Jump to content

раут сервер на циске

shvlad1
 Share

Recommended Posts

shvlad1

shvlad1

Posted
Posted

Всем привет.

Есть у кого положительный опыт эксплуатации раут серверов под IOS?

Поддержка этой фитчи есть от soho до ASR, какую железку лучше выбрать (нужны будут контексты)?

Производительность, как я понял, не важна, трафик через них не идет, кол-во BGP сессий, до 200.

Bird, конечно, хорошо, но лучше железное решение.

Спасибо

  • Replies 55
  • Created
  • Last Reply

Top Posters In This Topic

Popular Days

Top Posters In This Topic

Popular Days

zi_rus

zi_rus

Posted
Posted

а чем железное решение лучше софтового в вопросах именно софтовой работы?

 

циска хороша тем что она работвет, в отличие от китайских погремушек, но ее работа роутить. по-моему, роут сервер это то самое место где должен стоять именно сервер, вместе с днс, dhcp и некоторыми другими сервисами

shvlad1

shvlad1

Posted
  • Author
Posted

У MSK-IX был положительный опыт...

это когда было. сейчас в 15.2 официальная поддержка, думаю, вылизано все.

а чем железное решение лучше софтового в вопросах именно софтовой работы?

тем что париться не надо, прикрутил, настроил и забыл.

а 19 или 29 еще и дешевле сервера выйдет.

dignity

dignity

Posted
Posted

Можно вопрос, раз уж разговор зашел. Почему делают в одном VLAN всех + отдельный RS, я вот на своем небольшом IX держу VLAN на клиента + /30 на пир, соответственно BGP с самим устройством. Практически все современные коммутаторы делают раутинг на скорости порта, что Extreme что Brocade, что Force10, а левые взаимодействия, которые могут быть в одном общем VLAN - это зло, нет? Может, это исторически сложившаяся традиция - общий VLAN для IX?

shvlad1

shvlad1

Posted
  • Author
Posted

как вы будете по-другому отдавать nh для участника IX из другой сети, маршрута на которую у него может (а точнее и нету) не быть?

а так когда все в одном большом пиринговом вилане - nh всех участников доступны всем участникам.

bos9

bos9

Posted
Posted

как вы будете по-другому отдавать nh для участника IX из другой сети, маршрута на которую у него может (а точнее и нету) не быть?

а так когда все в одном большом пиринговом вилане - nh всех участников доступны всем участникам.

 

насколько я понял выше писали о том, что зачем вообще нужна схема с RS, если можно за дешево отроутить на скорости порта весь IX L3 коммутатором.

srg555

srg555

Posted
Posted

Можно вопрос, раз уж разговор зашел. Почему делают в одном VLAN всех + отдельный RS, я вот на своем небольшом IX держу VLAN на клиента + /30 на пир, соответственно BGP с самим устройством. Практически все современные коммутаторы делают раутинг на скорости порта, что Extreme что Brocade, что Force10, а левые взаимодействия, которые могут быть в одном общем VLAN - это зло, нет? Может, это исторически сложившаяся традиция - общий VLAN для IX?

 

проблема общего влан это возможный ip и arp spoofing. /30 решает проблему с arp, но не с ip. для решения с ip spoofing нужно делать urpf. под такое нужно ооооочень много tcam-а + urpf вызовет другие проблемы, некоторое время назад обсуждалось. в итоге получаем только защиту от arp spoofing( в предположении что форвардинг и свтчинг капасити у всех равны и большой fib тоже не проблема)

 

общий влан дает плюшку - возможность приват пира поверх него

 

еще на /30 ix выбирает маршрут сам ix, а не каждый сам исходя из своих полиси, что уже дает такой жирный минус, не позволяющий использовать такой сценарий в масштбах больше чем один город

bos9

bos9

Posted
Posted (edited)

проблема общего влан это возможный ip и arp spoofing.

 

разве это актуально для ix?

 

еще на /30 ix выбирает маршрут сам ix, а не каждый сам исходя из своих полиси

 

не вижу разницы в выборе маршрутов RS и непосредственным маршрутизатором.. или я не так понял

 

по мне - схема с /30 дает защиту от главного недостатка схемы с общим вланом - штормов, которые как не удивительно постоянно случаются по вине того или иного участника. Однако, думаю с ростом ix (как, например, у ams-ix/w-ix) такой подход становится уж слишком дорогим и ресурсоемким.

Edited by bos9
shvlad1

shvlad1

Posted
  • Author
Posted

основной цимес раутсервера - одна (пара для резерва) сессия клиента только с раутсервером и вырезание собственной аски из анонсов участникам (следовательно укорочение as-path).

мы, например, на пошли на один крупный некоммерческий аикс из-за того, что пиринги надо устанавливать вручную с каждым участником, геморно все это.

попробовал на 72ых (15.2(4))- вроде работает. участники видят сети друг друга без аски раутсервера в as-path и только по одной сессии, не устанавливая пиринги между собой.

 

Роут сервер поднял в vrf, не в GRT - вылезли некоторые косметические косяки, не работает вывод некоторых заявленных на циске команд (хотя это из-за vrf скорее).

srg555

srg555

Posted
Posted

srg555 (Сегодня, 20:54) писал:

проблема общего влан это возможный ip и arp spoofing.

 

 

разве это актуально для ix?

 

Конечно актуально. Общий vlan IX это по сути такой же коммутатор, как и любой другой L2 свитч (по крайней мере, внешне это выглядет так, внутренняя структура IX это их личное дело). Почитайте правила любого IX и подумайте почему запрещено везде arp-proxy

 

не вижу разницы в выборе маршрутов RS и непосредственным маршрутизатором

Разница просто огромна. Допустим у вас связность с неким префиксом(игрушка, хостинг, что угодно ещё) через IX, а этот префикс имеет несколько аплинков, приходящих на этот IX. В случае shared vlan + RS вы получите все возможные вариант достижения этого префикса и ваш роутер сам выберет лучший nh. И когда вдруг ваши хомячки начнут плакаться на пинги или дропы, то у вас есть возможность повесить некое policy, которое выберет другой nh для этого префикса. Если же лучший маршрут будет выбирать сам IX(L3 свитч, который будет представлять этот IX), то такой гибкости у вас не будет.

 

По поводу штормов, то тут много всяких вариантов, защит и т.п. И с L3 коммутатором тоже может быть весело когда прилетит 10G арпов. Ну тут тоже много всяких вариантов защит, но обсуждать их нужно применить уже к конкретной железке конкретного вендора.

shvlad1

shvlad1

Posted
  • Author
Posted

Рефлектора у нас уже есть, а раутсерверов нету.

Вот и хочется ))

Да, локальный халявный обменничек для клиентов.

NiTr0

NiTr0

Posted
Posted

тем что париться не надо, прикрутил, настроил и забыл.

В общем-то то же самое и на сервере с правильным дистром (с рид-онли ФС или вообще с ФС в памяти). Отказ - только в случае а) кривых рук админа в процессе настройки б) смерти железки в) дыры в реализации протокола. В принципе, у железки те же причины отказов.

sol

sol

Posted
Posted

А чем сервер отличается от софт циски? Просто циска маленькая, мало жрущая и с ОГРОМНЫМ суппорт комьюнити. Первый запрос в суппорт кошки - через гугль. Если там ответа нет - то в саму кошку надо обращаться. Ну и софт, он да, вылизан.

NiTr0

NiTr0

Posted
Posted

Просто циска маленькая, мало жрущая

Мини-сервер на атоме в помощь. Всяко быстрее мозга циски. Тем более, л3 свичи не поворачивается язык маложрущими называть...

s.lobanov

s.lobanov

Posted
Posted

Просто циска маленькая, мало жрущая

Мини-сервер на атоме в помощь. Всяко быстрее мозга циски. Тем более, л3 свичи не поворачивается язык маложрущими называть...

 

Ну уже 100500 раз обсуждали Cisco vs Linux softrouter. Не у всех есть силы и желение возиться самому с линукс-софтроутерами, многим проще купить саппорт на Cisco. Вот когда на ваш Leaf будет коммерческий саппорт 24x7x365, тогда можно будет его предлагать всем подряд. Кто умеет готовить linux, тот и так знает, что можно взять 2 дешёвых сервера и поднять на них bird (или даже quagga, если это маленький IX)

 

Если бы передо мной стояла задача поднять маленький IX, то под RS я бы взял 2 сервера (один с bird, другой с quagga) или сервер с bird + Cisco (если на Cisco будет оплачен саппорт)

zi_rus

zi_rus

Posted
Posted

 

Ну уже 100500 раз обсуждали Cisco vs Linux softrouter. Не у всех есть силы и желение возиться самому с линукс-софтроутерами

но здесь нужен не роутер, этому устройству не надо будет перемалывать гигабиты трафика. так что это не та тема, отличие ее в том что не надо тюнить sysctl и прочее, т.е. задача куда проще

 

Понимаю зачем предложен вариант с двумя различными реализациями демона, но все равно считаю что роутер тут не в кассу, зато вспомнил про интересную штуку у Cisco, называется CSR 1000v, виртуальный роутер.

s.lobanov

s.lobanov

Posted
Posted

Понимаю зачем предложен вариант с двумя различными реализациями демона, но все равно считаю что роутер тут не в кассу

 

Ну например Cisco 2901 под RS для маленького IX. Почему бы и нет?

Собственно, 2900 это и есть сервер по своей сути, с более-менее вылизанным софтом, коммерческим саппортом и т.д.

zi_rus

zi_rus

Posted
Posted

Ну например Cisco 2901 под RS для маленького IX. Почему бы и нет?

Собственно, 2900 это и есть сервер по своей сути, с более-менее вылизанным софтом, коммерческим саппортом и т.д.

да нет, нормальная железка, 512мег памяти даже для большого IX хватит, просто дорого это, если бы у меня был этот рутер, я бы использовал его как рутер, а ставить его как рут-сервер все равно что выкинуть

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.