Перейти к содержимому
Калькуляторы

Железка или софтроутер?

Имеется: небольшой хостинг, ~150 мелких сайтов, 2 портала, пару фтп. Три гигабитных линка на местных провайдеров. Средняя нагрузка на все сайты - 4-6 мб/с, порталы - 10-20 мб/с, фтп - от 20 до 400 мб/с. Естественно, количество отдельных сессий большое. По моим прогнозам в течение года ожидается двукратное увеличение трафика сайтов и порталов (трафик фтп искусственно ограничиваю на 400 мегабитах).

Сейчас все это разруливает софтроутер с opensuse и несколькими 4-х портовыми гигабитными сетевушками. По netflow снимается статистика по трафику.

 

Сейчас будет приобретаться своя AS, которая будет анонсироваться в 2 провайдера + статические маршруты в другие 4 прова. Сеть будет делиться на мелкие подсети для разных ресурсов, поэтому маршрутизатор должен или иметь много портов или уметь маршрутизацию между разными адресами на одном интерфейсе (в opensuse с этим сложности). Все это должно уметь BGP, фильтрацию по портам и, если это железка, то иметь резерв (например, 2 одинаковые железки).

Посоветуйте, пожалуйста, железку под эти задачи с хорошим запасом производительности. Бюджет - до 200 тыс. рублей (может двигаться в бОльшую сторону).

Возможен и вариант использования 2-х железок: первая - BGP и провайдеры, вторая (софтроутер) - фаервол, IDS (использую snort), netflow.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В Вашем случае разница будет в основном в стоимости (если брать новое). Более дорогой, более простой, но и менее гибкий вариант - современный L3 коммутатор от Cisco. Для настройки софтроутера требуются гораздо бОльше опыта и времени.

Но я, всё-же, наверное, отдал бы предпочтение какой-то старенькой L3 железке: дёшево и сердито.

Изменено пользователем andryas

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

от 2 провайдеров нужен fv или как один как резерв или извратные схемы балансировки исходящего без fv? Какое у вас соотношение по входящему/исходящему?

 

IDS что именно у вас делает?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Один как основной в глобал, второй - резервный. Планировал побить свою сеть на мелкие и анонсировать их в основного, а всю сеть одним куском - в резервного. Вроде как получится то, что хочу. Никаких балансировок не нужно. Исходящий примерно в 10 раз больше входящего.

Новое или Б/У значения не имеет если будет резерв (от нас до большой земли только самолетом и любая железка в случае поломки будет идти долго). IDS пока что только детектит (уведомления на почту) и скриптом банит ip, долбящие ssh. Большего от него особо и не требуется.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

маршрутизатор должен или иметь много портов или уметь маршрутизацию между разными адресами на одном интерфейсе (в opensuse с этим сложности)

1) Нужна физическая изоляция - vlan

2) С маршрутизацией как раз сложностей никаких. Если понимать, что делаете.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Один как основной в глобал, второй - резервный. Планировал побить свою сеть на мелкие и анонсировать их в основного, а всю сеть одним куском - в резервного. Вроде как получится то, что хочу. Никаких балансировок не нужно. Исходящий примерно в 10 раз больше входящего.

Новое или Б/У значения не имеет если будет резерв (от нас до большой земли только самолетом и любая железка в случае поломки будет идти долго). IDS пока что только детектит (уведомления на почту) и скриптом банит ip, долбящие ssh. Большего от него особо и не требуется.

 

Если IDS оставить на серверах, то вам нужно брать L3-свитч с функцией L4 acl

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Если IDS оставить на серверах, то вам нужно брать L3-свитч с функцией L4 acl

 

И BGP на софтроутере? Просто хотел сделать наоборот - BGP и провайдеры на железке, а дальше свой софтроутер или железка.

Слышал, что не каждая железка может нормально обслуживать AS, если AS появилась недавно. Посоветуйте конкретную модель железки под BGP и двух провайдеров по гигабиту (в идеале ~8 портов (3 гигабитных) + policy routing чтобы переход с текущей схемы на новую был максимально простым).

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Be_HaPPY

Нет, bgp многие L3 свитчи умеют(особенно если не забирать fv). Если у вас будет AS 16бит, то 2xWS-C3750-48TS-S б/у можно купить за копейки или найти аналогичную по функционалу китайщину не б/у.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Поставьте двухпортовую сетевую 10G и свич L2 с 10G портами.

Должно получиться хорошо.

 

Если сетевые и свич будут включены по меди (через CX4), то еще и недорого.

Изменено пользователем MMM

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

маршрутизатор должен или иметь много портов или уметь маршрутизацию между разными адресами на одном интерфейсе (в opensuse с этим сложности).

Какие?

 

imho порты и bgp - это две задачи для двух разных железок, агрегации и шлюза.

На агрегацию оптимален D-Link DGS-3120, шлюзом при Ваших нагрузках может быть софтроутер с нормальными сетевыми.

 

Если хочется отказоустойчивости, тогда DGS-3120 объединяются в стек, подключаются к RPS,

между софтроутерами настраивается VRRP или CARP. Все устройства, кроме второстепенных,

подключаются к стеку LACP-транками, причём один кабель транка идёт в мастер, а второй в слейв.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ilya Evseev

Объясните мне, зачем нужны говнософтроутеры, если не нужен fv?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Объясните мне, зачем нужны говнософтроутеры, если не нужен fv?

Хороший layer2 + софтроутер сейчас стоит в разы меньше, чем хороший layer3.

layer2 + брендовый софтроутер стоит столько же, сколько плохой layer3 типа dgs3627.

Возможно, с новыми Микротиками соотношение изменится, но пока imho до 2-3gbps аппаратный layer3 экономически невыгоден.

 

Про самодостаточность, гибкость и прочее достаточно говорилось в http://forum.nag.ru/forum/index.php?showtopic=74229

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вы цену на 3550/3560 знаете? )))

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ilya Evseev

Применимо к данной задаче, даже dlink dgs3627 подойдёт, L3 в нём "плохой" лишь в контексте построения arp cache и обработки arp-трафика, а форвардинг на нём такой же аппаратный, как и на других L3, поскольку в него будут включаться сервера, а не абоненты с вирусами и мусорным трафиком, то нормально он будет работать.

 

Просто не нужно пихать свои самоделки туда, где они не нужны. Сказал человек, что fv ему не нужен, будет дефолт+статические маршруты, это задача явно для L3-свитча. Тем более это хостинг, а не физ.лица, над которыми можно проводить эксперименты, развлекаясь со своими поделками.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вы цену на 3550/3560 знаете? )))

Тогда уж лучше сразу DES-3828.

 

Тем более это хостинг, а не физ.лица, над которыми можно проводить эксперименты, развлекаясь со своими поделками.

Для того, чтобы запустить софтроутер, уже давно не нужны ни поделки, ни эксперименты.

Аптаймы по 500 и 1000 суток для комбайнов с netflow+shaping+acls+... за $800 являются нормой.

Хостинг в этом отношении даже проще. Например, на нём не нужен nat.

 

даже dlink dgs3627 подойдёт, L3 в нём "плохой" лишь в контексте построения arp cache и обработки arp-трафика

Я Вам отправлял заветную команду, полностью парализующую layer3 в любом Д-Линке?

Не приходилось видеть, как dgs3627 убивается левыми dhcp-ответами на скорости <1kpps?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ilya Evseev

Верю я в то, что control-plane в нём можно убить, но перечитайте задачу - это хостинг, а не мусор с завирусованных домашних ПК и кривых cpe.

 

Аптаймы по 500 и 1000 суток для комбайнов с netflow+shaping+acls+... за $800 являются нормой.

Тоже верю, но вот беда - надо знать какую матплату, какой cpu, какие сетевые карты брать среди всего того барахла, который продаётся на рынке(при этом нет ни одного полного описания сбора этих "комбайнов" - купить это, поставить такую-то ОС, запихнуть в sysctl то и т.д.). Советовать с этим разбираться человеку, не осилившему маршрутизацию в opensuse это просто кащунство.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

это хостинг, а не мусор с завирусованных домашних ПК и кривых cpe.

Вы думаете, хостинг не подвергается атакам и заражениям?

 

надо знать какую матплату, какой cpu, какие сетевые карты брать среди всего того барахла, который продаётся на рынке

1) Это можно спросить здесь.

2) Фирм, способных под заказ качественно собрать сервер с заданными характеристиками, сейчас достаточно.

Хостингу в любом случае придётся иметь с ними дело.

 

Советовать с этим разбираться человеку, не осилившему маршрутизацию в opensuse это просто кащунство.

Человек, который в состоянии без предварительного опыта разобраться, какая Циска за $6-7k ему нужна,

тем более в состоянии разобраться в материнских платах за $100. А вот обратное не факт.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Верю я в то, что control-plane в нём можно убить, но перечитайте задачу - это хостинг, а не мусор с завирусованных домашних ПК и кривых cpe.

 

А хостинг для кого, может, с другой стороны, на эти сервера и лезут те самые у которых "мусор с завирусованных домашних ПК и кривых cpe"???

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Олег Кривицкий

Да пусть лезут, arp-то и bcast dhcp вы всё равно не можете извне послать, мусор это то, что не IP и живёт в пределах L2-сегмента до точки терминирования. Извне фактически приходит только IP.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Олег Кривицкий

Да пусть лезут, arp-то и bcast dhcp вы всё равно не можете извне послать, мусор это то, что не IP и живёт в пределах L2-сегмента до точки терминирования. Извне фактически приходит только IP.

 

А по L3 dlink dgs3627 неубиваем? Я просто не в курсе его уязвимостей ... Буду хоть знать где их можно ставить, а где не стОит :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А по L3 dlink dgs3627 неубиваем? Я просто не в курсе его уязвимостей ... Буду хоть знать где их можно ставить, а где не стОит :)

У всех DGS-3xxx функции роутинга удалённо убиваются маршрутизируемым юникастом.

По крайней мере, в http://forum.nag.ru/forum/index.php?showtopic=71530 этого так и не опровергли.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Олег Кривицкий

извне есть риски в случае только при отправке трафика на ip самого свитча или на ip, которые dc, но их нет в arp-cache. от второго можно защиться прописав статические arp на те адреса, которые пока не используются(приемлимо для хостингов, но не для isp). по поводу защиты от первого лучше уточнить у более опытных людей в сношениях с длинком.

 

А по L3 dlink dgs3627 неубиваем? Я просто не в курсе его уязвимостей ... Буду хоть знать где их можно ставить, а где не стОит :)

У всех DGS-3xxx функции роутинга удалённо убиваются маршрутизируемым юникастом.

По крайней мере, в http://forum.nag.ru/forum/index.php?showtopic=71530 этого так и не опровергли.

 

Там много всего. Давайте более конкретно. Да и к тому же меня не удивить атаками на control-plane, мне удавалось убивать оборудование куда серьёзнее, чем dgs3627, но это не означает что железка говно, надо искать пути решения проблемы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Красноглазие не лечится )))

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.