Jump to content
Калькуляторы

Eltex ESR-1000 - общие впечатления и мини-отзыв

Взяли на тест железку, терминировать выделенные линии ЮЛ (на замену Cisco 7201).

Впечатления от нее неоднозначные, но суммарно пожалуй положительные.

 

Довольно своеобразный CLI. Например, вот конфигурация порта, который на cisco-like настраивается как switchport access vlan 10:

interface gigabitethernet 1/0/24
  mode switchport
  spanning-tree disable
  switchport forbidden default-vlan
  switchport general pvid 10
  switchport general allowed vlan add 10 untagged

Нужны обе строчки, и pvid, и allowed vlan.

 

Еще более спорно реализован файрвол.

Используется концепция зон (security zone), каждый интерфейс можно привязать к какой-либо из созданных зон.

Далее в конфигурации задаются правила для пары зон (например security zone-pair trusted self), где и указывается, что можно, а что нельзя. По умолчанию дропается все, что не разрешено явно (например если не описано правило или отсутствует пара зон). Результат получается довольно своеобразный, в чем-то удобный, в чем-то не очень.

По умолчанию файрвол работает в режиме statefull, отслеживает сессии и соответственно правила для зон можно задавать только в одном направлении (зеркальные правила прописывать вручную не надо).

Файрвол не очень умный, разные ALG не умеет, поэтому в каких-то случаях он бессилен (например при ассиметричном распределении трафика) и его придется выключать.

Кстати, по словам разработчиков, файрвол программный, но они уверяют, что сильно на производительности это сказываться не должно.

 

В плюсы можно занести сравнительно невысокую стоимость при наличии двух SFP+.

Правда на устройстве есть еще 24 гигабитных порта, уж не знаю зачем. Но их можно переключить в режим switchport и использовать как встроенный коммутатор.

Производительность зависит от размера пакетов и настроек файрвола, думаю что на реальном трафике можно рассчитывать на 5-6 Гбит/с.

 

Если у кого-то есть вопросы, можно писать сюда, пока железка на тестовом стенде.

Или может быть кто-то своими впечатлениями поделится.

 

На железке есть функционал BRAS, но довольно ограниченный.

PPPoE BRAS не умеет вообще (хотя умеет PPPoE-клиент и вроде бы даже PPPoE-сервер).

IPoE QnQ BRAS умеет, но не динамически, все QnQ-интерфейсы нужно прописывать заранее. Есть ограниченная поддержка Cisco ISG, можно через RADIUS назначать скорости и профили.

На ESR-1000 всего может быть не более 4 тысяч IP-интерфейсов; за вычетом служебных и транспортных линков на абонентские интерфейсы остается менее 4 тысяч, соответственно для 10G BRAS его применимость довольно ограничена. Но кому-то может подойти.

Share this post


Link to post
Share on other sites

В 14.12.2021 в 13:22, alibek сказал:

Используется концепция зон (security zone), каждый интерфейс можно привязать к какой-либо из созданных зон.

Далее в конфигурации задаются правила для пары зон (например security zone-pair trusted self), где и указывается, что можно, а что нельзя. По умолчанию дропается все, что не разрешено явно (например если не описано правило или отсутствует пара зон). Результат получается довольно своеобразный, в чем-то удобный, в чем-то не очень.

Это стандартно для ZBF (Zone Based Firewall)

Сравнить бы с чем-нибудь типа juniper srx, по виду этот eltex как обычный файерволл

Share this post


Link to post
Share on other sites

Да, что тоже можно записать в плюсы.

Только он двухэтапный.

Вначале в режиме конфигурации вносятся нужные изменения.

Затем делается commit — и внесенные изменения применяются.

Затем в течение 10 минут нужно сделать confirm, тогда внесенные изменения остануться.

Если не сделать вовремя confirm, то изменения откатятся.

 

Да, еще на интерфейсах можно включить историю и смотреть счетчики за минуту, час и трое суток.

Ну и есть история/графики по утилизации CPU и интерфейсов.

Мелочь, а приятно.

Share this post


Link to post
Share on other sites

Я бы ещё, по возможности, проверил как работает выгрузка netflow, а то некоторые отечественные производители (см. rdp.ru), в некоторых решениях, понимают под netflow, его урезанный вариант "и дорабатывать в планах нет".

 

Ещё я помню со старой конференции про GPON от Eltex, что "оказывается 10Г порты на терминале не прокачивают все 10 гигабит", "мы были удивлены что гирлянда на районе из OLT плохо работала"...

Share this post


Link to post
Share on other sites

При случае проверю, пока что не требовалось.

 

Кстати, в ESR есть почти штатный способ попасть в оболочку ОС.

Под капотом там кастомный линукс, вроде как busybox, имеются в наличии базовые линуксовые утилиты, в том числе sudo, tcpdump, top, ps.

Особо не представляю, где это может пригодиться, но лучше пусть такая возможность будет, чем не будет.

Share this post


Link to post
Share on other sites

Дополню.

Линки 10G, на te1/0/2 настроен абонентский сабинтерфейс, на стороне абонента Кинетик Гига и производительный ноутбук (которые вполне могут утилизовать гигабит).

 

1. При проводном подключении через speedtest получается 600-700 Мбит/с. На торрентах можно получить до 800 Мбит/с. На этой же конфигурации (на другом BRAS) я получал до 900-950 Мбит/с.

2. Не очень хорошо работает ограничение скорости. На входящий трафик оно работает более-менее точно, но исходящий трафик почти не ограничивает. Например если задать ограничение 200 Мбит/с, то на входящем будет около 200 Мбит/с, а вот на исходящем может быть и 500, и 700 Мбит/с. Если же ограничение задать более жестко (уменьшить burst), чтобы исходящий трафик тоже более-менее ограничивался, то на входящем трафике возникают большие потери пакетов и обрывы соединения.

3. При запуске торрентов 800 Мбит/с нагрузка процессора на ESR-1000 в среднем выходила около 20%. Не знаю, насколько будет линейным рост нагрузки на процессор при росте трафика, но если нагрузка на процессор будет увеличиваться пропорционально, значит на ESR-1000 можно будет обработать не более 4 Гбит/с трафика.

4. Даже если выключить ограничение скорости на выделенной линии, все равно мне не удалось получить больше 900 Мбит/с, причем и этот трафик был краткосрочным. Такое впечатление, что при обработке большого трафика на конкретной выделенной линии на ESR-1000 переполняется или заканчивается какой-то ресурс и устройство снижает скорость.

5. При большом трафике периодически пропадает связь с интернетом, при этом пинги потерь не показывают. Такое ощущение, что на ESR-1000 срабатывает какой-то порог и он на несколько секунд перестает пропускать трафик на наиболее активных сессиях.

 

В общем написал пока в ТП, может быть у меня конфигурация неоптимальна.

Но пока что ESR-1000 не впечатлил.

Share this post


Link to post
Share on other sites

из-за то что там глубоко под капотом линукс, то периодически придётся спотыкаться...

например, при настройке OSPF выяснилось, что нельзя оперировать weight ,

пришлось разруливать cost по интерфейсам...

(используем ESR1000-FSTEC)

Edited by guеst

Share this post


Link to post
Share on other sites

В процессе использования вылезла еще одна проблема.

Маршрутизатор распределяет нагрузку по ядрам (16 ядер у ESR-1000). Распределяет более-менее равномерно.

Но минимальной единицей нагрузки является поток (tcp-сессия), причем производительности ядра хватает примерно на 530 Мбит/с трафика типового абонента.

Соответственно, это и будет потолком производительности для одного потока.

В торрентах это несущественно, а вот в веб-серфинге и замерах через speedtest может быть заметно.

Share this post


Link to post
Share on other sites

В 10.01.2022 в 14:47, alibek сказал:

В процессе использования вылезла еще одна проблема.

Маршрутизатор распределяет нагрузку по ядрам (16 ядер у ESR-1000). Распределяет более-менее равномерно.

Но минимальной единицей нагрузки является поток (tcp-сессия), причем производительности ядра хватает примерно на 530 Мбит/с трафика типового абонента.

Соответственно, это и будет потолком производительности для одного потока.

В торрентах это несущественно, а вот в веб-серфинге и замерах через speedtest может быть заметно.

В смысле он софтварно пакеты роутит?

Share this post


Link to post
Share on other sites

В 10.01.2022 в 18:15, VolanD666 сказал:

В смысле он софтварно пакеты роутит?

Чистый роутинг может и нет.

Но если используется файрвол, шейпер или полисер, то CPU участвует.

Share this post


Link to post
Share on other sites

Микротик тут вообще не подходит.

К BRAS предъявлялись определенные требования, Микротик им не соответствовал.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.