Jump to content
Калькуляторы

Железка или софтроутер?

Имеется: небольшой хостинг, ~150 мелких сайтов, 2 портала, пару фтп. Три гигабитных линка на местных провайдеров. Средняя нагрузка на все сайты - 4-6 мб/с, порталы - 10-20 мб/с, фтп - от 20 до 400 мб/с. Естественно, количество отдельных сессий большое. По моим прогнозам в течение года ожидается двукратное увеличение трафика сайтов и порталов (трафик фтп искусственно ограничиваю на 400 мегабитах).

Сейчас все это разруливает софтроутер с opensuse и несколькими 4-х портовыми гигабитными сетевушками. По netflow снимается статистика по трафику.

 

Сейчас будет приобретаться своя AS, которая будет анонсироваться в 2 провайдера + статические маршруты в другие 4 прова. Сеть будет делиться на мелкие подсети для разных ресурсов, поэтому маршрутизатор должен или иметь много портов или уметь маршрутизацию между разными адресами на одном интерфейсе (в opensuse с этим сложности). Все это должно уметь BGP, фильтрацию по портам и, если это железка, то иметь резерв (например, 2 одинаковые железки).

Посоветуйте, пожалуйста, железку под эти задачи с хорошим запасом производительности. Бюджет - до 200 тыс. рублей (может двигаться в бОльшую сторону).

Возможен и вариант использования 2-х железок: первая - BGP и провайдеры, вторая (софтроутер) - фаервол, IDS (использую snort), netflow.

Share this post


Link to post
Share on other sites

В Вашем случае разница будет в основном в стоимости (если брать новое). Более дорогой, более простой, но и менее гибкий вариант - современный L3 коммутатор от Cisco. Для настройки софтроутера требуются гораздо бОльше опыта и времени.

Но я, всё-же, наверное, отдал бы предпочтение какой-то старенькой L3 железке: дёшево и сердито.

Edited by andryas

Share this post


Link to post
Share on other sites

от 2 провайдеров нужен fv или как один как резерв или извратные схемы балансировки исходящего без fv? Какое у вас соотношение по входящему/исходящему?

 

IDS что именно у вас делает?

Share this post


Link to post
Share on other sites

Один как основной в глобал, второй - резервный. Планировал побить свою сеть на мелкие и анонсировать их в основного, а всю сеть одним куском - в резервного. Вроде как получится то, что хочу. Никаких балансировок не нужно. Исходящий примерно в 10 раз больше входящего.

Новое или Б/У значения не имеет если будет резерв (от нас до большой земли только самолетом и любая железка в случае поломки будет идти долго). IDS пока что только детектит (уведомления на почту) и скриптом банит ip, долбящие ssh. Большего от него особо и не требуется.

Share this post


Link to post
Share on other sites

маршрутизатор должен или иметь много портов или уметь маршрутизацию между разными адресами на одном интерфейсе (в opensuse с этим сложности)

1) Нужна физическая изоляция - vlan

2) С маршрутизацией как раз сложностей никаких. Если понимать, что делаете.

Share this post


Link to post
Share on other sites

Один как основной в глобал, второй - резервный. Планировал побить свою сеть на мелкие и анонсировать их в основного, а всю сеть одним куском - в резервного. Вроде как получится то, что хочу. Никаких балансировок не нужно. Исходящий примерно в 10 раз больше входящего.

Новое или Б/У значения не имеет если будет резерв (от нас до большой земли только самолетом и любая железка в случае поломки будет идти долго). IDS пока что только детектит (уведомления на почту) и скриптом банит ip, долбящие ssh. Большего от него особо и не требуется.

 

Если IDS оставить на серверах, то вам нужно брать L3-свитч с функцией L4 acl

Share this post


Link to post
Share on other sites

Если IDS оставить на серверах, то вам нужно брать L3-свитч с функцией L4 acl

 

И BGP на софтроутере? Просто хотел сделать наоборот - BGP и провайдеры на железке, а дальше свой софтроутер или железка.

Слышал, что не каждая железка может нормально обслуживать AS, если AS появилась недавно. Посоветуйте конкретную модель железки под BGP и двух провайдеров по гигабиту (в идеале ~8 портов (3 гигабитных) + policy routing чтобы переход с текущей схемы на новую был максимально простым).

Share this post


Link to post
Share on other sites

Be_HaPPY

Нет, bgp многие L3 свитчи умеют(особенно если не забирать fv). Если у вас будет AS 16бит, то 2xWS-C3750-48TS-S б/у можно купить за копейки или найти аналогичную по функционалу китайщину не б/у.

Share this post


Link to post
Share on other sites

Поставьте двухпортовую сетевую 10G и свич L2 с 10G портами.

Должно получиться хорошо.

 

Если сетевые и свич будут включены по меди (через CX4), то еще и недорого.

Edited by MMM

Share this post


Link to post
Share on other sites

маршрутизатор должен или иметь много портов или уметь маршрутизацию между разными адресами на одном интерфейсе (в opensuse с этим сложности).

Какие?

 

imho порты и bgp - это две задачи для двух разных железок, агрегации и шлюза.

На агрегацию оптимален D-Link DGS-3120, шлюзом при Ваших нагрузках может быть софтроутер с нормальными сетевыми.

 

Если хочется отказоустойчивости, тогда DGS-3120 объединяются в стек, подключаются к RPS,

между софтроутерами настраивается VRRP или CARP. Все устройства, кроме второстепенных,

подключаются к стеку LACP-транками, причём один кабель транка идёт в мастер, а второй в слейв.

Share this post


Link to post
Share on other sites

Ilya Evseev

Объясните мне, зачем нужны говнософтроутеры, если не нужен fv?

Share this post


Link to post
Share on other sites

Объясните мне, зачем нужны говнософтроутеры, если не нужен fv?

Хороший layer2 + софтроутер сейчас стоит в разы меньше, чем хороший layer3.

layer2 + брендовый софтроутер стоит столько же, сколько плохой layer3 типа dgs3627.

Возможно, с новыми Микротиками соотношение изменится, но пока imho до 2-3gbps аппаратный layer3 экономически невыгоден.

 

Про самодостаточность, гибкость и прочее достаточно говорилось в http://forum.nag.ru/forum/index.php?showtopic=74229

Share this post


Link to post
Share on other sites

Ilya Evseev

Применимо к данной задаче, даже dlink dgs3627 подойдёт, L3 в нём "плохой" лишь в контексте построения arp cache и обработки arp-трафика, а форвардинг на нём такой же аппаратный, как и на других L3, поскольку в него будут включаться сервера, а не абоненты с вирусами и мусорным трафиком, то нормально он будет работать.

 

Просто не нужно пихать свои самоделки туда, где они не нужны. Сказал человек, что fv ему не нужен, будет дефолт+статические маршруты, это задача явно для L3-свитча. Тем более это хостинг, а не физ.лица, над которыми можно проводить эксперименты, развлекаясь со своими поделками.

Share this post


Link to post
Share on other sites

Вы цену на 3550/3560 знаете? )))

Тогда уж лучше сразу DES-3828.

 

Тем более это хостинг, а не физ.лица, над которыми можно проводить эксперименты, развлекаясь со своими поделками.

Для того, чтобы запустить софтроутер, уже давно не нужны ни поделки, ни эксперименты.

Аптаймы по 500 и 1000 суток для комбайнов с netflow+shaping+acls+... за $800 являются нормой.

Хостинг в этом отношении даже проще. Например, на нём не нужен nat.

 

даже dlink dgs3627 подойдёт, L3 в нём "плохой" лишь в контексте построения arp cache и обработки arp-трафика

Я Вам отправлял заветную команду, полностью парализующую layer3 в любом Д-Линке?

Не приходилось видеть, как dgs3627 убивается левыми dhcp-ответами на скорости <1kpps?

Share this post


Link to post
Share on other sites

Ilya Evseev

Верю я в то, что control-plane в нём можно убить, но перечитайте задачу - это хостинг, а не мусор с завирусованных домашних ПК и кривых cpe.

 

Аптаймы по 500 и 1000 суток для комбайнов с netflow+shaping+acls+... за $800 являются нормой.

Тоже верю, но вот беда - надо знать какую матплату, какой cpu, какие сетевые карты брать среди всего того барахла, который продаётся на рынке(при этом нет ни одного полного описания сбора этих "комбайнов" - купить это, поставить такую-то ОС, запихнуть в sysctl то и т.д.). Советовать с этим разбираться человеку, не осилившему маршрутизацию в opensuse это просто кащунство.

Share this post


Link to post
Share on other sites

это хостинг, а не мусор с завирусованных домашних ПК и кривых cpe.

Вы думаете, хостинг не подвергается атакам и заражениям?

 

надо знать какую матплату, какой cpu, какие сетевые карты брать среди всего того барахла, который продаётся на рынке

1) Это можно спросить здесь.

2) Фирм, способных под заказ качественно собрать сервер с заданными характеристиками, сейчас достаточно.

Хостингу в любом случае придётся иметь с ними дело.

 

Советовать с этим разбираться человеку, не осилившему маршрутизацию в opensuse это просто кащунство.

Человек, который в состоянии без предварительного опыта разобраться, какая Циска за $6-7k ему нужна,

тем более в состоянии разобраться в материнских платах за $100. А вот обратное не факт.

Share this post


Link to post
Share on other sites

Верю я в то, что control-plane в нём можно убить, но перечитайте задачу - это хостинг, а не мусор с завирусованных домашних ПК и кривых cpe.

 

А хостинг для кого, может, с другой стороны, на эти сервера и лезут те самые у которых "мусор с завирусованных домашних ПК и кривых cpe"???

Share this post


Link to post
Share on other sites

Олег Кривицкий

Да пусть лезут, arp-то и bcast dhcp вы всё равно не можете извне послать, мусор это то, что не IP и живёт в пределах L2-сегмента до точки терминирования. Извне фактически приходит только IP.

Share this post


Link to post
Share on other sites

Олег Кривицкий

Да пусть лезут, arp-то и bcast dhcp вы всё равно не можете извне послать, мусор это то, что не IP и живёт в пределах L2-сегмента до точки терминирования. Извне фактически приходит только IP.

 

А по L3 dlink dgs3627 неубиваем? Я просто не в курсе его уязвимостей ... Буду хоть знать где их можно ставить, а где не стОит :)

Share this post


Link to post
Share on other sites

А по L3 dlink dgs3627 неубиваем? Я просто не в курсе его уязвимостей ... Буду хоть знать где их можно ставить, а где не стОит :)

У всех DGS-3xxx функции роутинга удалённо убиваются маршрутизируемым юникастом.

По крайней мере, в http://forum.nag.ru/forum/index.php?showtopic=71530 этого так и не опровергли.

Share this post


Link to post
Share on other sites

Олег Кривицкий

извне есть риски в случае только при отправке трафика на ip самого свитча или на ip, которые dc, но их нет в arp-cache. от второго можно защиться прописав статические arp на те адреса, которые пока не используются(приемлимо для хостингов, но не для isp). по поводу защиты от первого лучше уточнить у более опытных людей в сношениях с длинком.

 

А по L3 dlink dgs3627 неубиваем? Я просто не в курсе его уязвимостей ... Буду хоть знать где их можно ставить, а где не стОит :)

У всех DGS-3xxx функции роутинга удалённо убиваются маршрутизируемым юникастом.

По крайней мере, в http://forum.nag.ru/forum/index.php?showtopic=71530 этого так и не опровергли.

 

Там много всего. Давайте более конкретно. Да и к тому же меня не удивить атаками на control-plane, мне удавалось убивать оборудование куда серьёзнее, чем dgs3627, но это не означает что железка говно, надо искать пути решения проблемы.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this