[fractal]

3 минуты назад, sdy_moscow сказал:

Вступлюсь за СААБа, цена далеко не определяющий фактор. И таки да! С точки зрения надежности - 2 недорогих хороших железки работающие в параллель, лучше чем одна дорогая от "супер-вендора".

можно ref купить isr4461-X или asr1001-x или из джунов что

[VolanD666]

6 минут назад, sdy_moscow сказал:

С точки зрения надежности - 2 недорогих хороших железки работающие в параллель, лучше чем одна дорогая от "супер-вендора".

Ну для меня 2 циско/juniper/huawei роутера с двумя супами, с двумя ИБП и с полным резервирование линков+ нормальная ТП- гораздо надежнее, чем 20 серверов на микротике. Как-то так.

[sdy_moscow]

19 минут назад, VolanD666 сказал:

Ну для меня 2 циско/juniper/huawei роутера с двумя супами, с двумя ИБП и с полным резервирование линков+ нормальная ТП- гораздо надежнее, чем 20 серверов на микротике. Как-то так.

Если брать по цене вендора - то трудно сказать (при условии одинаковой производительности систем), если брать б/у то вполне может быть. Конечно, сам по себе микротик (т.к. софт там до сих пор кривой и сырой) я бы лично выкинул сразу и поставил бы 2 нормальных коммутатора 10Г.

[Saab95]

50 минут назад, fractal сказал:

можно ref купить isr4461-X или asr1001-x или из джунов что

В описании указано у Cisco ASR1001-X что всего 2 порта 10Г. То есть более 10Г он и не пропустит.

100Г пропустит ASR1006. Но если даже ASR1001 стоит под миллион, то 1006 явно в 10 раз дороже будет, т.к. шкафчик там поболее габаритов.

 

32 минуты назад, sdy_moscow сказал:

Конечно, сам по себе микротик (т.к. софт там до сих пор кривой и сырой) я бы лично выкинул сразу и поставил бы 2 нормальных коммутатора 10Г.

Судя по темам на форумах у людей CCR2004 виснет и глючит, CCR1036 от бгп флапает, а у нас все работает и никаких проблем.

Просто для каждого оборудования должна быть своя схема сети, если циска нормально переваривает тысячи маков мусора и вланы управления, микротик не любит чистые L2 задачи и его нужно использовать в L3 сетях, а не тащить на одну железку кучу абонентов по L2 в общей куче.

[vvertexx]

@Saab95 

juniper mx204.  1,5ляма. 400гбит/с. 1RU, низкое энергопотребление.

сколько это в микротиках?

[fractal]

27 минут назад, Saab95 сказал:

В описании указано у Cisco ASR1001-X что всего 2 порта 10Г. То есть более 10Г он и не пропустит.

У него лицензия 20gb, если не знаете, то лучше не говорите ничего, у нам в пиках 18 было, на bgp

 

29 минут назад, Saab95 сказал:

1006 явно в 10 раз дороже будет, т.к. шкафчик там поболее габаритов.

Есть ещё  asr9000/asr1002-hx/новые catalyst 8500,  последних бу и ref нет это все может в 1 юнит больше 100,  ещё Вам привели джуны, полка микрота 10gb, с неадекватной поддержкой, глюками bgp и не возможностью долгосрочной поддержки с возможностью замены, если строить сеть физика, или гавно сеть то можно хоть 100/500 их ставить, но дальше вырости на серьёзные проекты не выйдет 

 

12 минут назад, vvertexx сказал:

juniper mx204

Насколько помню до 800 расширяется

 

36 минут назад, Saab95 сказал:

CCR1036 от бгп флапает, а у нас все работает и никаких проблем.

На дефолте то, ага

[GrandPr1de]

19 часов назад, fractal сказал:

Насколько помню до 800 расширяется

нет там 800 физически

4 соточных порта и 8 десяток + производительность самого чипа там всего 400 гбит, что не даст одновременно использовать 4х100 и 8х10,  а только варианты в виде 1х100 + 3х40 + 8х10

есть даже отдельный калькулятор для этого дела https://apps.juniper.net/home/port-checker/index.html

[dr Tr0jan]

22 hours ago, Saab95 said:

Кого интересуют критичные сервисы, те вряд ли будут спрашивать советов на форуме. А тут больше обсуждается именно вопрос нормальной работы при некой доступной стоимости, и не б/у естественно.

Семь лет строил критичные сервисы на б/у оборудовании. Проблема за семь лет с б/у железом возникла только одна - HP BL460c Gen6 начали дохнуть после установки на них Windows Server 2019 (да и то, это косяк руководства по большей части был).

 

Зато с новым железом проблем навалом. Где-то нужно сотрудников обучать, системы менеджмента оборудования пилить. Баги в новье регулярно всплывают. Часто бывает, что лучше обкатанные системы брать и в критикал ставить.

Все продажники, в т.ч. и циска регулярно навяливают всякое новьё. Вот даже 9200 со своим IOS-XE сегодня вместо 2960X навяливают, мы пока 2960X покупаем (и новые, и б/у). Жаль, 6500 новый купить нелья (или проблематично), поставили 9500 вместо него, а там баг на баге и багом погоняет (на что циска за исправление багов требует дополнительно тратить деньги, хоть и косвенно). С WLC таже история.

[VolanD666]

26 минут назад, dr Tr0jan сказал:

Семь лет строил критичные сервисы на б/у оборудовании. Проблема за семь лет с б/у железом возникла только одна - HP BL460c Gen6 начали дохнуть после установки на них Windows Server 2019 (да и то, это косяк руководства по большей части был).

 

Зато с новым железом проблем навалом. Где-то нужно сотрудников обучать, системы менеджмента оборудования пилить. Баги в новье регулярно всплывают. Часто бывает, что лучше обкатанные системы брать и в критикал ставить.

Все продажники, в т.ч. и циска регулярно навяливают всякое новьё. Вот даже 9200 со своим IOS-XE сегодня вместо 2960X навяливают, мы пока 2960X покупаем (и новые, и б/у). Жаль, 6500 новый купить нелья (или проблематично), поставили 9500 вместо него, а там баг на баге и багом погоняет (на что циска за исправление багов требует дополнительно тратить деньги, хоть и косвенно). С WLC таже история.

Ну тут зависит от заказчика на самом деле. Если у вас заказчик- серьезное предприятие. Я думаю вряд ли они вам позволять б/у поставить.

[dr Tr0jan]

Just now, VolanD666 said:

Если у вас заказчик- серьезное предприятие. Я думаю вряд ли они вам позволять б/у поставить.

Серьёзное предприятие (24x7, 3000 сотрудников, объект транспортной инфраструктуры, один из крупнейших налогоплательщиков федерального округа). Удалось донести руководству, что три б/у железки (две в горячем резерве и одна в холодном) - не менее надёжней одной новой.

[VolanD666]

 

4 минуты назад, dr Tr0jan сказал:

Серьёзное предприятие (24x7, 3000 сотрудников, объект транспортной инфраструктуры, один из крупнейших налогоплательщиков федерального округа). Удалось донести руководству, что три б/у железки (две в горячем резерве и одна в холодном) - не менее надёжней одной новой.

ИМХО это странно. В любом случае, мой посыл что решение нужно подбирать в т.ч. на основе критичности сервиса, а не херачить везде 20 серверов на микротике.

[Saab95]

30 минут назад, VolanD666 сказал:

везде 20 серверов на микротике

Их не обязательно ставить в одном месте, и не обязательно тащить все кабеля в центр - можно сделать 10 точек выхода в интернет по 10Г каждую и получить надежную отказоустойчивую сеть.

[fractal]

22 часа назад, dr Tr0jan сказал:

Вот даже 9200 со своим IOS-XE сегодня вместо 2960X навяливают, мы пока 2960X покупаем (и новые, и б/у). Жаль, 6500 новый купить нелья (или проблематично), поставили 9500 вместо него, а там баг на баге и багом погоняет

Расскажите пожалуйста, 9500 интересует, взяли их, ждём, на замену 3850, вместо 6500 у нас стоит 9600, пока ничего не поймали, сидим на 16.12.04. 9200l/9300l много ставим, Вы на них что ловили? Если да, то поделитесь пожалуйста 

 

22 часа назад, dr Tr0jan сказал:

на что циска за исправление багов требует дополнительно тратить деньги, хоть и косвенно

За исправление деньги? Это как? 

[dr Tr0jan]

8 hours ago, fractal said:

За исправление деньги? Это как?

Инженеры предприятия должны вместо того, чтобы заниматься основной работой, целый год собирать информацию для Cisco TAC.

 

Про девятую серию отпишусь в личку.

[bilbo]

@Saab95 

 

Уважаемый, подскажите, как на микротах с vpu и ip-unnumbered сделать если не балансировку, то хотя бы failover горячий? Кроме vrrp на каждый интерфейс ничего в голову не приходит, но это какое-то извращение имхо. Или нет?

 

 

On 2/20/2021 at 5:17 PM, Saab95 said:

Их не обязательно ставить в одном месте, и не обязательно тащить все кабеля в центр - можно сделать 10 точек выхода в интернет по 10Г каждую и получить надежную отказоустойчивую сеть. 

У нас больше 30 таких микро-брасов :)

[VolanD666]

2 часа назад, bilbo сказал:

@Saab95 

 

Уважаемый, подскажите, как на микротах с vpu и ip-unnumbered сделать если не балансировку, то хотя бы failover горячий? Кроме vrrp на каждый интерфейс ничего в голову не приходит, но это какое-то извращение имхо. Или нет?

 

 

У нас больше 30 таких микро-брасов :)

А что РКН думает про такую схему?

[bilbo]

Я спрашивал по телефону, сказали "мы пока не делаем а только собираем данные". Да и думаю не мы одни с такой схемой живём.

[Saab95]

21 час назад, bilbo сказал:

Уважаемый, подскажите, как на микротах с vpu и ip-unnumbered сделать если не балансировку, то хотя бы failover горячий? Кроме vrrp на каждый интерфейс ничего в голову не приходит, но это какое-то извращение имхо. Или нет?

Мы ставим 2 одинаковых маршрутизатора с идентичными настройками по вланам и IP абонентов.

То есть если абонент запустит винбокс (естественно при отключенных ограничениях с нашей стороны), то увидит 2 микротика.

Когда абонент отправляет DHCP запрос, то на него быстрее отвечает какой-то один микротик, и выдает ему IP адрес, с ним абонент и работает 5 минут до окончания аренды, потом делает запрос снова, обычно ему тот же микротик и отвечает, ведь он продлевает аренду. Если он аренду не продлит, то абонент сделает опять запрос на получение DHCP от любого микротика.

 

Но такое работает на частях сети, где доступ сделан на коммутаторах, которые каждый абонентский порт заворачивают во влан и все это поступает на микротик.

 

Если абонент сразу подключен в CRS и он является шлюзом до него - то тут если он сломается то абонент без сети останется, впрочем с коммутаторами будет то же самое.

 

 

[alibek]

1 час назад, Saab95 сказал:

Когда абонент отправляет DHCP запрос, то на него быстрее отвечает какой-то один микротик, и выдает ему IP адрес

Снова снизу постучали.

Подозреваю, что если уточнить «два DHCP в одном широковещательном домене?», то в ответ можно услышать незамутненное «а что такого?».

[Saab95]

5 часов назад, alibek сказал:

Снова снизу постучали.

Подозреваю, что если уточнить «два DHCP в одном широковещательном домене?», то в ответ можно услышать незамутненное «а что такого?».

Даже в википедии указано

 

Цитата

В начале клиент выполняет широковещательный запрос по всей физической сети с целью обнаружить доступные DHCP-серверы. Он отправляет сообщение типа DHCPDISCOVER, при этом в качестве IP-адреса источника указывается 0.0.0.0 (если компьютер ещё не имеет собственного IP-адреса), а в качестве адреса назначения —широковещательный адрес 255.255.255.255.

И именно доступные а не доступный, значит подразумевается что их может быть несколько.

 

Цитата

Выбрав одну из конфигураций, предложенных DHCP-серверами, клиент отправляет запрос DHCP (DHCPREQUEST). Он рассылается широковещательно; при этом к опциям, указанным клиентом в сообщении DHCPDISCOVER, добавляется специальная опция — идентификатор сервера — указывающая адрес DHCP-сервера, выбранного клиентом (в данном случае — 192.168.1.1).

И опять подразумевается наличие нескольких серверов.

 

Кроме всего всем известная проблема, когда провайдер раздает адреса через DHCP, а у абонента роутер, настроенный как коммутатор (с вроде отключенным DHCP), а на самом деле так же рассылающие запросы, и тут клиент быстрее получает IP от своего роутера, потому что он отвечает быстрее, чем сервер провайдера.

 

Поэтому и написать что 2 DHCP сервера в одном канале это вполне нормальное решение, можно и больше сделать. При авторизации через радиус можно вообще запросы через один выдавать, что бы равномерно клиентов по серверам раскидывать, ведь в радиус запросе видно с какого сервера он пришел.

[rm_]

По хорошему, когда два и более, делается чтоб они между собой информацией обменивались, и называется это DHCP Failover.

Но вроде бы и без этого нет никаких препятствий для корректной работы, учитывая что выданный сервером адрес клиент всё равно сначала проверяет на занятость.

А если они раздают разные диапазоны, так и вообще нет проблем.

[Saab95]

В данном случае схема влан на пользователя, его домен включает в себя 3 мак адреса, 2 это сервера и 1 клиент.

По сути можно на первом сервере использовать адрес вида 10.10.10.1, а на втором 10.10.10.2, но тут зависит от реализации интернета на роутере или ПК абонента, не будет ли он скидывать соединения, если окажется что адрес шлюза изменится.

 

НАТ производится в других местах, поэтому при смене сервера соединения не должны обрываться.

[VolanD666]

Нормальный люди для этих целей VRRP используют

[alibek]

1 час назад, Saab95 сказал:

По сути можно на первом сервере использовать адрес вида 10.10.10.1, а на втором 10.10.10.2, но тут зависит от реализации интернета на роутере или ПК абонента, не будет ли он скидывать соединения, если окажется что адрес шлюза изменится.

Ну так есть же очевидное решение, нужно использовать четыре Микротика.

На двух будет два DHCP.

На одном будет шлюз.

Еще на одном будет NAT.

Но по хорошему надо бы число Микротиков удвоить, ведь шлюз или NAT могут выйти из строя.

[Saab95]

23 минуты назад, VolanD666 сказал:

Нормальный люди для этих целей VRRP используют

А протокол CARP нормальные люди не используют?

Почитайте хотя бы как VRRP работает, или так же привести ссылку из википедии?

 

Цитата

Второй пример показывает схему, которая использовалась и в первом примере, но теперь маршрутизаторы используют два виртуальных маршрутизатора и оба маршрутизатора передают трафик. Такая схема более предпочтительна, чем предыдущая, для использования в реальных сетях.

Половина компьютеров использует в качестве шлюза по умолчанию R1, вторая половина — R2. Настройки виртуального маршрутизатора с VRID = 1 остаются точно такими же как в первом примере. Добавляется второй виртуальный маршрутизатор с VRID = 2 и IP-адресом 10.0.1.2. Для этого виртуального маршрутизатора R2 будет выполнять роль Master, а R1 — Backup.

В примере используется не только резервирование маршрутизатора по умолчанию, но и балансировка нагрузки между двумя маршрутизаторами.

Хотя в обоих примерах использовались только два маршрутизатора, маршрутизаторов может быть и больше. Тогда будет один Master и несколько Backup и, при выходе из строя Master-маршрутизатора, приоритет присвоенный Backup-маршрутизаторам будет определять кто из них будет новым Master (если приоритет больше, то маршрутизатор становится Master). Если у маршрутизаторов одинаковые значения приоритетов, то сравниваются их IP-адреса — тот у кого больше IP-адрес, будет Master.

Как правило, IP-адреса компьютерам назначаются с помощью протокола DHCP. Во втором примере DHCP-сервер должен выдавать половине компьютеров в подсети IP-адрес маршрутизатора по умолчанию 10.0.1.1, а другой половине компьютеров — 10.0.1.2. Это можно реализовать с помощью опции 82 DHCP. Идея заключается в том чтобы выдавать компьютерам, которые подключены к разным коммутаторам, разные значения IP-адреса шлюза по умолчанию.

 

Тут так же каждый шлюз имеет свой IP, во вторых реализация DHCP не ясна - тут нужен или сторонний сервер, или опять же на каждом поднимать свой. По сути кроме проблем эта схема ничего не принесет, и простое существование 2-х серверов с DHCP на каждом оказывается выгоднее, проще в настройке, и гибче в реализации распределения абонентов, потому что можно их распределять посредством RADIUS сервера.

 

Кроме всего на микротике есть NAT на бридже, и можно легко сделать подмену MAC на запросах ARP, и сделать всем устройствам один и тот же IP в качестве адреса шлюза. В L3 транспортной сети не важно где и откуда пришел пакет - он в любом случае будет отправлен по сети к адресу назначения, а ответ придет в место нахождение IP адреса отправителя.

 

14 минут назад, alibek сказал:

Ну так есть же очевидное решение, нужно использовать четыре Микротика.

На двух будет два DHCP.

На одном будет шлюз.

Еще на одном будет NAT.

Типовая схема такая:

1. Установлены 2 микротика - абонентских шлюза, где DHCP.

2. Установлены 2 сервера шейпирования.

3. Установлены 2 сервера НАТ.

 

Но все эти терки с серверами DHCP лишь там, где абонентский трафик собирается вланами, а это старые подключения на коммутаторах, или подключения через ПОН.

На прямых подключениях абонентов в порт L3 коммутатора все это не требуется.