Be_HaPPY Posted March 31, 2012 Posted March 31, 2012 Имеется: небольшой хостинг, ~150 мелких сайтов, 2 портала, пару фтп. Три гигабитных линка на местных провайдеров. Средняя нагрузка на все сайты - 4-6 мб/с, порталы - 10-20 мб/с, фтп - от 20 до 400 мб/с. Естественно, количество отдельных сессий большое. По моим прогнозам в течение года ожидается двукратное увеличение трафика сайтов и порталов (трафик фтп искусственно ограничиваю на 400 мегабитах). Сейчас все это разруливает софтроутер с opensuse и несколькими 4-х портовыми гигабитными сетевушками. По netflow снимается статистика по трафику. Сейчас будет приобретаться своя AS, которая будет анонсироваться в 2 провайдера + статические маршруты в другие 4 прова. Сеть будет делиться на мелкие подсети для разных ресурсов, поэтому маршрутизатор должен или иметь много портов или уметь маршрутизацию между разными адресами на одном интерфейсе (в opensuse с этим сложности). Все это должно уметь BGP, фильтрацию по портам и, если это железка, то иметь резерв (например, 2 одинаковые железки). Посоветуйте, пожалуйста, железку под эти задачи с хорошим запасом производительности. Бюджет - до 200 тыс. рублей (может двигаться в бОльшую сторону). Возможен и вариант использования 2-х железок: первая - BGP и провайдеры, вторая (софтроутер) - фаервол, IDS (использую snort), netflow. Вставить ник Quote
andryas Posted March 31, 2012 Posted March 31, 2012 (edited) В Вашем случае разница будет в основном в стоимости (если брать новое). Более дорогой, более простой, но и менее гибкий вариант - современный L3 коммутатор от Cisco. Для настройки софтроутера требуются гораздо бОльше опыта и времени. Но я, всё-же, наверное, отдал бы предпочтение какой-то старенькой L3 железке: дёшево и сердито. Edited March 31, 2012 by andryas Вставить ник Quote
s.lobanov Posted March 31, 2012 Posted March 31, 2012 от 2 провайдеров нужен fv или как один как резерв или извратные схемы балансировки исходящего без fv? Какое у вас соотношение по входящему/исходящему? IDS что именно у вас делает? Вставить ник Quote
Be_HaPPY Posted March 31, 2012 Author Posted March 31, 2012 Один как основной в глобал, второй - резервный. Планировал побить свою сеть на мелкие и анонсировать их в основного, а всю сеть одним куском - в резервного. Вроде как получится то, что хочу. Никаких балансировок не нужно. Исходящий примерно в 10 раз больше входящего. Новое или Б/У значения не имеет если будет резерв (от нас до большой земли только самолетом и любая железка в случае поломки будет идти долго). IDS пока что только детектит (уведомления на почту) и скриптом банит ip, долбящие ssh. Большего от него особо и не требуется. Вставить ник Quote
NiTr0 Posted March 31, 2012 Posted March 31, 2012 маршрутизатор должен или иметь много портов или уметь маршрутизацию между разными адресами на одном интерфейсе (в opensuse с этим сложности) 1) Нужна физическая изоляция - vlan 2) С маршрутизацией как раз сложностей никаких. Если понимать, что делаете. Вставить ник Quote
s.lobanov Posted March 31, 2012 Posted March 31, 2012 Один как основной в глобал, второй - резервный. Планировал побить свою сеть на мелкие и анонсировать их в основного, а всю сеть одним куском - в резервного. Вроде как получится то, что хочу. Никаких балансировок не нужно. Исходящий примерно в 10 раз больше входящего. Новое или Б/У значения не имеет если будет резерв (от нас до большой земли только самолетом и любая железка в случае поломки будет идти долго). IDS пока что только детектит (уведомления на почту) и скриптом банит ip, долбящие ssh. Большего от него особо и не требуется. Если IDS оставить на серверах, то вам нужно брать L3-свитч с функцией L4 acl Вставить ник Quote
Be_HaPPY Posted March 31, 2012 Author Posted March 31, 2012 Если IDS оставить на серверах, то вам нужно брать L3-свитч с функцией L4 acl И BGP на софтроутере? Просто хотел сделать наоборот - BGP и провайдеры на железке, а дальше свой софтроутер или железка. Слышал, что не каждая железка может нормально обслуживать AS, если AS появилась недавно. Посоветуйте конкретную модель железки под BGP и двух провайдеров по гигабиту (в идеале ~8 портов (3 гигабитных) + policy routing чтобы переход с текущей схемы на новую был максимально простым). Вставить ник Quote
s.lobanov Posted March 31, 2012 Posted March 31, 2012 Be_HaPPY Нет, bgp многие L3 свитчи умеют(особенно если не забирать fv). Если у вас будет AS 16бит, то 2xWS-C3750-48TS-S б/у можно купить за копейки или найти аналогичную по функционалу китайщину не б/у. Вставить ник Quote
MMM Posted March 31, 2012 Posted March 31, 2012 (edited) Поставьте двухпортовую сетевую 10G и свич L2 с 10G портами. Должно получиться хорошо. Если сетевые и свич будут включены по меди (через CX4), то еще и недорого. Edited March 31, 2012 by MMM Вставить ник Quote
Ilya Evseev Posted April 2, 2012 Posted April 2, 2012 маршрутизатор должен или иметь много портов или уметь маршрутизацию между разными адресами на одном интерфейсе (в opensuse с этим сложности). Какие? imho порты и bgp - это две задачи для двух разных железок, агрегации и шлюза. На агрегацию оптимален D-Link DGS-3120, шлюзом при Ваших нагрузках может быть софтроутер с нормальными сетевыми. Если хочется отказоустойчивости, тогда DGS-3120 объединяются в стек, подключаются к RPS, между софтроутерами настраивается VRRP или CARP. Все устройства, кроме второстепенных, подключаются к стеку LACP-транками, причём один кабель транка идёт в мастер, а второй в слейв. Вставить ник Quote
s.lobanov Posted April 3, 2012 Posted April 3, 2012 Ilya Evseev Объясните мне, зачем нужны говнософтроутеры, если не нужен fv? Вставить ник Quote
Ilya Evseev Posted April 3, 2012 Posted April 3, 2012 Объясните мне, зачем нужны говнософтроутеры, если не нужен fv? Хороший layer2 + софтроутер сейчас стоит в разы меньше, чем хороший layer3. layer2 + брендовый софтроутер стоит столько же, сколько плохой layer3 типа dgs3627. Возможно, с новыми Микротиками соотношение изменится, но пока imho до 2-3gbps аппаратный layer3 экономически невыгоден. Про самодостаточность, гибкость и прочее достаточно говорилось в http://forum.nag.ru/forum/index.php?showtopic=74229 Вставить ник Quote
s.lobanov Posted April 3, 2012 Posted April 3, 2012 Ilya Evseev Применимо к данной задаче, даже dlink dgs3627 подойдёт, L3 в нём "плохой" лишь в контексте построения arp cache и обработки arp-трафика, а форвардинг на нём такой же аппаратный, как и на других L3, поскольку в него будут включаться сервера, а не абоненты с вирусами и мусорным трафиком, то нормально он будет работать. Просто не нужно пихать свои самоделки туда, где они не нужны. Сказал человек, что fv ему не нужен, будет дефолт+статические маршруты, это задача явно для L3-свитча. Тем более это хостинг, а не физ.лица, над которыми можно проводить эксперименты, развлекаясь со своими поделками. Вставить ник Quote
Ilya Evseev Posted April 3, 2012 Posted April 3, 2012 Вы цену на 3550/3560 знаете? ))) Тогда уж лучше сразу DES-3828. Тем более это хостинг, а не физ.лица, над которыми можно проводить эксперименты, развлекаясь со своими поделками. Для того, чтобы запустить софтроутер, уже давно не нужны ни поделки, ни эксперименты. Аптаймы по 500 и 1000 суток для комбайнов с netflow+shaping+acls+... за $800 являются нормой. Хостинг в этом отношении даже проще. Например, на нём не нужен nat. даже dlink dgs3627 подойдёт, L3 в нём "плохой" лишь в контексте построения arp cache и обработки arp-трафика Я Вам отправлял заветную команду, полностью парализующую layer3 в любом Д-Линке? Не приходилось видеть, как dgs3627 убивается левыми dhcp-ответами на скорости <1kpps? Вставить ник Quote
s.lobanov Posted April 3, 2012 Posted April 3, 2012 Ilya Evseev Верю я в то, что control-plane в нём можно убить, но перечитайте задачу - это хостинг, а не мусор с завирусованных домашних ПК и кривых cpe. Аптаймы по 500 и 1000 суток для комбайнов с netflow+shaping+acls+... за $800 являются нормой. Тоже верю, но вот беда - надо знать какую матплату, какой cpu, какие сетевые карты брать среди всего того барахла, который продаётся на рынке(при этом нет ни одного полного описания сбора этих "комбайнов" - купить это, поставить такую-то ОС, запихнуть в sysctl то и т.д.). Советовать с этим разбираться человеку, не осилившему маршрутизацию в opensuse это просто кащунство. Вставить ник Quote
Ilya Evseev Posted April 3, 2012 Posted April 3, 2012 это хостинг, а не мусор с завирусованных домашних ПК и кривых cpe. Вы думаете, хостинг не подвергается атакам и заражениям? надо знать какую матплату, какой cpu, какие сетевые карты брать среди всего того барахла, который продаётся на рынке 1) Это можно спросить здесь. 2) Фирм, способных под заказ качественно собрать сервер с заданными характеристиками, сейчас достаточно. Хостингу в любом случае придётся иметь с ними дело. Советовать с этим разбираться человеку, не осилившему маршрутизацию в opensuse это просто кащунство. Человек, который в состоянии без предварительного опыта разобраться, какая Циска за $6-7k ему нужна, тем более в состоянии разобраться в материнских платах за $100. А вот обратное не факт. Вставить ник Quote
Олег Кривицкий Posted April 3, 2012 Posted April 3, 2012 Верю я в то, что control-plane в нём можно убить, но перечитайте задачу - это хостинг, а не мусор с завирусованных домашних ПК и кривых cpe. А хостинг для кого, может, с другой стороны, на эти сервера и лезут те самые у которых "мусор с завирусованных домашних ПК и кривых cpe"??? Вставить ник Quote
s.lobanov Posted April 3, 2012 Posted April 3, 2012 Олег Кривицкий Да пусть лезут, arp-то и bcast dhcp вы всё равно не можете извне послать, мусор это то, что не IP и живёт в пределах L2-сегмента до точки терминирования. Извне фактически приходит только IP. Вставить ник Quote
Олег Кривицкий Posted April 3, 2012 Posted April 3, 2012 Олег Кривицкий Да пусть лезут, arp-то и bcast dhcp вы всё равно не можете извне послать, мусор это то, что не IP и живёт в пределах L2-сегмента до точки терминирования. Извне фактически приходит только IP. А по L3 dlink dgs3627 неубиваем? Я просто не в курсе его уязвимостей ... Буду хоть знать где их можно ставить, а где не стОит :) Вставить ник Quote
Ilya Evseev Posted April 3, 2012 Posted April 3, 2012 А по L3 dlink dgs3627 неубиваем? Я просто не в курсе его уязвимостей ... Буду хоть знать где их можно ставить, а где не стОит :) У всех DGS-3xxx функции роутинга удалённо убиваются маршрутизируемым юникастом. По крайней мере, в http://forum.nag.ru/forum/index.php?showtopic=71530 этого так и не опровергли. Вставить ник Quote
s.lobanov Posted April 3, 2012 Posted April 3, 2012 Олег Кривицкий извне есть риски в случае только при отправке трафика на ip самого свитча или на ip, которые dc, но их нет в arp-cache. от второго можно защиться прописав статические arp на те адреса, которые пока не используются(приемлимо для хостингов, но не для isp). по поводу защиты от первого лучше уточнить у более опытных людей в сношениях с длинком. А по L3 dlink dgs3627 неубиваем? Я просто не в курсе его уязвимостей ... Буду хоть знать где их можно ставить, а где не стОит :) У всех DGS-3xxx функции роутинга удалённо убиваются маршрутизируемым юникастом. По крайней мере, в http://forum.nag.ru/forum/index.php?showtopic=71530 этого так и не опровергли. Там много всего. Давайте более конкретно. Да и к тому же меня не удивить атаками на control-plane, мне удавалось убивать оборудование куда серьёзнее, чем dgs3627, но это не означает что железка говно, надо искать пути решения проблемы. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.