[sirmax]

В связи с текущими событиями озадачился вопросом замены линукса на железку. 
 

причина - моя внезапная смерть или невозможность работы стала более вероятной, в Харькове, а подставлять работодателя оставив его с линуксом один на один я не считаю честным. 
 

За сим прошу рекомендаций, желательно циску для замены линукса

 

Схема сети проста - ip unnumbered и влан на дом, вланы приземляются на каталист 4948е на линуксе только нат а бгп, шейперов минимум, почти все на скорости порта. 

[sdy_moscow]

В 03.12.2022 в 00:37, sirmax сказал:

В связи с текущими событиями озадачился вопросом замены линукса на железку. 
причина - моя внезапная смерть или невозможность работы стала более вероятной, в Харькове, а подставлять работодателя оставив его с линуксом один на один я не считаю честным. 
 

За сим прошу рекомендаций, желательно циску для замены линукса

Схема сети проста - ip unnumbered и влан на дом, вланы приземляются на каталист 4948е на линуксе только нат а бгп, шейперов минимум, почти все на скорости порта. 

Ну во-первых, не торопись могилизироваться.

Во-вторых,спецов по линуху не меньше чем по сиськам, ну и, и то и то можно админить удаленно.

В-третьих, ты зря не продублировал в вопросе сколько Гигабит и fw тебе надо рутить и натить! (не сразу увидел в теме).

В-четвертых есть ли бюджет?

В-пятых а е-бэй у вас сейчас работает? Смотрел там?

А так до 10Гб - ASR смотри с 10 Гб портами и памяти гигов 8-16.

Cisco ASR1001-X

или лучше

ASR1002-X + SPA 10G...

 

Ну еще можно собрать их с ESP разными (от 40-го) там хоть до 200-х можно дойти - были-бы деньги!

 

[Ivan_83]

В 02.12.2022 в 21:37, sirmax сказал:

причина - моя внезапная смерть или невозможность работы стала более вероятной, в Харькове, а подставлять работодателя оставив его с линуксом один на один я не считаю честным.

Напиши документацию.

С документацией линукс будет проще сиськи и прочих коробочных решений, ИМХО.

[sirmax]

1 час назад, sdy_moscow сказал:

В-четвертых есть ли бюджет

Схожу могу ответить только на этот вопрос - я рассчитываю на 2-3к вечнозеленых 

 

49 минут назад, Ivan_83 сказал:

С документацией линукс будет проще сиськи и

Не будет, конфиг влить без понимания нужен мальчик, а даже раскатами полный бекап сложнее. Я думаю в параллель, и то делать и то. Ну и резерв будет если все будет хорошо. 

 

1 час назад, sdy_moscow сказал:

1 час назад, sirmax сказал:

Ну во-первых, не торопись могилизироваться.

Во-вторых,спецов по линуху не меньше чем по сиськам

Я не тороплюсь, но надо заложить соломку и в этом месте мало ли что 

[rm_]

VyOS вроде бы хвалили, мол делает железку из любого тазика, где всё просто, и конфиги в одном месте, бэкапятся-заливаются как на железках.

[sirmax]

1 минуту назад, rm_ сказал:

VyOS вроде бы хвалили, мол делает железку из любого тазика, где всё просто, и конфиги в одном месте, бэкапятся-заливаются как на железках.

Это да. Но я ее не умею. :(

[nphs]

Уж прости, посмотри в сторону микротика. Тут в случае чего не дай бог, любой сможет заменить.

Они недавно выкатили новую платформу, должна под твои объемы подойти.

 

Не знаю еще насчет религии, можно попробовать СКАТавозку.

Изменено 3 декабря, 2022 пользователем nphs

[jffulcrum]

CCR2116-12G-4S+ - штука баксов. Два встанут в две. Гипотетически - переткнуть провода, перелить конфиг в Winbox. Мощи в принципе достаточно, чтобы, не заморачиваясь в конфиге, пролить 7Gb/s, т.е. конфиг можно держать простым, без уточненных извращений Mikrotik-джентльменов.

 

 

 

 

[fractal]

1 час назад, jffulcrum сказал:

CCR2116-12G-4S+ - штука баксов. Два встанут в две. Гипотетически - переткнуть провода, перелить конфиг в Winbox. Мощи в принципе достаточно, чтобы, не заморачиваясь в конфиге, пролить 7Gb/s, т.е. конфиг можно держать простым, без уточненных извращений Mikrotik-джентльменов.

 

 

 

 

ну да, в такой бюджет микрот выглядит предпочтительнее, плюсую

[dvb2000]

On 12/3/2022 at 12:47 AM, sirmax said:

Схожу могу ответить только на этот вопрос - я рассчитываю на 2-3к вечнозеленых 

 

Не будет, конфиг влить без понимания нужен мальчик, а даже раскатами полный бекап сложнее. Я думаю в параллель, и то делать и то. Ну и резерв будет если все будет хорошо. 

 

Я не тороплюсь, но надо заложить соломку и в этом месте мало ли что 

Проще и приемлемее всего будет pfSense. Устанавливается за пару минут, готовый конфиг это XML файл, ставится на любое вменяемое железо, конфиг переносится за пару секунд на новое или более производительное железо, куча дополнительных бесплатных модулей, начиная от SNORT и до FreeRADIUS. Есть возможность горячего резервирования и т.д.

А если нужно железку под него, то можно от того что есть в али экспресс и до такого:

https://www.supermicro.com/en/products/system/iot/1u/sys-e302-12d-4c

 

У которого пассивное охлаждение, процессор Ice Lake Xeon D-1718T с аппаратным ускорением для шифрования, два порта до 25G, возможность установить до 256GB: ECC RDIMM, порт IPMI и много чего полезного. И всё это в мини форм факторе.

 

 

А если достаточно портов на 10G, то можно и такой прибор:

https://www.supermicro.com/en/products/system/mini-itx/sys-e302-9d.cfm

 

 

Изменено 3 декабря, 2022 пользователем dvb2000

[sdy_moscow]

В 03.12.2022 в 12:47, dvb2000 сказал:

...

А если достаточно портов на 10G, то можно и такой прибор:

https://www.supermicro.com/en/products/system/mini-itx/sys-e302-9d.cfm

...

 

Интересно сколько такое стоит? В мск ценник не нашел.

[jffulcrum]

такой попроще: SYS-E200-8D | Mini 1U | SuperServers | Products | Super Micro Computer, Inc. стоит примерно 1300 USD

[dvb2000]

On 12/3/2022 at 12:58 PM, sdy_moscow said:

Интересно сколько такое стоит? В мск ценник не нашел.

Не знаю сколько такое стоит в мск, не был там уже лет 35, но на заподе или у нас на самом ближнем востоке, такое стоит начиная с 1.6K американских рублей. Например тут:

https://mitxpc.com/products/sys-e302-9d

https://www.thinkmate.com/system/superserver-e302-9d

https://www.lambda-tek.com/Supermicro-SYS-E302-9D~sh/B44387213&viewSpec=y

 

Только стоит взять во внимание что это ценна базовой конфигурации. Больший объём оперативной памяти, диска NVME и т.д. добавляет дополнительную цену. Но за эти деньги такое решение не только более гибкое чем любая CISCO, но и долее дешёвая и более производительная. А если взять в сравнение какую не будь ASA близкую по производительности, то она будет стоить как стопка таких серверов.

 

[sdy_moscow]

В 03.12.2022 в 17:33, dvb2000 сказал:

Не знаю сколько такое стоит в мск, не был там уже лет 35, но на заподе или у нас на самом ближнем востоке, такое стоит начиная с 1.6K американских рублей. Например тут:

https://mitxpc.com/products/sys-e302-9d

https://www.thinkmate.com/system/superserver-e302-9d

https://www.lambda-tek.com/Supermicro-SYS-E302-9D~sh/B44387213&viewSpec=y

 

Только стоит взять во внимание что это ценна базовой конфигурации. Больший объём оперативной памяти, диска NVME и т.д. добавляет дополнительную цену. Но за эти деньги такое решение не только более гибкое чем любая CISCO, но и долее дешёвая и более производительная. А если взять в сравнение какую не будь ASA близкую по производительности, то она будет стоить как стопка таких серверов.

 

За такие деньги, если нет ограничений по питанию и теплоотведению, я предпочту тазик с i7-12700.

https://rankquality.com/intel-xeon-d-2123it-vs-intel-core-i7-12700k/

[dvb2000]

On 12/3/2022 at 4:29 PM, jffulcrum said:

такой попроще: SYS-E200-8D | Mini 1U | SuperServers | Products | Super Micro Computer, Inc. стоит примерно 1300 USD

Такой то попроще, да вот он только простой пылесос с тремя вентиляторами:

которые тянут в него пыль. И который нужно раз в пол года чистить, а это не такое уж приемлемое решение. И именно по этому любое коммуникационное оборудование стараются использовать с пассивным охлаждением.  

[nphs]

Это опять же тазики. Даже если тазик будет золотой, ему нужно ума приложить. Для этого ТС и поднял тему.

[nixx]

а вы не рассматриваете вариант, что нанятый вместо вас мальчик не будет даже знать, что такое консольный кабель?

и дать ему команду "поставь стандартную убунту 18, потом сделай apt install малопакетов, а потом скопируй эти конфиги в эти каталоги" будет более универсально? или вообще сделать tar -xf backup.tar в /?

у меня на бордерах кастомных конфигов - файлов 15 от силы. из них половина типа zabbix_agentd.conf. или в вашей конфигурации все сложнее?

 

ps: у меня щас вполне реальная ситуация, когда я один знаю, как все настроено. и меня это более беспокоит, чем радует.

и если за пару бордеров на дебиане я относительно спокоен, потому как линукс поставить смогут без проблем пара админов из дружественных с руководством организаций, то с какого боку подходить к ASR1002 - боюсь, придется долго рассказывать.

Изменено 3 декабря, 2022 пользователем nixx

[nphs]

В 03.12.2022 в 23:00, nixx сказал:

а вы не рассматриваете вариант, что нанятый вместо вас мальчик не будет даже знать, что такое консольный кабель?

и дать ему команду "поставь стандартную убунту 18, потом сделай apt install малопакетов, а потом скопируй эти конфиги в эти каталоги" будет более универсально? или вообще сделать tar -xf backup.tar в /?

у меня на бордерах кастомных конфигов - файлов 15 от силы. из них половина типа zabbix_agentd.conf. или в вашей конфигурации все сложнее?

 

ps: у меня щас вполне реальная ситуация, когда я один знаю, как все настроено. и меня это более беспокоит, чем радует.

и если за пару бордеров на дебиане я относительно спокоен, потому как линукс поставить смогут без проблем пара админов из дружественных с руководством организаций, то с какого боку подходить к ASR1002 - боюсь, придется долго рассказывать.

 

Ну как черный ящик cisco не плох.

[passer]

В 03.12.2022 в 01:47, sirmax сказал:

конфиг влить без понимания нужен мальчик

Как человек, работающий в схожих условиях, могу сказать, что нужна документация, где ее найдет при необходимости руководство или сменщики.

Новое железо в наших условиях внедрять как-то рисковано и не факт, что руководство примет ваши резоны. В любом случае, документировать linux-коробку для nat и bgp не так уж и много времени займёт. Особенно, если документировать макроблоками. Или попросту сделать копию системы и инструкцию по ее адаптации на новое железо.

[Ivan_83]

В 03.12.2022 в 17:00, nixx сказал:

у меня на бордерах кастомных конфигов - файлов 15 от силы. из них половина типа zabbix_agentd.conf. или в вашей конфигурации все сложнее?

У меня примерно так же всё на фре организовано.

Я не пробовал но в целом я не далеко от состояния когда можно из ванильной фри получить конкретно мой десктоп запустив пару скриптов и подождав пока всё соберётся.

Тоже почти все файлы универсальные, раскатываются поверх. Специфичных под железо/задачу обычно очень мало.

[jffulcrum]

@Ivan_83 В BSDRP конфиг же вообще бекапится в один файл скрипта, и им же накатывается на новую систему?

[Ivan_83]

В 04.12.2022 в 17:31, jffulcrum сказал:

В BSDRP конфиг же вообще бекапится в один файл скрипта, и им же накатывается на новую систему?

Не пробовал.

[uxcr]

Наверное проще сервак в ансибле описать. С установкой нужной версии дров и прочим.

[jffulcrum]

В 05.12.2022 в 16:35, uxcr сказал:

Наверное проще сервак в ансибле описать. С установкой нужной версии дров и прочим.

Нубам такие сильные средства в руки лучше не давать..тут один третий раз снёс прод, прямо как в хуморе:

 

[sirmax]

Подведу некоторые итоги.
@sdy_moscow
@Ivan_83
@nphs
@jffulcrum

 

 Вопрос с сервером не стоит - это вопрос как бы ортогональный, понятно что я буду пробовать держать еще и резервный сервер, вести документацию, заливать на git - это не обсуждается.
Какое именно железо использовать - то, что есть в загашниках и чего хватает, а это с нормальной сетевкой, да почти что угодно.

НО! мне в целом не очень нравится использовать линукс в качестве бордера если можно заменить его на более или менее специализированное решение.

Использование линукса имело смысл когда железные (или условно-железные, а-ля микротик) стоили как крыло от самолета. Сейчас конечно тоже на стороне линукса дешевизна, но стоимость условного часа работы админа несколько другая. В конечном итоге мне кажется с учетом возможных простоев и времени настройки будет дешевле и проще. Подчеркну что это не более чем ощущение.

Микротик

В 03.12.2022 в 10:09, jffulcrum сказал:

CCR2116-12G-4S+ - штука баксов. Два встанут в две. Гипотетически - переткнуть провода, перелить конфиг в Winbox. Мощи в принципе достаточно, чтобы, не заморачиваясь в конфиге, пролить 7Gb/s, т.е. конфиг можно держать простым, без уточненных извращений Mikrotik-джентльменов.

Это решение имеет как минимум несколько
плюсов

 - новая платформа, будет какое-то время поддерживаться
 - его легко купить, за разумные 1-2 дня
 - в бюджет укладывается вместе с резервом
 - более низкое энергопотребление
 - относительная простота настройки (для меня, даже без винбокса, а для гипотетического человека что будет настраивать то винбокс может оказаться просто киллер-фичей, уж как бы плохо лично я не относился к настройке "накликиванием")

и минусов 
 - новая платформа, ожидаемы баги
 - только ROS7 что ограничивает набор доступной документации, особенно в плане фильтров BGP - какое-то время назад я пробовал найти какие-то внятные примеры, уж не помню по какому вопросу, когда экспериментировал дома с микротиком на предмет "а как оно там" и тогда я не нашел решение которое бы меня устроило
 - как и у всех микротиков, отсутствие выделенного control plane 

 В целом - один из кандидатов,  да

 

ASR

В 02.12.2022 в 23:44, sdy_moscow сказал:

А так до 10Гб - ASR смотри с 10 Гб портами и памяти гигов 8-16.

Cisco ASR1001-X

или лучше

ASR1002-X + SPA 10G...

 

Ну еще можно собрать их с ESP разными (от 40-го) там хоть до 200-х можно дойти - были-бы деньги!

Это решение мне кажется более предпочтительным, особенно если я смогу купить его за плюс-минус разумные деньги, но я пока не могу сложить в голове какое шасси, какие модули и где есть RTU

В плюсы отнесу
 - платформа обкатана многократно и все вопросы заданы, ответы даны и нужно только найти. никаких чудес я не ожидаю в процессе настройки
 - если я не ошибаюсь про RTU то относительная доступность софта 

В минусы 
 - цена
 - сложность замены в случае выхода из строя (что правда несколько компенсируется ожидаемой более высокой надежностью)

 

В целом я пока что склоняюсь к ASR1001-X хотя вопрос с RTU и с производительностью до конца в голове не закрыт - не смотря на наличие TenGig на ebay пишут что 6 Gig  что смущает.