myst Опубликовано 18 июля, 2013 · Жалоба Скажите пожалуйста,а у Вас на 6.1 по IPSec устройства вообще работают и проблемы только при поднятии тунеля межу 6.1 и более старыми версиями? Там проблема вообще интересная. 6.1 не работает с более старыми версиями, в добавок пришлось снизить MTU на всех туннелях при прошивке на 6.1, т.к. всплыл блуждающий глюк с виндовой аутентификацией. Что-то в духе не проходила ntlm аутентификация(я не специалист в виндах, не скажу что точно было) на рабочих станциях позади туннеля после прошивки на 6.1. Помогала смена MTU (3500 туннелей, весело да?) или откат до 5.19 (наиболее стабильная на данный момент). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myst Опубликовано 18 июля, 2013 (изменено) · Жалоба Вот и правильно, нечего подключать к микротику что попало. У меня опорная сеть для облака на 650x SRX и бордеры на Cisco, мне кажется в данном случае это именно микротик "что попало". Надо быть полным идиотом что бы вместо стандартизированного, открытого, проверенного годами, стабильного протокола, предлагать проприетарный костыль который почти никто не умеет. Лично меня, как впрочем и миллионы других сетевых специалистов, вполне устраивает IPSEC. Лично меня не устраивает его паршивенькая реализация в ROS. Изменено 18 июля, 2013 пользователем myst Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 18 июля, 2013 · Жалоба Вот и правильно, нечего подключать к микротику что попало. Я про SSTP, как их поделие говорил, хз какие там дыры в дизайне. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 18 июля, 2013 · Жалоба Лично меня, как впрочем и миллионы других сетевых специалистов, вполне устраивает IPSEC. Лично меня не устраивает его паршивенькая реализация в ROS. Так же их устраивает и консоль, и вланы, и куча других устаревших и тянущихся с времен начала сетестроения технологий. Скоро будет Cloud Router Switch, в него втыкается SFP модуль и сразу клиента, работает вместо коммутатора в режиме роутера, клиенты непосредственно от него получают услугу, более ничего кроме L3 тянуть в центр не надо - широкие возможности для резервирования и масштабирования каналов. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 18 июля, 2013 · Жалоба Так же их устраивает и консоль, и вланы, и куча других устаревших и тянущихся с времен начала сетестроения технологий. Старые технологии работают себе, в отличии от микротика :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myst Опубликовано 18 июля, 2013 · Жалоба Старые технологии работают себе, в отличии от микротика :) +очень очень много. А фразу сразу клиента, работает вместо коммутатора в режиме роутера я пожалуй запишу в блокнотик. Уж очень улыбает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Картуччо Опубликовано 19 июля, 2013 · Жалоба 2) Ну собственно что и требовалось доказать. Классический ответ классического красноглаза в этом топике. Ну, красноглазом меня назвать это довольно смешно :) Это вот нитро, например, типичный красноглаз-линуксоид. А я с линуксами и тому подобным опенсорсом дружу крайне опосредовано. Я с виндой, платным софтом и циской по большей части. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 19 июля, 2013 · Жалоба широкие возможности для резервирования и масштабирования каналов. На скольки кппс скукожится? Что будет если клиент колечко у себя сделает? А если еще поверх этого оспф, который начнет при затыках из-за 100% загрузки проца постоянно перестраивать таблицу маршрутов по всей сети? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 19 июля, 2013 · Жалоба широкие возможности для резервирования и масштабирования каналов. На скольки кппс скукожится? Что будет если клиент колечко у себя сделает? А если еще поверх этого оспф, который начнет при затыках из-за 100% загрузки проца постоянно перестраивать таблицу маршрутов по всей сети? А если прилетят инопланетяне и утащат все оборудование с узла, тогда что делать? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 19 июля, 2013 · Жалоба А если прилетят инопланетяне и утащат все оборудование с узла, тогда что делать? Чувствую ответ попахивает микротиком... :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 19 июля, 2013 · Жалоба А если прилетят инопланетяне и утащат все оборудование с узла, тогда что делать? Инопланетяне прилетают почему-то гораздо реже, чем образуются кольца. И да, я вам поставил вполне конкретный вопрос:сколько кппс ваш чудо-свичороутер пережует, как ваш чудо-свичороутер поведет себя в случае кольца у клиента, и как его жизнедеятельность повлияет на всю остальную сеть? Судя по вашему ответу - похоже, это придется выяснять "счастливым обладателям" сей поделки... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myst Опубликовано 19 июля, 2013 · Жалоба Ну, красноглазом меня назвать это довольно смешно :) Это вот нитро, например, типичный красноглаз-линуксоид. А я с линуксами и тому подобным опенсорсом дружу крайне опосредовано. Я с виндой, платным софтом и циской по большей части. Красноглазость, это состояние души, а не принадлежность к какой-то платформе... Это откровенно глупое нежелание замечать косяки в "любимой" OS/Гаджете/Чем угодно... И да, я вам поставил вполне конкретный вопрос Забей, тут некоторые представители фауны, очень не любят отвечать на конкретные вопросы. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 19 июля, 2013 · Жалоба А если прилетят инопланетяне и утащат все оборудование с узла, тогда что делать? Инопланетяне прилетают почему-то гораздо реже, чем образуются кольца. И да, я вам поставил вполне конкретный вопрос:сколько кппс ваш чудо-свичороутер пережует, как ваш чудо-свичороутер поведет себя в случае кольца у клиента, и как его жизнедеятельность повлияет на всю остальную сеть? Судя по вашему ответу - похоже, это придется выяснять "счастливым обладателям" сей поделки... Пережует 5-10 миллионов пакетов, отключит этот порт, повлияет очень положительно, т.к. сразу уберет проблему с коллизиями маков. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 19 июля, 2013 · Жалоба Пережует 5-10 миллионов пакетов Тесты есть, в реальных условиях, а не сферический роутинг без единого правила? Что будет, если эта железка решит вдуть 2 мппс мультикаст флуда в IPoE туннель на другую железку, послабее? И да, сомнения меня берут насчет того, что сия вундервафля хоть 1 мппс пропустит через себя... Даже в тупом роутинге. Не говоря уже о л3 туннелях и прочих балалайках. отключит этот порт Спустя какое время? И отключит ли? Тесты есть, или догадки вендора? повлияет очень положительно, т.к. сразу уберет проблему с коллизиями маков. Какая такая проблема с коллизиями маков??? В корпоративном сегменте, на нормальном оборудовании (куда вы вашу вундервафлю пытаетесь пропихнуть), ее не существует, а в сохо сегменте (куда собссно микротики только и годятся) - по цене девайсина не пролезет... И каким образом чудо-железка в виде недосвичероутера может убрать проблему коллизий? Если она работает бриджом - проблема с коллизиями маков никуда при ее использовании не девается. Если она работает роутером - о какой собссно замене свичей может идти речь, если л2 бродкасты и прочее она не форвардит? DIR-100F тогда тоже можно мегасвичероутером называть :) К слову, у тика-то хоть есть возможность указать размер арп таблицы? :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 19 июля, 2013 · Жалоба Пережует 5-10 миллионов пакетов Тесты есть, в реальных условиях, а не сферический роутинг без единого правила? Что будет, если эта железка решит вдуть 2 мппс мультикаст флуда в IPoE туннель на другую железку, послабее? И да, сомнения меня берут насчет того, что сия вундервафля хоть 1 мппс пропустит через себя... Даже в тупом роутинге. Не говоря уже о л3 туннелях и прочих балалайках. RB1100AHx2 роутит миллион пакетов, а в этой железке процессор мощнее. Мультикаст туннели и IPoE на ней делать не нужно. отключит этот порт Спустя какое время? И отключит ли? Тесты есть, или догадки вендора? Отключит, не бойтесь. повлияет очень положительно, т.к. сразу уберет проблему с коллизиями маков. Какая такая проблема с коллизиями маков??? В корпоративном сегменте, на нормальном оборудовании (куда вы вашу вундервафлю пытаетесь пропихнуть), ее не существует, а в сохо сегменте (куда собссно микротики только и годятся) - по цене девайсина не пролезет... И каким образом чудо-железка в виде недосвичероутера может убрать проблему коллизий? Если она работает бриджом - проблема с коллизиями маков никуда при ее использовании не девается. Если она работает роутером - о какой собссно замене свичей может идти речь, если л2 бродкасты и прочее она не форвардит? DIR-100F тогда тоже можно мегасвичероутером называть :) К слову, у тика-то хоть есть возможность указать размер арп таблицы? :) Зачем там размер таблицы? На каждый абонентский порт настраивается свой DHCP сервер, он по радиусу выдает клиенту адрес, сразу делая статическую ARP запись и прописывая маршрут на этот интерфейс, что бы по OSPF этот адрес всем сообщить. При этом вся настройка сети сводится к залитию типового конфига, в котором только изменяют IP адрес и все. В центре вообще ничего не надо менять. При заходе в новый дом вообще очень удобно - сначала ставят RB2011LS, как станет мало портов туда новый свич, мало одного - к нему на подмогу второй вот и все. Конечно привыкшим к вланам, серверам на линуксе и прочей ерунде это понять довольно сложно, но никуда от этого все равно не деться. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Картуччо Опубликовано 19 июля, 2013 · Жалоба Красноглазость, это состояние души, а не принадлежность к какой-то платформе... Это откровенно глупое нежелание замечать косяки в "любимой" OS/Гаджете/Чем угодно... Мем "красноглазый" в основном относится именно к линуксоидам. И изначально не имеет вообще никакого отношения к процитированной галиматье. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zi_rus Опубликовано 19 июля, 2013 · Жалоба RB1100AHx2 роутит миллион пакетов, а в этой железке процессор мощнее. Мультикаст туннели и IPoE на ней делать не нужно. сказал бы что это наглая ложь, даже проще пи...жь, ну ладно согласно относительно ояициальным данным http://routerboard.com/RB1100AHx2 на чистом рутинге это 1.9mpps, 0.7mpps, 0.3mpps (если конечно предположить что Mbps это мегабиты как у всех нормальных людей) + disclaimer "Test results show device maximum performance, and are reached using mentioned hardware and software configuration, <b>different configurations most likely will result in lower results</b>" в общем, миллионом там и не пахло, и вообще подозрительно что с ростом трафика pps падает так сильно в следующий раз ври более убедительно, скажем 100kpps, или анальное рабство перед этой конторой не позволяет так близко подходить к правде? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
srg555 Опубликовано 19 июля, 2013 (изменено) · Жалоба На каждый абонентский порт настраивается свой DHCP сервер, он по радиусу выдает клиенту адрес, сразу делая статическую ARP запись и прописывая маршрут на этот интерфейс, что бы по OSPF этот адрес всем сообщить. При этом вся настройка сети сводится к залитию типового конфига, в котором только изменяют IP адрес и все. В центре вообще ничего не надо менять. При заходе в новый дом вообще очень удобно - сначала ставят RB2011LS, как станет мало портов туда новый свич, мало одного - к нему на подмогу второй вот и все. То, что вы описываете это ни что иное как L3-Access. Такую схему уже довольно давно пытается продвинуть Cisco(чтобы продавать не L2, а более дорогие L3-свитчи). L3-access в IPv4 это довольно геморройная вещь, раздавать реальники(не тупо /30, а по одному на абонента) это ещё те танцы с бубном. А серые адреса это дополнительный геморрой, связанный с NAT-ом и СОРМом. Операторы, у котороых IPv4 адресов хватает для раздачи реальников, просто так уходить от этого не будут. По поводу RB2011LS, то тут возникает проблема одного оптического порта - т.е. ни колец, ни гирлянд уже не построить(с расстоянием >100 между ними). Да и по цене тоже вопрос 2xRB2011LS это примерно 20 абонентских портов и ~7200RUB. L2+-свитч 24FE+2/4GE стоит дешевле - SNR 2950-24G, 2960-24G. Ну и длинки(если не поштучно брать) тоже дешевле выйдут. Изменено 19 июля, 2013 пользователем srg555 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Картуччо Опубликовано 19 июля, 2013 · Жалоба Это не ложь и не пиз..жь, а обычный маркетинг :) Я уже приводил пример с циской 2901: в документации 327Kpps для роутинга без фич для typical/basic HQoS 49Kpps для NAT 41 Kpps ipsec 18 Kpps, а ipsec + complex hqos - 4.5 Kpps А кому нужен ISR маршрутизатор без фич ? Вот и получается, что 327 это сферические пакеты в вакууме. У других производителей наверняка будет то же самое. Чем тут хуже микротик ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
srg555 Опубликовано 19 июля, 2013 · Жалоба Чем тут хуже микротик ? К микротику претензий нет. У него на сайте опубликованы данные и методика измерений(размер пакета, кол-ва правил). Претензии к Saab95, который умалчивает это, лишь бы впарить Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Картуччо Опубликовано 19 июля, 2013 · Жалоба У сааба да, странная аргументация зачастую. Как раз типа того - возьмите 2901, он 327 кппс умеет и вам нужен чистый роутинг без фич, фичи ерунда бесполезная. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 19 июля, 2013 · Жалоба RB1100AHx2 роутит миллион пакетов, а в этой железке процессор мощнее. Мультикаст туннели и IPoE на ней делать не нужно. сказал бы что это наглая ложь, даже проще пи...жь, ну ладно согласно относительно ояициальным данным http://routerboard.com/RB1100AHx2 на чистом рутинге это 1.9mpps, 0.7mpps, 0.3mpps (если конечно предположить что Mbps это мегабиты как у всех нормальных людей) + disclaimer "Test results show device maximum performance, and are reached using mentioned hardware and software configuration, <b>different configurations most likely will result in lower results</b>" в общем, миллионом там и не пахло, и вообще подозрительно что с ростом трафика pps падает так сильно в следующий раз ври более убедительно, скажем 100kpps, или анальное рабство перед этой конторой не позволяет так близко подходить к правде? Роутер что должен делать? Роутить. Обычная задача это сеть не большого провайдера - стоит сервер, который подключен к вышестоящему, на нем только роутинг в чистом виде и все, отдельно стоят терминаторы доступа, на которых нат и шейпер, и отдельно биллинг, который всем управляет. И почему вы считаете что первая железка не пропихнет миллион пакетов? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 19 июля, 2013 · Жалоба На каждый абонентский порт настраивается свой DHCP сервер, он по радиусу выдает клиенту адрес, сразу делая статическую ARP запись и прописывая маршрут на этот интерфейс, что бы по OSPF этот адрес всем сообщить. При этом вся настройка сети сводится к залитию типового конфига, в котором только изменяют IP адрес и все. В центре вообще ничего не надо менять. При заходе в новый дом вообще очень удобно - сначала ставят RB2011LS, как станет мало портов туда новый свич, мало одного - к нему на подмогу второй вот и все. То, что вы описываете это ни что иное как L3-Access. Такую схему уже довольно давно пытается продвинуть Cisco(чтобы продавать не L2, а более дорогие L3-свитчи). L3-access в IPv4 это довольно геморройная вещь, раздавать реальники(не тупо /30, а по одному на абонента) это ещё те танцы с бубном. А серые адреса это дополнительный геморрой, связанный с NAT-ом и СОРМом. Операторы, у котороых IPv4 адресов хватает для раздачи реальников, просто так уходить от этого не будут. Раздавать белые и серые адреса поштучно без потерь на микротике легко и это ни разу не проблема: 1.На всех клиентских портах указывается сразу белая и серая подсети. Например 123.123.0.0/16 и 10.10.0.0/16. 2.При выдачи адреса клиенту создается статический маршрут, который указывает что адрес клиента находится на нужном порту. Например 123.123.3.5 на интерфейсе ether6, или 10.10.60.44 на ether15. 3.Включается OSPF и разрешается анонс статических маршрутов. Все - теперь все устройства сети знают где находится каждый адрес. В центре белые можно пускать напрямую, а серым делать НАТ. С микротиком это легко, а с циской действительно танцы с бубном. Единственный минус это вопрос шейпера - он должен быть сразу на абонентском порту, а не в центре сети, иначе клиенты смогут обмениваться между собой без ограничения скорости, хотя в кабельных сетях это не принципиально, там и так локалка без ограничения, поэтому в большинстве случаев можно резать только выход в интернет на центральной железке. По поводу RB2011LS, то тут возникает проблема одного оптического порта - т.е. ни колец, ни гирлянд уже не построить(с расстоянием >100 между ними). Да и по цене тоже вопрос 2xRB2011LS это примерно 20 абонентских портов и ~7200RUB. L2+-свитч 24FE+2/4GE стоит дешевле - SNR 2950-24G, 2960-24G. Ну и длинки(если не поштучно брать) тоже дешевле выйдут. Можно делать схему - RB2011LS + Вебсмарт, который умеет только влан снимать на порту, получится тот же L3 в чистом виде. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zi_rus Опубликовано 19 июля, 2013 · Жалоба И почему вы считаете что первая железка не пропихнет миллион пакетов? я так считаю потому что даже официальные тесты этой железки не показывают этой производительности на моей сети в данный момент средний размер пакета 812байт, следовательно, если интерполировать данные теста, можно говорить о 0,5кппс (и даже еще меньше) - в пиках, средняя будет еще меньше и это на голом роутинге, но доступ это первый рубеж сети где должны быть внедрены функции защиты, а каждая строчка в аксесс-листе будет снижать и так никакую производительность Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
morf Опубликовано 19 июля, 2013 · Жалоба Давайте попробуем поделиться результатами тестирования CCR1036? У меня CCR1036 терминирует по PPTP около 600 подключений. Роутинг + шейпер. Нагрузка на проц в среднем 10%. Нагрузка в часы пик в среднем 200 мбит, ~25000pps. Есть проблемы с деревом очередей, с простыми очередями вроде проблем не наблюдается. Примерно раз в 2 дня виснет PPTP сервер, лучится ребутом. Сейчас работает ROS 6.2 от 17 июля, работает сутки, посмотрим, что будет дальше :) Хотелось бы услышать результаты других обладателей железяки. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...