[jurs]

А зачем на маршрутизаторе "свой" rc.conf?

В rc.conf.local я пишу IP адреса, шлюзы, и что из сервисов запускать.

Так уж сложилось что разные провайдеры выдают везде разные IP адреса разным клиентам, да и способы подключения клиентов тоже различаются, вот и приходится везде "свой" конфиг маленький держать.

 

 

Суть того, что предлагается - это то, что администратор это как правило не программист, а тем более не системный программист. А над виатта работает группа профессиональных системных программистов оптимизирующих дистрибутив под задачи маршрутизации, осознанно исправляющие критические ошибки, работает группа тестировщиков, есть коммунити, которое тестирует бета версии... проделать эту работу один администратор просто не в состоянии, а в итоге он вытирает под носом и тыкается в код как слепой котенок и так с каждой новой версией каждого нового ядра или версии используемого им ПО.

Это не более, чем домыслы и местами бред.

 

 

Монолитный конфиг это, на мой взгляд, большой плюс. Не надо править тучу различных файлов, которые в разных дистрах могут слегка по-разному называться и/ли лежать в разных местах. Адреса интерфейсов - в етц-сисконфиг, рауты - в квагге, полиси-раутинг - вообще хз где, нат и файрвол - в иптаблесах тоже в отдельном файлике, впн-ы - в своих конфигах, етс. А теперь помножим это все на многообразие дистров и то, что каждую вещь можно сделать разными способами, и получим кучу вариантов того, где вписать какую-нибудь фишку. В монолитном конфиге все в одном месте, его можно легко бекапить, хранить в системе контроля версий, заливать, етс. Плюс в вятте есть фишки для работы с конфигом типа commit и save. На вятту наверняка проще пересадить нетворк инженера, чем на обычный линукс и, казалось бы, ее проще поддерживать при большом числе инсталляций.

Дальше, касательно дистра. Вятта достаточно компактна и не содержит кучи лишних пакетов. Можно добиться этого эффекта своими силами, но надо держать команду людей, которые хорошо пасут именно в линуксе (а не в сетях) и буду поддеривать фактически свой кустомный дистр с оптимальным набором софта. Не все могут себе это позволить.

Может проще пересесть на фряху и не парится?

Или выбрать один дистр и опять же не парится.

Причем тут фряха вообще? Не вижу логики. Фряха, как и линукс, как и любая другая ОС общего назначения позволяет сделать одно и тоже кучей способов, поэтому если у вас много людей, много хардварных платформ и хотя бы несколько вариантов ОС/дистров/версий, то получится нехилое разнообразие. Можно конечно написать регламент на все случаи жизни, поддерживать в нем описание всех возможных вариаций конфигов и расстреливать тех, кто пишет рауты не в тот скрипт. А можно просто исключить такую возможность, используя монолитный конфиг. Опять же, дело не только в конфигурировании, а в бекапе/заливании новой машины етс. Впрочем, я все это уже перечислял выше.

 

И, например, Интел для своих тестов (которыми так любит понтоваться вятта:)) 56тых процов и 10Г карт взял именно вятту, а не, скажем, Centos/RHEL.

Наверное потому что:

ИМХО vyatta идеальный вариант для лабораторных работ в институтах, а для дела проще взять обычный linux с quagga, если нет денег на cisco.

 

Вы не путаете какой-то абстрактный институт и одного из ведущий мировых производителей высокотехнологичного оборудования, в том числе сетевого? :)

 

[Ainy]

какой-то странный холивар..конфиги/обвязки все это фигня.

Вот если есть законченое решение и с вариантами и по производительности оно существенно превосходит софтроутер на ванильной декстопной дистре (т.е. в разы) - тогда оно само проложит себе путь.

если аппаратной акселерации и такого железа нету, то это просто еще один дистрибутив. патчи и оптимизации неизбежно попадают в мейнстрим версию если они действительно эффективны - софт то весь GPL.

 

[jurs]

какой-то странный холивар..конфиги/обвязки все это фигня.

Вот если есть законченое решение и с вариантами и по производительности оно существенно превосходит софтроутер на ванильной декстопной дистре (т.е. в разы) - тогда оно само проложит себе путь.

если аппаратной акселерации и такого железа нету, то это просто еще один дистрибутив. патчи и оптимизации неизбежно попадают в мейнстрим версию если они действительно эффективны - софт то весь GPL.

А что делает решение законченным?

Никто вроде бы не говорил, что Вятта это ЧУДО, просто имхо в некоторых случаях она поудобнее для работы, чем другие, менее специализированные дистры. Также как, к примеру, уебунта получше будет смотреться на десктопе/нетбуке.

В каких-то случаях - может быть и попроизводительнее, насколько я знаю, код той же квагги они подпиливают под себя; правда, не готов немедленно подтвердить это диффами :)

 

[Картуччо]

Brocade Acquires Vyatta

http://www.vyatta.org/node/15115

 

Года полтора пользуюсь для небольшой задачки роутить v4/v6 трафик, претензий нет, очень годный дистрибутив.

[axis.bhp]

Brocade Acquires Vyatta

http://www.vyatta.org/node/15115

 

Года полтора пользуюсь для небольшой задачки роутить v4/v6 трафик, претензий нет, очень годный дистрибутив.

 

Аналогично более двух лет пользуем для роутинга (BGP, OSPF). Все без нареканий! Жаль только Q-in-Q нет.

[NiTr0]

в некоторых случаях она поудобнее для работы, чем другие, менее специализированные дистры

Есть множество не менее специализированных дистров. Заточеных для работы с флэш (IDE/USB/etc), на слабом железе, при этом - не в ущерб масштабируемости. С открытым тулчейном/окружением сборки. В т.ч. и кросс-платформенных. LEAF, *WRT, pfSense и т.п.

А конфиг в одном текстовике - это обычно печально. Полотна текста в случае чего-либо сложнее домашнего тазика для раздачи инета по квартире, через которые каждый раз нужно продираться в поисках нужного раздела... Тарболл со всеми конфигами, сбрасываемый на накопитель, куда удобнее ИМХО.

[s.lobanov]

Brocade Acquires Vyatta

http://www.vyatta.org/node/15115

 

Года полтора пользуюсь для небольшой задачки роутить v4/v6 трафик, претензий нет, очень годный дистрибутив.

 

Аналогично более двух лет пользуем для роутинга (BGP, OSPF). Все без нареканий! Жаль только Q-in-Q нет.

 

Ставьте обычный linux - будет вам Q-in-Q termination

[Картуччо]

А конфиг в одном текстовике - это обычно печально. Полотна текста в случае чего-либо сложнее домашнего тазика для раздачи инета по квартире, через которые каждый раз нужно продираться в поисках нужного раздела... Тарболл со всеми конфигами, сбрасываемый на накопитель, куда удобнее ИМХО.

Холиварный вопрос. У всех свои привычки.

Только вот ни один серьёзный производитель не делает сетевого оборудования с кучей конфигов.

И, собственно, работать надо уметь с конфигами. Они обычно хорошо структурированы и можно отображать нужные секции да ещё и с использованием регулярных выражений.

Так что печально оно в глазах только достаточно специфичных, не совсем сетевых админов.

Ну и про домашние тазики мимо. Это как раз с домашним тазиком можно возиться как с хобби. В случае тысяч железок только монолитные конфиги и никак иначе.

[-Pave1-]

Монолитный конфиг и стандартизованное решение - это однозначно хорошо.

Использовать колхозные напильничные решения в больших масштабах - занятие глупое, и очень затратное с точки зрения эксплуатации.

Никак нельзя оправдать необходимость содержания большого отдела администраторов Linux - когда можжно вообще без них обойтись.

Тем болеее, что людей, которые одновременно хорошо разбираются и в сетях, и в линуксе - значительно меньше, стоят они дороже.

 

По поводу Vyatta - думаю, что при текущем положении вещей с копеешной ценой на более взрослую, функциональную и предсказуемую Mikrotik RouterOS - выбирать первую не очень логично.

 

Ну а то, что Vyatta есть и развивается - это очень хорошо!

Изменено 9 ноября, 2012 пользователем -Pave1-

[Картуччо]

Брокейд видимо нашёл привлекательные моменты.

[NiTr0]

ни один серьёзный производитель не делает сетевого оборудования с кучей конфигов.

Сетевое оборудование часто имеет конфиг более 30-50 кб текста? Имеет у себя на борту тот же LDAP с базой на несколько сотен/тысяч юзеров, имеет DNS сервер и т.д.?

Поставьте vyatta как slave DNS, для мастера с прямым и бэкризолвом пула эдак на 8к адресов, уверен, испытаете оргазм от чтения/модификации конфига размером в несколько мегабайт...

Или vyatta не сохраняет зоны в режиме слэйва, подтягивая их регулярно с мастера при буте?

И да, чем тарболл, содержащий внутри себя файлы конфига, хуже этих же конфигов, сваленных в одно полотно текста?

 

И, собственно, работать надо уметь с конфигами. Они обычно хорошо структурированы и можно отображать нужные секции да ещё и с использованием регулярных выражений.

Ну-ну. К примеру, сравните конфиги скажем ппп-сервера на 2 разных брасах с vyatta, (такая задача может возникнуть, к примеру, если один из брасов работает некорректно). Сколько эта задача у вас займет времени? :) Именно одну секцию, а не все вместе.

 

Никак нельзя оправдать необходимость содержания большого отдела администраторов Linux - когда можжно вообще без них обойтись.

Один (!) нормальный вменяемый администратор линукса, умеющий выбрать и настроить наиболее подходящий дистрибутив для задачи, может обслуживать не один десяток машин. Да и, собссно, обслуживание брасов/роутеров сводится к их изначальной конфигурации - и все, дальше они внимания к себе не требуют пока не потребуется внедрение нового функционала.

И да, без *никс админов какбы в ISP не обойтись - сервера-то надо на чем-то держать. Можно конечно на аутсорс отдать - вот только первая же авария, которую аутсорсер не сможет устранить удаленно (разваливание массива как пример, или повреждение ФС), оборачивается для прова потерей значительного кол-ва клиентов...

 

более взрослую, функциональную и предсказуемую Mikrotik RouterOS

Чем она функциональнее? Они так и не разродились поддержкой kernel-mode PPTP, все в юзерленде крутится...

[zi_rus]

Поставьте vyatta как slave DNS, для мастера с прямым и бэкризолвом пула эдак на 8к адресов

Звучит как это

[Картуччо]

Скорее как это

[Night_Snake]

По поводу Vyatta - думаю, что при текущем положении вещей с копеешной ценой на более взрослую, функциональную и предсказуемую Mikrotik RouterOS - выбирать первую не очень логично.

Я просто оставлю это здесь (с):

[NiTr0]

Звучит как это

Почему? Потому что данный дистр этого не поддерживает? Или потому, что это показывает всю ущербность монолитного конфига? :)

 

У меня прекрасно слэйвы днс крутятся на LEAF. Есть не просят, RW раздела - тоже, при желании можно конечно бекапить обновления зон, но особо не страшно если в конфиге будет старая зона и машина уйдет в ребут. Крутится один на бордюре, на котором предостаточно памяти и невысокая загрузка проца. Смысла выделять под эту задачу отдельную машину, да еще и с полновесным дистром, я не вижу, скорее наоборот, целесообразно слэйвы (которые служат заодно и рилеями юзерам) держать на бордюрах.

[Картуччо]

Почему? Потому что данный дистр этого не поддерживает?

Просто вьятта это маршрутизатор в первую очередь. На маршрутизаторе не место серверам DNS или LDAP.

[-Pave1-]

Никак нельзя оправдать необходимость содержания большого отдела администраторов Linux - когда можжно вообще без них обойтись.

Один (!) нормальный вменяемый администратор линукса, умеющий выбрать и настроить наиболее подходящий дистрибутив для задачи, может обслуживать не один десяток машин. Да и, собссно, обслуживание брасов/роутеров сводится к их изначальной конфигурации - и все, дальше они внимания к себе не требуют пока не потребуется внедрение нового функционала.

И да, без *никс админов какбы в ISP не обойтись - сервера-то надо на чем-то держать. Можно конечно на аутсорс отдать - вот только первая же авария, которую аутсорсер не сможет устранить удаленно (разваливание массива как пример, или повреждение ФС), оборачивается для прова потерей значительного кол-ва клиентов...

 

"нормальный вменяемый администратор линукса" обязательно должен ходить в отпуск. А еще он, сцуко, и заболеть может. Поэтому одним ну никак не обойдешься.

Про мелкого ISP и ситуацию с 2 тазиками, работающими на пределе возможностей - я ничего и не говорил. Если охото париться - то пожалуйста.

А вот когда решение масштабное, точек администрирования десятки и сотни - то все несколько иначе.

А если об энтерпрайзе говорить - то линукс там зачастую вообще сомнителен.

 

более взрослую, функциональную и предсказуемую Mikrotik RouterOS

Чем она функциональнее? Они так и не разродились поддержкой kernel-mode PPTP, все в юзерленде крутится...

 

Дык может это потому, что этот PPTP нужен, как неуловимый Джо из анекдота? :)

Изменено 9 ноября, 2012 пользователем -Pave1-

[NiTr0]

Просто вьятта это маршрутизатор в первую очередь. На маршрутизаторе не место серверам DNS или LDAP.

А кто запрещает?

И повторю вопрос, на который вы так и не ответили: зачем для днс слейва держать отдельную машину, если эту роль может выполнять маршрутизатор?

 

"нормальный вменяемый администратор линукса" обязательно должен ходить в отпуск. А еще он, сцуко, и заболеть может. Поэтому одним ну никак не обойдешься.

И? Это в отсновном критично для серверов с полноценными дистрами. Эмбеддед - накатил и забыл, чтобы в нем что-то поломалось нужно намеренно это поломать - т.е. залогиниться, сломать что-то в конфигах и затем записать это что-то на флэш.

И да, что будете делать, если ваш сервер биллинга, которому "админ не нужен", крякнется? Аутсорсера, согласного в 2 часа ночи поработать для незнакомого человека, искать? :)

 

А вот когда решение масштабное, точек администрирования десятки и сотни - то все несколько иначе.

Было у нас десятка 3 роутеров, когда строили медные л3 кольца (лет 5 назад их упразднять стали). Никаких проблем, настроил и забыл.

 

А если об энтерпрайзе говорить - то линукс там зачастую вообще сомнителен.

Биллинговые сервера, сервера БД и т.п. на святом духе работают?

 

Дык может это потому, что этот PPTP нужен, как неуловимый Джо из анекдота? :)

Только вот незадача, многие операторы до сих пор пользуют пптп в качестве авторизации. Даже билайн вроде еще на л2тп не сполз. И корпораты опять же пптп юзают - ибо совместимость главнее понтов. Вот только для микротика пптп почему-то "неактуален" (что регулярно вызывает приступы попоболи у обладателей шайтан-оси, когда их брасы на МТ на сотне-другой мбит превращаются в тыкву)...

[Картуччо]

И повторю вопрос, на который вы так и не ответили: зачем для днс слейва держать отдельную машину, если эту роль может выполнять маршрутизатор?

Я ответил на вопрос - не место DNS не маршрутизаторе. Всё.

 

Было у нас десятка 3 роутеров

А у нас десятки тысяч единиц оборудования.

[zi_rus]

И повторю вопрос, на который вы так и не ответили: зачем для днс слейва держать отдельную машину, если эту роль может выполнять маршрутизатор?

он ее выполняет только в ваших больных фантазиях,единственное что, в маршрутизаторе можно встроить рекурсор, он не требует ни обслуживания, ни настройки, и то если за ним будет какая-то офисная локалка, ибо раз это маршрутизатор, то пусть маршрутизирует, нефига его под нагрузкой дополнительно нагибать

 

а так можно приплести еще и 1С, чего это он на маршрутизаторе не работает.

 

и FW, и бордер, и брас, и АД офисный, и тд и тп, все в один сервер загнать, ведь зачем ставить второй сервер

[s.lobanov]

Кстати, не так давно тут проскакивал пост об epic fail на тему "поднял dns-сервер на роутере cisco". всё же от масштабов зависит, очевидно. Для мелкого и среднего офиса сервер-комбайн со всеми сервисами это нормально, а провайдеру, у которого из-за какой-нибудь атаки на dns-сервер внезапно упадёт пара bgp-сессий, так делать не стоит.

 

Да даже dns-релеи на домашних CPE это уже зло, в моей практике был модем huawei mt880(ревизию не помню), который через день-два начинал тормозить, после долгого траблшутинга(уже ради интереса, понятно, что проще было другой купить) выяснил, что это из-за dns-релея, выставил на подключённых клиентах DNS вручную(не 192.168.1.1) и виснуть перестал, вообще. видимо память текла.

 

Так вот к чему я, пусть лучше DNS-сервер повиснет на отдельной машине и его в течение минуты перезапустит monit/zabbix/прочее, чем он повиснет на роутере и утянет за собой парочку сигнализационных сессий.

[Картуччо]

выяснил, что это из-за dns-релея

На дилинках, если не ошибаюсь, тоже подобное было.

[NiTr0]

Я ответил на вопрос - не место DNS не маршрутизаторе. Всё.

Обосновать можете? Или это ваше ничем не подкрепленное мнение?

 

А у нас десятки тысяч единиц оборудования.

И? У нас тоже сотни свичей, что с того? Мы какбы о обслуживании маршрутизаторов/серверов говорим.

 

 

раз это маршрутизатор, то пусть маршрутизирует, нефига его под нагрузкой дополнительно нагибать

ДНС отжирает менее 5% процессорного времени в общем-то... Для маршрутизатора с загрузкой процессора 10-30% в ЧНН - какбы некритично.

 

а провайдеру, у которого из-за какой-нибудь атаки на dns-сервер внезапно упадёт пара bgp-сессий, так делать не стоит.

Провайдеру, у которого атака на днс-сервер вызывает какие-либо проблемы, надо срочно ровнять руки. Rate limit запросов какбы никто не отменял, да и днс далеко не обязан все доступные ядра жрать - ему укаызвается кол-во создаваемых потоков... О nice думаю и вспоминать не надо...

[nuclearcat]

Кстати, не так давно тут проскакивал пост об epic fail на тему "поднял dns-сервер на роутере cisco". всё же от масштабов зависит, очевидно. Для мелкого и среднего офиса сервер-комбайн со всеми сервисами это нормально, а провайдеру, у которого из-за какой-нибудь атаки на dns-сервер внезапно упадёт пара bgp-сессий, так делать не стоит.

Это у меня было :) Впрочем идея была не у меня, а у руководства с идеологией "все на cisco". Почерпнул много забавного.

Например мало кто знает, что даже на 3560G можно запускать скрипты, посылать почту, коннектится по TCP и т.д. :)

[Картуччо]

Только про язык тех скриптов хорошо на лурке написано:

 

Количество вакансий для Tcl-программистов в этой стране есть величина постоянная, не превышающая количества букв в названии языка. В отличие от всего остального белого мира, где данная величина иногда может зашкаливать за 9.