NEP 217 Опубликовано: 2011-04-18 18:00:37 Share Опубликовано: 2011-04-18 18:00:37 Один тазик для роутинга, один тазик для шейпинга (или пара), как минимум один запасной тазик. Если тазики человеческие, то каждый стоит денег. Все это нужно обслуживать, есть куча ньюансов. Нужно прикручивать приблуду к dhcp серверу, которая бы добавляла правила на нарезку скорости на шейперах Хочется от всего этого уйти к одному, проверенно рабочему девайсу. Однако дорого получается. Если использовать компы, легко получается с микротиком, через него можно через dhcp выдавать ip абоненту используя radius, через radius устанавливать и ограничения по скорости. Все отлажено ничего дописывать не нужно, легко и удобно настраивается, но не очень понятно какая будет производительность при большом количестве пользователей, т.к на каждого абонента создается simple queue. Пффф... Ericsson SE100 - это и есть SoftRouter. Только у него вместо x86 используется RISC процессор + софт от Ericsson. Как вариант неплохого софта можно брать vyatta, а приличный сервер (IBM, DELL, HP), который отроутит и отполисит 4Г + он же может быть и бордером стоит $1-1.5к, но никак не $10к. Вы жертва маркетинга. Ссылка на сообщение Поделиться на других сайтах
karyon 48 Опубликовано: 2011-04-18 18:17:40 Share Опубликовано: 2011-04-18 18:17:40 )) Да знаем мы о vyatta, проходили. Да нормально маршрутизирует. Но мало там готовых функций. В ней шейпинг только добавили и то нужно разбираться через какое место они его делали. Можно ли в шейпере использовать списки ip? (например для nat - нельзя). Используется ли hash? Как пример сделали netflow, типа все работает с полпинка, но оказывается жрет 60% cpu на 300 мбитах, в итоге оказывается они сделали его через генерацию логов Iptables и следующим подсчетом через ..acctd демон, при том, что существует готовый модуль ipt_netflow, который при той же нагрузке ест 1 %cpu. Нет там связки шейпера с dhcp/радиусом. В общем "софт" там совсем не Еricsson. Вы собственно реализовывали IPOE с шейпом на Vyatta в сети? Или просто другим советуете )? Ссылка на сообщение Поделиться на других сайтах
NEP 217 Опубликовано: 2011-04-18 18:23:17 Share Опубликовано: 2011-04-18 18:23:17 )) Знаем мы о vyatta. Мало там готовых функций. В ней шейпинг только добавили и то нужно разбираться через какое место они его делали. Можно ли в шейпере использовать списки ip? (например для nat - нельзя). Как пример сделали netflow, типа все работает с полпинка, но оказывается жрет 60% cpu на 300 мбитах, в итоге оказывается они сделали его через генерацию логов Iptables и следующим подсчетом через ..acctd демон, при том, что существует готовый модуль ipt_netflow, который при той же нагрузке ест 1 %cpu. Нет там связки шейпера с dhcp/радиусом. В общем софт там отнють не Еricson. Бред. Дисциплины traffic-limiter и traffic-shaper там реализованы с самого зарождения проекта. show traffic-policy limiter DL { class 133 { bandwidth 102400kbit burst 3840k match pool { ip { destination { address 91.xx.xx.xx/32 } } } } show traffic-policy shaper UL { bandwidth 100mbit class 130 { bandwidth 20480kbit ceiling 40960kbit match pool { ip { source { address 91.xx.xx.xx/32 } } } } } Netflow, да через acctd, но лично мне оно индифферентно, я его не использую. В чем смысл? Хотя в роадмап у них стоит реализация netflow на уровне модуля ядра ipt_netflow. Как оно работает и как реализовано на Ericsson вы тоже я так понимаю не в курсе, может оно там и на 100Мбит/с даст 100% загрузку. Нет там связки шейпера с dhcp/радиусом Там есть dhcp relay. Вставить нужные правила можно удаленно по ssh. Какая разница, вам эти параметры прийдут в пакете радиуса и затем локально скрипт выполнит команды ОС или эти команды выполнит радиус/биллинг по ssh? В любом случае, это Debian, ставьте туда любой radius-client и просто подкорректируйте скрипт в соответствии с командами vyatta. Ссылка на сообщение Поделиться на других сайтах
adeep 212 Опубликовано: 2011-04-18 18:46:00 Share Опубликовано: 2011-04-18 18:46:00 Netflow, да через acctd, но лично мне оно индифферентно, я его не использую. В чем смысл? Хотя в роадмап у них стоит реализация netflow на уровне модуля ядра ipt_netflow. Как оно работает и как реализовано на Ericsson вы тоже я так понимаю не в курсе, может оно там и на 100Мбит/с даст 100% загрузку. отзывы о реальных инсталляциях утверждают, что все там внутри хардварно и проц практически не кушается (быстрее упирается в емкости интерфейсов, чем можно загрузить проц). Ссылка на сообщение Поделиться на других сайтах
karyon 48 Опубликовано: 2011-04-18 18:59:08 Share Опубликовано: 2011-04-18 18:59:08 Ок, я шейпер не проверял не было нужды. Как реализуется шейпер через vyatta? Htb/imq? Шейпер использует хеш-списки? Проверяли, какая производительность при тысяче правил на шейпинг? Есть какие-то данные? Про данные роутинга все знают, интересует шейп. Понятно, что на linux'e все делается, просто там чуть подкорректируй, там чуть допиши, там подправь, все это проверь, а после этого вылезет еще что-то. Я не против pc, собственно их сейчас и используем. Переходим на ipoе , нужна простота и надежность, и чтобы эта надежность была проверенна кем-то другим )) Ссылка на сообщение Поделиться на других сайтах
NEP 217 Опубликовано: 2011-04-18 19:11:50 Share Опубликовано: 2011-04-18 19:11:50 Netflow, да через acctd, но лично мне оно индифферентно, я его не использую. В чем смысл? Хотя в роадмап у них стоит реализация netflow на уровне модуля ядра ipt_netflow. Как оно работает и как реализовано на Ericsson вы тоже я так понимаю не в курсе, может оно там и на 100Мбит/с даст 100% загрузку. отзывы о реальных инсталляциях утверждают, что все там внутри хардварно и проц практически не кушается (быстрее упирается в емкости интерфейсов, чем можно загрузить проц). Отзывы - бред. Что значит "там все хардварное"? Т.е. вы хотите сказать, что там установлен FIB TCAM, в который поместитя FW, есть VRF. Аппаратная реализация QoS, Netflow? Аппаратный Firewall? Ну реально подумайте сами. Если бы там все было аппаратное, то стоимость там была бы не 10к, а 200к. Это обычный софт-роутер. Не более. Или если там стоит процессор архитектура котороого отлична от x86, скажем какой то ARM, то это уже резко "хардварное" решение? Ссылка на сообщение Поделиться на других сайтах
NEP 217 Опубликовано: 2011-04-18 19:13:52 Share Опубликовано: 2011-04-18 19:13:52 Ок, я шейпер не проверял не было нужды. Как реализуется шейпер через vyatta? Htb/imq? Шейпер использует хеш-списки? Проверяли, какая производительность при тысяче правил на шейпинг? Есть какие-то данные? Про данные роутинга все знают, интересует шейп. Htb. С тысячей правил справляется. Загрузка не растет. Понятно, что на linux'e все делается, просто там чуть подкорректируй, там чуть допиши, там подправь, все это проверь, а после этого вылезет еще что-то. Я не против pc, собственно их сейчас и используем. Переходим на ipoе , нужна простота и надежность, и чтобы эта надежность была проверенна кем-то другим )) Так ставьте vyatta. Там ничего править не надо. Все работает из коробки. Кстати снимать netflow с роутера, это простите - бред. Зеркалируйте аплинковый порт бордера на коммутаторе, сливайте траффик на отдельый сервер и там с ним делайте что угодно, хоть дампите Кстати именно так аппаратные реализации Netflow у CISCO и работают. Для этого там специальные платы имеются. Эта схема позволяет не создавать вообще нагрузку на маршрутизатор. Ссылка на сообщение Поделиться на других сайтах
karyon 48 Опубликовано: 2011-04-18 19:23:26 Share Опубликовано: 2011-04-18 19:23:26 Htb. С тысячей правил справляется. Загрузка не растет. А с 2-мя, 3-мя? Есть где-то выложенные тесты по шейпигу на pc? Если кто-то видел в инете - отпишите. Кстати снимать netflow с роутера, это простите - бред. Зеркалируйте аплинковый порт бордера на коммутаторе, сливайте траффик на отдельый сервер и там >с ним делайте что угодно, хоть дампите Кстати именно так аппаратные реализации Netflow у CISCO и работают. Для этого там специальная плата есть. >Эта схема позволяет не создавать вообще нагрузку на маршрутизатор. Я сейчас не снимаю netflow с роутера, снимал, когда загрузка была до 300мбит - все отлично работало, на той же vyatta с перекомпилированным ipt_netflow, как я уже писал, загрузка cpu неощутимая около 1%, думаю и до гига было бы нормально. У меня на роутере использовался нат, 1 порт аплинк и 3 в локалку, неудобно зеркалировать 3 порта если можно этого не делать. У Вас слово "бред" - слово паразит )) Ссылка на сообщение Поделиться на других сайтах
NEP 217 Опубликовано: 2011-04-18 19:26:26 Share Опубликовано: 2011-04-18 19:26:26 >Htb. С тысячей правил справляется. Загрузка не растет. А с 2-мя, 3-мя? По тысяче сессий свои денные или где-то есть тесты? Свои. У знакомых справляется 2.5 >Кстати снимать netflow с роутера, это простите - бред. Зеркалируйте аплинковый порт бордера на коммутаторе, сливайте траффик на отдельый сервер и там >с ним делайте что угодно, хоть дампите Кстати именно так аппаратные реализации Netflow у CISCO и работают. Для этого там специальная плата есть. >Эта схема позволяет не создавать вообще нагрузку на маршрутизатор. Я сейчас не снимаю netflow с роутера, снимал, когда загрузка была до 300мбит - все отлично работало, на той же vyatta с перекомпилированным ipt_netflow, как я уже писал загрузка cpu неощутимая около 1%. Ну отлично, дойдете до 1.5-2Г и 3000 онлайн, загнется и ipt_netflow. Что делать будете? Ставить CISCO 6500 + SUP720-3cxl? У Вас слово "бред" - слово паразит )) Нормальное слово. Ссылка на сообщение Поделиться на других сайтах
][-RaY 387 Опубликовано: 2011-04-18 21:12:25 Автор Share Опубликовано: 2011-04-18 21:12:25 Про 20к уе и 6 гиг, я говорил про 2 железки которые будут стоять резерв\балансировка(самоубийство такую железку брать одну). Там 3 гига насквозь пройдет макс в 1 штуке. Линупсы и вятты оставьте тем, кто любит, я нет, у меня есть деньги Ссылка на сообщение Поделиться на других сайтах
NEP 217 Опубликовано: 2011-04-18 21:23:24 Share Опубликовано: 2011-04-18 21:23:24 [-RaY' timestamp=1303161145' post='215829]Про 20к уе и 6 гиг, я говорил про 2 железки которые будут стоять резерв\балансировка(самоубийство такую железку брать одну). Там 3 гига насквозь пройдет макс в 1 штуке. Линупсы и вятты оставьте тем, кто любит, я нет, у меня есть деньги Те у кого есть деньги берут MX80, ASR1000. У кого нет, собирают x86 soft router. SE100 - это понты. Ссылка на сообщение Поделиться на других сайтах
][-RaY 387 Опубликовано: 2011-04-18 21:29:28 Автор Share Опубликовано: 2011-04-18 21:29:28 Ага мх80 брас =) В 2012 может и будет. Только правда редбэк один из самых рогатых брасов, порагатей циски и джуна На писюках не идет у меня, а мне б деньги зарабатывать и развиваться, а не изучать ядро фрибсд и как выпиливать костыли под ритмичные звуки бубна, что бы сэкономить пару тысяч. Давайте лучше подождем отзывов от людей которые уже с ними работали и купили в УА, надеюсь хоть один из них тут есть. Ссылка на сообщение Поделиться на других сайтах
NEP 217 Опубликовано: 2011-04-18 21:32:25 Share Опубликовано: 2011-04-18 21:32:25 [-RaY' timestamp=1303162168' post='215834]Ага мх80 брас =) В 2012 может и будет. Только правда редбэк один из самых рогатых брасов, порагатей циски и джуна На писюках не идет у меня, а мне б деньги зарабатывать и развиваться, а не изучать ядро фрибсд и как выпиливать костыли под ритмичные звуки бубна, что бы сэкономить пару тысяч. Давайте лучше подождем отзывов от людей которые уже с ними работали и купили в УА, надеюсь хоть один из них тут есть. Наивно полагать, что бубен не понадобится для SE100. Даже оборудование класса ASR1000: http://www.cisco.com/en/US/docs/ios/ios_xe/2/release/notes/rnasr21.html ... CSCtg12975 Memory leaks are seen due to the Allocation PC (L2TP mgmt daemo) and Name (L2X GRP CLASS NAME) in show memory debug leaks output. The Memory Leaks occurs when vpdn group config is removed while l2tp tunnel is still up. Workaround: Is to take down tunnel before removing vpdn group from config. ... Просто чем выгодно отличается ASR1000 и MX80, тем что баги в ПО этих производителей всеобщеизвестны и известно, как их обойти, а баги редбека вы будете ловить в городом одиночестве без какого либо саппорта, на мнении, что действительно купили приличное оборудование и не сэкономили. В этом плане linux или vyatta выгодно отличаются тем, что их баги не просто известны, они гараздо быстрее исправляются и в крайнем случае их можно исправить самому. Ссылка на сообщение Поделиться на других сайтах
][-RaY 387 Опубликовано: 2011-04-18 21:35:24 Автор Share Опубликовано: 2011-04-18 21:35:24 Поживем увидим. Ссылка на сообщение Поделиться на других сайтах
alex-netcase 13 Опубликовано: 2011-04-19 05:47:52 Share Опубликовано: 2011-04-19 05:47:52 Детский сад.... ][-RaY - не трать свое время Ссылка на сообщение Поделиться на других сайтах
Кеша 546 Опубликовано: 2011-04-19 06:08:26 Share Опубликовано: 2011-04-19 06:08:26 по отзывам SE100 вполне хорош. ПК там не попадает. Дима, никто же не предлагает сейчас рутить внутренний трафик на писюке? все понимают, что L3 свич и дешевле и надежней и производительней. по деньгам... нужно считать, что вам дешевле - добирать полосу или шейпить. как вариант украину пропускаете сквозняком L3 коммутацией, а шейпите мир и то скажем исход. тогда и писюком можно обойтись. Ссылка на сообщение Поделиться на других сайтах
NEP 217 Опубликовано: 2011-04-19 09:22:47 Share Опубликовано: 2011-04-19 09:22:47 по отзывам SE100 вполне хорош. ПК там не попадает. Дима, никто же не предлагает сейчас рутить внутренний трафик на писюке? все понимают, что L3 свич и дешевле и надежней и производительней. по деньгам... нужно считать, что вам дешевле - добирать полосу или шейпить. как вариант украину пропускаете сквозняком L3 коммутацией, а шейпите мир и то скажем исход. тогда и писюком можно обойтись. Лично я по нему, кроме тупых маркетинговых статеек россиян ничего не нашел. Никто не сомневается, что форвардит он аппаратно, это не сложно и это делает любой Длинк. А шейпера, netflow, firewall тоже аппратные? Я бы предпочел этой поделке ASR-1002F, кстати даже по GPL -40% те же деньги. А есть еще -60% Ссылка на сообщение Поделиться на других сайтах
][-RaY 387 Опубликовано: 2011-04-19 09:32:59 Автор Share Опубликовано: 2011-04-19 09:32:59 Тоже смотрел на неё, но чет мне се100 по душе, не всем же одинаковыми быть Ссылка на сообщение Поделиться на других сайтах
adeep 212 Опубликовано: 2011-04-19 09:40:17 Share Опубликовано: 2011-04-19 09:40:17 Я бы предпочел этой поделке ASR-1002F, кстати даже по GPL -40% те же деньги. А есть еще -60% Только у 1002F заявленная пропускная способность ниже. Ссылка на сообщение Поделиться на других сайтах
Hash 0 Опубликовано: 2011-04-19 10:44:06 Share Опубликовано: 2011-04-19 10:44:06 Перевожу для особо одаренных: В dummynet реализованы механизмы traffic-policing в терминологии CISCO или traffic-limiter в общепринятой терминологии, он не реализует классовые иерархии очередей. Он не умеет строить произвольные деревья из дочерних классов (к pipe можно присоединить только queue) нет механизмов ceil, borrow. Такие возможности есть только у классовых дисциплин шейперов (traffic-shaper): HTB, CBQ... Грубо говоря, любой policer имеет фиксированную длину очереди, у shaper-ов длина очереди может меняться в большую или меньшую сторону в зависимости от тех или иных условий. Вот собственно единственное, но принципиальное различие. Переводить не нужно, я читать и сам умею. А если затронули терминологию Cisco, то приводите цитаты из их документов, а не википедии. А теперь можно цитату про это «единственное отличие» из их документации? P.S. Около года назад вы таки согласились на другом ресурсе, что dummynet с заданным queue является шейпером, правда неполноценным. Что в реализации поменялось за год? Ссылка на сообщение Поделиться на других сайтах
NEP 217 Опубликовано: 2011-04-19 11:04:26 Share Опубликовано: 2011-04-19 11:04:26 Перевожу для особо одаренных: В dummynet реализованы механизмы traffic-policing в терминологии CISCO или traffic-limiter в общепринятой терминологии, он не реализует классовые иерархии очередей. Он не умеет строить произвольные деревья из дочерних классов (к pipe можно присоединить только queue) нет механизмов ceil, borrow. Такие возможности есть только у классовых дисциплин шейперов (traffic-shaper): HTB, CBQ... Грубо говоря, любой policer имеет фиксированную длину очереди, у shaper-ов длина очереди может меняться в большую или меньшую сторону в зависимости от тех или иных условий. Вот собственно единственное, но принципиальное различие. Переводить не нужно, я читать и сам умею. А если затронули терминологию Cisco, то приводите цитаты из их документов, а не википедии. А теперь можно цитату про это «единственное отличие» из их документации? Traffic policing propagates bursts. When the traffic rate reaches the configured maximum rate, excess traffic is dropped (or remarked). Shaping implies the existence of a queue and of sufficient memory to buffer delayed packets, while policing does not. Ссылка на сообщение Поделиться на других сайтах
karyon 48 Опубликовано: 2011-04-19 12:30:23 Share Опубликовано: 2011-04-19 12:30:23 Я бы предпочел этой поделке ASR-1002F, кстати даже по GPL -40% те же деньги. А есть еще -60% Только у 1002F заявленная пропускная способность ниже. Еге ж Знакомые купили ASR 1002F за 11k$, но только 2Гига насквозь По поводу софт/не софт Какая разница софт/не софт роутер, в asr/redback несколько процессоров и каждый занимается своим делом с заявленной производительностью,т.е выполняет возложенные функции с описанной скоростью. Ссылка на сообщение Поделиться на других сайтах
NEP 217 Опубликовано: 2011-04-19 12:58:37 Share Опубликовано: 2011-04-19 12:58:37 Я бы предпочел этой поделке ASR-1002F, кстати даже по GPL -40% те же деньги. А есть еще -60% Только у 1002F заявленная пропускная способность ниже. Еге ж Знакомые купили ASR 1002F за 11k$, но только 2Гига насквозь По поводу софт/не софт Какая разница софт/не софт роутер, в asr/redback несколько процессоров и каждый занимается своим делом с заявленной производительностью,т.е выполняет возложенные функции с описанной скоростью. 2Г внешних каналов - это $5-6к ежемесячный ллатеж. Когда люди берут 2Г внешних каналов, они уже покупают оборудование повыше классом. А заворачивать на эту железку пиринги, UA-IX и т.п. - не имеет смысла. Ссылка на сообщение Поделиться на других сайтах
][-RaY 387 Опубликовано: 2011-04-19 14:29:50 Автор Share Опубликовано: 2011-04-19 14:29:50 Тут затрат на железки 20к, а купить что то серьезней, сразу становится в 60-70, смысл покупать железо на десятки гигабит, когда столько трафика на домашних абонентов я не жду ближайший год, вкладываться в железо на годы в перед мне не по карману, для меня се100 оптимален в данный момент. Ссылка на сообщение Поделиться на других сайтах
karabas 5 Опубликовано: 2011-04-21 16:09:12 Share Опубликовано: 2011-04-21 16:09:12 Мы без малого 3 года работаем на Juniper ERX-310 за это время он только на электричесте+эл. на кондиционирование отбил $6000, это как минимум. До этого работали с HTB (<8000 правил) и самописная система авторизации. Сейчас эти времена вспоминаются страшным сном. Хотя и с ERX`ом бывали анекдоты. ][-RaY Вы, на мой взгляд, правильно мыслите, но 3Гб сквозного канала на мой взгляд для текущих реалий маловато впрочим, если железки поддерживают лоад балансинг то проблем нет, докупите следующую. А почему у Вас негативное мнение о MX80, если можно в конкретных примерах. Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Создайте аккаунт или войдите в него для комментирования
Вы должны быть пользователем, чтобы оставить комментарий
Создать аккаунт
Зарегистрируйтесь для получения аккаунта. Это просто!
Зарегистрировать аккаунтВойти
Уже зарегистрированы? Войдите здесь.
Войти сейчас