Оборудование на граничный маршрутизатор

[sid1333]

Доброго всем времени суток. Знаю, что тема обсуждалась неоднократно, но всё же...

 

Выбираю оборудование на граничный маршрутизатор. На рассмотрении Cisco 3825 и Juniper J4350.

На маршрутизаторе не планируется ничего, кроме BGP и OSPF, ну и некоторых правил фаервола для безопасности. Подсчёт трафика будет в других местах.

 

На данный момент uplink от провайдера - 300Мбит/c, в будущем (год-два) планируется расширение до 400-500. В локальную сеть 2 линка по 1Гбит/c

Также планируется включение 1Гиг в MSK-IX и ещё 1 линк 100Мбит ко 2ому провайдеру как запасной :)

Ставить железку на базе Linux/FreeBSD не хочу из соображений надёжности.

 

Оправдан ли мой выбор? Какая из вышеописанных железок справится с 300-500 мбит/с?? Так же интересует не умрут ли они при включении NAT? Сессий будет много.

 

Заранее спасибо за ответы.

[cmhungry]

J4350 порекомендую или J6350

на нате сдохнет, натить на нем не надо

[Nag]

Свитч, типа HP9304M штуки за 3 баксов. ;-)

[ae]

HP и "некоторые правила фаервола для безопасности"??? мне кажется, что тут могут быть проблемы и нужно будет идти на компромисс, хотя "цена обязывает"... ;)

[Nag]

HP и "некоторые правила фаервола для безопасности"??? мне кажется, что тут могут быть проблемы и нужно будет идти на компромисс, хотя "цена обязывает"... ;)

Ну а почему нет? Конечно, фаер там простенький, что-то на уровне каталиста 35-37.

... смотрю на одну сетку в москве - такой игрушечный аппаратик держит 6 фуллвью и более гигабита трафика...

[sid1333]

J4350 порекомендую или J6350

на нате сдохнет, натить на нем не надо

J6350 к сожалению дороже на 150к :( Просто он ничем не отличается по производительности от j4350, а хардварное шифрование мне не нужно.

Нат оставлю софтовым роутерам...

 

BGP то у HP9304M нету :(

 

Сам на самом деле склоняюсь к J4350, просто хотелось услышать мнение профессионалов :)

[SergeiK]

3825 не потянет гиг, 300-500 - это оптимистичный потолок для неё. Из этих соображений у Cisco смотреть 7201 или же ASR. ASR новая и сыровата, но про цене/производительность хороша.

Но, если NAT и подсчет трафика не нужен - да, L3 коммутаторы, которые умеют BGP full view.

StateFull firewall все равно никто не будет ставить на входе, а ACL есть у всех.

[Nag]

BGP то у HP9304M нету :(

Есть, куда ему деваться... Ну или в инкарнации Foundry Jetcore...

[jab]

Ставить железку на базе Linux/FreeBSD не хочу из соображений надёжности.

Нельзя ли более подробно обосновать ?

[sid1333]

3825 не потянет гиг, 300-500 - это оптимистичный потолок для неё. Из этих соображений у Cisco смотреть 7201 или же ASR. ASR новая и сыровата, но про цене/производительность хороша.

Но, если NAT и подсчет трафика не нужен - да, L3 коммутаторы, которые умеют BGP full view.

StateFull firewall все равно никто не будет ставить на входе, а ACL есть у всех.

В качестве L3+ свича сейчас на примете Allied Telesyn AT-x900-XT/S

О нём кто может что сказать?

 

[Vanger_]

Ставить железку на базе Linux/FreeBSD не хочу из соображений надёжности.

Нельзя ли более подробно обосновать ?

уважемый тов. jab

я понимаю, что Крис Касперски - не истина в последней инстанции, совсем

но проблемы, которые описаны в статье, найдены не им одним: http://www.samag.ru/cgi-bin/go.pl?q=articles;n=06.2008;a=01

Edited October 28, 2008 by Vanger_

[Telesis]

В качестве L3+ свича сейчас на примете Allied Telesyn AT-x900-XT/S

О нём кто может что сказать?

хватит на 1фулл БГП.

[t0ly]

Ставить железку на базе Linux/FreeBSD не хочу из соображений надёжности.

Нельзя ли более подробно обосновать ?

уважемый тов. jab

я понимаю, что Крис Касперски - не истина в последней инстанции, совсем

но проблемы, которые описаны в статье, найдены не им одним: http://www.samag.ru/cgi-bin/go.pl?q=articles;n=06.2008;a=01

что то нинашёл ничего о критике процессоров и asic схем брэндов занимающихся бордерами, вы думаете у них нету проблем?

[derini]

J6350 отличается от 4350 таки неслабо

1) j6350 выдержит 2 fullview, а вот 4350 никак, так что планируете 2 аплинка - про 4350 забудьте

2) на усреднённых пакетах в самом плохом случае 4350 даст 550-600 мегабит, 6350 вытянет честный гигабит

3) скорость с которой они способны плодить сессии - 4350 по моему 10к/сек, 6450 - 20к/сек

4) таки 6350 способен на скорости в гигабит способен ещё и натить, буквально на днях начальник системных инженеров джунипера клялся и божился что на гигабите будет натить без проблем

 

а вообще решение простое, идите ка вы к интегратору какому нить (вимком, поплар, нетвелл) и заказывайте обе модели в тестирование, они такое делают без вопросов да ещё и инженера своего пришлють который всё шо надо настроит

 

AT-x900-XT/S - уточните что именно вы с его помощью делать хотите?

 

про циску врать не буду ибо не знаю

[Vanger_]

у специализированных процессоров меньше косяков и их легче обойти заранее на стадии разработки софта

[jab]

уважемый тов. jab

я понимаю, что Крис Касперски - не истина в последней инстанции, совсем

но проблемы, которые описаны в статье, найдены не им одним: http://www.samag.ru/cgi-bin/go.pl?q=articles;n=06.2008;a=01

Я спрашивал про критерии надежности, которым не удовлетворяет резервированный по схеме N+1 писюк, но удовлетворяет кошак, который я так подозреваю Вы резервировать не собираетесь. Хотя по приведенным доводам уровень решения проблем в целом понятен.

[Kirya]

Или 7606 с двумя СУП-ами, шоб отрезервировано было усё по-полной, или, как говорит Jab, писюк, а точнее два (или один с двумя бп и двумя hot plug процами).

 

j4350 - на самом деле фактически тот же писюк с Junos-ом.

 

 

 

[Vanger_]

уважемый тов. jab

я понимаю, что Крис Касперски - не истина в последней инстанции, совсем

но проблемы, которые описаны в статье, найдены не им одним: http://www.samag.ru/cgi-bin/go.pl?q=articles;n=06.2008;a=01

Я спрашивал про критерии надежности, которым не удовлетворяет резервированный по схеме N+1 писюк, но удовлетворяет кошак, который я так подозреваю Вы резервировать не собираетесь. Хотя по приведенным доводам уровень решения проблем в целом понятен.

про резервированый PC - другое дело. наверное, я Вас просто не понял

[sid1333]

В качестве L3+ свича сейчас на примете Allied Telesyn AT-x900-XT/S

О нём кто может что сказать?

хватит на 1фулл БГП.

Чёто расстроил меня инженер AT, сказав, что в текущей версии ОС этого свича AlliedWare PLus для BGP всего 64 маршрута О_о

В будущем планируется правда расширение до 150 или 200.

Поиски продолжаются :)

Что ещё есть из свичей L3+ помимо АТ в пределах 120-150к? :)

 

 

[cmhungry]

J6350 отличается от 4350 таки неслабо

1) j6350 выдержит 2 fullview, а вот 4350 никак, так что планируете 2 аплинка - про 4350 забудьте

2) на усреднённых пакетах в самом плохом случае 4350 даст 550-600 мегабит, 6350 вытянет честный гигабит

3) скорость с которой они способны плодить сессии - 4350 по моему 10к/сек, 6450 - 20к/сек

4) таки 6350 способен на скорости в гигабит способен ещё и натить, буквально на днях начальник системных инженеров джунипера клялся и божился что на гигабите будет натить без проблем

1) 4350 выдержит 2 фулла легко при одинаковом количестве памяти. 6350 держит 4 фулла с гигом памяти.

 

2) да

 

3) им сессии плодить не надо, это не наты

 

4) врут. они про isg2000 это только рассказывают

[ingress]

кхм. как сказал cmhungry там внутри p4 3.0(специализированная карта обрабатывает только шифрование), сколько бы они freebsd не пилили, NAT быстрее не получится. тем более гигабит.

 

вот лапшицы вам

http://www.iometrix.com/site/pdfs/CA-Iomet...niper-J6350.pdf

 

я думал, думал и в итоге отказался :)

 

Edited October 30, 2008 by ingress

[derini]

J6350 отличается от 4350 таки неслабо

1) j6350 выдержит 2 fullview, а вот 4350 никак, так что планируете 2 аплинка - про 4350 забудьте

2) на усреднённых пакетах в самом плохом случае 4350 даст 550-600 мегабит, 6350 вытянет честный гигабит

3) скорость с которой они способны плодить сессии - 4350 по моему 10к/сек, 6450 - 20к/сек

4) таки 6350 способен на скорости в гигабит способен ещё и натить, буквально на днях начальник системных инженеров джунипера клялся и божился что на гигабите будет натить без проблем

1) 4350 выдержит 2 фулла легко при одинаковом количестве памяти. 6350 держит 4 фулла с гигом памяти.

 

2) да

 

3) им сессии плодить не надо, это не наты

 

4) врут. они про isg2000 это только рассказывают

1) в общем да

3) в предположении что они ещё и натят

4) isg2000 успешно провалился на тесте и был намертво завален потоком в 350 мегабит коллегами из ниеншанца, в ответ на что джуниперовцы рекомендовали как раз 6350 как вариянт который де справится (врать не буду, ещё не проверяли, говорю со слов их инженерной службы)

[cmhungry]

4) isg2000 успешно провалился на тесте и был намертво завален потоком в 350 мегабит коллегами из ниеншанца, в ответ на что джуниперовцы рекомендовали как раз 6350 как вариянт который де справится (врать не буду, ещё не проверяли, говорю со слов их инженерной службы)

Вот "намертво заваливший ISG2000" "коллега из ниеншанца" - это таки я =) Только не намертво, а до очень сильных потерь пакетов. Василенко утверждает, что "был включен teardrop-детектор, и поэтому". Кроме того, джунипер до сих пор (21 октября в Москве, например) рекомендовал на нат ISG2000 (ну или SRX5600/5800, но это стоимость спейс-шаттла уже).

 

А так - на большой нат я бы порекомендовал Cisco ACE. Но нетфлоу там не будет, впрочем, его и на ISG нету.

Если очень надо - ASA5580-20, нетфлоу 9 обещают. Но 5580 я не тестил.

 

АСЕ по цена/производительность в 4 раза выгоднее чем ISG

[Nailer]

4) isg2000 успешно провалился на тесте и был намертво завален потоком в 350 мегабит коллегами из ниеншанца, в ответ на что джуниперовцы рекомендовали как раз 6350 как вариянт который де справится (врать не буду, ещё не проверяли, говорю со слов их инженерной службы)

Вот "намертво заваливший ISG2000" "коллега из ниеншанца" - это таки я =) Только не намертво, а до очень сильных потерь пакетов. Василенко утверждает, что "был включен teardrop-детектор, и поэтому". Кроме того, джунипер до сих пор (21 октября в Москве, например) рекомендовал на нат ISG2000 (ну или SRX5600/5800, но это стоимость спейс-шаттла уже).

 

А так - на большой нат я бы порекомендовал Cisco ACE. Но нетфлоу там не будет, впрочем, его и на ISG нету.

Если очень надо - ASA5580-20, нетфлоу 9 обещают. Но 5580 я не тестил.

 

АСЕ по цена/производительность в 4 раза выгоднее чем ISG

На ACE есть syslog, довольно подробно вываливающий информацию о соединениях. Вполне пригодно для статистики/биллинга, если есть, чем разобрать :-)

 

АСЕ по цена/производительность в 4 раза выгоднее чем ISG

А это с учетом цены шеститонника для ACE или нет? ;-)

[cmhungry]

АСЕ по цена/производительность в 4 раза выгоднее чем ISG

А это с учетом цены шеститонника для ACE или нет? ;-)

Да.

WS-C6504E-ACE20-K9 ACE20 4G 6504E Bundle C 50000

50 GPL, т.е. реальные сразу 30 и меньше. 2 гиговых порта там уже есть.

 

ISG2000:

NS-ISG-2000B NetScreen-ISG 2000 Chassis, Baseline System, fan module, Dual AC Power Supplies, No I/O Modules, ScreenOS, 0 VSYS ISG2000 $34 490 Add I/O to build complete systems (Applies to ISG2000)

NS-ISG-SX2 NetScreen-ISG I/O Module - Dual Port Mini GBIC-SX (SX Transceivers included), Light Grey Overlay, ISG 1000 & ISG 2000 ISG1000, ISG2000 $7 480

 

Т.е. 42 лист-прайс. Ну, реально будет 25, допустим. На этом производительность ISG заканчивается (гиг внутрь сетки, гиг наружу).

 

В АСЕ добиваем еще модули с гигами, надо еще 6 гиговых портов - 4гига внутрь сетки, 4 наружу. Ставим 6416 модуль с нага ( http://4isp.ru/core.asp?main=catalog&a...=2061&cat=1 ), получаем 31 тыща за 4г производительности. На ISG - 25 за гиг. Вот и вся арифметика.