Jump to content
Калькуляторы

Эксперты микротика дайте отзыв по подходящей железке для FW 1G

Добрый день, друзья.

 

У меня тут возникла задача дать клиентам веб-морду к файрволу (то есть вебморду мы сами напишем). Подумалось о mikrotik, причем именно как routerboard, чтобы дать техподдержке достаточно простой и понятный инструмент. Сразу скажу, что не хочу под это дело ставить PC по причине малопортовости, да и вообще, морочиться лень, кроме того есть на складе Juniper isg2000, если не будет адекватной железки, на нем сделаю без проблем, просто он энергии жрет как пылесос, а мне бы что-то маломощное, чтобы еще в ИБП не пришлось вкладываться.

 

Итак, что хочу:

~ 2000 правил файрвола INGRESS stateless FW без conntrack и т.п., планируется внедрение бриджевое. При этом требуется пропустить 1.5G simplex-а суммарно по направлениям на IMIX трафике.

~ медные или оптические порты, если будет пара оптических, вообще кошерно.

 

Цена в пределах 20 т.р.

 

В принципе, как вариант, можно рассмотреть еще Cisco 7201/7301, если она на этих условиях не встанет колом.

Share this post


Link to post
Share on other sites

Так же, я проблему с другой стороны мог бы решить. Как аппартный хост + куча m0n0wall/mikrotik под KVM, по одной штуке под клиента, хотя меня волнуют ситуации, когда будет деградация других FW из-за перегруза какого-то FW на хосте.

Share this post


Link to post
Share on other sites

Укладывается Ли он в требования, вот что любопытно... Именно на такой задаче как fw.

Share this post


Link to post
Share on other sites

Сарказм детектед)) у меня есть ощущение, что именно как fw с большим количеством правил будет плохо...

Share this post


Link to post
Share on other sites

Juniper ISG-2000 правда там все statefull

Share this post


Link to post
Share on other sites

Juniper ISG-2000 правда там все statefull

ну ему без разницы, он же хардварный по самое не хочу, все на ASIC.

Share this post


Link to post
Share on other sites

А микротик вообще stateless умеет?

в настройках можно отключить conntrack, но отключается ли он на самом деле - это надо проверять

Share this post


Link to post
Share on other sites

отключается на самом деле, но от 2к правил умрет нафиг, даже без контрака )

Share this post


Link to post
Share on other sites

Микротик... 1G FW...

Мсье, если вы живете на работе и вам не чужд извращенный секс - то велкам. В любом другом случае я бы взял джунипер

Share this post


Link to post
Share on other sites

А у кого какая нагрузка на файрволе микротика живёт?

Share this post


Link to post
Share on other sites

Микротик... 1G FW...

Мсье, если вы живете на работе и вам не чужд извращенный секс - то велкам. В любом другом случае я бы взял джунипер

Я согласный, но уж много электричества он кушает и места 3u целых + уж сильно эксклюзивная железка, зип хрен найдешь при поломке. А так, конечно, да.

Share this post


Link to post
Share on other sites

А у кого какая нагрузка на файрволе микротика живёт?

 

У меня 3 правила, полет нормальный.

Share this post


Link to post
Share on other sites

есть железка с 56 правилами

там отлов спамеров\скан портов\левые dhcp\ пинги и т.п.

работает всё чётко

Share this post


Link to post
Share on other sites

8 правил + 3 address lists (aka ipset в терминах МТ) с порядка 4 тыс записей, без NAT и conntrack, клеил ласты при 800М (400/400). Машинка C2D 3GHz

Share this post


Link to post
Share on other sites

Добрый день, друзья.

.......

 

Итак, что хочу:

~ 2000 правил файрвола INGRESS stateless FW без conntrack и т.п., планируется внедрение бриджевое. При этом требуется пропустить 1.5G simplex-а суммарно по направлениям на IMIX трафике.

~ медные или оптические порты, если будет пара оптических, вообще кошерно.

В принципе, как вариант, можно рассмотреть еще Cisco 7201/7301, если она на этих условиях не встанет колом.

 

Достаточно давно работаю с CCR-1036 , CCR-1016.

 

При 2000 правил FW созданных "в лоб" 36 ядер укладываютя на потоке в 300 Mbit реального клиентского траффика.

Но.. при 7000-8000 правил в address list и 20 в FW, что выполняют видимо те-же задачи что и ваши 2000 правил

CCR-1036 спокойно прожевывает 2G траффика с 20-30% загрузкой (без conntrack).

Опишите свою задачу, и если нет решения без 2000 правил FW - то mikrotik не ваша железка.

Edited by kww

Share this post


Link to post
Share on other sites

можно провести оптимизацию: использовать цепочки, чтобы пакет шел не по всем 2000 правилам, а предположим по количеству клиентов + максимальное количество правил для клиента

Share this post


Link to post
Share on other sites

можно провести оптимизацию: использовать цепочки, чтобы пакет шел не по всем 2000 правилам, а предположим по количеству клиентов + максимальное количество правил для клиента

 

Проверено CCR-1036 при нагрузке более 1G - 100 правил в FW - уже неприемлемо.

Share this post


Link to post
Share on other sites

При 2000 правил FW созданных "в лоб" 36 ядер укладываютя на потоке в 300 Mbit реального клиентского траффика.

Но.. при 7000-8000 правил в address list и 20 в FW, что выполняют видимо те-же задачи что и ваши 2000 правил

CCR-1036 спокойно прожевывает 2G траффика с 20-30% загрузкой (без conntrack).

Опишите свою задачу, и если нет решения без 2000 правил FW - то mikrotik не ваша железка.

вот это мне как раз не нужно. Я хотел бы задачу решить простым способом, а не так, чтобы потом только "избранные" могли в этом разобраться. А то есть у нас тут услуги, которые только с танцами с бубном и только избранными заводятся. Я в последнее время придерживаюсь принципа keep it stupid simple. Я уж лучше на хосте большом заведу каждому по отдельному m0n0wall в kvm, c 1м ядром и 64 mb ram и буду уверен что за 1 ядро он не выпрыгнет пусть там хоть какой изврат наконфигурирует себе...

Share this post


Link to post
Share on other sites

можно провести оптимизацию: использовать цепочки, чтобы пакет шел не по всем 2000 правилам, а предположим по количеству клиентов + максимальное количество правил для клиента

 

Можно предположить что сначала стоит запрещающее правило, которое блокирует доступ в интернет всех клиентов, а потом создаются разрешающие, которые позволяют определенному клиенту выходить в интернет. Такая схема в корне не верная по загрузки оборудования.

 

Правильнее вообще ничего не блокировать и пускать всех в сеть. Если у абонента нет денег, то помещать его в адрес лист должников, и уже тех, кто в нем находится, блокировать или перенаправлять на страничку. Сейчас, когда используются технологии, которые не позволяют абонентам самостоятельно менять адреса, или не легально подключаться к сети, пропадает сам смысл блокировки всего трафика. Поэтому я и написал что используются всего 3 правила=)

Share this post


Link to post
Share on other sites

вот это мне как раз не нужно. Я хотел бы задачу решить простым способом, а не так, чтобы потом только "избранные" могли в этом разобраться. А то есть у нас тут услуги, которые только с танцами с бубном и только избранными заводятся. Я в последнее время придерживаюсь принципа keep it stupid simple. Я уж лучше на хосте большом заведу каждому по отдельному m0n0wall в kvm, c 1м ядром и 64 mb ram и буду уверен что за 1 ядро он не выпрыгнет пусть там хоть какой изврат наконфигурирует себе...

 

Как раз тот самый случай :)))

Дешево - без бубна никак, котя бубен там прост и минимален.

По поводу избранных - у вас решение получится не менее уникально, и с разбегу понятно только Вам.

Edited by kww

Share this post


Link to post
Share on other sites

можно провести оптимизацию: использовать цепочки, чтобы пакет шел не по всем 2000 правилам, а предположим по количеству клиентов + максимальное количество правил для клиента

 

Можно предположить что сначала стоит запрещающее правило, которое блокирует доступ в интернет всех клиентов, а потом создаются разрешающие, которые позволяют определенному клиенту выходить в интернет. Такая схема в корне не верная по загрузки оборудования.

 

Правильнее вообще ничего не блокировать и пускать всех в сеть. Если у абонента нет денег, то помещать его в адрес лист должников, и уже тех, кто в нем находится, блокировать или перенаправлять на страничку. Сейчас, когда используются технологии, которые не позволяют абонентам самостоятельно менять адреса, или не легально подключаться к сети, пропадает сам смысл блокировки всего трафика. Поэтому я и написал что используются всего 3 правила=)

 

В частном, Вы правы, существует класс задач, где такая оптимизация приемлема, однако, если клиент сам управляет своим файрволом и хочет странного, то это не подходит.

 

вот это мне как раз не нужно. Я хотел бы задачу решить простым способом, а не так, чтобы потом только "избранные" могли в этом разобраться. А то есть у нас тут услуги, которые только с танцами с бубном и только избранными заводятся. Я в последнее время придерживаюсь принципа keep it stupid simple. Я уж лучше на хосте большом заведу каждому по отдельному m0n0wall в kvm, c 1м ядром и 64 mb ram и буду уверен что за 1 ядро он не выпрыгнет пусть там хоть какой изврат наконфигурирует себе...

 

Как раз тот самый случай :)))

Дешево - без бубна никак, котя бубен там прост и минимален.

По поводу изюранных - у вас решение получится не менее уникально, и с разбегу понятно только Вам.

 

По крайней мере это легко масштабировать и траблшутить, а суть решения может быть описана в KB в 3х абзацах.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this