[snark]

Ув. Saab95, пожалуйста, дайте контакты вашего диллера, а то с веществами напряги, в последнее время.

[Night_Snake]

Далеко не всегда.

О банкоматах, коих сотни - помолчу.

Во всех сколь-либо крупных пунктах банкоматы подключают оптикой по выделенному л2 каналу.

Сколько по долгу службы сталкивался с банкоматами... Почти у всех крупных банков к каждому банкомату минимум два аплинка (СПб). Один, обычно - 3г свисток, второй - оптика/телефонная лапша. Это как минимум. Унутре частенько стоят 800-е кошки. Насчет мелких банков не в курсе. Клиент - крупный банк Питера, живет на Л3 - как для банкоматов, так и для отделений. Каждый узел - /30 сеть до ближайшего узла. Учитывая мизерные каналы (64к) до каждого банкомата и их количество (сотни), RB750 со стороны прова практически идеален. Коробочка ставится в банкомат, который на ней же и терминируется, а там - хоть оспф, хоть мплс... (поверх практически любого транспорта, хоть своего, хоть чужого). Так что совсем я бы микротики не списывал.

 

А коммутаторы прекрасно шейпят на портах. И даже по ACL шейпят. Вылезайте из пещеры, техника уже далеко ушла.И да, коммутаторы агрегации ценой в $500-800 уже умеют л3. На wirespeed ессно. И не загибаются от флуда...

В 500 баксов за л3 попадает из нового разве что длинк или нетгир, который не сильно лучше. И, не смотря на то, что петли/штормы от клиентов они режут довольно успешно, но фаерволы там обычно убогие, нат (самая полезная фишка в офисе) не умеют, прокси тоже, вайфай... Так что в офисе микротик - опять же вполне жизнеспособное решение.

 

И да, у кого это среди магистралов вопросы-то неделями решаются???

Билайн, Мегафон... не неделями, но не быстро, скажем так. Особенно, что касается согласований и оформления бумажек. Это, опять же, по своему опыту.

[SSD]

RB750 со стороны прова практически идеален. Коробочка ставится в банкомат, который на ней же и терминируется, а там - хоть оспф, хоть мплс... (поверх практически любого транспорта, хоть своего, хоть чужого). Так что совсем я бы микротики не списывал.

Один из банков РК в связи с отказом местного телекома от DSL и переходом на оптику решил заменить свои 800\17ХХ циски на микротики 750 серии. Цена смешная по сравнению с циской, "экономия" внушительная. Взяли для тестов несколько МТ, собрали пилотную зону на три месяца. Для отказа от этой затеи им было достаточно того что один роутер начал ребутится, у второго сдохла "флешка", вроде из за включеных графиков. Причин глюков они не выясняли, просто вернули назад и помахали ручкой.

[Night_Snake]

Один из банков РК в связи с отказом местного телекома от DSL и переходом на оптику решил заменить свои 800\17ХХ циски на микротики 750 серии. Цена смешная по сравнению с циской, "экономия" внушительная. Взяли для тестов несколько МТ, собрали пилотную зону на три месяца. Для отказа от этой затеи им было достаточно того что один роутер начал ребутится, у второго сдохла "флешка", вроде из за включеных графиков. Причин глюков они не выясняли, просто вернули назад и помахали ручкой.

У меня их порядка пары сотен было, единственная проблема - БП. Брали пачками по 30-40 штук. Rb750, 751. Но все возможно :)

[Saab95]

Один из банков РК в связи с отказом местного телекома от DSL и переходом на оптику решил заменить свои 800\17ХХ циски на микротики 750 серии. Цена смешная по сравнению с циской, "экономия" внушительная. Взяли для тестов несколько МТ, собрали пилотную зону на три месяца. Для отказа от этой затеи им было достаточно того что один роутер начал ребутится, у второго сдохла "флешка", вроде из за включеных графиков. Причин глюков они не выясняли, просто вернули назад и помахали ручкой.

У меня их порядка пары сотен было, единственная проблема - БП. Брали пачками по 30-40 штук. Rb750, 751. Но все возможно :)

 

Нужно ставить RB750UP, в него сразу 3G свисток, с ними косяков нет. В первый порт свой кабель, во второй резервный если есть, в 5 порт подключается банкомат. Связь с центром по OSPF, если основной канал поврежден автоматически переключается на свисток. В момент переключения на экране даже не появляется страшная надпись "Банкомат не работает по техническим причинам" =)

[SSD]

Один из банков РК в связи с отказом местного телекома от DSL и переходом на оптику решил заменить свои 800\17ХХ циски на микротики 750 серии. Цена смешная по сравнению с циской, "экономия" внушительная. Взяли для тестов несколько МТ, собрали пилотную зону на три месяца. Для отказа от этой затеи им было достаточно того что один роутер начал ребутится, у второго сдохла "флешка", вроде из за включеных графиков. Причин глюков они не выясняли, просто вернули назад и помахали ручкой.

У меня их порядка пары сотен было, единственная проблема - БП. Брали пачками по 30-40 штук. Rb750, 751. Но все возможно :)

Ребуты могли быть от глюков софта. Такое реально. От интенсивной записи\перезаписи, флешки дохнут на любых бордах.

[-Pave1-]

RB750 со стороны прова практически идеален. Коробочка ставится в банкомат, который на ней же и терминируется, а там - хоть оспф, хоть мплс... (поверх практически любого транспорта, хоть своего, хоть чужого). Так что совсем я бы микротики не списывал.

А разве для банковских операций не требуется специальная сертификация оборудования на соовтетсвие стандартам PCI DSS и другим требованиям?

У микротика с этим как?

[Butch3r]

RB750 со стороны прова практически идеален. Коробочка ставится в банкомат, который на ней же и терминируется, а там - хоть оспф, хоть мплс... (поверх практически любого транспорта, хоть своего, хоть чужого). Так что совсем я бы микротики не списывал.

А разве для банковских операций не требуется специальная сертификация оборудования на соовтетсвие стандартам PCI DSS и другим требованиям?

У микротика с этим как?

А когда вы подключаете банкоматы у вас банк спрашивает какое оборудование стоит в узле?

[Night_Snake]

Нужно ставить RB750UP, в него сразу 3G свисток, с ними косяков нет. В первый порт свой кабель, во второй резервный если есть, в 5 порт подключается банкомат. Связь с центром по OSPF, если основной канал поврежден автоматически переключается на свисток. В момент переключения на экране даже не появляется страшная надпись "Банкомат не работает по техническим причинам" =)

Я представлял не банк, а оператора. В задачи оператора входит дать транспорт. Резерв - это проблема банка.

 

Ребуты могли быть от глюков софта. Такое реально. От интенсивной записи\перезаписи, флешки дохнут на любых бордах.

Реально, конечно :) Как и дохнущие флешки.

 

А разве для банковских операций не требуется специальная сертификация оборудования на соовтетсвие стандартам PCI DSS и другим требованиям?

Это головная боль банка. ОПератор дает транспорт - L2/L3 и гарантирует, что трафик не пойдет через публичные сети в открытом виде. Все остальное, включая шифрование, делает банк.

 

А когда вы подключаете банкоматы у вас банк спрашивает какое оборудование стоит в узле?

Банк не возражает против конверторов и xDSL-модемов Planet. Против микротиков они тоже не возражали. Им вообще пофиг, как делается транспорт, главное, чтобы он был рабочим.

[applx]

-Pave1- (Сегодня, 07:20) писал:

А разве для банковских операций не требуется специальная сертификация оборудования на соовтетсвие стандартам PCI DSS и другим требованиям?

 

"Это головная боль банка. ОПератор дает транспорт - L2/L3 и гарантирует, что трафик не пойдет через публичные сети в открытом виде. Все остальное, включая шифрование, делает банк."

 

Мда, такое только в России. Вообще-то сеть провайдера должна соответствовать этому стандарту и ни как не проблема банка. Ваши гарантии потом будете в суде предевлять ;)

[vovannovig]

Сейчас у меня работает связка на 6.2 от 24-го 07-2013.

CCR + 2011й

Так вот 2011 задосили, вечером отключил правила и утром уже не смог к нему достучатся.

Единственное что хоть как-то помогло - телнет(тупит но открывает)

 

Включил правила, подождал. Решил отключить и проверить какое правило именно помогает - и вернулся к своему прежнему состоянию т.е. сразу 50% загрузки и атака идет на DNS так что будте внимательны по этому поводу.

ОТКЛЮЧЕНИЕ 21-22-23(FTP,SSH...) не помогают по понятной причине!

 

Столкнулся еще с одной проблемой, кроме того что не работает IPSec так и выше хвалённый SSTP под нагрузкой отпадает вернее как бы конект есть но трафик не бегает.

Замечал и раньше на больших пингах(65500), а сегодня проверил еще раз в быстро настроенной связке EoIP - SSTP - EoIP = из минимум 15Мбит(L2TP дает и канал адсл больше) на прием(т.е. мне на отдачу) по этой связке прошло в среднем 6-7Мбит, максимум скачек до 9,9Мбита) и тотал командер льет со скоростью 830Кбайт.

Это к тому что активно обсуждается L3 access ... - Заявленное падение производительности 15-20% на одном EoIP туннеле.

 

Большую производительность давай чистый L2TP без ничего, но это тот уровень безопасности который хотелось бы получить.

 

IPSec замечательно работает с софтроутерами из банальных сборок, но между своими же маршрутизаторами не работает - самая печальная ситуация когда одну из основных технологий на данной железке производитель не может подружить на своем же оборудовании)

[Saab95]

У EoIP большие пакеты передаются двумя, поэтому идет падение производительности. Что и вызывает падение на 15-20 процентов, запустите тест пакетами 1400 байт и получите полную скорость.

[Bushi]

1.На всех клиентских портах указывается сразу белая и серая подсети. Например 123.123.0.0/16 и 10.10.0.0/16.

2.При выдачи адреса клиенту создается статический маршрут, который указывает что адрес клиента находится на нужном порту. Например 123.123.3.5 на интерфейсе ether6, или 10.10.60.44 на ether15.

3.Включается OSPF и разрешается анонс статических маршрутов.

 

Интересно, и как заставить MT создавать dhcp route? Была у меня необходимость терминировать трафик на точках доступах MT. Я пытался разобраться, изучал мануал - нет такой возможности. Можно конечно сделать костыль, и биллингом при выдаче ip через api создавать статический маршрут, но он будет permanent и сохраняется в конфиге и будет активен даже после перезагрузки борды, поэтому такой костыль не годится. В итоге намучавшись, создал EoIP туннел и просто прогнал абонентский трафик по L2 до BRAS на циске и там сделал терминацию по ISG.

 

А с OSPF нахватался багов, так и не смог заставить нормально работатать в ospf multi area, пооткрывал тикетов пару лет назад, до сих пор открытые висят.

 

Скоро будет Cloud Router Switch, в него втыкается SFP модуль и сразу клиента, работает вместо коммутатора в режиме роутера, клиенты непосредственно от него получают услугу, более ничего кроме L3 тянуть в центр не надо - широкие возможности для резервирования и масштабирования каналов.

Все это фантазии и маркетинговый bullshit.

 

У МТ в принципе железки и софт неплохие, но занимают нишу SOHO. Wireless NV2 для деревень и сёл очень неплох, как продвинутый минироутер домой или в небольшой офис тоже отличное решение, но не более.

[Saab95]

1.На всех клиентских портах указывается сразу белая и серая подсети. Например 123.123.0.0/16 и 10.10.0.0/16.

2.При выдачи адреса клиенту создается статический маршрут, который указывает что адрес клиента находится на нужном порту. Например 123.123.3.5 на интерфейсе ether6, или 10.10.60.44 на ether15.

3.Включается OSPF и разрешается анонс статических маршрутов.

 

Интересно, и как заставить MT создавать dhcp route? Была у меня необходимость терминировать трафик на точках доступах MT. Я пытался разобраться, изучал мануал - нет такой возможности. Можно конечно сделать костыль, и биллингом при выдаче ip через api создавать статический маршрут, но он будет permanent и сохраняется в конфиге и будет активен даже после перезагрузки борды, поэтому такой костыль не годится. В итоге намучавшись, создал EoIP туннел и просто прогнал абонентский трафик по L2 до BRAS на циске и там сделал терминацию по ISG.

 

А с OSPF нахватался багов, так и не смог заставить нормально работатать в ospf multi area, пооткрывал тикетов пару лет назад, до сих пор открытые висят.

 

Биллинг после выдачи адреса клиенту отправляет на маршрутизатор статический маршрут на него. Время аренды адреса 10 минут, по истечении этого времени адрес освобождается и маршрут стирается по команде с биллинга.

 

Если делать одну area никаких проблем не возникнет, микротик нормально дружит и с 5000-10000 маршрутами, больше просто не пробовал.

 

Скоро будет Cloud Router Switch, в него втыкается SFP модуль и сразу клиента, работает вместо коммутатора в режиме роутера, клиенты непосредственно от него получают услугу, более ничего кроме L3 тянуть в центр не надо - широкие возможности для резервирования и масштабирования каналов.

Все это фантазии и маркетинговый bullshit.

 

У МТ в принципе железки и софт неплохие, но занимают нишу SOHO. Wireless NV2 для деревень и сёл очень неплох, как продвинутый минироутер домой или в небольшой офис тоже отличное решение, но не более.

 

Вовсе нет, это удобная железка с огромным функционалом. Обычные L3 коммутаторы с ней и рядом не стояли, у них преимущество только в более высокой производительности на простом роутинге, но более они ничего и не умеют.

[vovannovig]

У EoIP большие пакеты передаются двумя, поэтому идет падение производительности. Что и вызывает падение на 15-20 процентов, запустите тест пакетами 1400 байт и получите полную скорость.

Результаты можно интерпритировать по разному, лучше выложу скины на все общее обозрение результат работы 2х более обсуждаемых направлений т.е. EoIP и SSTP

[Night_Snake]

Мда, такое только в России. Вообще-то сеть провайдера должна соответствовать этому стандарту и ни как не проблема банка. Ваши гарантии потом будете в суде предевлять ;)

Думаете, такие сертификаты есть у кого-то кроме, возможно, большой четверки? ;) Ой сомневаюсь я что-то...

А в суде провайдер будет отвечать по тем условиям, что прописаны в договоре.

[NiTr0]

В 500 баксов за л3 попадает из нового разве что длинк или нетгир, который не сильно лучше. И, не смотря на то, что петли/штормы от клиентов они режут довольно успешно, но фаерволы там обычно убогие, нат (самая полезная фишка в офисе) не умеют, прокси тоже, вайфай... Так что в офисе микротик - опять же вполне жизнеспособное решение.

Да, длинк. От него собссно и надо-то агрегировать линки на л2 и отроутить их на л3, проанонсировав по RIP в ядро.

И я какбы и не отрицаю, что МТ коробочки - обычные сохо железяки и вполне себе могут найти пристанище под столом у секретаря, заменив нонейм мыльницу. И не предлагаю для этого в офис ставить л3 свич. Речь-то тут шла об использовании их везде, в промышленном масштабе, начиная с доступа. Что есть феерическим бредом.

 

Билайн, Мегафон... не неделями, но не быстро, скажем так.

Это - не магистралы. Это - опсосы со своими опорными сетями, и предоставление транспорта - это всего лишь мелкий дополнительный доход, не более. И да, зачастую они сами арендуют волокна.

Я же говорю именно о магистралах, т.е. операторах, живущих со сдачи своих каналов в аренду...

[pppoetest]

У МТ в принципе железки и софт неплохие, но занимают нишу SOHO. Wireless NV2 для деревень и сёл очень неплох, как продвинутый минироутер домой или в небольшой офис тоже отличное решение, но не более.

+1

 

Вовсе нет, это удобная железка с огромным функционалом. Обычные L3 коммутаторы с ней и рядом не стояли, у них преимущество только в более высокой производительности на простом роутинге, но более они ничего и не умеют.

omg

 

Речь-то тут шла об использовании их везде, в промышленном масштабе, начиная с доступа. Что есть феерическим бредом.

+1

[srg555]

NiTr0

в россии мегафон очень даже магистрал. по крайней мере аплинк для большого кол-ва операторов

[^rage^]

Ну да, арендуйте так из одной области в другую с расстоянием километров в 200, посмотрим какой ценник и условия на присоединения будут. Если брать у крупняка то там только за прокладку кабеля или строительство выставят такой счет, что клиенту будет проще самому себе сделать такой канал через интернет. А в случае с микротиком можно просто канал интернета арендовать у другого оператора и сделать проброс через EoIP туннель через интернет. При этом установить ценник допустим 5 тыс. в месяц. Если же делать действительно чистый канал L2, то дешевле 30-40 тыс. в месяц не выйдет + прибавьте сюда расходы на строительство.

 

мы арендуем полгига между парой городов европы. нет там никаких заоблачных ценников.

[^rage^]

и вот еще оттудаже:

 

Note: Currently DHCP server requires real interface to receive raw ethernet packets. It cannot function correctly on dummy (empty bridge) interface.

 

то есть никакого ip-unnumbered + dhcp/radius неполучится

 

Vlan это не реальный интерфейс разве?

 

намекну про REORDER_HDR и "raw ethernet packets".

[^rage^]

На свои аргументы посмотрите и определите кто пишет ерунду:

кстати, а на CCR процесс ospf грузит одно ядро или все? :)

 

Поливаете грязью софтроутеры, а про свои линуксы, которые те же софтроутеры говорите что все прожуют и не заметят.

вы упустили 1 нюанс: еще сравниваются архитектуры. бодаться по производительности с x86 можно только в совсем специализированных задачах(fpga/dsp/gpgpu). либо если у вас какой-нибудь power7+.

т.к. routeros - это такой linux, то весь вопрос в сравнении мейнлайна и более старой версии ядра.

[^rage^]

Да ладно одно ядро? Зачем же тогда придумали тип буфера multi-queue-ethernet-default ?

и как оно устроено/работает?

 

i5 не ставят на софтроутеры, достаточно самого скоростного i3.

кеши маленькие у i3.

[Night_Snake]

Это - не магистралы. Это - опсосы со своими опорными сетями, и предоставление транспорта - это всего лишь мелкий дополнительный доход, не более. И да, зачастую они сами арендуют волокна.

Я же говорю именно о магистралах, т.е. операторах, живущих со сдачи своих каналов в аренду...

А это как посмотреть... Мегафон свой транспорт сдает в аренду более чем успешно, хотя да, это не основной его источник дохода.

Если говорить о РЕТН/Раском, то там больше решают личные знакомства на уровне инженеров (говорю за Питер, опять же), бумажки дело небыстрое...

 

Более того, если в крупных городах есть выбор - начиная от выбора ПМ и заканчивая магистралью между городами (причем вовсе не факт у "честного" магистрала условия окажутся лучше, чем у того же мегафона), то в регионах все гораздо печальней, и, зачастую, сводится к тем же ТТК/Ростелеком/Большая тройка.

Изменено 26 июля, 2013 пользователем Night_Snake

[Butch3r]

Мегафон магистрал, как это он не магистрал. Мы у них и глобал брали, и Л2 они почти по всей России готовы давать

 

В остальном - присоединяюсь. Микротик - это дейвайс для дома или небольшого офиса. Но использовать их на доступе - это жесть)))