[myst]

Скажите пожалуйста,а у Вас на 6.1 по IPSec устройства вообще работают и проблемы только при поднятии тунеля межу 6.1 и более старыми версиями?

Там проблема вообще интересная. 6.1 не работает с более старыми версиями, в добавок пришлось снизить MTU на всех туннелях при прошивке на 6.1, т.к. всплыл блуждающий глюк с виндовой аутентификацией. Что-то в духе не проходила ntlm аутентификация(я не специалист в виндах, не скажу что точно было) на рабочих станциях позади туннеля после прошивки на 6.1. Помогала смена MTU (3500 туннелей, весело да?) или откат до 5.19 (наиболее стабильная на данный момент).

[myst]

Вот и правильно, нечего подключать к микротику что попало.

У меня опорная сеть для облака на 650x SRX и бордеры на Cisco, мне кажется в данном случае это именно микротик "что попало".

Надо быть полным идиотом что бы вместо стандартизированного, открытого, проверенного годами, стабильного протокола, предлагать проприетарный костыль который почти никто не умеет.

 

Лично меня, как впрочем и миллионы других сетевых специалистов, вполне устраивает IPSEC. Лично меня не устраивает его паршивенькая реализация в ROS.

Изменено 18 июля, 2013 пользователем myst

[Ivan_83]

Вот и правильно, нечего подключать к микротику что попало.

Я про SSTP, как их поделие говорил, хз какие там дыры в дизайне.

[Saab95]

Лично меня, как впрочем и миллионы других сетевых специалистов, вполне устраивает IPSEC. Лично меня не устраивает его паршивенькая реализация в ROS.

 

Так же их устраивает и консоль, и вланы, и куча других устаревших и тянущихся с времен начала сетестроения технологий.

 

Скоро будет Cloud Router Switch, в него втыкается SFP модуль и сразу клиента, работает вместо коммутатора в режиме роутера, клиенты непосредственно от него получают услугу, более ничего кроме L3 тянуть в центр не надо - широкие возможности для резервирования и масштабирования каналов.

[Ivan_83]

Так же их устраивает и консоль, и вланы, и куча других устаревших и тянущихся с времен начала сетестроения технологий.

Старые технологии работают себе, в отличии от микротика :)

[myst]

Старые технологии работают себе, в отличии от микротика :)

+очень очень много.

 

А фразу

сразу клиента, работает вместо коммутатора в режиме роутера

я пожалуй запишу в блокнотик. Уж очень улыбает.

[Картуччо]

2) Ну собственно что и требовалось доказать. Классический ответ классического красноглаза в этом топике.

Ну, красноглазом меня назвать это довольно смешно :)

Это вот нитро, например, типичный красноглаз-линуксоид.

А я с линуксами и тому подобным опенсорсом дружу крайне опосредовано.

Я с виндой, платным софтом и циской по большей части.

[NiTr0]

широкие возможности для резервирования и масштабирования каналов.

На скольки кппс скукожится? Что будет если клиент колечко у себя сделает? А если еще поверх этого оспф, который начнет при затыках из-за 100% загрузки проца постоянно перестраивать таблицу маршрутов по всей сети?

[Saab95]

широкие возможности для резервирования и масштабирования каналов.

На скольки кппс скукожится? Что будет если клиент колечко у себя сделает? А если еще поверх этого оспф, который начнет при затыках из-за 100% загрузки проца постоянно перестраивать таблицу маршрутов по всей сети?

 

А если прилетят инопланетяне и утащат все оборудование с узла, тогда что делать?

[Ivan_83]

А если прилетят инопланетяне и утащат все оборудование с узла, тогда что делать?

Чувствую ответ попахивает микротиком... :)

[NiTr0]

А если прилетят инопланетяне и утащат все оборудование с узла, тогда что делать?

Инопланетяне прилетают почему-то гораздо реже, чем образуются кольца.

И да, я вам поставил вполне конкретный вопрос:сколько кппс ваш чудо-свичороутер пережует, как ваш чудо-свичороутер поведет себя в случае кольца у клиента, и как его жизнедеятельность повлияет на всю остальную сеть? Судя по вашему ответу - похоже, это придется выяснять "счастливым обладателям" сей поделки...

[myst]

Ну, красноглазом меня назвать это довольно смешно :)

Это вот нитро, например, типичный красноглаз-линуксоид.

А я с линуксами и тому подобным опенсорсом дружу крайне опосредовано.

Я с виндой, платным софтом и циской по большей части.

Красноглазость, это состояние души, а не принадлежность к какой-то платформе...

Это откровенно глупое нежелание замечать косяки в "любимой" OS/Гаджете/Чем угодно...

 

И да, я вам поставил вполне конкретный вопрос

Забей, тут некоторые представители фауны, очень не любят отвечать на конкретные вопросы.

[Saab95]

А если прилетят инопланетяне и утащат все оборудование с узла, тогда что делать?

Инопланетяне прилетают почему-то гораздо реже, чем образуются кольца.

И да, я вам поставил вполне конкретный вопрос:сколько кппс ваш чудо-свичороутер пережует, как ваш чудо-свичороутер поведет себя в случае кольца у клиента, и как его жизнедеятельность повлияет на всю остальную сеть? Судя по вашему ответу - похоже, это придется выяснять "счастливым обладателям" сей поделки...

 

Пережует 5-10 миллионов пакетов, отключит этот порт, повлияет очень положительно, т.к. сразу уберет проблему с коллизиями маков.

[NiTr0]

Пережует 5-10 миллионов пакетов

Тесты есть, в реальных условиях, а не сферический роутинг без единого правила? Что будет, если эта железка решит вдуть 2 мппс мультикаст флуда в IPoE туннель на другую железку, послабее?

И да, сомнения меня берут насчет того, что сия вундервафля хоть 1 мппс пропустит через себя... Даже в тупом роутинге. Не говоря уже о л3 туннелях и прочих балалайках.

 

отключит этот порт

Спустя какое время? И отключит ли? Тесты есть, или догадки вендора?

 

повлияет очень положительно, т.к. сразу уберет проблему с коллизиями маков.

Какая такая проблема с коллизиями маков??? В корпоративном сегменте, на нормальном оборудовании (куда вы вашу вундервафлю пытаетесь пропихнуть), ее не существует, а в сохо сегменте (куда собссно микротики только и годятся) - по цене девайсина не пролезет...

И каким образом чудо-железка в виде недосвичероутера может убрать проблему коллизий? Если она работает бриджом - проблема с коллизиями маков никуда при ее использовании не девается. Если она работает роутером - о какой собссно замене свичей может идти речь, если л2 бродкасты и прочее она не форвардит? DIR-100F тогда тоже можно мегасвичероутером называть :)

К слову, у тика-то хоть есть возможность указать размер арп таблицы? :)

[Saab95]

Пережует 5-10 миллионов пакетов

Тесты есть, в реальных условиях, а не сферический роутинг без единого правила? Что будет, если эта железка решит вдуть 2 мппс мультикаст флуда в IPoE туннель на другую железку, послабее?

И да, сомнения меня берут насчет того, что сия вундервафля хоть 1 мппс пропустит через себя... Даже в тупом роутинге. Не говоря уже о л3 туннелях и прочих балалайках.

 

RB1100AHx2 роутит миллион пакетов, а в этой железке процессор мощнее. Мультикаст туннели и IPoE на ней делать не нужно.

 

отключит этот порт

Спустя какое время? И отключит ли? Тесты есть, или догадки вендора?

 

Отключит, не бойтесь.

 

повлияет очень положительно, т.к. сразу уберет проблему с коллизиями маков.

Какая такая проблема с коллизиями маков??? В корпоративном сегменте, на нормальном оборудовании (куда вы вашу вундервафлю пытаетесь пропихнуть), ее не существует, а в сохо сегменте (куда собссно микротики только и годятся) - по цене девайсина не пролезет...

И каким образом чудо-железка в виде недосвичероутера может убрать проблему коллизий? Если она работает бриджом - проблема с коллизиями маков никуда при ее использовании не девается. Если она работает роутером - о какой собссно замене свичей может идти речь, если л2 бродкасты и прочее она не форвардит? DIR-100F тогда тоже можно мегасвичероутером называть :)

К слову, у тика-то хоть есть возможность указать размер арп таблицы? :)

 

Зачем там размер таблицы? На каждый абонентский порт настраивается свой DHCP сервер, он по радиусу выдает клиенту адрес, сразу делая статическую ARP запись и прописывая маршрут на этот интерфейс, что бы по OSPF этот адрес всем сообщить. При этом вся настройка сети сводится к залитию типового конфига, в котором только изменяют IP адрес и все. В центре вообще ничего не надо менять.

 

При заходе в новый дом вообще очень удобно - сначала ставят RB2011LS, как станет мало портов туда новый свич, мало одного - к нему на подмогу второй вот и все.

 

Конечно привыкшим к вланам, серверам на линуксе и прочей ерунде это понять довольно сложно, но никуда от этого все равно не деться.

[Картуччо]

Красноглазость, это состояние души, а не принадлежность к какой-то платформе...

Это откровенно глупое нежелание замечать косяки в "любимой" OS/Гаджете/Чем угодно...

Мем "красноглазый" в основном относится именно к линуксоидам.

И изначально не имеет вообще никакого отношения к процитированной галиматье.

[zi_rus]

RB1100AHx2 роутит миллион пакетов, а в этой железке процессор мощнее. Мультикаст туннели и IPoE на ней делать не нужно.

сказал бы что это наглая ложь, даже проще пи...жь, ну ладно

согласно относительно ояициальным данным http://routerboard.com/RB1100AHx2

на чистом рутинге это 1.9mpps, 0.7mpps, 0.3mpps (если конечно предположить что Mbps это мегабиты как у всех нормальных людей) + disclaimer "Test results show device maximum performance, and are reached using mentioned hardware and software configuration, <b>different configurations most likely will result in lower results</b>"

 

в общем, миллионом там и не пахло, и вообще подозрительно что с ростом трафика pps падает так сильно

 

в следующий раз ври более убедительно, скажем 100kpps, или анальное рабство перед этой конторой не позволяет так близко подходить к правде?

[srg555]

На каждый абонентский порт настраивается свой DHCP сервер, он по радиусу выдает клиенту адрес, сразу делая статическую ARP запись и прописывая маршрут на этот интерфейс, что бы по OSPF этот адрес всем сообщить. При этом вся настройка сети сводится к залитию типового конфига, в котором только изменяют IP адрес и все. В центре вообще ничего не надо менять.

 

При заходе в новый дом вообще очень удобно - сначала ставят RB2011LS, как станет мало портов туда новый свич, мало одного - к нему на подмогу второй вот и все.

 

То, что вы описываете это ни что иное как L3-Access. Такую схему уже довольно давно пытается продвинуть Cisco(чтобы продавать не L2, а более дорогие L3-свитчи).

L3-access в IPv4 это довольно геморройная вещь, раздавать реальники(не тупо /30, а по одному на абонента) это ещё те танцы с бубном. А серые адреса это дополнительный геморрой, связанный с NAT-ом и СОРМом. Операторы, у котороых IPv4 адресов хватает для раздачи реальников, просто так уходить от этого не будут.

 

По поводу RB2011LS, то тут возникает проблема одного оптического порта - т.е. ни колец, ни гирлянд уже не построить(с расстоянием >100 между ними). Да и по цене тоже вопрос 2xRB2011LS это примерно 20 абонентских портов и ~7200RUB. L2+-свитч 24FE+2/4GE стоит дешевле - SNR 2950-24G, 2960-24G. Ну и длинки(если не поштучно брать) тоже дешевле выйдут.

Изменено 19 июля, 2013 пользователем srg555

[Картуччо]

Это не ложь и не пиз..жь, а обычный маркетинг :)

Я уже приводил пример с циской 2901:

 

в документации 327Kpps для роутинга без фич

для typical/basic HQoS 49Kpps

для NAT 41 Kpps

ipsec 18 Kpps, а ipsec + complex hqos - 4.5 Kpps

 

А кому нужен ISR маршрутизатор без фич ? Вот и получается, что 327 это сферические пакеты в вакууме.

У других производителей наверняка будет то же самое. Чем тут хуже микротик ?

[srg555]

Чем тут хуже микротик ?

 

К микротику претензий нет. У него на сайте опубликованы данные и методика измерений(размер пакета, кол-ва правил). Претензии к Saab95, который умалчивает это, лишь бы впарить

[Картуччо]

У сааба да, странная аргументация зачастую. Как раз типа того - возьмите 2901, он 327 кппс умеет и вам нужен чистый роутинг без фич, фичи ерунда бесполезная.

[Saab95]

RB1100AHx2 роутит миллион пакетов, а в этой железке процессор мощнее. Мультикаст туннели и IPoE на ней делать не нужно.

сказал бы что это наглая ложь, даже проще пи...жь, ну ладно

согласно относительно ояициальным данным http://routerboard.com/RB1100AHx2

на чистом рутинге это 1.9mpps, 0.7mpps, 0.3mpps (если конечно предположить что Mbps это мегабиты как у всех нормальных людей) + disclaimer "Test results show device maximum performance, and are reached using mentioned hardware and software configuration, <b>different configurations most likely will result in lower results</b>"

 

в общем, миллионом там и не пахло, и вообще подозрительно что с ростом трафика pps падает так сильно

 

в следующий раз ври более убедительно, скажем 100kpps, или анальное рабство перед этой конторой не позволяет так близко подходить к правде?

 

Роутер что должен делать? Роутить.

 

Обычная задача это сеть не большого провайдера - стоит сервер, который подключен к вышестоящему, на нем только роутинг в чистом виде и все, отдельно стоят терминаторы доступа, на которых нат и шейпер, и отдельно биллинг, который всем управляет. И почему вы считаете что первая железка не пропихнет миллион пакетов?

[Saab95]

На каждый абонентский порт настраивается свой DHCP сервер, он по радиусу выдает клиенту адрес, сразу делая статическую ARP запись и прописывая маршрут на этот интерфейс, что бы по OSPF этот адрес всем сообщить. При этом вся настройка сети сводится к залитию типового конфига, в котором только изменяют IP адрес и все. В центре вообще ничего не надо менять.

 

При заходе в новый дом вообще очень удобно - сначала ставят RB2011LS, как станет мало портов туда новый свич, мало одного - к нему на подмогу второй вот и все.

 

То, что вы описываете это ни что иное как L3-Access. Такую схему уже довольно давно пытается продвинуть Cisco(чтобы продавать не L2, а более дорогие L3-свитчи).

L3-access в IPv4 это довольно геморройная вещь, раздавать реальники(не тупо /30, а по одному на абонента) это ещё те танцы с бубном. А серые адреса это дополнительный геморрой, связанный с NAT-ом и СОРМом. Операторы, у котороых IPv4 адресов хватает для раздачи реальников, просто так уходить от этого не будут.

 

Раздавать белые и серые адреса поштучно без потерь на микротике легко и это ни разу не проблема:

 

1.На всех клиентских портах указывается сразу белая и серая подсети. Например 123.123.0.0/16 и 10.10.0.0/16.

2.При выдачи адреса клиенту создается статический маршрут, который указывает что адрес клиента находится на нужном порту. Например 123.123.3.5 на интерфейсе ether6, или 10.10.60.44 на ether15.

3.Включается OSPF и разрешается анонс статических маршрутов.

 

Все - теперь все устройства сети знают где находится каждый адрес. В центре белые можно пускать напрямую, а серым делать НАТ. С микротиком это легко, а с циской действительно танцы с бубном. Единственный минус это вопрос шейпера - он должен быть сразу на абонентском порту, а не в центре сети, иначе клиенты смогут обмениваться между собой без ограничения скорости, хотя в кабельных сетях это не принципиально, там и так локалка без ограничения, поэтому в большинстве случаев можно резать только выход в интернет на центральной железке.

 

По поводу RB2011LS, то тут возникает проблема одного оптического порта - т.е. ни колец, ни гирлянд уже не построить(с расстоянием >100 между ними). Да и по цене тоже вопрос 2xRB2011LS это примерно 20 абонентских портов и ~7200RUB. L2+-свитч 24FE+2/4GE стоит дешевле - SNR 2950-24G, 2960-24G. Ну и длинки(если не поштучно брать) тоже дешевле выйдут.

 

Можно делать схему - RB2011LS + Вебсмарт, который умеет только влан снимать на порту, получится тот же L3 в чистом виде.

[zi_rus]

И почему вы считаете что первая железка не пропихнет миллион пакетов?

я так считаю потому что даже официальные тесты этой железки не показывают этой производительности

на моей сети в данный момент средний размер пакета 812байт, следовательно, если интерполировать данные теста, можно говорить о 0,5кппс (и даже еще меньше) - в пиках, средняя будет еще меньше

 

и это на голом роутинге, но доступ это первый рубеж сети где должны быть внедрены функции защиты, а каждая строчка в аксесс-листе будет снижать и так никакую производительность

[morf]

Давайте попробуем поделиться результатами тестирования CCR1036?

У меня CCR1036 терминирует по PPTP около 600 подключений. Роутинг + шейпер. Нагрузка на проц в среднем 10%. Нагрузка в часы пик в среднем 200 мбит, ~25000pps.

Есть проблемы с деревом очередей, с простыми очередями вроде проблем не наблюдается. Примерно раз в 2 дня виснет PPTP сервер, лучится ребутом.

Сейчас работает ROS 6.2 от 17 июля, работает сутки, посмотрим, что будет дальше :)

Хотелось бы услышать результаты других обладателей железяки.