alibek Posted December 14, 2021 · Report post Взяли на тест железку, терминировать выделенные линии ЮЛ (на замену Cisco 7201). Впечатления от нее неоднозначные, но суммарно пожалуй положительные. Довольно своеобразный CLI. Например, вот конфигурация порта, который на cisco-like настраивается как switchport access vlan 10: interface gigabitethernet 1/0/24 mode switchport spanning-tree disable switchport forbidden default-vlan switchport general pvid 10 switchport general allowed vlan add 10 untagged Нужны обе строчки, и pvid, и allowed vlan. Еще более спорно реализован файрвол. Используется концепция зон (security zone), каждый интерфейс можно привязать к какой-либо из созданных зон. Далее в конфигурации задаются правила для пары зон (например security zone-pair trusted self), где и указывается, что можно, а что нельзя. По умолчанию дропается все, что не разрешено явно (например если не описано правило или отсутствует пара зон). Результат получается довольно своеобразный, в чем-то удобный, в чем-то не очень. По умолчанию файрвол работает в режиме statefull, отслеживает сессии и соответственно правила для зон можно задавать только в одном направлении (зеркальные правила прописывать вручную не надо). Файрвол не очень умный, разные ALG не умеет, поэтому в каких-то случаях он бессилен (например при ассиметричном распределении трафика) и его придется выключать. Кстати, по словам разработчиков, файрвол программный, но они уверяют, что сильно на производительности это сказываться не должно. В плюсы можно занести сравнительно невысокую стоимость при наличии двух SFP+. Правда на устройстве есть еще 24 гигабитных порта, уж не знаю зачем. Но их можно переключить в режим switchport и использовать как встроенный коммутатор. Производительность зависит от размера пакетов и настроек файрвола, думаю что на реальном трафике можно рассчитывать на 5-6 Гбит/с. Если у кого-то есть вопросы, можно писать сюда, пока железка на тестовом стенде. Или может быть кто-то своими впечатлениями поделится. На железке есть функционал BRAS, но довольно ограниченный. PPPoE BRAS не умеет вообще (хотя умеет PPPoE-клиент и вроде бы даже PPPoE-сервер). IPoE QnQ BRAS умеет, но не динамически, все QnQ-интерфейсы нужно прописывать заранее. Есть ограниченная поддержка Cisco ISG, можно через RADIUS назначать скорости и профили. На ESR-1000 всего может быть не более 4 тысяч IP-интерфейсов; за вычетом служебных и транспортных линков на абонентские интерфейсы остается менее 4 тысяч, соответственно для 10G BRAS его применимость довольно ограничена. Но кому-то может подойти. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vvertexx Posted December 14, 2021 · Report post В 14.12.2021 в 13:22, alibek сказал: Используется концепция зон (security zone), каждый интерфейс можно привязать к какой-либо из созданных зон. Далее в конфигурации задаются правила для пары зон (например security zone-pair trusted self), где и указывается, что можно, а что нельзя. По умолчанию дропается все, что не разрешено явно (например если не описано правило или отсутствует пара зон). Результат получается довольно своеобразный, в чем-то удобный, в чем-то не очень. Это стандартно для ZBF (Zone Based Firewall) Сравнить бы с чем-нибудь типа juniper srx, по виду этот eltex как обычный файерволл Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Urs_ak Posted December 14, 2021 · Report post Там есть commit изменений конфигурации ? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alibek Posted December 14, 2021 · Report post Да, что тоже можно записать в плюсы. Только он двухэтапный. Вначале в режиме конфигурации вносятся нужные изменения. Затем делается commit — и внесенные изменения применяются. Затем в течение 10 минут нужно сделать confirm, тогда внесенные изменения остануться. Если не сделать вовремя confirm, то изменения откатятся. Да, еще на интерфейсах можно включить историю и смотреть счетчики за минуту, час и трое суток. Ну и есть история/графики по утилизации CPU и интерфейсов. Мелочь, а приятно. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Urs_ak Posted December 14, 2021 · Report post Я бы ещё, по возможности, проверил как работает выгрузка netflow, а то некоторые отечественные производители (см. rdp.ru), в некоторых решениях, понимают под netflow, его урезанный вариант "и дорабатывать в планах нет". Ещё я помню со старой конференции про GPON от Eltex, что "оказывается 10Г порты на терминале не прокачивают все 10 гигабит", "мы были удивлены что гирлянда на районе из OLT плохо работала"... Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alibek Posted December 14, 2021 · Report post При случае проверю, пока что не требовалось. Кстати, в ESR есть почти штатный способ попасть в оболочку ОС. Под капотом там кастомный линукс, вроде как busybox, имеются в наличии базовые линуксовые утилиты, в том числе sudo, tcpdump, top, ps. Особо не представляю, где это может пригодиться, но лучше пусть такая возможность будет, чем не будет. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alibek Posted December 15, 2021 · Report post Дополню. Линки 10G, на te1/0/2 настроен абонентский сабинтерфейс, на стороне абонента Кинетик Гига и производительный ноутбук (которые вполне могут утилизовать гигабит). 1. При проводном подключении через speedtest получается 600-700 Мбит/с. На торрентах можно получить до 800 Мбит/с. На этой же конфигурации (на другом BRAS) я получал до 900-950 Мбит/с. 2. Не очень хорошо работает ограничение скорости. На входящий трафик оно работает более-менее точно, но исходящий трафик почти не ограничивает. Например если задать ограничение 200 Мбит/с, то на входящем будет около 200 Мбит/с, а вот на исходящем может быть и 500, и 700 Мбит/с. Если же ограничение задать более жестко (уменьшить burst), чтобы исходящий трафик тоже более-менее ограничивался, то на входящем трафике возникают большие потери пакетов и обрывы соединения. 3. При запуске торрентов 800 Мбит/с нагрузка процессора на ESR-1000 в среднем выходила около 20%. Не знаю, насколько будет линейным рост нагрузки на процессор при росте трафика, но если нагрузка на процессор будет увеличиваться пропорционально, значит на ESR-1000 можно будет обработать не более 4 Гбит/с трафика. 4. Даже если выключить ограничение скорости на выделенной линии, все равно мне не удалось получить больше 900 Мбит/с, причем и этот трафик был краткосрочным. Такое впечатление, что при обработке большого трафика на конкретной выделенной линии на ESR-1000 переполняется или заканчивается какой-то ресурс и устройство снижает скорость. 5. При большом трафике периодически пропадает связь с интернетом, при этом пинги потерь не показывают. Такое ощущение, что на ESR-1000 срабатывает какой-то порог и он на несколько секунд перестает пропускать трафик на наиболее активных сессиях. В общем написал пока в ТП, может быть у меня конфигурация неоптимальна. Но пока что ESR-1000 не впечатлил. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
guеst Posted December 16, 2021 (edited) · Report post из-за то что там глубоко под капотом линукс, то периодически придётся спотыкаться... например, при настройке OSPF выяснилось, что нельзя оперировать weight , пришлось разруливать cost по интерфейсам... (используем ESR1000-FSTEC) Edited December 16, 2021 by guеst Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alibek Posted January 10, 2022 · Report post В процессе использования вылезла еще одна проблема. Маршрутизатор распределяет нагрузку по ядрам (16 ядер у ESR-1000). Распределяет более-менее равномерно. Но минимальной единицей нагрузки является поток (tcp-сессия), причем производительности ядра хватает примерно на 530 Мбит/с трафика типового абонента. Соответственно, это и будет потолком производительности для одного потока. В торрентах это несущественно, а вот в веб-серфинге и замерах через speedtest может быть заметно. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
VolanD666 Posted January 10, 2022 · Report post В 10.01.2022 в 14:47, alibek сказал: В процессе использования вылезла еще одна проблема. Маршрутизатор распределяет нагрузку по ядрам (16 ядер у ESR-1000). Распределяет более-менее равномерно. Но минимальной единицей нагрузки является поток (tcp-сессия), причем производительности ядра хватает примерно на 530 Мбит/с трафика типового абонента. Соответственно, это и будет потолком производительности для одного потока. В торрентах это несущественно, а вот в веб-серфинге и замерах через speedtest может быть заметно. В смысле он софтварно пакеты роутит? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Saab95 Posted January 10, 2022 · Report post А оно точно своей цены стоит? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vvertexx Posted January 10, 2022 · Report post @Saab95 Не стоит. 5 микротиков будут явно лучше Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alibek Posted January 10, 2022 · Report post В 10.01.2022 в 18:15, VolanD666 сказал: В смысле он софтварно пакеты роутит? Чистый роутинг может и нет. Но если используется файрвол, шейпер или полисер, то CPU участвует. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
VolanD666 Posted January 11, 2022 · Report post В 10.01.2022 в 19:48, vvertexx сказал: @Saab95 Не стоит. 5 микротиков будут явно лучше 10 микротиков, не забывайте про ЗИП :) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alibek Posted January 11, 2022 · Report post Микротик тут вообще не подходит. К BRAS предъявлялись определенные требования, Микротик им не соответствовал. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...