Jump to content
Калькуляторы
  

398 members have voted

  1. 1. Ось для бордера



Vote. Система для бордера Кто что держит на бордерах?

Да. BIRD'ом можно сделать как BGP в отдельные RT, так и route leak.

 

Повесить одинаковые адреса на разных интерфейсах получится, но вам нужно аккуратно следить, чтобы интерфейсы между "VRF" (таблицами) не пересекались тогда, как входящие, так и исходящие. Все интерфейсы, сквозь которые гонится трафик в пределах "VRF", должны использовать одну и ту же таблицу.

В таком случае даже iptables может быть и не придется юзать, просто надо фильтр в ip rule делать по iif (входящему интерфейсу), соответственно для каждого iif выбирать нужную таблицу.

В общем, лимитация такая же, как и у циски - каждый интерфейс может лежать только в одном контексте форвардинга.

 

С хитрой маркировкой на netfilter возможны конечно варианты, но я бы не советовал с точки зрения производительности, если нет крайней необходимости.

В любом случае, когда будете проектировать - аккуратно прикиньте, как будет следовать трафик сквозь правила маршрутизации. Как в прямом направлении, так и в обратном.

С поправкой на виртуальность интерфейса - можно. Получше циски:

#ip link add link eth0 name eth0v1 type macvlan

#ip link add link eth0 name eth0v2 type macvlan

#ip link show

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 16436 qdisc noqueue state UNKNOWN

link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00

2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000

link/ether 00:1e:67:2e:33:80 brd ff:ff:ff:ff:ff:ff

3: eth1: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc pfifo_fast state DOWN qlen 1000

link/ether 00:1e:67:2e:33:81 brd ff:ff:ff:ff:ff:ff

4: eth0v1@eth0: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN

link/ether 62:d6:cb:71:4d:ce brd ff:ff:ff:ff:ff:ff

5: eth0v2@eth0: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN

link/ether 72:8a:05:cb:ae:70 brd ff:ff:ff:ff:ff:ff

 

# ip netns add TEST1

# ip netns add TEST2

# ip link set dev eth0v1 netns TEST1

# ip link set dev eth0v2 netns TEST2

# ip link

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 16436 qdisc noqueue state UNKNOWN

link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00

2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000

link/ether 00:1e:67:2e:33:80 brd ff:ff:ff:ff:ff:ff

3: eth1: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc pfifo_fast state DOWN qlen 1000

link/ether 00:1e:67:2e:33:81 brd ff:ff:ff:ff:ff:ff

# ip netns exec TEST1 ip link

6: eth0v1@if2: <BROADCAST,MULTICAST,M-DOWN> mtu 1500 qdisc noop state DOWN

link/ether 62:d6:cb:71:4d:ce brd ff:ff:ff:ff:ff:ff

8: lo: <LOOPBACK> mtu 16436 qdisc noop state DOWN

link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00

ip netns exec TEST1 ip link set dev eth0v1 up

ip netns exec TEST1 tcpdump -ni eth0v1

tcpdump: WARNING: eth0v1: no IPv4 address assigned

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode

listening on eth0v1, link-type EN10MB (Ethernet), capture size 96 bytes

10:59:12.440833 01:00:0c:cc:cc:cd > 00:24:c3:63:b2:8b SNAP Unnumbered, ui, Flags [Command], length 50

10:59:12.487609 arp who-has 10.20.30.1 tell 10.20.30.40

10:59:12.507029 IP 192.168.20.66 > 224.0.0.5: OSPFv2, Hello, length: 48

10:59:12.507033 IP 192.168.20.66 > 224.0.0.5: OSPFv2, LS-Update, length: 64

Share this post


Link to post
Share on other sites

Сейчас CentOS - пока всё устраивает, но в планах перейти на Gentoo как только появится необходимость сделать что-то, на что старые ядра не способны.

 

P.S. VPN-серваки(даем интернет по PPTP) уже на Gentoo

Share this post


Link to post
Share on other sites

Вот эта тема про бордеры вроде. Но зачем они нужны ? ))))

У меня over 12 тысяч физиков - и ни одного бордера.

Получается - бордер НЕ НУЖЕН.... )))

 

P.S. У меня несколько NASов (тазики) - каждый держит свою сессию BGP c какой-то вундервафлей аплинка (и каждый анонсит свои белые подсетки, разбитые на /24).

Получается - что у меня нет бордера?

Или мои NASы - каждый является также и бордером?

Или что?

Edited by white_crow

Share this post


Link to post
Share on other sites

Это у вас аплинк добрый. Обычно аплинки дают 1, максимум 2 с хвостиком сессии BGP клиенту, да и то в исключительных случаях (допустим, географически разнесенный клиент).

Просто потому, что у них их и так 100500.

А так - да, каждый Ваш NAS еще и бордер до кучи.

 

Самое интересное начнется, когда появится второй аплинк или IX, и нужно будет на каждом NAS'е лепить политику маршрутизации :)

Edited by Alex/AT

Share this post


Link to post
Share on other sites
но в планах перейти на Gentoo

 

почему?

 

 

Share this post


Link to post
Share on other sites

года 4 стоит каталист 3750, и транк в 8 портов к основному аплинку и по гигу к пирингам.

количество маршрутов на пределе правда.. зато молотит. есть не просит :)

Share this post


Link to post
Share on other sites

посоветуйте, нужен бордер который бы прокачивал 5Гбит (с возможностью роста), имеется:

1. сервер 2 процессора 5530, 1 сетевая карта x520-da2, 12GB

2. самосбор, 1 топовый i7, 16GB ОЗУ, и возможность поставить 2 x520-da2

 

что посоветуете если на сервере планируется только bgp

Edited by xxxupg

Share this post


Link to post
Share on other sites

Первый конечно. На тупом роутинге он и 20г осилит.

Share this post


Link to post
Share on other sites

А смысла на тупой роутинг писюк ставить? Купил Л3-коммутатор и счастье.

 

может потому что в "типовой" l3 свитч не влезает fv?

Share this post


Link to post
Share on other sites

А смысла на тупой роутинг писюк ставить? Купил Л3-коммутатор и счастье.

 

может потому что в "типовой" l3 свитч не влезает fv?

 

C fv уже не тупой роутинг, это уже умный! :)

 

К тому же этот фв нахер никуда не нужен, я как-то имел три бгп с апстримами только на дефолтах и партиал меше. Никто не помер, все отлично.

Share this post


Link to post
Share on other sites

К тому же этот фв нахер никуда не нужен, я как-то имел три бгп с апстримами только на дефолтах и партиал меше. Никто не помер, все отлично.

 

Да понятно, что исходняк в прицнипе можно раскидать и без fv, но с fv оно проще

Share this post


Link to post
Share on other sites

Да понятно, что исходняк в прицнипе можно раскидать и без fv, но с fv оно проще

 

 

Да не, просто логично предположить что провайдеру выбирающему писюк на бордер, с высокой долей вероятности, никакой fv не нужен :)

Share this post


Link to post
Share on other sites

Прошу прощения за оффтопик, интересует вопрос. При выборе процессора на форвардинг (плюс терминация VPN) стоит ли учитывать модель процессора (Intel Core 2 Quad, i5, i7, Xeon и т.д.) или в первую очередь нужно ориентироваться на количество ядер и тактовую частоту для обработки прерываний? Если да, то из каких соображений.

Edited by morfair

Share this post


Link to post
Share on other sites

А смысла на тупой роутинг писюк ставить? Купил Л3-коммутатор и счастье.

Не всякий L3 коммутатор на роли шлюза справится с 8-10 тыс. связок ip-mac клиентов, которые надо тупо роутить в разные стороны.

И дело даже не в трафике, а в кол-ве этих самых маршрутов, с которыми приходится иметь дело.

Share this post


Link to post
Share on other sites

Не всякий L3 коммутатор на роли шлюза справится с 8-10 тыс. связок ip-mac клиентов, которые надо тупо роутить в разные стороны.

И дело даже не в трафике, а в кол-ве этих самых маршрутов, с которыми приходится иметь дело.

 

Ого вы некропостер.

 

Никто и не говорит, что купив какой-либо SNR "типа L3" настанет счастье. Но даташиты на устройства для этого народ и придумал, дабы читать их и выбирать.

И конечно дело не в трафике, потому что Л3 свитчу обычно класть болт на кол-во трафика, он весь железный такой line-rate :D

Но если речь о бордере: то там нету тысяч АРПа, и маков тоже. Если речь о ядре или крупном агрегаторе - по Сеньке и шапка: берется какой-нибудь SUP32 и в путь.

Ну а лейтмотив темы был о том, что большинству для бордера никакого фулвью напрочь не надо, а надо купить древнюю как мир Cat3550-12 (а лучше 4948-10Г) и быть счастливым.

Share this post


Link to post
Share on other sites

а надо купить древнюю как мир Cat3550-12 (а лучше 4948-10Г) и быть счастливым.

Угу, есть только один очень важный нюанс - 4948-10Г не поддерживает ASN32. Мы именно так и обломались. Хотели быть счастливыми с 10Г-бордером, а стали счастливые с 10Г-коммутатором.

Share this post


Link to post
Share on other sites

а надо купить древнюю как мир Cat3550-12 (а лучше 4948-10Г) и быть счастливым.

 

Угу, есть только один очень важный нюанс - 4948-10Г не поддерживает ASN32. Мы именно так и обломались. Хотели быть счастливыми с 10Г-бордером, а стали счастливые с 10Г-коммутатором.

 

А как насчет получить ASN16? Как раз и обоснуете этим.

Share this post


Link to post
Share on other sites

а надо купить древнюю как мир Cat3550-12 (а лучше 4948-10Г) и быть счастливым.

Угу, есть только один очень важный нюанс - 4948-10Г не поддерживает ASN32. Мы именно так и обломались. Хотели быть счастливыми с 10Г-бордером, а стали счастливые с 10Г-коммутатором.

 

Продолжая традиции некропоста.

Я же написал: чтение даташитов главная задача при покупке того чего у вас еще нет и не было. Покупать кота в мешке только потому что кто-то во что-то верит где-то там на форуме - плачевная привычка.

Share this post


Link to post
Share on other sites

Я же написал: чтение даташитов главная задача при покупке того чего у вас еще нет и не было. Покупать кота в мешке только потому что кто-то во что-то верит где-то там на форуме - плачевная привычка.

Я просто никому не верю, ни производителям особенно, и тут на форуме. Берем у производителей - сами вссучивали мне железяку, просто почитав характеристики - отослали взад, не распечатав, даже без стоимости перевозки. Остальное крупное - берём на тест, и или оно удовлетворяет - или взад. Стоимость пересылки - иногда за наш счёт, но скорее - производитель на нас чего-то тестил. Надо просто быть нормальным партнёром, а не одноразовым.

Share this post


Link to post
Share on other sites

Я просто никому не верю, ни производителям особенно, и тут на форуме. Берем у производителей - сами вссучивали мне железяку, просто почитав характеристики - отослали взад, не распечатав, даже без стоимости перевозки. Остальное крупное - берём на тест, и или оно удовлетворяет - или взад. Стоимость пересылки - иногда за наш счёт, но скорее - производитель на нас чего-то тестил. Надо просто быть нормальным партнёром, а не одноразовым.

 

4 года прошло с оригинального ответа (дело было в 2013). Закопайте уже тему, то что было обыденным тогда - сейчас смотрится дикарством или колхозом. В стране скоро не останется хомонетов, а телекомы уж и без нас знают что им надо ставить на бордюры.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this