Be_HaPPY Опубликовано 31 марта, 2012 · Жалоба Имеется: небольшой хостинг, ~150 мелких сайтов, 2 портала, пару фтп. Три гигабитных линка на местных провайдеров. Средняя нагрузка на все сайты - 4-6 мб/с, порталы - 10-20 мб/с, фтп - от 20 до 400 мб/с. Естественно, количество отдельных сессий большое. По моим прогнозам в течение года ожидается двукратное увеличение трафика сайтов и порталов (трафик фтп искусственно ограничиваю на 400 мегабитах). Сейчас все это разруливает софтроутер с opensuse и несколькими 4-х портовыми гигабитными сетевушками. По netflow снимается статистика по трафику. Сейчас будет приобретаться своя AS, которая будет анонсироваться в 2 провайдера + статические маршруты в другие 4 прова. Сеть будет делиться на мелкие подсети для разных ресурсов, поэтому маршрутизатор должен или иметь много портов или уметь маршрутизацию между разными адресами на одном интерфейсе (в opensuse с этим сложности). Все это должно уметь BGP, фильтрацию по портам и, если это железка, то иметь резерв (например, 2 одинаковые железки). Посоветуйте, пожалуйста, железку под эти задачи с хорошим запасом производительности. Бюджет - до 200 тыс. рублей (может двигаться в бОльшую сторону). Возможен и вариант использования 2-х железок: первая - BGP и провайдеры, вторая (софтроутер) - фаервол, IDS (использую snort), netflow. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
andryas Опубликовано 31 марта, 2012 (изменено) · Жалоба В Вашем случае разница будет в основном в стоимости (если брать новое). Более дорогой, более простой, но и менее гибкий вариант - современный L3 коммутатор от Cisco. Для настройки софтроутера требуются гораздо бОльше опыта и времени. Но я, всё-же, наверное, отдал бы предпочтение какой-то старенькой L3 железке: дёшево и сердито. Изменено 31 марта, 2012 пользователем andryas Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 31 марта, 2012 · Жалоба от 2 провайдеров нужен fv или как один как резерв или извратные схемы балансировки исходящего без fv? Какое у вас соотношение по входящему/исходящему? IDS что именно у вас делает? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Be_HaPPY Опубликовано 31 марта, 2012 · Жалоба Один как основной в глобал, второй - резервный. Планировал побить свою сеть на мелкие и анонсировать их в основного, а всю сеть одним куском - в резервного. Вроде как получится то, что хочу. Никаких балансировок не нужно. Исходящий примерно в 10 раз больше входящего. Новое или Б/У значения не имеет если будет резерв (от нас до большой земли только самолетом и любая железка в случае поломки будет идти долго). IDS пока что только детектит (уведомления на почту) и скриптом банит ip, долбящие ssh. Большего от него особо и не требуется. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 31 марта, 2012 · Жалоба маршрутизатор должен или иметь много портов или уметь маршрутизацию между разными адресами на одном интерфейсе (в opensuse с этим сложности) 1) Нужна физическая изоляция - vlan 2) С маршрутизацией как раз сложностей никаких. Если понимать, что делаете. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 31 марта, 2012 · Жалоба Один как основной в глобал, второй - резервный. Планировал побить свою сеть на мелкие и анонсировать их в основного, а всю сеть одним куском - в резервного. Вроде как получится то, что хочу. Никаких балансировок не нужно. Исходящий примерно в 10 раз больше входящего. Новое или Б/У значения не имеет если будет резерв (от нас до большой земли только самолетом и любая железка в случае поломки будет идти долго). IDS пока что только детектит (уведомления на почту) и скриптом банит ip, долбящие ssh. Большего от него особо и не требуется. Если IDS оставить на серверах, то вам нужно брать L3-свитч с функцией L4 acl Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Be_HaPPY Опубликовано 31 марта, 2012 · Жалоба Если IDS оставить на серверах, то вам нужно брать L3-свитч с функцией L4 acl И BGP на софтроутере? Просто хотел сделать наоборот - BGP и провайдеры на железке, а дальше свой софтроутер или железка. Слышал, что не каждая железка может нормально обслуживать AS, если AS появилась недавно. Посоветуйте конкретную модель железки под BGP и двух провайдеров по гигабиту (в идеале ~8 портов (3 гигабитных) + policy routing чтобы переход с текущей схемы на новую был максимально простым). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 31 марта, 2012 · Жалоба Be_HaPPY Нет, bgp многие L3 свитчи умеют(особенно если не забирать fv). Если у вас будет AS 16бит, то 2xWS-C3750-48TS-S б/у можно купить за копейки или найти аналогичную по функционалу китайщину не б/у. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
MMM Опубликовано 31 марта, 2012 (изменено) · Жалоба Поставьте двухпортовую сетевую 10G и свич L2 с 10G портами. Должно получиться хорошо. Если сетевые и свич будут включены по меди (через CX4), то еще и недорого. Изменено 31 марта, 2012 пользователем MMM Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ilya Evseev Опубликовано 2 апреля, 2012 · Жалоба маршрутизатор должен или иметь много портов или уметь маршрутизацию между разными адресами на одном интерфейсе (в opensuse с этим сложности). Какие? imho порты и bgp - это две задачи для двух разных железок, агрегации и шлюза. На агрегацию оптимален D-Link DGS-3120, шлюзом при Ваших нагрузках может быть софтроутер с нормальными сетевыми. Если хочется отказоустойчивости, тогда DGS-3120 объединяются в стек, подключаются к RPS, между софтроутерами настраивается VRRP или CARP. Все устройства, кроме второстепенных, подключаются к стеку LACP-транками, причём один кабель транка идёт в мастер, а второй в слейв. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 3 апреля, 2012 · Жалоба Ilya Evseev Объясните мне, зачем нужны говнософтроутеры, если не нужен fv? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ilya Evseev Опубликовано 3 апреля, 2012 · Жалоба Объясните мне, зачем нужны говнософтроутеры, если не нужен fv? Хороший layer2 + софтроутер сейчас стоит в разы меньше, чем хороший layer3. layer2 + брендовый софтроутер стоит столько же, сколько плохой layer3 типа dgs3627. Возможно, с новыми Микротиками соотношение изменится, но пока imho до 2-3gbps аппаратный layer3 экономически невыгоден. Про самодостаточность, гибкость и прочее достаточно говорилось в http://forum.nag.ru/forum/index.php?showtopic=74229 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Дятел Опубликовано 3 апреля, 2012 · Жалоба Вы цену на 3550/3560 знаете? ))) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 3 апреля, 2012 · Жалоба Ilya Evseev Применимо к данной задаче, даже dlink dgs3627 подойдёт, L3 в нём "плохой" лишь в контексте построения arp cache и обработки arp-трафика, а форвардинг на нём такой же аппаратный, как и на других L3, поскольку в него будут включаться сервера, а не абоненты с вирусами и мусорным трафиком, то нормально он будет работать. Просто не нужно пихать свои самоделки туда, где они не нужны. Сказал человек, что fv ему не нужен, будет дефолт+статические маршруты, это задача явно для L3-свитча. Тем более это хостинг, а не физ.лица, над которыми можно проводить эксперименты, развлекаясь со своими поделками. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ilya Evseev Опубликовано 3 апреля, 2012 · Жалоба Вы цену на 3550/3560 знаете? ))) Тогда уж лучше сразу DES-3828. Тем более это хостинг, а не физ.лица, над которыми можно проводить эксперименты, развлекаясь со своими поделками. Для того, чтобы запустить софтроутер, уже давно не нужны ни поделки, ни эксперименты. Аптаймы по 500 и 1000 суток для комбайнов с netflow+shaping+acls+... за $800 являются нормой. Хостинг в этом отношении даже проще. Например, на нём не нужен nat. даже dlink dgs3627 подойдёт, L3 в нём "плохой" лишь в контексте построения arp cache и обработки arp-трафика Я Вам отправлял заветную команду, полностью парализующую layer3 в любом Д-Линке? Не приходилось видеть, как dgs3627 убивается левыми dhcp-ответами на скорости <1kpps? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 3 апреля, 2012 · Жалоба Ilya Evseev Верю я в то, что control-plane в нём можно убить, но перечитайте задачу - это хостинг, а не мусор с завирусованных домашних ПК и кривых cpe. Аптаймы по 500 и 1000 суток для комбайнов с netflow+shaping+acls+... за $800 являются нормой. Тоже верю, но вот беда - надо знать какую матплату, какой cpu, какие сетевые карты брать среди всего того барахла, который продаётся на рынке(при этом нет ни одного полного описания сбора этих "комбайнов" - купить это, поставить такую-то ОС, запихнуть в sysctl то и т.д.). Советовать с этим разбираться человеку, не осилившему маршрутизацию в opensuse это просто кащунство. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ilya Evseev Опубликовано 3 апреля, 2012 · Жалоба это хостинг, а не мусор с завирусованных домашних ПК и кривых cpe. Вы думаете, хостинг не подвергается атакам и заражениям? надо знать какую матплату, какой cpu, какие сетевые карты брать среди всего того барахла, который продаётся на рынке 1) Это можно спросить здесь. 2) Фирм, способных под заказ качественно собрать сервер с заданными характеристиками, сейчас достаточно. Хостингу в любом случае придётся иметь с ними дело. Советовать с этим разбираться человеку, не осилившему маршрутизацию в opensuse это просто кащунство. Человек, который в состоянии без предварительного опыта разобраться, какая Циска за $6-7k ему нужна, тем более в состоянии разобраться в материнских платах за $100. А вот обратное не факт. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Олег Кривицкий Опубликовано 3 апреля, 2012 · Жалоба Верю я в то, что control-plane в нём можно убить, но перечитайте задачу - это хостинг, а не мусор с завирусованных домашних ПК и кривых cpe. А хостинг для кого, может, с другой стороны, на эти сервера и лезут те самые у которых "мусор с завирусованных домашних ПК и кривых cpe"??? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 3 апреля, 2012 · Жалоба Олег Кривицкий Да пусть лезут, arp-то и bcast dhcp вы всё равно не можете извне послать, мусор это то, что не IP и живёт в пределах L2-сегмента до точки терминирования. Извне фактически приходит только IP. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Олег Кривицкий Опубликовано 3 апреля, 2012 · Жалоба Олег Кривицкий Да пусть лезут, arp-то и bcast dhcp вы всё равно не можете извне послать, мусор это то, что не IP и живёт в пределах L2-сегмента до точки терминирования. Извне фактически приходит только IP. А по L3 dlink dgs3627 неубиваем? Я просто не в курсе его уязвимостей ... Буду хоть знать где их можно ставить, а где не стОит :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ilya Evseev Опубликовано 3 апреля, 2012 · Жалоба А по L3 dlink dgs3627 неубиваем? Я просто не в курсе его уязвимостей ... Буду хоть знать где их можно ставить, а где не стОит :) У всех DGS-3xxx функции роутинга удалённо убиваются маршрутизируемым юникастом. По крайней мере, в http://forum.nag.ru/forum/index.php?showtopic=71530 этого так и не опровергли. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 3 апреля, 2012 · Жалоба Олег Кривицкий извне есть риски в случае только при отправке трафика на ip самого свитча или на ip, которые dc, но их нет в arp-cache. от второго можно защиться прописав статические arp на те адреса, которые пока не используются(приемлимо для хостингов, но не для isp). по поводу защиты от первого лучше уточнить у более опытных людей в сношениях с длинком. А по L3 dlink dgs3627 неубиваем? Я просто не в курсе его уязвимостей ... Буду хоть знать где их можно ставить, а где не стОит :) У всех DGS-3xxx функции роутинга удалённо убиваются маршрутизируемым юникастом. По крайней мере, в http://forum.nag.ru/forum/index.php?showtopic=71530 этого так и не опровергли. Там много всего. Давайте более конкретно. Да и к тому же меня не удивить атаками на control-plane, мне удавалось убивать оборудование куда серьёзнее, чем dgs3627, но это не означает что железка говно, надо искать пути решения проблемы. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Дятел Опубликовано 3 апреля, 2012 · Жалоба Красноглазие не лечится ))) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...