Перейти к содержимому
Калькуляторы

Эксперты микротика дайте отзыв по подходящей железке для FW 1G

Добрый день, друзья.

 

У меня тут возникла задача дать клиентам веб-морду к файрволу (то есть вебморду мы сами напишем). Подумалось о mikrotik, причем именно как routerboard, чтобы дать техподдержке достаточно простой и понятный инструмент. Сразу скажу, что не хочу под это дело ставить PC по причине малопортовости, да и вообще, морочиться лень, кроме того есть на складе Juniper isg2000, если не будет адекватной железки, на нем сделаю без проблем, просто он энергии жрет как пылесос, а мне бы что-то маломощное, чтобы еще в ИБП не пришлось вкладываться.

 

Итак, что хочу:

~ 2000 правил файрвола INGRESS stateless FW без conntrack и т.п., планируется внедрение бриджевое. При этом требуется пропустить 1.5G simplex-а суммарно по направлениям на IMIX трафике.

~ медные или оптические порты, если будет пара оптических, вообще кошерно.

 

Цена в пределах 20 т.р.

 

В принципе, как вариант, можно рассмотреть еще Cisco 7201/7301, если она на этих условиях не встанет колом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Так же, я проблему с другой стороны мог бы решить. Как аппартный хост + куча m0n0wall/mikrotik под KVM, по одной штуке под клиента, хотя меня волнуют ситуации, когда будет деградация других FW из-за перегруза какого-то FW на хосте.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Mikrotik CCR1016 как раз укладывается в бюджет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Укладывается Ли он в требования, вот что любопытно... Именно на такой задаче как fw.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

боюсь что он "Укладывается". %sarcasm

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Сарказм детектед)) у меня есть ощущение, что именно как fw с большим количеством правил будет плохо...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Juniper ISG-2000 правда там все statefull

ну ему без разницы, он же хардварный по самое не хочу, все на ASIC.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А микротик вообще stateless умеет?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А микротик вообще stateless умеет?

в настройках можно отключить conntrack, но отключается ли он на самом деле - это надо проверять

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

отключается на самом деле, но от 2к правил умрет нафиг, даже без контрака )

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Микротик... 1G FW...

Мсье, если вы живете на работе и вам не чужд извращенный секс - то велкам. В любом другом случае я бы взял джунипер

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А у кого какая нагрузка на файрволе микротика живёт?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Микротик... 1G FW...

Мсье, если вы живете на работе и вам не чужд извращенный секс - то велкам. В любом другом случае я бы взял джунипер

Я согласный, но уж много электричества он кушает и места 3u целых + уж сильно эксклюзивная железка, зип хрен найдешь при поломке. А так, конечно, да.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А у кого какая нагрузка на файрволе микротика живёт?

 

У меня 3 правила, полет нормальный.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

есть железка с 56 правилами

там отлов спамеров\скан портов\левые dhcp\ пинги и т.п.

работает всё чётко

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

8 правил + 3 address lists (aka ipset в терминах МТ) с порядка 4 тыс записей, без NAT и conntrack, клеил ласты при 800М (400/400). Машинка C2D 3GHz

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Добрый день, друзья.

.......

 

Итак, что хочу:

~ 2000 правил файрвола INGRESS stateless FW без conntrack и т.п., планируется внедрение бриджевое. При этом требуется пропустить 1.5G simplex-а суммарно по направлениям на IMIX трафике.

~ медные или оптические порты, если будет пара оптических, вообще кошерно.

В принципе, как вариант, можно рассмотреть еще Cisco 7201/7301, если она на этих условиях не встанет колом.

 

Достаточно давно работаю с CCR-1036 , CCR-1016.

 

При 2000 правил FW созданных "в лоб" 36 ядер укладываютя на потоке в 300 Mbit реального клиентского траффика.

Но.. при 7000-8000 правил в address list и 20 в FW, что выполняют видимо те-же задачи что и ваши 2000 правил

CCR-1036 спокойно прожевывает 2G траффика с 20-30% загрузкой (без conntrack).

Опишите свою задачу, и если нет решения без 2000 правил FW - то mikrotik не ваша железка.

Изменено пользователем kww

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

можно провести оптимизацию: использовать цепочки, чтобы пакет шел не по всем 2000 правилам, а предположим по количеству клиентов + максимальное количество правил для клиента

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

можно провести оптимизацию: использовать цепочки, чтобы пакет шел не по всем 2000 правилам, а предположим по количеству клиентов + максимальное количество правил для клиента

 

Проверено CCR-1036 при нагрузке более 1G - 100 правил в FW - уже неприемлемо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

При 2000 правил FW созданных "в лоб" 36 ядер укладываютя на потоке в 300 Mbit реального клиентского траффика.

Но.. при 7000-8000 правил в address list и 20 в FW, что выполняют видимо те-же задачи что и ваши 2000 правил

CCR-1036 спокойно прожевывает 2G траффика с 20-30% загрузкой (без conntrack).

Опишите свою задачу, и если нет решения без 2000 правил FW - то mikrotik не ваша железка.

вот это мне как раз не нужно. Я хотел бы задачу решить простым способом, а не так, чтобы потом только "избранные" могли в этом разобраться. А то есть у нас тут услуги, которые только с танцами с бубном и только избранными заводятся. Я в последнее время придерживаюсь принципа keep it stupid simple. Я уж лучше на хосте большом заведу каждому по отдельному m0n0wall в kvm, c 1м ядром и 64 mb ram и буду уверен что за 1 ядро он не выпрыгнет пусть там хоть какой изврат наконфигурирует себе...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

можно провести оптимизацию: использовать цепочки, чтобы пакет шел не по всем 2000 правилам, а предположим по количеству клиентов + максимальное количество правил для клиента

 

Можно предположить что сначала стоит запрещающее правило, которое блокирует доступ в интернет всех клиентов, а потом создаются разрешающие, которые позволяют определенному клиенту выходить в интернет. Такая схема в корне не верная по загрузки оборудования.

 

Правильнее вообще ничего не блокировать и пускать всех в сеть. Если у абонента нет денег, то помещать его в адрес лист должников, и уже тех, кто в нем находится, блокировать или перенаправлять на страничку. Сейчас, когда используются технологии, которые не позволяют абонентам самостоятельно менять адреса, или не легально подключаться к сети, пропадает сам смысл блокировки всего трафика. Поэтому я и написал что используются всего 3 правила=)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

вот это мне как раз не нужно. Я хотел бы задачу решить простым способом, а не так, чтобы потом только "избранные" могли в этом разобраться. А то есть у нас тут услуги, которые только с танцами с бубном и только избранными заводятся. Я в последнее время придерживаюсь принципа keep it stupid simple. Я уж лучше на хосте большом заведу каждому по отдельному m0n0wall в kvm, c 1м ядром и 64 mb ram и буду уверен что за 1 ядро он не выпрыгнет пусть там хоть какой изврат наконфигурирует себе...

 

Как раз тот самый случай :)))

Дешево - без бубна никак, котя бубен там прост и минимален.

По поводу избранных - у вас решение получится не менее уникально, и с разбегу понятно только Вам.

Изменено пользователем kww

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

можно провести оптимизацию: использовать цепочки, чтобы пакет шел не по всем 2000 правилам, а предположим по количеству клиентов + максимальное количество правил для клиента

 

Можно предположить что сначала стоит запрещающее правило, которое блокирует доступ в интернет всех клиентов, а потом создаются разрешающие, которые позволяют определенному клиенту выходить в интернет. Такая схема в корне не верная по загрузки оборудования.

 

Правильнее вообще ничего не блокировать и пускать всех в сеть. Если у абонента нет денег, то помещать его в адрес лист должников, и уже тех, кто в нем находится, блокировать или перенаправлять на страничку. Сейчас, когда используются технологии, которые не позволяют абонентам самостоятельно менять адреса, или не легально подключаться к сети, пропадает сам смысл блокировки всего трафика. Поэтому я и написал что используются всего 3 правила=)

 

В частном, Вы правы, существует класс задач, где такая оптимизация приемлема, однако, если клиент сам управляет своим файрволом и хочет странного, то это не подходит.

 

вот это мне как раз не нужно. Я хотел бы задачу решить простым способом, а не так, чтобы потом только "избранные" могли в этом разобраться. А то есть у нас тут услуги, которые только с танцами с бубном и только избранными заводятся. Я в последнее время придерживаюсь принципа keep it stupid simple. Я уж лучше на хосте большом заведу каждому по отдельному m0n0wall в kvm, c 1м ядром и 64 mb ram и буду уверен что за 1 ядро он не выпрыгнет пусть там хоть какой изврат наконфигурирует себе...

 

Как раз тот самый случай :)))

Дешево - без бубна никак, котя бубен там прост и минимален.

По поводу изюранных - у вас решение получится не менее уникально, и с разбегу понятно только Вам.

 

По крайней мере это легко масштабировать и траблшутить, а суть решения может быть описана в KB в 3х абзацах.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.