайте не разводить холивар )

[Saab95]

21 час назад, rdmitrich сказал:

Есть вариант переехать на 1072 но учитывая стоимость в 230 т.р, возможно стоит посмотреть на что то из б/у cisco, juniper, ericsson ??

Вы так писали. С подобным подходом - найти одну железку которая будет все делать - далеко не уехать.

Если у вас забивается исходящий канал - ничего не мешает поставить обратную скорость в 2 раза ниже входящей для абонентов.

Так же ничего не мешает ограничить время хранения соединений до 20, а то и 5-10 минут, это сразу уменьшит объемы требуемой памяти микротика.

Да много чего можно сделать, чего вам даже циска не позволит - разнести все на 2 устройства.

[VolanD666]

Слушайте, но что тут думать если есть возможность купить ASR, то берите его. Нужно только сразу продумать общую архитектуру сети. Поставите, настроите и забудете про него. Главное мониторить в системе мониторинга, настроить триггеры и т.п. Ради того, чтобы в мире стало меньше сетей на говномикротиках в ядре (вы ведь не верите в этот бред что выше написан?), я думаю мы все поддержим вас, технически и морально :)

 

По поводу варика на линукс-сервере. Тоже вариант, имеет право на существование. Но тогда вам нужно будет настроить внутренюю архитектуру в рамках ОС, что уже сделано в ASR. Как плюс- вы получаете гибкость, как минус- вы можете получить проблемы которые уже решены на ASR.

[TriKS]

34 минуты назад, Saab95 сказал:

Ни апи и не телнет - SSH.

Однофигственно.

35 минут назад, Saab95 сказал:

В случае статических настроек для него вообще никаких команд и действий не надо.

Конечно не надо. Лишний чих делать, подключаясь по ссш - неа. Вдруг скукожится.

36 минут назад, Saab95 сказал:

А если таких абонентов пол абонентской базы, а то и 70 процентов, значит команды отправлять надо раз в месяц только по 30 процентам абонентской базы, а во время работы вообще ничего делать не надо. Биллинг можно выключить и убрать.

Это все если. А по сути? у вас 70% платят на год вперед? Не вешайте мне новые подковы на уши.

37 минут назад, Saab95 сказал:

В случае же с радиусом постоянно идет какая-то движуха - идут запросы между биллингом и роутером, биллинг копается в БД, пишет логи. При высокой нагрузке на биллинг ответы идут с задержкой и т.п. Конечно это очень передавая технология.

Да ладно :) Серьезно? а по ссш блокировать пачку адресов, что не оплатили инет это норма? ))) А статистику не надо по абоненту хранить? Как девочке в колцентре узнать - абонент онлайн или нет, если биллинг выключить? :) 

43 минуты назад, Saab95 сказал:

когда микротик уже не мог вмещать себе с нормальной скоростью работы всю базу учеток абонентов, просто разделили ее на 3 куска и поделили так же на 3 группы все PPPoE сервера, что и решило все проблемы. Биллинг отправлял команды так же с разделением на 3 группы и все прекрасно работало, сам биллинг был на процессоре i3, со всем справлялся.

Йопсель. Так бида то не в БД, не в биллинге, не в постоянной писанине логов - а вдруг поделка перестала справлятся... Как так то? Переобуваетесь на ходу? Я вам скажу что радиус можно держать прям на сервере доступа с выгрузкой туда же БД и синхроном ее раз в 10 минут. В микротике тоже что-то подобное пытались сделать через user manager, оно даже поначалу работало, потом поломалось, потом починили. Как всегда в принципе :)

 

51 минуту назад, Saab95 сказал:

При использовании одного сервера доступа и одного биллинга радиус вообще не нужен

Да, действительно. Пилите скриптами по ssh ))

 

52 минуты назад, Saab95 сказал:

Может от этого все проблемы?

От чего? От того что человеку может понадобится пробрасывать порты, ибо своей AS у него нет? Или вы снова по диагонали почитали топик и настроились на продажу очередному лоху?

[VolanD666]

Да не тратьте нервы. Человек живет в своем мире, его не переубедить.

[AlKov]

@rdmitrich , а из каких соображений вы рассматриваете только "железное решение"?

Исходя из того, что нет инженера, способного укротить линуксовый тазик?

А Вы не задумывались над тем, смогут ли древние железные ASR и иже с ними прожевать 5К pps?

Вот смотрите, pppoetest вам показал практически то самое, что вам необходимо (~5 Gbs и ~5 pps).

Я не буду утверждать, что "железное решение" не потянет, т.к. практически не имею опыта его применения.

Но в своё время пришлось разруливать ситуацию, когда cisco маршрутизатор (древний 1941) на банальном роутинге с шейпером одного клиента(!)

уходил в "сотку" по CPU при трафе всего лишь 200 Mb!

В то же время древний б/у supermicro за 25 000 руб. этот траф с шейпером прожевал совсем не напрягаясь.

Да, соглашусь, "железное решение" максимально заточено под задачу, не имеет на борту точки отказа в виде HDD, не боится "жёстких ребутов".

НО! Имеет очень жёсткие "рамки" по производительности, выйти за которые возможно только "железным апгрейдом" - сиречь заменой на более мощное..

У каждой медали есть обратная сторона. И туда (на эту обратную сторону) надо заглянуть, прежде чем сказать "гоп"..

 

[VolanD666]

Для справки, древний железный АСР 1002 может прожевать 20 гбит трафика. Понятно что зависит от размера пакета, но на платформе у него так. Сравнивать древний 1941, который скорее всего тоже по факту был софтовым и АСР- это как сравнивать детский трехколесный лесопед и танк.

[rdmitrich]

2 минуты назад, AlKov сказал:

@rdmitrich , а из каких соображений вы рассматриваете только "железное решение"?

Исходя из того, что нет инженера, способного укротить линуксовый тазик?

А Вы не задумывались над тем, смогут ли древние железные ASR и иже с ними прожевать 5К pps?

Вот смотрите, pppoetest вам показал практически то самое, что вам необходимо (~5 Gbs и ~5 pps).

Я не буду утверждать, что "железное решение" не потянет, т.к. практически не имею опыта его применения.

Но в своё время пришлось разруливать ситуацию, когда cisco маршрутизатор (древний 1941) на банальном роутинге с шейпером одного клиента(!)

уходил в "сотку" по CPU при трафе всего лишь 200 Mb!

В то же время древний б/у supermicro за 25 000 руб. этот траф с шейпером прожевал совсем не напрягаясь.

Да, соглашусь, "железное решение" максимально заточено под задачу, не имеет на борту точки отказа в виде HDD, не боится "жёстких ребутов".

НО! Имеет очень жёсткие "рамки" по производительности, выйти за которые возможно только "железным апгрейдом" - сиречь заменой на более мощное..

У каждой медали есть обратная сторона. И туда (на эту обратную сторону) надо заглянуть, прежде чем сказать "гоп"..

 

почему железо с бандлом ESP5 (лимит в 5 гигабит) не должно прожевать 5 гигабит ???. При желании всегда можно расшириться докупив очередной бандл

[VolanD666]

Там RTU, не надо ничего покупать. Просто берете железку и запускаете максимальную лицензию.

[ShyLion]

A.

S.

R.

 

[rdmitrich]

3 минуты назад, VolanD666 сказал:

Там RTU, не надо ничего покупать. Просто берете железку и запускаете максимальную лицензию.

вы прокакую железку сейчас говорите ? Про ASR 1002 ?

 

[VolanD666]

1 минуту назад, rdmitrich сказал:

вы прокакую железку сейчас говорите ? Про ASR 1002 ?

 

Да

[rdmitrich]

1 минуту назад, VolanD666 сказал:

Да

https://shop.nag.ru/catalog/02092.Cisco/07123.ASR1000/10844.ASR1000-ESP5

а это тогда что ??

[VolanD666]

Пардон, я про это эту железку говорил

https://shop.nag.ru/catalog/02092.Cisco/07123.ASR1000/10768.ASR1002-X

[AlKov]

10 минут назад, VolanD666 сказал:

Сравнивать древний 1941, который скорее всего тоже по факту был софтовым и АСР- это как сравнивать детский трехколесный лесопед и танк.

Не передёргивайте, пожалуйста! Где Вы увидели, что я именно такое сравнение сделал?

Если Вы не углядели, то расшифрую - сравнивалась древняя cisco за 43 000 руб., и древний supermicro за 25 000 руб. на одних и тех же задачах.

 

[rdmitrich]

3 минуты назад, VolanD666 сказал:

Пардон, я про это эту железку говорил

https://shop.nag.ru/catalog/02092.Cisco/07123.ASR1000/10768.ASR1002-X

ценник на 1002-х на наге не озвучен, вы не в курсе, что за Б/У просят ?

[VolanD666]

1 минуту назад, AlKov сказал:

Не передёргивайте, пожалуйста! Где Вы увидели, что я именно такое сравнение сделал?

Если Вы не углядели, то расшифрую - сравнивалась древняя cisco за 43 000 руб., и древний supermicro за 25 000 руб. на одних и тех же задачах.

 

Нет, смотрите. Я не так выразился. Просто 1941- это решение для офиса и я был не прав, он аппаратный вроде. У него ограниченная производительность, вы все верно написали. В рамках офиса, я никогда не понимал смысла ставить такое железо. Больше скажу, там боллее логично смотрится серверное решение или даже микротик. Но ASR - это железо совсем другого класса.

[AlKov]

В 03.04.2020 в 11:12, rdmitrich сказал:

почему железо с бандлом ESP5 (лимит в 5 гигабит) не должно прожевать 5 гигабит ???.

С NAT и шейпером? И не 5 Gbs в данном случае "страшнЫ", а 500 Kpps всяких "мелких пакетов" типа торрентных,

плюс ваши "доп. задачи", которые грузят совсем не хило! 

Вы же не межоператорский трафик собираетесь гонять на этой железке, а самый "грязный" абонентский.

Почему об этом большинство не желает задумываться?

 

В 03.04.2020 в 11:32, VolanD666 сказал:

Но ASR - это железо совсем другого класса.

Знаю. Но не знаю его "в деле". Поэтому по ASR ничего не утверждал и не утверждаю.

Банально усомнился, вернее -  задал вопрос - "а каковы возможности этой железки в контексте указанной задачи".

Единственное, что могу с уверенностью утверждать - цена железного решения при равных задачах, будет существенно выше решения на PC.

Чаще всего, именно это становиться решающим фактором.

 

P.S. Но в то же время не стОит забывать, что PC-решение имеет ещё один, но очень существенный недостаток - жёсткую привязку к его админу.

Ушёл админ и.. Пришедшему вместо него новому, первоначально будет тяжко, даже в том случае, если он ранее работал с тем же самым..

Так-что, из двух зол приходится выбирать то, которое вам ближе. :-)

[VolanD666]

 

4 минуты назад, AlKov сказал:

С NAT и шейпером?

 

Да в этом и отличие аппаратного роутера и софтороутеров. У него задачи разделены : роутингом трафика и приемом BGP архитектурно занимаются разные модули. Потому одно другому не мешает.

[rdmitrich]

15 минут назад, AlKov сказал:

что PC-решение имеет ещё один, но очень существенный недостаток - жёсткую привязку к его админу.

Ушёл админ и..

Вот тут и есть самая жесть.... У людей случаются различные жизненные ситуации, переезд, семейные обстоятельства, конфликты в конце концов и привязывать бизнес к определенному человеку, это заведомо поставить его под удар, учитывая , что инженеры народ капризный )) Да и сервер на линуксе - это всегда колдунство, пусть даже и успешное, а требуется стандартизация и по возможности безболезненная замена сотрудника, именно поэтому обсуждаем "железное" решение. 

Изменено 3 апреля, 2020 пользователем rdmitrich

[AlKov]

3 минуты назад, rdmitrich сказал:

а требуется стандартизация и по возможности безболезненная замена сотрудника, именно поэтому обсуждаем "железное" решение. 

Так бы сразу и написали, я бы и "надрываться" не стал. :-)

https://www.youtube.com/watch?v=1YMvFPWf6Dc

[rdmitrich]

2 минуты назад, AlKov сказал:

Так бы сразу и написали, я бы и "надрываться" не стал. :-)

https://www.youtube.com/watch?v=1YMvFPWf6Dc

да я и подумать не мог, что до этого дойдет :)

[Saab95]

1 час назад, TriKS сказал:

Конечно не надо. Лишний чих делать, подключаясь по ссш - неа. Вдруг скукожится.

Ничего ему не сделается. По SSH никаких проблем нет в работе, если следовать логике одна команда - одно подключение. А не вливать сразу через одно подключение сотни команд.

 

1 час назад, TriKS сказал:

Это все если. А по сути? у вас 70% платят на год вперед? Не вешайте мне новые подковы на уши.

А почему бы не платить, если заплатив за год вперед он получает бонус в виде 50-40 процентной экономии, то есть заплатить ему за пол года по деньгам столько же, сколько и за год. У нас абоненты умеют считать деньги.

 

1 час назад, TriKS сказал:

Да ладно :) Серьезно? а по ссш блокировать пачку адресов, что не оплатили инет это норма? ))) А статистику не надо по абоненту хранить? Как девочке в колцентре узнать - абонент онлайн или нет, если биллинг выключить? :) 

А что, радиус как-то по другому работать будет? В случае статики биллинг 1 числа просто отправить IP абонента в список блокировок и все. В случае с радиусом биллинг будет постоянно отвечать на его запросы подключения, так же отдавать команды на помещение его IP в список должников. Или радиус не передает параметры при подключении, который микротик каждый раз обрабатывает? При работе через радиус на микротик нагрузка больше.

 

Статистику по абоненту хранит биллинг через нетфлоу. А если биллинг выключен то и узнать ничего нельзя. Не нужно сюда приводить глупые примеры. Биллинг бывает не работает по неким причинам - кривое обновление, нужно перезагрузить, что-то сломалось и т.п. При авторизации через радиус, если нет резервного авторизатора, новые клиенты подключиться не могут, и все в панике. В случае статических записей - ну не работает биллинг и ладно, будет время починим.

 

1 час назад, TriKS сказал:

Йопсель. Так бида то не в БД, не в биллинге, не в постоянной писанине логов - а вдруг поделка перестала справлятся... Как так то? Переобуваетесь на ходу? Я вам скажу что радиус можно держать прям на сервере доступа с выгрузкой туда же БД и синхроном ее раз в 10 минут. В микротике тоже что-то подобное пытались сделать через user manager, оно даже поначалу работало, потом поломалось, потом починили. Как всегда в принципе :)

Зачем опять радиус во все щели пихать? Вы что, не знаете как биллинг работает?

Добавили нового абонента - биллинг на всю пачку микротиков отправил одну и ту же команду на добавление абонента, надо абонента заблокировать - биллинг на все микротики отправил команду на добавление его IP в список блокировок и т.п. Где тут переобуваться? Перестала пачка микротиков справляться - добавили еще парочку - биллинг на них зеркало абонентов зальет (или можно с любого микротика взять вручную) и всего делов.

А если микротик уже базу абонентов в себя не вмещает - так я писал ранее, разбить ее на куски и размещать такой размер, который влезает. Проблем никаких.

 

1 час назад, TriKS сказал:

Да, действительно. Пилите скриптами по ssh ))

И не скриптами, а командами.

 

1 час назад, TriKS сказал:

От чего? От того что человеку может понадобится пробрасывать порты, ибо своей AS у него нет? Или вы снова по диагонали почитали топик и настроились на продажу очередному лоху?

 

Какие порты? Пробрасывать можно только в пределах одного сермента - авторизовались через PPPoE - и на IP абонента пробросили, это сразу выдает схему, что и авторизация, и НАТ на одном устройстве. То есть такой провайдер сам быстрее себя в тупиковые рамки загоняет такой архитектурой. Когда у нас не было своей AS, мы адреса у провайдера белые арендовали, т.к. держать 500 абонентов через один внешний IP - капча постоянно вылезать будет.

 

1 час назад, AlKov сказал:

Исходя из того, что нет инженера, способного укротить линуксовый тазик?

А Вы не задумывались над тем, смогут ли древние железные ASR и иже с ними прожевать 5К pps?

Так зачем им, главное магическое слово - у меня стоит циска. У меня есть знакомые провайдеры, которые на б/у барахле все сделали. Сервера новые покупать дорого, давайте ка по 25 тыс. б/у возьмем со скази дисками, это же круто. Давайте пару цисок б/у возьмем, давайте коммутаторы б/у вон же как дешево. ИБП тоже б/у и так далее. По итогу все оборудование древнее барахло 7-10 летней давности, которое жрет электричество и требует кондиционеров для охлаждения. А из-за неких особенностей этого оборудования оно как раз костылями обвешено, и посмотреть ничего нельзя как раз на цисках, что не так почему проблемы.

 

1 час назад, AlKov сказал:

Да, соглашусь, "железное решение" максимально заточено под задачу, не имеет на борту точки отказа в виде HDD, не боится "жёстких ребутов".

НО! Имеет очень жёсткие "рамки" по производительности, выйти за которые возможно только "железным апгрейдом" - сиречь заменой на более мощное..

Еще очень дорого обходится ремонт этих решений, когда в древней б/у циске что-то сгорит, и есть вариант искать б/у запчасть, купить такую же новую, по деньгам дороже микротика.

 

1 час назад, VolanD666 сказал:

Для справки, древний железный АСР 1002 может прожевать 20 гбит трафика.

Может то он может, только по меркам своего времени.

 

По нашей статистике на 1 гиг внешнего трафика, в зависимости от ситуации, приходится от 150 до 300 тысяч пакетов. Соответственно на 10 гиг будет 1.5 - 3 миллиона пакетов, а на 20 гиг надо уже рассчитывать на 6 и более.

Кроме того количество пакетов сильно зависит от типа шейпирования, если это тупо буфер с дропом, то пакетная нагрузка увеличивается, т.к. идут ретрансмиты - переповторы, если шейпер типа PCQ, а его на цисках нет, то и пакетная нагрузка снижается очень значительно при активном потреблении трафика, т.к. полученные данные из интернета до сервера, при превышении шейпера абонента не отбрасываются.

 

И все эти пакеты указаны только в одну сторону, без передачи на порты абонентов. Если так то надо все удвоить, на 1 гиг уже 300-600 тысяч, на 10 гиг 3-6 миллионов, на 20 гиг 6-12, явно б/у циска на такое не способна.

 

49 минут назад, AlKov сказал:

плюс ваши "доп. задачи", которые грузят совсем не хило! 

Ага, PPPoE будет хорошо нагружать циску.

 

49 минут назад, AlKov сказал:

P.S. Но в то же время не стОит забывать, что PC-решение имеет ещё один, но очень существенный недостаток - жёсткую привязку к его админу.

Ушёл админ и.. Пришедшему вместо него новому, первоначально будет тяжко, даже в том случае, если он ранее работал с тем же самым..

Точно, у нас некоторые сети работали под управлением и цисок, и аср, и линуксовых тазиков - вот там вечно были проблемы - то задержка прыгает, то скорость не верно ограничивается, то еще какая-то бяка, админы постоянно что-то тыкали, делали, но все равно потом опять ломалось и т.п. Радует лишь то, что покупалось все новым и еще по старому курсу в районе 30 баксов за доллар, а проданы эти "крутые железки" были уже по высокому курсу, поэтому ничего не потеряли, а только приумножили капитал, хоть какая-то польза от этих решений.

 

44 минуты назад, VolanD666 сказал:

Потому одно другому не мешает.

Как не мешает, а передача данных из одного модуля в другой по воздуху происходит и узких мест там нет?

А если некая фича как бы не совсем аппаратно работает?

 

38 минут назад, rdmitrich сказал:

обсуждаем "железное" решение

С микротиком сможете и сами разобраться.

Вы, хотя бы, на абонентских портах мак телнет отключили? Если доступ PPPoE, перед микротиком весь другой трафик порезали?

 

[alexmern]

16 minutes ago, Saab95 said:

И все эти пакеты указаны только в одну сторону, без передачи на порты абонентов. Если так то надо все удвоить, на 1 гиг уже 300-600 тысяч, на 10 гиг 3-6 миллионов, на 20 гиг 6-12, явно б/у циска на такое не способна.

Что-то вы совсем заврались, товарищ. Вот статистика с ASR с реальным абонентским трафиком

 

asr1k-1#show interfaces port-channel 1

Port-channel1 is up, line protocol is up

  Hardware is 10GEChannel, address is XXXXXXX

  MTU 1500 bytes, BW 20000000 Kbit/sec, DLY 10 usec,

     reliability 255/255, txload 108/255, rxload 112/255

  Encapsulation 802.1Q Virtual LAN, Vlan ID  1., loopback not set

  Keepalive set (10 sec)

  ARP type: ARPA, ARP Timeout 04:00:00

    No. of active members in this channel: 2

        Member 0 : TenGigabitEthernet0/0/0 , Full-duplex, 10000Mb/s

        Member 1 : TenGigabitEthernet0/0/1 , Full-duplex, 10000Mb/s

    No. of PF_JUMBO supported members in this channel : 2

  Last input 00:00:00, output 00:00:00, output hang never

  Last clearing of "show interface" counters never

  Input queue: 0/750/7636536/0 (size/max/drops/flushes); Total output drops: 0

  Queueing strategy: fifo

  Output queue: 0/80 (size/max)

  5 minute input rate 8895978000 bits/sec, 1235459 packets/sec

  5 minute output rate 8553559000 bits/sec, 1204111 packets/sec

     756744402753 packets input, 679837280769148 bytes, 0 no buffer

     Received 1016541118 broadcasts (0 IP multicasts)

     0 runts, 67 giants, 0 throttles

     69 input errors, 1 CRC, 10 frame, 0 overrun, 165 ignored

     0 watchdog, 73867866 multicast, 0 pause input

     739042383148 packets output, 657496587348256 bytes, 0 underruns

     8741 output errors, 0 collisions, 0 interface resets

     233908 unknown protocol drops

     0 babbles, 0 late collision, 0 deferred

     0 lost carrier, 0 no carrier, 0 pause output

     0 output buffer failures, 0 output buffers swapped out

     0 carrier transitions

 

А по теме - берите ASR.

[Saab95]

А на обычный вид можете перевести какой трафик и сколько пакетов в секунду.