[DVM-Avgoor]

Если IX не для души, а еще и деньги приносит, почему бы и не ставить циску? Если это бизнес, зачем заниматься пионерией?

[s.lobanov]

Ну например Cisco 2901 под RS для маленького IX. Почему бы и нет?

Собственно, 2900 это и есть сервер по своей сути, с более-менее вылизанным софтом, коммерческим саппортом и т.д.

да нет, нормальная железка, 512мег памяти даже для большого IX хватит, просто дорого это, если бы у меня был этот рутер, я бы использовал его как рутер, а ставить его как рут-сервер все равно что выкинуть

 

Я бы не сказал, что дорого. http://ciscosales.ru/katalog_produkcii/cisco/marshrutizatory/cisco_2900_series/cisco2901_k9/

 

Сервер 1U конечно можно собрать дешевле, но если брать что-то нормальное 1U, например HP DL160G8 (120G7 считается устаревшим), то это обойдётся примерно в 1800$ (или больше, зависит от того, что использовать в качестве хранилища данные - hdd, flash, netboot, ...)

[zi_rus]

ну, я говорил из рассчета, что уже есть некоторая инфраструктура и в ней просто создать пару виртуальных машин на разных серверах, стоимость будет практически нулевая, если учитывать что задача эта не требует ничего, и надежность для продакшена приемлемая, и даже больше

[s.lobanov]

Во сколько обойдётся CSR? (в бессрочном варианте и в 3ёх летнем варианте). я ни разу не сталкивался с политикой лицензировании csr, поэтому не могу сам посчитать

 

И как у него считаются лицензионные мегабиты - это только по отношению к дату-трафику или к сигнальному трафику тоже?

[CNick]

Мини-сервер на атоме в помощь. Всяко быстрее мозга циски. Тем более, л3 свичи не поворачивается язык маложрущими называть...

Я так понимаю вы Cisco видели последний раз лет 10 назад? :) Сейчас там 4 ядерные ксеоны стоят в некоторых моделях даже несколько ;)

 

да нет, нормальная железка, 512мег памяти даже для большого IX хватит, просто дорого это, если бы у меня был этот рутер, я бы использовал его как рутер, а ставить его как рут-сервер все равно что выкинуть

Ну если так рассуждать то и сервер дорого, ведь можно взять soho роутер, длинк например и поставить туда openwrt :D

Даже не знаю сколько должно ходить трафика через IX что бы было дорого поставить роутер за 2-3k$.

[zi_rus]

Ну если так рассуждать то и сервер дорого, ведь можно взять soho роутер, длинк например и поставить туда openwrt :D

Даже не знаю сколько должно ходить трафика через IX что бы было дорого поставить роутер за 2-3k$.

ну зачем сразу так, я же написал, что поднять виртуалку в уже существующей инфраструктуре - практически бесплатно, а рутер - 1-3к зелени. и пока что никто не привел аргументов что лучше потратить больше денег, чем меньше

 

Во сколько обойдётся CSR? (в бессрочном варианте и в 3ёх летнем варианте). я ни разу не сталкивался с политикой лицензировании csr, поэтому не могу сам посчитать

не нашел цен, но вот тут

https://www.ciscolive365.com/connect/sessionDetail.ww?SESSION_ID=6103&backBtn=true (нужна регистрация)

есть картинка, CSR дороже чем железные рутеры. да, получается это хреновая идея

[CNick]

не нашел цен, но вот тут

https://www.ciscoliv...03&backBtn=true (нужна регистрация)

есть картинка, CSR дороже чем железные рутеры. да, получается это хреновая идея

CRS не правильно сравнивать с харварными решениями потому что их нельзя задеплоить в облаке :)

Как правильно заметили выше нужно узнать ограничение по трафику в 2.5 мегабита это на проходящий или на control plane тоже, хотя если для IX то и 2.5 мегабит будет достаточно.

[DVM-Avgoor]

А чем принципиально CSR отличается от линукса + quagga/bird в виртуалке?

[s.lobanov]

А чем принципиально CSR отличается от линукса + quagga/bird в виртуалке?

 

Принципиально - ничем(в контексте сабжа). Просто ещё одна альтернативная реализация RS. C2901 тоже принципиально не отличается от линукса (в контексте обсуждаемаемой задачи). Как подметили выше, задача чисто софтовая, а отличия в надёжности, удобстве, наличии комм. саппорта. Думаю, что ещё никто не делает bgp в ASIC-ах, скорее всего даже простеньких hw офлодов нет, хотя кто знает, префикс-листы(и просмотр префикса через них) можно вынести в железо...

[DVM-Avgoor]

До 1к префиксов на RS отлично справлялась 2611XM с ее плюшевым процессором, нужно ли больше?

Квагга, бирд, ПЦ. Ну два пц. Что там поддерживать? Зачем саппорт вендора в системе где никакого уникального функционала не используется?

Есть мнение, что задача не стоила 2-х страниц обсуждения.

[s.lobanov]

Я делал лабы по bgp на 2611XM, мне оно показалось жутким тормозом, трафика не было(только тестовые icmp), хотя загрузку cpu тогда не смотрел, может оно так и должно было быть(за счёт bgp таймеров), топологию уже не помню

 

2611XM не продаются(как и многие другие олдскульные cisco), поэтому и предложено C2901, которое стоит дешевле нормального сервера(HP). на сайте Cisco явно указано, что серия 2900 это замена 2600XM

 

Зачем саппорт вендора в системе где никакого уникального функционала не используется?

Когда у вас появится уникальный клиент, с уникально кривой имплементацией bgp(какая-нибудь жуткая китайщина), мешающий работать другим, то что вы будете делать? (если из логов не будет ясно кто именно гадит)

Есть два подхода - покупать саппорт и не покупать саппорт. Каждый оператор решает сам. И каждый мыслит исходя из своих задач(например, админ и "эффективный менеджер"). Если вы админ(и ваш доход более-менее фиксированный, почти не зависит от прибыли компании), то проще покупать сетевое оборудование Cisco(или других хороших брендов) и сервера HP.

[DVM-Avgoor]

Есть два подхода - покупать саппорт и не покупать саппорт. Каждый оператор решает сам. И каждый мыслит исходя из своих задач(например, админ и "эффективный менеджер"). Если вы админ(и ваш доход более-менее фиксированный, почти не зависит от прибыли компании), то проще покупать сетевое оборудование Cisco(или других хороших брендов) и сервера HP.

 

 

Мыслить надо не категориями зарплаты, а принципом необходимого и достаточного. Крутить бгп на домашнем компе директора в IX который приносит 1кк руб чистыми в месяц это как-то не комильфо. Так же глупо покупать для этого какую-нибудь 7600 / MX240. Надо взвешивать все факторы, находить компромисс. Софтовые БГП интересней, по крайней мере в плане допиливания чего-либо. Но это не главный фактор, главное удобство. Вряд ли такой RS будет основным бизнесом, да и много усилий он не требует, как и штатной единицы инженера. Так что логичнее все же циско, включил - работает. А не пилить с утра до ночи кваггу.

 

ЗЫ. Кривой клиент с кривым бгп - есть вероятность, хоть и не большая. Вендор саппорт в этом случае может и не помочь. В их руках те же инструменты что и в ваших, плюс пара трюков. Собственно вот и все. Покупать саппорт на 2901 чтобы крутить RS возможно здравая идея, но лежит в плоскости страхов и предрассудков эффективного админа, обсуждать которые смысла не имеет в данной теме.

[CNick]

А чем принципиально CSR отличается от линукса + quagga/bird в виртуалке?

Если человек знаком с Cisco то сильно удобней будет в плане cli. В quagga он хоть и похож на cisco, но отличия все же есть, когда я пробовал его по приколу год назад сильно ругался, не помню на что именно, вроде route-map был сильно ограничен по функциям. В BIRD конфиг вроде совсем другой, на подобии Juniper.

[pfexec]

Есть у кого положительный опыт эксплуатации раут серверов под IOS?

ну какой-нибудь ams-ix вполне себе живет на asr'е. :)

Bird, конечно, хорошо, но лучше железное решение.

лучше два rs: один циска, второй бёрд. для избежания бага и проблемы в одном вендоре. упомянутый ams-ix так и живет.

Ну например Cisco 2901 под RS для маленького IX. Почему бы и нет?

фича "rs client" есть на asr'ах и 72ых. на ISR'ах ее нет емнип. но могу ошибаться.

В BIRD конфиг вроде совсем другой, на подобии Juniper.

нет, даже не "подобие". совершенно другая идеология + процедуры прямо в фильтрах, что, конечно, невероятно круто для рутсервера и генерации фильтров. В J всё гораздо более "костно", по факту в J нет rs-фич в любом из их видов. Но, конечно, если нужен просто bgp-speaker рефлектящий анонсы между ebgp-сессиями, то по большому счету всё равно что ставить: хоть циску, хоть J, хоть бёрд.

Изменено 2 декабря, 2013 пользователем pfexec

[s.lobanov]

фича "rs client"

 

Фичи "rs client", вообще говоря, не существует. когда "клиент" подключается к RS(серверу), то для него это обычный bgp-спикер.

Да, есть нюанс в виде команды "no bgp enforce first-as", но напрямую к RS он не относится, это побочный эффект

 

RS (route server) есть на 2900

[shvlad1]

официально фитча называется BGP route server.

в 2900 она по ФН есть, но проверил я только на 72ой

для фастстарта, думаю, 29 подойдет, а со временем можно и bird в качестве резерва поставить

[pfexec]

Можно вопрос, раз уж разговор зашел. Почему делают в одном VLAN всех + отдельный RS, я вот на своем небольшом IX держу VLAN на клиента + /30 на пир, соответственно BGP с самим устройством. Практически все современные коммутаторы делают раутинг на скорости порта, что Extreme что Brocade, что Force10, а левые взаимодействия, которые могут быть в одном общем VLAN - это зло, нет? Может, это исторически сложившаяся традиция - общий VLAN для IX?

потому что ix нужен для прямой связности и независимости от чьей-то fib. зачем бороться с fib на свичах ix'а ? мало чтоли войны с пир-партнерами, апстримами и всем остальным интернетом ? охохо. ну удачи, война - дело молодых. :)

для решения с ip spoofing нужно делать urpf. под такое нужно ооооочень много tcam-а + urpf вызовет другие проблемы

ох. за urpf на ix'ах и апстримах надо вообще карать топором по рукам.

Покупать саппорт на 2901 чтобы крутить RS возможно здравая иде

посмотрел в фиченавигаторе, все ISR2 умеют rs-client + даже 1861 умеет :) так что надо брать.

Когда у вас появится уникальный клиент, с уникально кривой имплементацией bgp(какая-нибудь жуткая китайщина), мешающий работать другим, то что вы будете делать? (если из логов не будет ясно кто именно гадит)

ну саппорт не панацея так то. заставят вас включить дебаг, почитать его, повысылать дампы, локализовать проблему... всё тоже самое можно сделать и без него. конечно, если дело станет за правкой какого-то бага - тут самому уже ничего не сделаешь. но локализовать "проблемного" пира и оторвать ему сессию можно и без саппорта я считаю. насколько мне известно те проблемы которые ams-ix огребает с asr на RS лежат в несколько другой плоскости:

We are having trouble with rs1.ams-ix.net (195.69.144.255/22, 2001:7F8:1::A500:6777:1/64) at this moment. NOC team is working on restoring the service. We will update you as soon as we are done.

Our vendor have received the debug logs from the route-server and is working on identifying the root-cause. First impression is the unit is having issue with memory allocation. We have also applied a config change to reduce the memory usage on the Cisco route-server to prevent the unit from memory exhaustion as a temporary work around until we have official instruction from vendor TAC.

циска, такая циска. :)

 

вобщем вот вам бестпрактис как построить свой ix:

1. читаете инструкции как настраиваться для включения в несколько больших и популярных ix'ов

2. думаете почему так

3. деплоите пару рутсерверов (циско + бёрд, например, но не обязательно)

4. придумываете как генерить политики для рутсервера

5. ...

6. PROFIT :)

 

не надо изобретать велосипедов там, где давно уже собраны все возможные грабли. :)

Изменено 2 декабря, 2013 пользователем pfexec

[pfexec]

Фичи "rs client", вообще говоря, не существует. когда "клиент" подключается к RS(серверу), то для него это обычный bgp-спикер.

ну давайте попридираемся к словам. всем понятно что "rs-client" на пире должен выключить инжект своей автономки в анонсы уходящие пиру. enforce-first-as - это вообще другое.

в 2900 она по ФН есть, но проверил я только на 72ой

вряд ли будет грандиозная разница. имхо кодовая база для bgpd у них всё равно одна. :)

[s.lobanov]

pfexec

Что такое rs-client в Вашей терминологии? Это сам роут-сервер или непосредственные участники обмена?

 

вряд ли будет грандиозная разница. имхо кодовая база для bgpd у них всё равно одна. :)

Не совсем. Иногда у Cisco есть западлянки типа "нет ASN32", при том IOS не 8 летней давности, а относительно свежий. Видимо у них несколько "кодовых баз" или маркетологи подосрали

[DVM-Avgoor]

Что такое rs-client в Вашей терминологии? Это сам роут-сервер или непосредственные участники обмена?

 

 

Это в его терминологии Route Server client бай циско. Т.е. возможность роут-сервера не инжектить свой ASN в префиксах клиенту. Чтобы клиент потом от души навключался no bgp enforce-first-as.

С каких-то пор вдруг эта фича стала массово использоваться на обменниках. Возможно в этом есть какой-то сакральный смысл.

[pfexec]

Что такое rs-client в Вашей терминологии? Это сам роут-сервер или непосредственные участники обмена?

это опция route-server-client для нейбора, которую включают на стороне рутсервера чтобы со стороны нейбора он, рутсервер, выглядел прозрачным.

е совсем. Иногда у Cisco есть западлянки типа "нет ASN32", при том IOS не 8 летней давности, а относительно свежий. Видимо у них несколько "кодовых баз" или маркетологи подосрали

маркетинг же. данное правило про asn32 распространяется на линейку оборудования. что-то вроде "в 3725/3745 нет asn32 и не будет, а в 3845 есть". они просто не бэкпортят новые фичи в иосы для старого железа: надо же новое продавать. :) ну и в те времена наверно кодовые базы были разные, да и сейчас может быть отдельно под каждую линейку железа своя. но явно есть какой-то "куррент" от которого оно отщипляется. хотя с кухней их не знаком, могу быть не прав.

С каких-то пор вдруг эта фича стала массово использоваться на обменниках. Возможно в этом есть какой-то сакральный смысл.

что значит "с каких-то пор" ? О_О всегда же признаком рутсервер для икса являлась способность быть "прозрачным". смысл в том чтобы пути из ix'а выигрывали длиной пути без колдовства с преференсами, метриками и т.п.

[s.lobanov]

Возможно в этом есть какой-то сакральный смысл.

 

Смысл не только в том, что эникейщики, настраивающие длинки и микротики через веб-морду не могут осилить local-pref, а ещё и в том, чтобы у тех, кто не имеет "непосредственное" подключение к IX(а видит префиксы через своего апстрима) видели as-path на одну AS меньше.

[DVM-Avgoor]

Эту логику я знаю, но...

 

Разве это не нарушает стандарт BGP?

Ну т.е. мальчикам-зайчикам и так и так придется ручками в бгп лезть, или отключать enforce или докидывать преференсов.

А вот прямые пиры таким образом опять пострадают, равные пути, преференсы все-равно ставить придется. Т.е. глобальный профит от данной загогулины не очевиден. И более того, я думаю есть на свете не очень много контор которые не осилили local-pref на бордерах. :) Хотя я знаю одну крупную такую! :)

 

чтобы у тех, кто не имеет "непосредственное" подключение к IX

 

А на этих болт можно класть спокойно. Им продаем канал, там пусть сами трахаются)

[pfexec]

А вот прямые пиры таким образом опять пострадают, равные пути, преференсы все-равно ставить придется.

прямые пиры - это другое. там вообще хоть ойпи-транзит может быть. но вообще в любом случае нужно городить политики для апстримов, для rs, для пиров... и это проще делать когда не надо держать в памяти что где-то as-path увеличен искусственно из-за rs. вобщем когда у тебя сотни полторы bgp-сессий на маршрутизаторе из которых штук пять аплинки, еще десяток rs'ы ix'ов, а остальные прямые пиры (не важно ix или выделенный линк), то у тебя голова вспухнет думать еще о том что где-то у кого-то асхопы "лишние", а политики под это вообще не подложишь. это у нас, посередь тайги, в деревне в среднем на маршрутизаторе от силы 2-3 bgp сессии: поднятие bgp-сессии - целое событие и можешь вдоволь обкладывать её костылями :))))

[shvlad1]

прямые пиры - это другое. там вообще хоть ойпи-транзит может быть. но вообще в любом случае нужно городить политики для апстримов, для rs, для пиров... и это проще делать когда не надо держать в памяти что где-то as-path увеличен искусственно из-за rs. вобщем когда у тебя сотни полторы bgp-сессий на маршрутизаторе из которых штук пять аплинки, еще десяток rs'ы ix'ов, а остальные прямые пиры (не важно ix или выделенный линк), то у тебя голова вспухнет думать еще о том что где-то у кого-то асхопы "лишние", а политики под это вообще не подложишь. это у нас, посередь тайги, в деревне в среднем на маршрутизаторе от силы 2-3 bgp сессии: поднятие bgp-сессии - целое событие и можешь вдоволь обкладывать её костылями :))))

В большинстве случаев BGP-политика разрабатывается один раз и загоняется в peer-группы или просто в группы со всеми раутмапами/префикс листами/политиками импорта-экспорта итп. В дальнейшем при включении пира (аплинка ли, кастомера, аикса) он просто прописывается в нужную группу и профит, в уме ничего держать и даже думать не надо.