Jump to content

Эксперты микротика дайте отзыв по подходящей железке для FW 1G

dignity
 Share

Recommended Posts

dignity

dignity

Posted
Posted

Добрый день, друзья.

 

У меня тут возникла задача дать клиентам веб-морду к файрволу (то есть вебморду мы сами напишем). Подумалось о mikrotik, причем именно как routerboard, чтобы дать техподдержке достаточно простой и понятный инструмент. Сразу скажу, что не хочу под это дело ставить PC по причине малопортовости, да и вообще, морочиться лень, кроме того есть на складе Juniper isg2000, если не будет адекватной железки, на нем сделаю без проблем, просто он энергии жрет как пылесос, а мне бы что-то маломощное, чтобы еще в ИБП не пришлось вкладываться.

 

Итак, что хочу:

~ 2000 правил файрвола INGRESS stateless FW без conntrack и т.п., планируется внедрение бриджевое. При этом требуется пропустить 1.5G simplex-а суммарно по направлениям на IMIX трафике.

~ медные или оптические порты, если будет пара оптических, вообще кошерно.

 

Цена в пределах 20 т.р.

 

В принципе, как вариант, можно рассмотреть еще Cisco 7201/7301, если она на этих условиях не встанет колом.

dignity

dignity

Posted
  • Author
Posted

Так же, я проблему с другой стороны мог бы решить. Как аппартный хост + куча m0n0wall/mikrotik под KVM, по одной штуке под клиента, хотя меня волнуют ситуации, когда будет деградация других FW из-за перегруза какого-то FW на хосте.

dignity

dignity

Posted
  • Author
Posted

Сарказм детектед)) у меня есть ощущение, что именно как fw с большим количеством правил будет плохо...

dignity

dignity

Posted
  • Author
Posted

Juniper ISG-2000 правда там все statefull

ну ему без разницы, он же хардварный по самое не хочу, все на ASIC.

dmvy

dmvy

Posted
Posted

А микротик вообще stateless умеет?

в настройках можно отключить conntrack, но отключается ли он на самом деле - это надо проверять
Night_Snake

Night_Snake

Posted
Posted

Микротик... 1G FW...

Мсье, если вы живете на работе и вам не чужд извращенный секс - то велкам. В любом другом случае я бы взял джунипер

dignity

dignity

Posted
  • Author
Posted

Микротик... 1G FW...

Мсье, если вы живете на работе и вам не чужд извращенный секс - то велкам. В любом другом случае я бы взял джунипер

Я согласный, но уж много электричества он кушает и места 3u целых + уж сильно эксклюзивная железка, зип хрен найдешь при поломке. А так, конечно, да.

kww

kww

Posted
Posted (edited)

Добрый день, друзья.

.......

 

Итак, что хочу:

~ 2000 правил файрвола INGRESS stateless FW без conntrack и т.п., планируется внедрение бриджевое. При этом требуется пропустить 1.5G simplex-а суммарно по направлениям на IMIX трафике.

~ медные или оптические порты, если будет пара оптических, вообще кошерно.

В принципе, как вариант, можно рассмотреть еще Cisco 7201/7301, если она на этих условиях не встанет колом.

 

Достаточно давно работаю с CCR-1036 , CCR-1016.

 

При 2000 правил FW созданных "в лоб" 36 ядер укладываютя на потоке в 300 Mbit реального клиентского траффика.

Но.. при 7000-8000 правил в address list и 20 в FW, что выполняют видимо те-же задачи что и ваши 2000 правил

CCR-1036 спокойно прожевывает 2G траффика с 20-30% загрузкой (без conntrack).

Опишите свою задачу, и если нет решения без 2000 правил FW - то mikrotik не ваша железка.

Edited by kww
dmvy

dmvy

Posted
Posted

можно провести оптимизацию: использовать цепочки, чтобы пакет шел не по всем 2000 правилам, а предположим по количеству клиентов + максимальное количество правил для клиента

kww

kww

Posted
Posted

можно провести оптимизацию: использовать цепочки, чтобы пакет шел не по всем 2000 правилам, а предположим по количеству клиентов + максимальное количество правил для клиента

 

Проверено CCR-1036 при нагрузке более 1G - 100 правил в FW - уже неприемлемо.

dignity

dignity

Posted
  • Author
Posted

При 2000 правил FW созданных "в лоб" 36 ядер укладываютя на потоке в 300 Mbit реального клиентского траффика.

Но.. при 7000-8000 правил в address list и 20 в FW, что выполняют видимо те-же задачи что и ваши 2000 правил

CCR-1036 спокойно прожевывает 2G траффика с 20-30% загрузкой (без conntrack).

Опишите свою задачу, и если нет решения без 2000 правил FW - то mikrotik не ваша железка.

вот это мне как раз не нужно. Я хотел бы задачу решить простым способом, а не так, чтобы потом только "избранные" могли в этом разобраться. А то есть у нас тут услуги, которые только с танцами с бубном и только избранными заводятся. Я в последнее время придерживаюсь принципа keep it stupid simple. Я уж лучше на хосте большом заведу каждому по отдельному m0n0wall в kvm, c 1м ядром и 64 mb ram и буду уверен что за 1 ядро он не выпрыгнет пусть там хоть какой изврат наконфигурирует себе...

Saab95

Saab95

Posted
Posted

можно провести оптимизацию: использовать цепочки, чтобы пакет шел не по всем 2000 правилам, а предположим по количеству клиентов + максимальное количество правил для клиента

 

Можно предположить что сначала стоит запрещающее правило, которое блокирует доступ в интернет всех клиентов, а потом создаются разрешающие, которые позволяют определенному клиенту выходить в интернет. Такая схема в корне не верная по загрузки оборудования.

 

Правильнее вообще ничего не блокировать и пускать всех в сеть. Если у абонента нет денег, то помещать его в адрес лист должников, и уже тех, кто в нем находится, блокировать или перенаправлять на страничку. Сейчас, когда используются технологии, которые не позволяют абонентам самостоятельно менять адреса, или не легально подключаться к сети, пропадает сам смысл блокировки всего трафика. Поэтому я и написал что используются всего 3 правила=)

kww

kww

Posted
Posted (edited)

вот это мне как раз не нужно. Я хотел бы задачу решить простым способом, а не так, чтобы потом только "избранные" могли в этом разобраться. А то есть у нас тут услуги, которые только с танцами с бубном и только избранными заводятся. Я в последнее время придерживаюсь принципа keep it stupid simple. Я уж лучше на хосте большом заведу каждому по отдельному m0n0wall в kvm, c 1м ядром и 64 mb ram и буду уверен что за 1 ядро он не выпрыгнет пусть там хоть какой изврат наконфигурирует себе...

 

Как раз тот самый случай :)))

Дешево - без бубна никак, котя бубен там прост и минимален.

По поводу избранных - у вас решение получится не менее уникально, и с разбегу понятно только Вам.

Edited by kww
dignity

dignity

Posted
  • Author
Posted

можно провести оптимизацию: использовать цепочки, чтобы пакет шел не по всем 2000 правилам, а предположим по количеству клиентов + максимальное количество правил для клиента

 

Можно предположить что сначала стоит запрещающее правило, которое блокирует доступ в интернет всех клиентов, а потом создаются разрешающие, которые позволяют определенному клиенту выходить в интернет. Такая схема в корне не верная по загрузки оборудования.

 

Правильнее вообще ничего не блокировать и пускать всех в сеть. Если у абонента нет денег, то помещать его в адрес лист должников, и уже тех, кто в нем находится, блокировать или перенаправлять на страничку. Сейчас, когда используются технологии, которые не позволяют абонентам самостоятельно менять адреса, или не легально подключаться к сети, пропадает сам смысл блокировки всего трафика. Поэтому я и написал что используются всего 3 правила=)

 

В частном, Вы правы, существует класс задач, где такая оптимизация приемлема, однако, если клиент сам управляет своим файрволом и хочет странного, то это не подходит.

 

вот это мне как раз не нужно. Я хотел бы задачу решить простым способом, а не так, чтобы потом только "избранные" могли в этом разобраться. А то есть у нас тут услуги, которые только с танцами с бубном и только избранными заводятся. Я в последнее время придерживаюсь принципа keep it stupid simple. Я уж лучше на хосте большом заведу каждому по отдельному m0n0wall в kvm, c 1м ядром и 64 mb ram и буду уверен что за 1 ядро он не выпрыгнет пусть там хоть какой изврат наконфигурирует себе...

 

Как раз тот самый случай :)))

Дешево - без бубна никак, котя бубен там прост и минимален.

По поводу изюранных - у вас решение получится не менее уникально, и с разбегу понятно только Вам.

 

По крайней мере это легко масштабировать и траблшутить, а суть решения может быть описана в KB в 3х абзацах.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.