[alibek]

Взяли на тест железку, терминировать выделенные линии ЮЛ (на замену Cisco 7201).

Впечатления от нее неоднозначные, но суммарно пожалуй положительные.

 

Довольно своеобразный CLI. Например, вот конфигурация порта, который на cisco-like настраивается как switchport access vlan 10:

interface gigabitethernet 1/0/24
  mode switchport
  spanning-tree disable
  switchport forbidden default-vlan
  switchport general pvid 10
  switchport general allowed vlan add 10 untagged

Нужны обе строчки, и pvid, и allowed vlan.

 

Еще более спорно реализован файрвол.

Используется концепция зон (security zone), каждый интерфейс можно привязать к какой-либо из созданных зон.

Далее в конфигурации задаются правила для пары зон (например security zone-pair trusted self), где и указывается, что можно, а что нельзя. По умолчанию дропается все, что не разрешено явно (например если не описано правило или отсутствует пара зон). Результат получается довольно своеобразный, в чем-то удобный, в чем-то не очень.

По умолчанию файрвол работает в режиме statefull, отслеживает сессии и соответственно правила для зон можно задавать только в одном направлении (зеркальные правила прописывать вручную не надо).

Файрвол не очень умный, разные ALG не умеет, поэтому в каких-то случаях он бессилен (например при ассиметричном распределении трафика) и его придется выключать.

Кстати, по словам разработчиков, файрвол программный, но они уверяют, что сильно на производительности это сказываться не должно.

 

В плюсы можно занести сравнительно невысокую стоимость при наличии двух SFP+.

Правда на устройстве есть еще 24 гигабитных порта, уж не знаю зачем. Но их можно переключить в режим switchport и использовать как встроенный коммутатор.

Производительность зависит от размера пакетов и настроек файрвола, думаю что на реальном трафике можно рассчитывать на 5-6 Гбит/с.

 

Если у кого-то есть вопросы, можно писать сюда, пока железка на тестовом стенде.

Или может быть кто-то своими впечатлениями поделится.

 

На железке есть функционал BRAS, но довольно ограниченный.

PPPoE BRAS не умеет вообще (хотя умеет PPPoE-клиент и вроде бы даже PPPoE-сервер).

IPoE QnQ BRAS умеет, но не динамически, все QnQ-интерфейсы нужно прописывать заранее. Есть ограниченная поддержка Cisco ISG, можно через RADIUS назначать скорости и профили.

На ESR-1000 всего может быть не более 4 тысяч IP-интерфейсов; за вычетом служебных и транспортных линков на абонентские интерфейсы остается менее 4 тысяч, соответственно для 10G BRAS его применимость довольно ограничена. Но кому-то может подойти.

[vvertexx]

В 14.12.2021 в 13:22, alibek сказал:

Используется концепция зон (security zone), каждый интерфейс можно привязать к какой-либо из созданных зон.

Далее в конфигурации задаются правила для пары зон (например security zone-pair trusted self), где и указывается, что можно, а что нельзя. По умолчанию дропается все, что не разрешено явно (например если не описано правило или отсутствует пара зон). Результат получается довольно своеобразный, в чем-то удобный, в чем-то не очень.

Это стандартно для ZBF (Zone Based Firewall)

Сравнить бы с чем-нибудь типа juniper srx, по виду этот eltex как обычный файерволл

[Urs_ak]

Там есть commit изменений конфигурации ?

 

[alibek]

Да, что тоже можно записать в плюсы.

Только он двухэтапный.

Вначале в режиме конфигурации вносятся нужные изменения.

Затем делается commit — и внесенные изменения применяются.

Затем в течение 10 минут нужно сделать confirm, тогда внесенные изменения остануться.

Если не сделать вовремя confirm, то изменения откатятся.

 

Да, еще на интерфейсах можно включить историю и смотреть счетчики за минуту, час и трое суток.

Ну и есть история/графики по утилизации CPU и интерфейсов.

Мелочь, а приятно.

[Urs_ak]

Я бы ещё, по возможности, проверил как работает выгрузка netflow, а то некоторые отечественные производители (см. rdp.ru), в некоторых решениях, понимают под netflow, его урезанный вариант "и дорабатывать в планах нет".

 

Ещё я помню со старой конференции про GPON от Eltex, что "оказывается 10Г порты на терминале не прокачивают все 10 гигабит", "мы были удивлены что гирлянда на районе из OLT плохо работала"...

[alibek]

При случае проверю, пока что не требовалось.

 

Кстати, в ESR есть почти штатный способ попасть в оболочку ОС.

Под капотом там кастомный линукс, вроде как busybox, имеются в наличии базовые линуксовые утилиты, в том числе sudo, tcpdump, top, ps.

Особо не представляю, где это может пригодиться, но лучше пусть такая возможность будет, чем не будет.

[alibek]

Дополню.

Линки 10G, на te1/0/2 настроен абонентский сабинтерфейс, на стороне абонента Кинетик Гига и производительный ноутбук (которые вполне могут утилизовать гигабит).

 

1. При проводном подключении через speedtest получается 600-700 Мбит/с. На торрентах можно получить до 800 Мбит/с. На этой же конфигурации (на другом BRAS) я получал до 900-950 Мбит/с.

2. Не очень хорошо работает ограничение скорости. На входящий трафик оно работает более-менее точно, но исходящий трафик почти не ограничивает. Например если задать ограничение 200 Мбит/с, то на входящем будет около 200 Мбит/с, а вот на исходящем может быть и 500, и 700 Мбит/с. Если же ограничение задать более жестко (уменьшить burst), чтобы исходящий трафик тоже более-менее ограничивался, то на входящем трафике возникают большие потери пакетов и обрывы соединения.

3. При запуске торрентов 800 Мбит/с нагрузка процессора на ESR-1000 в среднем выходила около 20%. Не знаю, насколько будет линейным рост нагрузки на процессор при росте трафика, но если нагрузка на процессор будет увеличиваться пропорционально, значит на ESR-1000 можно будет обработать не более 4 Гбит/с трафика.

4. Даже если выключить ограничение скорости на выделенной линии, все равно мне не удалось получить больше 900 Мбит/с, причем и этот трафик был краткосрочным. Такое впечатление, что при обработке большого трафика на конкретной выделенной линии на ESR-1000 переполняется или заканчивается какой-то ресурс и устройство снижает скорость.

5. При большом трафике периодически пропадает связь с интернетом, при этом пинги потерь не показывают. Такое ощущение, что на ESR-1000 срабатывает какой-то порог и он на несколько секунд перестает пропускать трафик на наиболее активных сессиях.

 

В общем написал пока в ТП, может быть у меня конфигурация неоптимальна.

Но пока что ESR-1000 не впечатлил.

[guеst]

из-за то что там глубоко под капотом линукс, то периодически придётся спотыкаться...

например, при настройке OSPF выяснилось, что нельзя оперировать weight ,

пришлось разруливать cost по интерфейсам...

(используем ESR1000-FSTEC)

Изменено 16 декабря, 2021 пользователем guеst

[alibek]

В процессе использования вылезла еще одна проблема.

Маршрутизатор распределяет нагрузку по ядрам (16 ядер у ESR-1000). Распределяет более-менее равномерно.

Но минимальной единицей нагрузки является поток (tcp-сессия), причем производительности ядра хватает примерно на 530 Мбит/с трафика типового абонента.

Соответственно, это и будет потолком производительности для одного потока.

В торрентах это несущественно, а вот в веб-серфинге и замерах через speedtest может быть заметно.

[VolanD666]

В 10.01.2022 в 14:47, alibek сказал:

В процессе использования вылезла еще одна проблема.

Маршрутизатор распределяет нагрузку по ядрам (16 ядер у ESR-1000). Распределяет более-менее равномерно.

Но минимальной единицей нагрузки является поток (tcp-сессия), причем производительности ядра хватает примерно на 530 Мбит/с трафика типового абонента.

Соответственно, это и будет потолком производительности для одного потока.

В торрентах это несущественно, а вот в веб-серфинге и замерах через speedtest может быть заметно.

В смысле он софтварно пакеты роутит?

[Saab95]

А оно точно своей цены стоит?

[vvertexx]

@Saab95 

Не стоит. 5 микротиков будут явно лучше

[alibek]

В 10.01.2022 в 18:15, VolanD666 сказал:

В смысле он софтварно пакеты роутит?

Чистый роутинг может и нет.

Но если используется файрвол, шейпер или полисер, то CPU участвует.

[VolanD666]

В 10.01.2022 в 19:48, vvertexx сказал:

@Saab95 

Не стоит. 5 микротиков будут явно лучше

10 микротиков, не забывайте про ЗИП :)

[alibek]

Микротик тут вообще не подходит.

К BRAS предъявлялись определенные требования, Микротик им не соответствовал.