Перейти к содержимому
Калькуляторы
  

398 пользователей проголосовало

  1. 1. Ось для бордера



Vote. Система для бордера Кто что держит на бордерах?

Да. BIRD'ом можно сделать как BGP в отдельные RT, так и route leak.

 

Повесить одинаковые адреса на разных интерфейсах получится, но вам нужно аккуратно следить, чтобы интерфейсы между "VRF" (таблицами) не пересекались тогда, как входящие, так и исходящие. Все интерфейсы, сквозь которые гонится трафик в пределах "VRF", должны использовать одну и ту же таблицу.

В таком случае даже iptables может быть и не придется юзать, просто надо фильтр в ip rule делать по iif (входящему интерфейсу), соответственно для каждого iif выбирать нужную таблицу.

В общем, лимитация такая же, как и у циски - каждый интерфейс может лежать только в одном контексте форвардинга.

 

С хитрой маркировкой на netfilter возможны конечно варианты, но я бы не советовал с точки зрения производительности, если нет крайней необходимости.

В любом случае, когда будете проектировать - аккуратно прикиньте, как будет следовать трафик сквозь правила маршрутизации. Как в прямом направлении, так и в обратном.

С поправкой на виртуальность интерфейса - можно. Получше циски:

#ip link add link eth0 name eth0v1 type macvlan

#ip link add link eth0 name eth0v2 type macvlan

#ip link show

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 16436 qdisc noqueue state UNKNOWN

link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00

2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000

link/ether 00:1e:67:2e:33:80 brd ff:ff:ff:ff:ff:ff

3: eth1: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc pfifo_fast state DOWN qlen 1000

link/ether 00:1e:67:2e:33:81 brd ff:ff:ff:ff:ff:ff

4: eth0v1@eth0: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN

link/ether 62:d6:cb:71:4d:ce brd ff:ff:ff:ff:ff:ff

5: eth0v2@eth0: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN

link/ether 72:8a:05:cb:ae:70 brd ff:ff:ff:ff:ff:ff

 

# ip netns add TEST1

# ip netns add TEST2

# ip link set dev eth0v1 netns TEST1

# ip link set dev eth0v2 netns TEST2

# ip link

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 16436 qdisc noqueue state UNKNOWN

link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00

2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000

link/ether 00:1e:67:2e:33:80 brd ff:ff:ff:ff:ff:ff

3: eth1: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc pfifo_fast state DOWN qlen 1000

link/ether 00:1e:67:2e:33:81 brd ff:ff:ff:ff:ff:ff

# ip netns exec TEST1 ip link

6: eth0v1@if2: <BROADCAST,MULTICAST,M-DOWN> mtu 1500 qdisc noop state DOWN

link/ether 62:d6:cb:71:4d:ce brd ff:ff:ff:ff:ff:ff

8: lo: <LOOPBACK> mtu 16436 qdisc noop state DOWN

link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00

ip netns exec TEST1 ip link set dev eth0v1 up

ip netns exec TEST1 tcpdump -ni eth0v1

tcpdump: WARNING: eth0v1: no IPv4 address assigned

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode

listening on eth0v1, link-type EN10MB (Ethernet), capture size 96 bytes

10:59:12.440833 01:00:0c:cc:cc:cd > 00:24:c3:63:b2:8b SNAP Unnumbered, ui, Flags [Command], length 50

10:59:12.487609 arp who-has 10.20.30.1 tell 10.20.30.40

10:59:12.507029 IP 192.168.20.66 > 224.0.0.5: OSPFv2, Hello, length: 48

10:59:12.507033 IP 192.168.20.66 > 224.0.0.5: OSPFv2, LS-Update, length: 64

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Сейчас CentOS - пока всё устраивает, но в планах перейти на Gentoo как только появится необходимость сделать что-то, на что старые ядра не способны.

 

P.S. VPN-серваки(даем интернет по PPTP) уже на Gentoo

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вот эта тема про бордеры вроде. Но зачем они нужны ? ))))

У меня over 12 тысяч физиков - и ни одного бордера.

Получается - бордер НЕ НУЖЕН.... )))

 

P.S. У меня несколько NASов (тазики) - каждый держит свою сессию BGP c какой-то вундервафлей аплинка (и каждый анонсит свои белые подсетки, разбитые на /24).

Получается - что у меня нет бордера?

Или мои NASы - каждый является также и бордером?

Или что?

Изменено пользователем white_crow

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Это у вас аплинк добрый. Обычно аплинки дают 1, максимум 2 с хвостиком сессии BGP клиенту, да и то в исключительных случаях (допустим, географически разнесенный клиент).

Просто потому, что у них их и так 100500.

А так - да, каждый Ваш NAS еще и бордер до кучи.

 

Самое интересное начнется, когда появится второй аплинк или IX, и нужно будет на каждом NAS'е лепить политику маршрутизации :)

Изменено пользователем Alex/AT

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

но в планах перейти на Gentoo

 

почему?

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

года 4 стоит каталист 3750, и транк в 8 портов к основному аплинку и по гигу к пирингам.

количество маршрутов на пределе правда.. зато молотит. есть не просит :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

посоветуйте, нужен бордер который бы прокачивал 5Гбит (с возможностью роста), имеется:

1. сервер 2 процессора 5530, 1 сетевая карта x520-da2, 12GB

2. самосбор, 1 топовый i7, 16GB ОЗУ, и возможность поставить 2 x520-da2

 

что посоветуете если на сервере планируется только bgp

Изменено пользователем xxxupg

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Первый конечно. На тупом роутинге он и 20г осилит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А смысла на тупой роутинг писюк ставить? Купил Л3-коммутатор и счастье.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А смысла на тупой роутинг писюк ставить? Купил Л3-коммутатор и счастье.

 

может потому что в "типовой" l3 свитч не влезает fv?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А смысла на тупой роутинг писюк ставить? Купил Л3-коммутатор и счастье.

 

может потому что в "типовой" l3 свитч не влезает fv?

 

C fv уже не тупой роутинг, это уже умный! :)

 

К тому же этот фв нахер никуда не нужен, я как-то имел три бгп с апстримами только на дефолтах и партиал меше. Никто не помер, все отлично.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

К тому же этот фв нахер никуда не нужен, я как-то имел три бгп с апстримами только на дефолтах и партиал меше. Никто не помер, все отлично.

 

Да понятно, что исходняк в прицнипе можно раскидать и без fv, но с fv оно проще

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Да понятно, что исходняк в прицнипе можно раскидать и без fv, но с fv оно проще

 

 

Да не, просто логично предположить что провайдеру выбирающему писюк на бордер, с высокой долей вероятности, никакой fv не нужен :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Прошу прощения за оффтопик, интересует вопрос. При выборе процессора на форвардинг (плюс терминация VPN) стоит ли учитывать модель процессора (Intel Core 2 Quad, i5, i7, Xeon и т.д.) или в первую очередь нужно ориентироваться на количество ядер и тактовую частоту для обработки прерываний? Если да, то из каких соображений.

Изменено пользователем morfair

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А смысла на тупой роутинг писюк ставить? Купил Л3-коммутатор и счастье.

Не всякий L3 коммутатор на роли шлюза справится с 8-10 тыс. связок ip-mac клиентов, которые надо тупо роутить в разные стороны.

И дело даже не в трафике, а в кол-ве этих самых маршрутов, с которыми приходится иметь дело.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Не всякий L3 коммутатор на роли шлюза справится с 8-10 тыс. связок ip-mac клиентов, которые надо тупо роутить в разные стороны.

И дело даже не в трафике, а в кол-ве этих самых маршрутов, с которыми приходится иметь дело.

 

Ого вы некропостер.

 

Никто и не говорит, что купив какой-либо SNR "типа L3" настанет счастье. Но даташиты на устройства для этого народ и придумал, дабы читать их и выбирать.

И конечно дело не в трафике, потому что Л3 свитчу обычно класть болт на кол-во трафика, он весь железный такой line-rate :D

Но если речь о бордере: то там нету тысяч АРПа, и маков тоже. Если речь о ядре или крупном агрегаторе - по Сеньке и шапка: берется какой-нибудь SUP32 и в путь.

Ну а лейтмотив темы был о том, что большинству для бордера никакого фулвью напрочь не надо, а надо купить древнюю как мир Cat3550-12 (а лучше 4948-10Г) и быть счастливым.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

а надо купить древнюю как мир Cat3550-12 (а лучше 4948-10Г) и быть счастливым.

Угу, есть только один очень важный нюанс - 4948-10Г не поддерживает ASN32. Мы именно так и обломались. Хотели быть счастливыми с 10Г-бордером, а стали счастливые с 10Г-коммутатором.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

а надо купить древнюю как мир Cat3550-12 (а лучше 4948-10Г) и быть счастливым.

 

Угу, есть только один очень важный нюанс - 4948-10Г не поддерживает ASN32. Мы именно так и обломались. Хотели быть счастливыми с 10Г-бордером, а стали счастливые с 10Г-коммутатором.

 

А как насчет получить ASN16? Как раз и обоснуете этим.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

а надо купить древнюю как мир Cat3550-12 (а лучше 4948-10Г) и быть счастливым.

Угу, есть только один очень важный нюанс - 4948-10Г не поддерживает ASN32. Мы именно так и обломались. Хотели быть счастливыми с 10Г-бордером, а стали счастливые с 10Г-коммутатором.

 

Продолжая традиции некропоста.

Я же написал: чтение даташитов главная задача при покупке того чего у вас еще нет и не было. Покупать кота в мешке только потому что кто-то во что-то верит где-то там на форуме - плачевная привычка.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Я же написал: чтение даташитов главная задача при покупке того чего у вас еще нет и не было. Покупать кота в мешке только потому что кто-то во что-то верит где-то там на форуме - плачевная привычка.

Я просто никому не верю, ни производителям особенно, и тут на форуме. Берем у производителей - сами вссучивали мне железяку, просто почитав характеристики - отослали взад, не распечатав, даже без стоимости перевозки. Остальное крупное - берём на тест, и или оно удовлетворяет - или взад. Стоимость пересылки - иногда за наш счёт, но скорее - производитель на нас чего-то тестил. Надо просто быть нормальным партнёром, а не одноразовым.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Я просто никому не верю, ни производителям особенно, и тут на форуме. Берем у производителей - сами вссучивали мне железяку, просто почитав характеристики - отослали взад, не распечатав, даже без стоимости перевозки. Остальное крупное - берём на тест, и или оно удовлетворяет - или взад. Стоимость пересылки - иногда за наш счёт, но скорее - производитель на нас чего-то тестил. Надо просто быть нормальным партнёром, а не одноразовым.

 

4 года прошло с оригинального ответа (дело было в 2013). Закопайте уже тему, то что было обыденным тогда - сейчас смотрится дикарством или колхозом. В стране скоро не останется хомонетов, а телекомы уж и без нас знают что им надо ставить на бордюры.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.