[Numitor]

Спасибо. очень полезно.

Подскажите у вас 2116 в единственном экземпляре или как то резервируется? Ищу варианты как сделать резерв двух nat роутеров.

[HarDik]

Цитата

Как уточнение вопроса - вы в фильтрах БГП и в фильтрах файрвола закрыли возможность получать входящий трафик с вашими IP? Иногда бывает так, что один оператор начинает пересылать ваш исходящий через другого и на порт льется мусорный трафик, иногда его может быть много. Некоторые провайдеры видят это, или у них идет превышение TTL и сообщают, некоторые такие ситуации не мониторят и не сообщают подключенным операторам о проблеме.

Очень заинтересовала тема входящий трафик со своими IP, есть ли пример правил? и как можно это выловить?

[Negator]

В 28.12.2023 в 20:54, Numitor сказал:

Спасибо. очень полезно.

Подскажите у вас 2116 в единственном экземпляре или как то резервируется? Ищу варианты как сделать резерв двух nat роутеров.

VRRP можно сделать если роутеры только NAT делают. Даже с синхронизацией NAT трансляций

[Saab95]

В 28.12.2023 в 20:54, Numitor сказал:

Подскажите у вас 2116 в единственном экземпляре или как то резервируется? Ищу варианты как сделать резерв двух nat роутеров.

Просто нужно НАТ выносить на отдельные устройства и заворачивать на них трафик или маршрутами, или маркировкой маршрута. Тут сразу можно управлять кто на какой НАТ роутер идет, и автоматически перенаправлять трафик на один, при неисправностях.

 

 

 

1 час назад, Negator сказал:

VRRP можно сделать если роутеры только NAT делают. Даже с синхронизацией NAT трансляций

Интересно, если будет 10 НАТ роутеров тоже VRRP поднимать?

[OOODecada]

Quote

Просто нужно НАТ выносить на отдельные устройства и заворачивать на них трафик или маршрутами, или маркировкой маршрута. Тут сразу можно управлять кто на какой НАТ роутер идет, и автоматически перенаправлять трафик на один, при неисправностях.

Присоединяюсь к копросу, у меня NAT на отдельных устройствах, вопрос как резервировать одно в случае отказа. Схема такая, bgp роутер, с него линковочной сетью еще роутер для шейпинга по ip, далее несколько роутеров для NAT, но каждый подключен на свой пул адресов/абонентов. Подскажите пожалуйста как зарезервировать все NAT роутеры в такой схеме, только не общими фразами если можно . 

И еще если можно один вопрос, я видел обсуждение об "L3 транспорте", я вцелом понял плюсы такого решения, но можете описать как именно это реализовать на микротиках? У меня влан на пользователя выделяется, но тянется до NAT роутера, что нужно изменить в этой схеме для перехода к "L3 транспорту" ?

Изменено 13 января пользователем OOODecada

[Qlobus]

@OOODecada для этого всегда нужно иметь резервного оборудование с бекап конфигурации.

У нас даже было ситуация что вечером в час пик Cisco ASR 9k перестал работать... То есть любой оборудование которое зависит от электричество всегда без гарантии... 

6 часов назад, OOODecada сказал:

Присоединяюсь к копросу, у меня NAT на отдельных устройствах, вопрос как резервировать одно в случае отказа. Схема такая, bgp роутер, с него линковочной сетью еще роутер для шейпинга по ip, далее несколько роутеров для NAT, но каждый подключен на свой пул адресов/абонентов. Подскажите пожалуйста как зарезервировать все NAT роутеры в такой схеме, только не общими фразами если можно . 

И еще если можно один вопрос, я видел обсуждение об "L3 транспорте", я вцелом понял плюсы такого решения, но можете описать как именно это реализовать на микротиках? У меня влан на пользователя выделяется, но тянется до NAT роутера, что нужно изменить в этой схеме для перехода к "L3 транспорту" ?

 

 

В 26.12.2023 в 14:34, mark_47 сказал:

Добавлю немного информации по поводу сравнения производительности CCR2116-12G-4S+ и CCR1036-8G-2S+ в качестве маршрутизатора для NAT

Перешли на 2116 из-за наличия второго БП.

Трафик Tx 14Gbit/s / Rx 14Gbit/s (2 порта sfp+ в bonding)

В часы пиковой нагрузки CPU на 1036 был занят на ~60%, на 2116 на ~45%

IP firewall NAT action same

В filter rules 5 правил для безопасности

На 1036 RouterOS v6

Ничего специфичного больше не настроено

Спасибо за отзыв. 

[Saab95]

В 13.01.2024 в 16:41, OOODecada сказал:

у меня NAT на отдельных устройствах, вопрос как резервировать одно в случае отказа

Вот для этого и нужна транспортная IP сеть. Где у вас еще до ядра терминируются абоненты (получают IP адреса), а в центре чистый IP трафик.

 

Например у вас есть 3 НАТ, 3 шейпера и 3 БГП. Соединяете их все между собой перекрестными связями, что бы каждое из устройств своей роли могло передавать данные остальным.

 

То есть сначала идут 3 БГП, к ним подключены 3 НАТ, и к ним 3 шейпера. На шейпера приходят абонентские каналы. Допустим устанавливаете один или несколько коммутаторов перед шейперами, с удаленных точек терминации пускаете 3 канала (влана), каждый влан заводится на своем шейпере. Весами маршрутов разделяете каналы так, что бы равномерно загружать роутеры.

 

При отказе любого устройства он просто выключается из схемы, через OSPF все остальные устройства узнают, что оно неисправно и продолжают передавать данные. Биллинг должен поддерживать 3 копии правил на всех устройствах.

[Negator]

В 23.01.2024 в 23:20, Saab95 сказал:

Вот для этого и нужна транспортная IP сеть. Где у вас еще до ядра терминируются абоненты (получают IP адреса), а в центре чистый IP трафик.

 

Например у вас есть 3 НАТ, 3 шейпера и 3 БГП. Соединяете их все между собой перекрестными связями, что бы каждое из устройств своей роли могло передавать данные остальным.

 

То есть сначала идут 3 БГП, к ним подключены 3 НАТ, и к ним 3 шейпера. На шейпера приходят абонентские каналы. Допустим устанавливаете один или несколько коммутаторов перед шейперами, с удаленных точек терминации пускаете 3 канала (влана), каждый влан заводится на своем шейпере. Весами маршрутов разделяете каналы так, что бы равномерно загружать роутеры.

 

При отказе любого устройства он просто выключается из схемы, через OSPF все остальные устройства узнают, что оно неисправно и продолжают передавать данные. Биллинг должен поддерживать 3 копии правил на всех устройствах.

 Ага, в теории все красиво.

А на практике появляются нюансы.

[OOODecada]

Saab95, спасибо за советы хотя не все понял, особенно зачем ospf т.к. пользователи заводятся и удаляются скриптом. Еще вопрос если можно "с удаленных точек терминации пускаете 3 канала (влана)" - так эти вланы если заведены на свой шейпер так же создают точку отказа, только теперь шейпера?

 

Negator, "А на практике появляются нюансы." опишите пожалуйста на какие нюансы обратить внимание?

[Saab95]

В 26.01.2024 в 17:16, OOODecada сказал:

особенно зачем ospf т.к. пользователи заводятся и удаляются скриптом.

Что бы маршруты появлялись до IP адресов абонентов. Они же через OSPF анонсируются.

 

В 26.01.2024 в 17:16, OOODecada сказал:

"с удаленных точек терминации пускаете 3 канала (влана)" - так эти вланы если заведены на свой шейпер так же создают точку отказа, только теперь шейпера?

Допустим у вас 3 шейпера, на первом шейпере создаете вланы 101, 102 и 103, каждый влан идет на одну из трех точек терминации. На втором шейпере вланы 201, 202 и 203, на третьем 301, 302 и 303.

 

На первом шейпере вес маршрута через влан 101 самый низкий, на втором шейпере через влан 202, на третьем через влан 303. Поэтому каждая точка терминации работает со своим шейпером. Если один шейпер сломается, то его трафик перераспределится на оставшиеся 2 шейпера, т.к. малый вес маршрута через один из вланов пропадет, данные пойдут через другие вланы на шейпера.

 

В 26.01.2024 в 13:06, Negator сказал:

А на практике появляются нюансы.

Нюансы бывают лишь в случаях, когда с микротиком начинают работать цисковскими методами. Если все конфигурации делать в правильных схемах микротика, даже 40 тысяч маршрутов в OSPF нормально отрабатывает.

 

Проблемы будут, когда пытаются маршруты агрегировать, мол что бы освободить память маршрутизаторов и снизить нагрузку. На практике нагрузка только увеличивается.

[Negator]

В 26.01.2024 в 17:16, OOODecada сказал:

Saab95, спасибо за советы хотя не все понял, особенно зачем ospf т.к. пользователи заводятся и удаляются скриптом. Еще вопрос если можно "с удаленных точек терминации пускаете 3 канала (влана)" - так эти вланы если заведены на свой шейпер так же создают точку отказа, только теперь шейпера?

 

Negator, "А на практике появляются нюансы." опишите пожалуйста на какие нюансы обратить внимание?

В  BGP вы не можете управлять входящим трафиком. Только косвенными методами.

А вообще в религию Saab-a я не полезу. 

[DeLL]

В последней бете сломали врф. IP тунель вывалился из врф и обратно никак

[QWE]

"VRRP можно сделать если роутеры только NAT делают. Даже с синхронизацией NAT трансляций " 

 

Скрипт крутить для перемещения коннекшенов?

[Negator]

В 03.03.2024 в 17:43, QWE сказал:

"VRRP можно сделать если роутеры только NAT делают. Даже с синхронизацией NAT трансляций " 

 

Скрипт крутить для перемещения коннекшенов?

*) vrrp - добавлена совместимость "sync-connection-tracking" с preemption-mode;

[StarGazer]

Привет, народ. 
В продолжении темы. 
Есть у нас 2216 и мы все думаем куда его применить. Так как у нас трудится несколько штук 1072 уже очень давно и постепенно потребуют замены. 
Сценариев у нас три
- BGP (два аппарат соединенные по ibgp на каждом по одному пиру FW) (загрузка ЦП 15% на каждом)
- NAT (Около 130 правил натирования (для частников с выделенными IP) и для остальных абонентов) трафик около 10 gbit/s (загрузка ЦП в районе 60%)
- Firewall (много правил в firewall) и правила на Bridge\Filter. Загрузка ЦП 50%

 

Собственно пробовали ставить 2216 на BGP - справляется, но работает хуже, загрузка цп выше немного чем на 1072. 

 

Но как же так? В презентациях Микротик нам обещал гиганский прирост производительности в BGP до 6 раз по сравнению с 1036 на RoS V6. 
Где он? 
И зачем там вообще switch-чип?
Написано так же, что 2216 за счет него в 4 раза быстрее чем 1072. 
При каких сценариях он полезен? Как задействовать этот чип? В настройках HWL3 включен на интерфейсах, конечно. 
 

[jffulcrum]

Надо смотреть в Tools - Profile, чем именно занят процессор. Ускорение обещано для операций вроде перестройки таблицы маршрутизации - оно есть. Чтобы ускорить BGP, надо изучить Routing Protocol Multi-core Support - RouterOS - MikroTik Documentation  - не все опции включены по-умолчанию. L3HW конкретно для сценария с BGP сейчас бесполезно, и даже вредно - там есть конфликт с BFD, ну или надо пробовать самые последние версии ROS. Для остальных сценариев надо тестировать. Свитч-чип позволяет делать "бесплатные" bridge, и использовать fast-forward между портами в пределах одного чипа, а также использовать Bridge VLAN filtering (который на старых CCR просто противопоказан). 

[Saab95]

В 05.04.2024 в 15:56, StarGazer сказал:

Но как же так? В презентациях Микротик нам обещал гиганский прирост производительности в BGP до 6 раз по сравнению с 1036 на RoS V6. 

У микротика чипы для производства CCR закончились, а ampere еще не поступил в производство роутеров, срочно нужно было показать какое-то "революционное" решение, что бы иметь в линейке мощные роутеры и, заодно, подтянуть пользователей на глючную 7 версию ПО.

 

В 05.04.2024 в 15:56, StarGazer сказал:

И зачем там вообще switch-чип?

Как зачем - что бы процессор, у которого нет встроенных сетевых портов, мог иметь возможность данные через интерфейсы передавать.

 

В 05.04.2024 в 15:56, StarGazer сказал:

- Firewall (много правил в firewall) и правила на Bridge\Filter. Загрузка ЦП 50%

Многие задачи по ограничению доступа можно решить иными способами, кроме как создавать миллионы правил.

[gger]

——

Изменено 13 апреля пользователем gger

[gger]

@Saab95 

приветствую.
можно позадавать несколько вопросов в телеге?
@ggerik

[QWE]

" Свитч-чип позволяет делать "бесплатные" bridge"

 

у этой модели "бесплатные" бриджи CCR1009-7G-1C-1S+ ?

[gger]

@QWE для «бесплатных бриджей» необходим свич чип.

1. Открываем яндекс, вписываем туда модель микротика и идем по ссылке на офф сайт.

2. Далее вкладка support, выбираем block diagram.

3. И видим, что в данной модели нифига нету свич чипа.

 

но если загуглить другой 1009 - ccr1009-8g-1s, то вот в нем уже будет свич чип.

 

к тому же настоятельно рекомендую поизучать возможности свич чипов и методы настройки. Они нифига не легко настраиваются. Скажу так, если настраивать через меню switch в винбоксе, то столкнетесь с болью и страданиями. Гуглите «bridge hardware offloading”

Скрытый текст

https://help.mikrotik.com/docs/display/ROS/Bridging+and+Switching#BridgingandSwitching-BridgeHardwareOffloading

и идите на официальную страницу с мануалом. Там красивая табличка с описанием какой чип что может. Стоит обратить внимание на столбец «bridge vlan filtering” и пользоваться теми чипами, которые это умеют. А умеют только crs 3 и 5 серии +ccr2116/2216

и еще что-то из старого, но только на ros7.

 

Если дочитали до конца, то купите свич, поставьте после микротика и не мучайтесь 😉 

Изменено 15 апреля пользователем gger

[HarDik]

Тут как то проскакивало что на маршрутизаторах серии ccr без свич чипа, лучше не использовать функцию bridge/vlan  , у меня вопрос а как  лучше разгуливать vlan? Городить огород из влан и бриджей ?)) Или это все фигня и можно пользоваться  и не париться ?

Изменено Четверг в 03:56 пользователем HarDik

[jffulcrum]

Просто не передавать L2 через роутер. Делать (SVI) VLAN интерфейсы к физическим портам и терминировать их на роутере.

[Negator]

9 часов назад, HarDik сказал:

Тут как то проскакивало что на маршрутизаторах серии ccr без свич чипа, лучше не использовать функцию bridge/vlan  , у меня вопрос а как  лучше разгуливать vlan? Городить огород из влан и бриджей ?)) Или это все фигня и можно пользоваться  и не париться ?

Все будет работать, но обрабатываться процессором. Точнее кучей процов на CCR
И оно все достаточно производительное.