Comments 132
А почему не рассматривается вариант x86 ROS на ПК?
Вроде и выкидывать ничего не нужно и настройка будет привычнее, для администратора знакомого с ROS (минусы решения останутся, но кажется что они не критичные, если мы говорим про бюджетное решение)
Вроде и выкидывать ничего не нужно и настройка будет привычнее, для администратора знакомого с ROS (минусы решения останутся, но кажется что они не критичные, если мы говорим про бюджетное решение)
UFO just landed and posted this here
Основное: нестабильность старого железа. В моей ситуации выгоднее железка от Mikrotik, которая занимается сетью, а старичек тянет остальные сервисы (все так-же глюча), но имеется тогда возможность переключить пользователей на другой сервер, главное, что сеть есть.
RoS x86 хороший вариант для очень большого трафика и большого числа туннелей.
RoS x86 хороший вариант для очень большого трафика и большого числа туннелей.
как ни странно из опыта — старое железо, особенно серверного уровня, работает существенно стабильней чем обычный микротик. например тот же hex. у меня по сети стоит порядка 100 железок на ros. и из них самые стабильные — это древние сервера работающие под ros. за 7 лет только на одном поменял жд. больше никаких претензий к ним не было
Причем под ESXi. В соседних виртуалках можно запустить сборщик логов, контроллер сетевого принтера, Linux, управляющий APC, и всякую подобную мелочь. Единственный, пожалуй, минус, это необходимость внешнего свитча. У меня дома подобная конструкция живет довольно долгое время без каких-либо проблем на i3-2100T и 8 Gb RAM.
UFO just landed and posted this here
А вариант отключения питания (не смотря на наличие ИБП)? Это небольшой, но плюс.
Еще, недалекое в таких вопросах руководсто выкладки по надежности понимает исключительно не верно. Говоришь, что оно глючит, спрашивают как часто (к примеру раз в неделю). Тут-же спросят, а как долго исправлять последствие глюка (15 минут + дорога). Тут экономист пишет себе +1 в экономию и заявляет: все фигня, 15 минут мы потерпим. Потом, когда оно случается, про дорогу уж точно не помнят, а 15 минут воспринимают как вечность. И на указание о «плохом» решении тычат в тебя пальцем: ты же говорил, что оно глючит раз в неделю, почему оно заглючило сейчас, когда нам срочно надо!
Дело двигается только тогда, когда главный в бизнесе понимает, что экономист наэкономил 3500р там, где компания потеряла 50000р из-за простоя, и вставляет экономисту указание, что вот тут больше не экономить (правда это решает проблему только в этой конкретной ситуации, в других все будет так-же до первых убытков, которые явно больше экономии).
Дело двигается только тогда, когда главный в бизнесе понимает, что экономист наэкономил 3500р там, где компания потеряла 50000р из-за простоя, и вставляет экономисту указание, что вот тут больше не экономить (правда это решает проблему только в этой конкретной ситуации, в других все будет так-же до первых убытков, которые явно больше экономии).
Дело двигается только тогда, когда главный в бизнесе понимает, что экономист наэкономил 3500р там, где компания потеряла 50000р из-за простоя
Это решать не мне и не вам — а конкретному руководителю конкретного предприятия.
С высоты своего полета он видет больше.
Закон экономики таков, что сейчас деньги дороже чем потом. И возможно сэкономленные сейчас 3500 принесут большую пользу чем те 50 000, которые еще непонятно будут или нет.
Когда то очень давно работал я сис. админом и закупил более производительные (и дорогие принтера), потому что рассчитанные на домашнюю нагрузку быстро выходили из строя.
Директор как то упустил этот момент и принтера я купил мимо его (ну или он не глядя подмахнул счет). Потом когда увидел их, удивился, посмотрел цену. И у нас с ним произошел разговор по поводу экономической адекватности этой покупки.
Оказалось, что дешевые принтера говно, да, но они стояли у каждого сотрудника. Да, они медленные, да иногда они выходили из строя, да катриджа хватало не надолго. Но это было экономически выгодно. Те простые принтера было проще (и не жаль) просто выкинуть по исчерпании ресурса.
А дорогие мною выбранные — да круче, да быстрее, да лучше, да картритж реже менять. Но они слишком дороги. Экономически не эффективны.
А простой… Это не Микротик решает, а квалифицированный спец и 2 устройства (основное и запасное), не важно чем будут эти 2 устройство (ПК или Микротик).
Это хорошо, когда руководство осознает, из чего будет выполнено то или иное решение. Хуже, когда ты прямым текстом говоришь, что это г@вно и палки, и экономия этого материала уже за гранью добра и зла. Но часто, я получаю указание экономить даже г@но, и когда остатки палок, слепленные остатком г@на работают именно так, как я и обещал (откровенно хреного), мне говорят, что г@но надо класть шпателем, а не лопатой, и палки не той кривизны.
Нецелесообразная экономия — хуже, иной раз, расточительства.
Нецелесообразная экономия — хуже, иной раз, расточительства.
Меняйте работу в таком случае. Не спеша, плавно — но меняйте. Иначе превратитесь в крутого спеца по наложению г@вен шпателем особо тонким слоем. Как говаривал один старик: "побеждает тот волк, которого мы кормим" (с)
Виноват в этом ты.
Руководитель не специалист в этом вопросе, он потому и нанял тебя что специалист ты.
Умение разговаривать и отстаивать свою точку зрения в техничеких вопросах — это такой же профессиональный навык как и собственно знание этих технических вопросов. От того, что ты где-то спрятовшись в углу пишешь на Хабр про Микротики и других интересные вещи, но не можешь их внедрить у себя в конторе — пользы от тебя твоей конторе мало и как техническому специалисту тебе платить больше не целесообразно экономически.
Руководитель видет экономическую картину предприятия в целом, а не так кусочно как ты. И то, что с тобой не соглашаются и хотят говна, то подумай — возможно, действительно экономически целесообразнее тебе платить копейки за поддержку говна, чем покупать хорошие вещи.
Ведь известно, что квалифицированные специалисты дороги. Например, проще купить более мощный сервер, чем платить программисту за ускорение программы, работающей на сервере. Если в твоем случае полностью наоборот — проще платить тебе, чем купить нормальное железо, то мне за тебя грустно.
Чем больше я спорил, чем больше я аргументировано отстаивал свою профессиональную точку зрения — тем проще было впоследствие согласовать повышение зарплаты, так как с точки зрения руководства они получали от меня то, за что платили — высокопрофессиональные констультации.
Соглашатели — дешевые сотрудники, в глазах руководства.
Руководитель не специалист в этом вопросе, он потому и нанял тебя что специалист ты.
Умение разговаривать и отстаивать свою точку зрения в техничеких вопросах — это такой же профессиональный навык как и собственно знание этих технических вопросов. От того, что ты где-то спрятовшись в углу пишешь на Хабр про Микротики и других интересные вещи, но не можешь их внедрить у себя в конторе — пользы от тебя твоей конторе мало и как техническому специалисту тебе платить больше не целесообразно экономически.
Руководитель видет экономическую картину предприятия в целом, а не так кусочно как ты. И то, что с тобой не соглашаются и хотят говна, то подумай — возможно, действительно экономически целесообразнее тебе платить копейки за поддержку говна, чем покупать хорошие вещи.
Ведь известно, что квалифицированные специалисты дороги. Например, проще купить более мощный сервер, чем платить программисту за ускорение программы, работающей на сервере. Если в твоем случае полностью наоборот — проще платить тебе, чем купить нормальное железо, то мне за тебя грустно.
Чем больше я спорил, чем больше я аргументировано отстаивал свою профессиональную точку зрения — тем проще было впоследствие согласовать повышение зарплаты, так как с точки зрения руководства они получали от меня то, за что платили — высокопрофессиональные констультации.
Соглашатели — дешевые сотрудники, в глазах руководства.
Согласен, но не во всем. Реальный пример:
Заметил плохую тенденцию (за пару месяцев до реальных проблем). Сделал анализ, написал подробный отчет с прогнозом (в данном случае рост числа пользователей 1С, сервер уперся в ОЗУ), начались проблемы с умиранием процессов из-за нехватки памяти. Проблема ясна, предложено три варианта решения: с перспективой на рост, без перспективы и костылинг для снижения последствий сбоев (тупо выгонять «не важных» при достижении порога в 90%). Первые два варианта: расширение ОЗУ (все слоты были уже заняты, пришлось бы менять всю память) или дополнительный сервер (по цене, на 40% выше чем замена всей памяти). Но ответ был убийственным: но как-же так, раньше то мы работали, почему так? Объясняешь, добавились сотрудники (это отдельная песня, сообщить о новом человеке в день его выхода на работу, повезет если вспомнят за неделю), серверу не хватает ресурсов на всех. Нет, говорят, сейчас покупать ничего не будем, у нас отчеты, нет времени. Тут уже на отчетах все начинает валится по памяти, все начинают бегать на ушах. Говорю, давайте память хоть купим, её быстро поставить можно, простой минимальный. Нет, тут не до этого, отчеты!!! Ясень пень, после сдачи отчетов проблем стало чуть меньше (запросы чуток похудели), вместо падения каждый час, стали падать каждые три (пользователей то не стало меньше). В конце, когда самый главный узнал, что проблема в экономии, деньги на новый сервер (с конфой «в потолок») нашлись тут-же, и счет оплатили в тот-же день.
Заметил плохую тенденцию (за пару месяцев до реальных проблем). Сделал анализ, написал подробный отчет с прогнозом (в данном случае рост числа пользователей 1С, сервер уперся в ОЗУ), начались проблемы с умиранием процессов из-за нехватки памяти. Проблема ясна, предложено три варианта решения: с перспективой на рост, без перспективы и костылинг для снижения последствий сбоев (тупо выгонять «не важных» при достижении порога в 90%). Первые два варианта: расширение ОЗУ (все слоты были уже заняты, пришлось бы менять всю память) или дополнительный сервер (по цене, на 40% выше чем замена всей памяти). Но ответ был убийственным: но как-же так, раньше то мы работали, почему так? Объясняешь, добавились сотрудники (это отдельная песня, сообщить о новом человеке в день его выхода на работу, повезет если вспомнят за неделю), серверу не хватает ресурсов на всех. Нет, говорят, сейчас покупать ничего не будем, у нас отчеты, нет времени. Тут уже на отчетах все начинает валится по памяти, все начинают бегать на ушах. Говорю, давайте память хоть купим, её быстро поставить можно, простой минимальный. Нет, тут не до этого, отчеты!!! Ясень пень, после сдачи отчетов проблем стало чуть меньше (запросы чуток похудели), вместо падения каждый час, стали падать каждые три (пользователей то не стало меньше). В конце, когда самый главный узнал, что проблема в экономии, деньги на новый сервер (с конфой «в потолок») нашлись тут-же, и счет оплатили в тот-же день.
IPv6 есть, но его поддержка довольно скупа
А можете чуть подробнее раскрыть тему? Чего-то не хватает?
Собираюсь купить RB3011 и хочу быть уверен, что смогу перенести на него существующую IPv6-сеть (довольно развесистую).
Мне крайне не хватает Layer7. Без него QoS для VoIP (rtp) сделать очень сложно. DCSP можно доверять только внутри сети, а из вне уже низя (и от туда он уже сброшенный приходит). SNI тоже не применить.
Остальные моменты я даже пока не рассматривал, в IPv6 я пока не до конца поверил :)
Остальные моменты я даже пока не рассматривал, в IPv6 я пока не до конца поверил :)
Не совсем по теме, конечно, но ведь просто Linux тут тоже рассматривается… А если для «вычленения» RTP использовать helper? Типа iptables -A… -m conntrack --ctstate RELATED -m helper --helper sip… --set-dscp или --set-mark.
Как минимум по тому, что есть TLS (SIPs) и SRTP. Conntrack и в большом Linux не самым лучшим образом работает с SIP (благо Asterisk и другие клиенты/сервера уже давно умеют обходиться без помощи). Плюс, как давать приоритет всяким youtube, если на данный момент SNI matcher в ipv4 есть, и тот работает по сути на layer7 (для нас сделали удобнее)?
Я могу и ошибаться, так что поправляйте. Но QoS должен работать на всем маршруте. То есть по факту, если вы настроите его на своем роутере, то только там и произойдет обработка приоритета трафика, что, в принципе, можно разрулить и на втором уровне, завернув весь voip-трафик в отдельный vlan.
Хотя, конечно, с QoS покошерней будет.
Хотя, конечно, с QoS покошерней будет.
На всем пути: это очень хорошо, но в большинстве случаев, хватает пограничной обработки. Хотя явление микрошторма или перегруженность uplink порта никто не отменял и именно для этого проставляются приоритеты пакетов на layer2 (на оснавании DCSP к примеру) и коммутаторы тогда могут принимать решение о пропускании в нужном порядке пакетов (это если они с мозгами).
Решение с VLAN покрывает не все аспекты. Примеры: VoIP в отдельном VLAN для стационарных телефонов, а VoIP софтфон может быть на мобилке, ПК или ноуте. Это уже как минимум не гуд.
Размечать как VoIP весь udp трафик с пакетами 50-210 байт (специально выбирал несколько разных кодеков) конечно вариант, но не очень точный. Тут проблема в наличии протоколов, у которых нет фиксированного с одного конца порта, и с таким работать без Layer7 крайне трудно (не на всех клиентских устройствах можно политику DCSP выставить, да и только половина маркированного трафика никак не поможет).
Решение с VLAN покрывает не все аспекты. Примеры: VoIP в отдельном VLAN для стационарных телефонов, а VoIP софтфон может быть на мобилке, ПК или ноуте. Это уже как минимум не гуд.
Размечать как VoIP весь udp трафик с пакетами 50-210 байт (специально выбирал несколько разных кодеков) конечно вариант, но не очень точный. Тут проблема в наличии протоколов, у которых нет фиксированного с одного конца порта, и с таким работать без Layer7 крайне трудно (не на всех клиентских устройствах можно политику DCSP выставить, да и только половина маркированного трафика никак не поможет).
Не заглядывал в исходники, но у меня он работает с RTP при
iptables -t raw -A PREROUTING -s XXXXXXX -i ethX -p tcp -m tcp --dport 5061:5062 -j CT --helper sip (Ядра 3.1Х и 4.ХХ)У вас SIP с TLS так работает?
Забыл сказать. Упомянутые 2 правила стоят на маршрутизаторе (в -t raw для «подключения» хелперов, и в FORWARD для разрешения UDP в сторону SIP сервера).
Насчет TLS… по крайней мере до нужного порта пишет [ASSURED] mark=0 helper=sip use=1
Насчет TLS… по крайней мере до нужного порта пишет [ASSURED] mark=0 helper=sip use=1
… А можно использовать -m recent для тех кто ломится на порты 5060-6062. Можно вообще записывать временно в ipset тех кто успешно зарегался на sip сервере. Костыли, конечно, деревянные, зато работают железно…
«Старое железо» понятие очень растяжимое.
Ноут с Сore 2 duo 2.2GHz, 4Gb RAM, 1Tb HDD. Аптайм 20-60 дней, перегружается за 20-25сек. Старый аккумулятор держал заряд по 10-15 минут до недавнего времени, сейчас новый ~2 часа. Всё это в форм факторе ноута 14". Мне пока сложно придумать этому замену.
Ноут с Сore 2 duo 2.2GHz, 4Gb RAM, 1Tb HDD. Аптайм 20-60 дней, перегружается за 20-25сек. Старый аккумулятор держал заряд по 10-15 минут до недавнего времени, сейчас новый ~2 часа. Всё это в форм факторе ноута 14". Мне пока сложно придумать этому замену.
Безусловно. Вот около полугода назад, на засоуженный отдых отправил машину на AMD Athlon X2, с 1Гб ОЗУ в одном дальнем филиале. Его место занял RB270Gr3
А как решили вопрос с сетевыми интерфейсами? С их весьма скудным количеством. USB сетёвки особого доверия не внушают.
Карта расширения медью на роутер.
USB сетевки (из наличия) не смогли удерживать максимальную нагрузку во время тестирования.
Кстати, возможно меня не правильно поняли — не противопоставляю сборки на старом железе спец.железу. Сравнивать напрямую такой компактный комбайн(файрволл, прокси, файлообмен+антивирус, ибп) на базе ноута при его цене — не имеет смысла. Они выполняют разные задачи.
USB сетевки (из наличия) не смогли удерживать максимальную нагрузку во время тестирования.
Кстати, возможно меня не правильно поняли — не противопоставляю сборки на старом железе спец.железу. Сравнивать напрямую такой компактный комбайн(файрволл, прокси, файлообмен+антивирус, ибп) на базе ноута при его цене — не имеет смысла. Они выполняют разные задачи.
UFO just landed and posted this here
Старый ПК под спец. Linux или с самостоятельно настроенным дистрибутивом общего назначения
Мне действительно интересно (не глумлюсь) — в подобных случаях жесткой экономии, при выборе mikrotik vs <конструкция выше> в рассчет берется только текущая стоимость нового железа (т.е. mikrotik)? И дальше «можем/не можем позволить себе купить»?
Ведь если рассматривать полную стоимость владения, то выбор в пользу нового специализированного оборудования становится очевиден. Например, пусть зарплата админа 22т.р. (по 1т.р. за рабочий день). Пусть на первоначальное приведение в порядок «старого компа», настройку linux и т.д. он потратит 1-2 дня — это уже 2т.р. из 2,5тр за mirotik для «микрокомпании на 5 человек в одной комнате». Для больших сетей цифры будут другими, но принцип не изменится. Тем более, если учесть потери от «привет от недовольного начальства, сотрудников и клиентов».
Есть стойкое ощущение (в т.ч. и от своего опыта), что в подобных ситуациях руководство просто идет на поводу неполной информации от админа, которому в т.ч. интересно занять себя сборкой подобных конструкторов. С другой стороны, донося полную информацию о переспективах покупки нового железа, надо быть более адекватным и не брать топовые решения там, где можно обойтись более простым выбором. И люди к вам потянутся :)
К сожалению, не всегда удается это донести тем, кто сидит на деньгах и меряет все текущим моментом: сейчас «бесплатно» слелают то, что стоит денег, а при проблемах накажем админа, что он плохо делает свою работу. И таких ситуаций вагон :(
Да хоть и не «накажем». Это сильно влияет на психику. Когда для wi-fi моста между двумя зданиями купили, не направленные антенны и аксес поинты, про это разговор свернули через минуту, а бытовые роутеры нонейм за 800р. Вот тут я прям ругался, кричал-хотя-б асусы за 1.5(тогда).
Нет, за зависание этого не наказывали, и даже не ругали. И даже посылали кого-то с телефоном перезагрузить их(как вы понимаете, админ там не может быть на полный день).
Но как-же это доставало, во первых «Опять!», а во вторых безысходностью, ибо в ближайшее время это не исправить.
Это был принципиальный подход, соответственно, и проблема была не только описанная. Задолбали, ушёл.
Нет, за зависание этого не наказывали, и даже не ругали. И даже посылали кого-то с телефоном перезагрузить их(как вы понимаете, админ там не может быть на полный день).
Но как-же это доставало, во первых «Опять!», а во вторых безысходностью, ибо в ближайшее время это не исправить.
Это был принципиальный подход, соответственно, и проблема была не только описанная. Задолбали, ушёл.
Да, это очень серьезный повод для снижения мотивации работать. Когда заранее знаешь, что будет работать плохо, а сделать просто нормально не дают. И другим сотрудникам часто бесполезно объяснять, что ты сделал все, что мог, тебя все равно будут тыкать: вот я работал в другой компании, там все работало, а у вас тут все плохо.
UFO just landed and posted this here
Уж незнаю, в микротиках из коробки уже давно идет вполне адекватная настройка основных служб. На уровне тех самых домашних роутеров. Вот соорудить что-то серьезное, типа Multi-WAN или QoS уже не так и легко (если не разбираться с нуля), но хороших статей по подобным задачам полно, и если админ имеет достаточно квалификации для аутсорса или поддержки многофилиальной сети, то он должен с этим справится за несколько часов, но никак не дней.
Вот смотрите, на фирме есть админ. (раз вы про ЗП, а не про оплату спец конторе). Загружен процентов на 50-80 в норме, на 150 в пике. Соответственно, старый ПК он настраивает в свободные 50-20% времени, совершенно бесплатно для фирмы.
У меня используется pfSense в виртуальной машине VMWare ESXi, и после 5-6 используемых до этого роутеров проблем вообще нет — все работает, перезагрузки только при обновлениях, работают любые сервисы и службы, очень гибкая настройка всего, не тормозящий OpenVPN (и клиент и сервер одновременно).
Работает в режиме 24/7 уже года 3 и менять на «железный» роутер в ближайшем времени не собираюсь.
Работает в режиме 24/7 уже года 3 и менять на «железный» роутер в ближайшем времени не собираюсь.
Могу только порадоваться за вас. У меня проблемы всплыли при существенном росте нагрузки. Плюс, сам подобный сервер тянул еше АТС, почту и шару. В итоге дешевле было вынести шлюз в «железо».
То же самое, но на HyperV. Да и перезагрузки только при обновлении ядра, в остальном случае обновляется с перезапуском зависимых служб.
За обратные слеши в тексте надо четвертовать. «Новые правила подъехали...» ©
Про старое нестабильное железо и Mikrotik.
drive.google.com/file/d/11aNpo5nqrc28AoTuGoSwPRbvLaH-waFR/view?usp=sharing
Если я правильно трактую свой скриншот, то на это железо Mikrotik я поставил в 2007 году. Это какой-то брендовый Dell или вроде того, на нем аж Pentium на 500 Мгц, 64 мегабайта памяти и какой-то древний hdd. С тех пор он раздает интернет по проводу и wifi, включен без бесперебойника, при проблемах с электропитанием жестко вырубается и потом включается, загружается и продолжает выполнять свои функции дальше.
Я вот прямо через него в интернет хожу. Есть в хозяйстве и нормальное железо на Mikrotik.
Пост ради забавы больше :)
drive.google.com/file/d/11aNpo5nqrc28AoTuGoSwPRbvLaH-waFR/view?usp=sharing
Если я правильно трактую свой скриншот, то на это железо Mikrotik я поставил в 2007 году. Это какой-то брендовый Dell или вроде того, на нем аж Pentium на 500 Мгц, 64 мегабайта памяти и какой-то древний hdd. С тех пор он раздает интернет по проводу и wifi, включен без бесперебойника, при проблемах с электропитанием жестко вырубается и потом включается, загружается и продолжает выполнять свои функции дальше.
Я вот прямо через него в интернет хожу. Есть в хозяйстве и нормальное железо на Mikrotik.
Пост ради забавы больше :)
MetaROUTER с OpenWRT перестал вешать/перезагружать железо?
Да и сборки OpenWRT оставляли желать лучшего
А так при стабильной работе могли бы покрыть недостатки, такие как кривой openvpn, плохая поддержка ipv6 которые можно было запустить в виртуалке openwrt
А производительность?
Не тестировал. Там работа как в контейнере, должно быть достаточно быстро.
С производительностью точно все в порядке, но зависания привели меня к сносу MetaROUTER, как сейчас обстоят дела, не знаю.
MetaROUTER садится во строенную Flash роутера, я же хотел что бы она находилась на внешней флэшке, этого разработчики не делают, доступа к USB порту из виртуалки MetaROUTER нет
приходится использовать smb протокол из виртуалки и цеплять шару с хоста (микротика)
были еще какие то мелкие придирки, но они есть и на обычных роутерах
Патчи от Mikrotik для OpenWRT Barrier Breaker для поддержки MetaROUTER были древние и не обновлялись, потом появился fork LEDE для которого вообще поддержки не было (сейчас вроде бы есть что то на github-е)
а тут они опять сливаются
MetaROUTER садится во строенную Flash роутера, я же хотел что бы она находилась на внешней флэшке, этого разработчики не делают, доступа к USB порту из виртуалки MetaROUTER нет
приходится использовать smb протокол из виртуалки и цеплять шару с хоста (микротика)
были еще какие то мелкие придирки, но они есть и на обычных роутерах
Патчи от Mikrotik для OpenWRT Barrier Breaker для поддержки MetaROUTER были древние и не обновлялись, потом появился fork LEDE для которого вообще поддержки не было (сейчас вроде бы есть что то на github-е)
а тут они опять сливаются
Сейчас погуглил — продвинулось, нашел LEDE v17.01.4 под метароутер — будем смотреть
да. хорошее решение?
не пробовал, пока микротика под рукой нет
а вообще немного сомневаюсь, в описании к патчу упоминание про версию ядра 3.18
и из github в исходники Lede подкачивают чего то (надо будет посмотреть на днях)
в итоге думаю что собретеся, но вот эти изменения в ядрах смущают
p.s. в Lede сейчас актуальное ядро уже 4.4.хх
а вообще немного сомневаюсь, в описании к патчу упоминание про версию ядра 3.18
и из github в исходники Lede подкачивают чего то (надо будет посмотреть на днях)
в итоге думаю что собретеся, но вот эти изменения в ядрах смущают
p.s. в Lede сейчас актуальное ядро уже 4.4.хх
pfsense более стабильное и надежнее работает)
С кучей плюшек и возможностей.
для канала 21-100 Mbps We recommend a modern 1.0 GHz Intel or AMD CPU.
Для ноутов/нетов отдельно сетевая или умный свич с vlan.
С кучей плюшек и возможностей.
для канала 21-100 Mbps We recommend a modern 1.0 GHz Intel or AMD CPU.
Для ноутов/нетов отдельно сетевая или умный свич с vlan.
UFO just landed and posted this here
Более стабильно чем что? Чем железное устройство с asic?)
Asic не стабильнее, а производительнее всего лишь.
Причем производительнее не в абсолютных величинах, а в относительных. Производительнее на 1 единицу потребляемой мощности. Всего лишь.
Asic это то же программное решение, но захардкоженное в железо и по мере обраружения косяков в проектировании/производстве его нельзя так элементарно пофиксить как чисто программное решение.
Если имеет значение вес, размеры, потребляемая мощность, шум — то да, у asic есть преимущество огромное. Иначе — только недостатки.
ПК — и ремонтируется просто заменой компонентов. И обновляется/фиксится элементарно. Никакой asic по степени ремонтопригодности тут и рядом не валялся.
Все эти железные элементы в сетевом оборудовании нужны не только для производительности, но и для выполнения примитивной операций за гарантированное время. Дайте полезную нагрузку в те же 100М, повесьте пяток цепочек с conntrack (или как там это называется) на свою фряху и наблюдайте за просадкой своей полосы с каждым дополнительным правилом. А я еще даже не предложил принимать хотя бы сотню префиксов через ospf и маршрутизить на них через разные интерфейсы.
При выборе готовое решение vs ПК, на который нужно еще что-то установить, многие выбирают готовое решение, потому что надеются, что там будет все из коробки.
Даже небольшое дополнительное телодвижение, как установка pfSense, уже отворачивает многих от ПК.
Это тем более удивительно, что число теледвижений при настройке даже готового решения все равно не нулевое.
С другой стороны, если нет каких то принципиальных моментов использования старого ПК — не нужен нормальный процессор для нагруженного шифрованного канала, не жаль дополнительно по сравнинею с уже имеющимся старым ПК потратить денег на Микротик, не устраивает занимаемое ПК место и его шум, волнует потенциальный выход из строя жесткого диска, — то можно и перейти.
Но за ПК — мощность при шифровании и проксирование с кэшированием. Большая гибкость (мало кому нужная).
Даже небольшое дополнительное телодвижение, как установка pfSense, уже отворачивает многих от ПК.
Это тем более удивительно, что число теледвижений при настройке даже готового решения все равно не нулевое.
С другой стороны, если нет каких то принципиальных моментов использования старого ПК — не нужен нормальный процессор для нагруженного шифрованного канала, не жаль дополнительно по сравнинею с уже имеющимся старым ПК потратить денег на Микротик, не устраивает занимаемое ПК место и его шум, волнует потенциальный выход из строя жесткого диска, — то можно и перейти.
Но за ПК — мощность при шифровании и проксирование с кэшированием. Большая гибкость (мало кому нужная).
Раньше я тоже такой ерундой маялся, как сборка роутера из компьютера на Linux. Но! Самое первое, под это дело не дадут нормальное железо. Лично у меня всё это успешно и регулярно висло наглухо. Для небольшого и среднего офиса нужно брать только железку и не мучиться. Во-вторых, следующий админ при этом не будет ломать голову если ему что-то перенастроить придётся. В-третьих, надежность и стабильность работы готового решений гораздо выше.
И самое приятное, что в случае если железка всё же накроется при нынешних ценах можно либо вторую держать либо смотаться в магазин и восстановить конфигурацию в один клик. Минимальный простой.
pfSense умеет восстанавливать конфигурацию в 1 клик.
То же самое можно сказать про «новый админ разберется» — с pfSense все как на ладони.
Другое дело если вы вручную ставите ОС и вручную там вкорячивайте все настройки.
Мало того, что новому админу непонятно где что искать (только приблизительно очевидно где), так еще и нет уверенности, что вы/новый админ достаточно глубоко знаете сеть, чтобы корректно настроить сложную обработку тех же пакетов на файрволе. В этом смысле готовое решение (что Микротик, что pfSense на ПК) — предпочтительнее.
Смотаться в магазин — это вы сильно. У нас в городе в 0,8 млн. жителей в магазинах в наличии только ненужные мне домашние модели Микротик. Чуть более серьезная модель — под заказ 5-10 дней. Врочем, первый экземпляр который я купил на предприятие — был в наличии, совершенно случайно, серьезная модель с кучей портов, явно не домашняя.
У меня прекрасно работал офис из 4 филиалов и 150 рабочих мест на ПК.
То же самое можно сказать про «новый админ разберется» — с pfSense все как на ладони.
Другое дело если вы вручную ставите ОС и вручную там вкорячивайте все настройки.
Мало того, что новому админу непонятно где что искать (только приблизительно очевидно где), так еще и нет уверенности, что вы/новый админ достаточно глубоко знаете сеть, чтобы корректно настроить сложную обработку тех же пакетов на файрволе. В этом смысле готовое решение (что Микротик, что pfSense на ПК) — предпочтительнее.
Смотаться в магазин — это вы сильно. У нас в городе в 0,8 млн. жителей в магазинах в наличии только ненужные мне домашние модели Микротик. Чуть более серьезная модель — под заказ 5-10 дней. Врочем, первый экземпляр который я купил на предприятие — был в наличии, совершенно случайно, серьезная модель с кучей портов, явно не домашняя.
У меня прекрасно работал офис из 4 филиалов и 150 рабочих мест на ПК.
Когда доросли до 9 филиалов и 450 компов/серверов начал «разносить» роли на разные машины. И тогда я принял решение, что интернет вынесу на Mikrotik с их же железом. Предварительно купил себе в качестве домашнего RB951U2nd, так как по программной части он полностью соответствует другим редакциям RoS (кроме колличественных ограничений) и тренировался на кошках. Впоследствии в «центральный» филиал купили RB1100AHx4, которого по производительности хватает в пару концов (пока я не грузил его маркировкой трафика внутренней сети, по расчетам он более 550 Мбит/сек в качестве классификатора не вытянет).
которого по производительности хватает в пару концов
C шифрованием на 9 филиалов?
Или без шифрования?
Там аппаратное шифрование, в него вообще не упереться. Основная проблема в сложных правилах для QoS (проблемы я расписывал в другой статье). Имено они нехило грузят проц и маркировка DCSP не бесплатна. На данный момент, работает в пограничном режиме, и трафик в 100 Мбит/сек не грузит его более чем на 10% (и это GRE/IPSec трафик).
Видимо, у вас невысокие требования к пропускной способности.
RB1100AHx4 захлебнется на 9 филиалах именно на шифровании, если его нагрузить как следует.
RB1100AHx4 захлебнется на 9 филиалах именно на шифровании, если его нагрузить как следует.
Он полностью покрывает теоретический придел в 550 Мбит/сек (ограничения вызванные нагрузкой QoS). Судя по офф. тестам от самих Mikrotik, на средней нагрузке он как раз вытянет примерно 500 (микс из мелких, средних и крупных пакетов). В моей ситуации его вполне достаточно (трафик филиалов локализовали по максимуму).
У нас в городе в 0,8 млн. жителей в магазинах в наличии только ненужные мне домашние модели Микротик. Чуть более серьезная модель — под заказ 5-10 дней.
Когда у нас гавкнулся CCR1009 (по нашей вине, но тем не менее) — закинули его конфиг на hAP Lite и он благополучно работал, пока CCR был в ремонте. Да, порой загрузка cpu подскакивала. Но тем не менее — жужжал и ничего. CCR работал как центральный для связки четырех офисов, GRE, ospf, l2tp+ipsec удаленные клиенты, vlan'ы, очереди. Кстати, тогда же и перешли с queue tree на simple queue ;)
dns на микротиках работает откровенно плохо, особенно — под нагрузкой. Соответственно, в dual-wan конфигурации надо либо отдельную железку/виртуалку под dns держать, либо облачными dns-ами пользоваться (что добавляет задержки). Так что спец. дистриб на виртуалке — наше всё.
Согласен только в области переключения на другого провайдера. Это связанно с правилами работы DNS клиента. Он не знает, что первый сервер в списке уже недоступен (канал упал) и пытается получить от него ответ. Конечно это не получается и он спрашивает у второго. Тут сложности будут в любой «обычной» конфигурации любого DNS клиента. Нужен такой, который понимает, что после нескольких таймаутов, нужно дать передышку первому серверу, и проверять его доступность с некоторой периодичеостью.
А чо вы скажете про новую функцию — Detect Internet?
UFO just landed and posted this here
Вы сделали не совсем корректное сравнение. На микротике вряд ли удобно будет поддерживать почту и телефонию. Но, если он должен только гонять трафик, то выбор будет в его пользу очевиден.
pfSense, 3 года полёт нормальный. Раскручивает 4 vlan'а, 100 компов, куча беспроводных точек ubiquiti, Captive Portal, 20 IP-камер, OpenVPN, Suricata и т.д. Никогда не перейду на иное уже. Поднят на обычном железе, только диск WD Re под него взял. Второй резервный экземпляр установлен и настроен в Proxmox'е и выключен, на всякие пожарные случаи.
Был шлюз на Microtik OS на старом ПК. Совмещали приятное с полезным, получилось здорово.
Ну по поводу DNS Вы загнули. Все там есть.
По поводу скриптов — очень широкий функционал для такой маленькой коробочки.
IPv6 по настройкам не уступает IPv4. По крайней мере я не нашел тот функционал который необходим но отсутствует.
RADIUS вроде прокачали в последних прошивках… Надо проверить бы.
Но есть и минусы: очень плохо WiFi «дружит» с iOS устройствами (до 3 поколения точно, новее не проверял).
Настройка «автоматом» не очень хорошая. Чтобы адекватно настроить надо прочесть и понять много документации по нему, хотя и в ней встречаются косяки.
P.S.Пытался тут выложить статью как надо настраивать это железо, но ее не приняли, т.к. части позаимствовал из других источников. Будет не лень, перепишу.
По поводу скриптов — очень широкий функционал для такой маленькой коробочки.
IPv6 по настройкам не уступает IPv4. По крайней мере я не нашел тот функционал который необходим но отсутствует.
RADIUS вроде прокачали в последних прошивках… Надо проверить бы.
Но есть и минусы: очень плохо WiFi «дружит» с iOS устройствами (до 3 поколения точно, новее не проверял).
Настройка «автоматом» не очень хорошая. Чтобы адекватно настроить надо прочесть и понять много документации по нему, хотя и в ней встречаются косяки.
P.S.Пытался тут выложить статью как надо настраивать это железо, но ее не приняли, т.к. части позаимствовал из других источников. Будет не лень, перепишу.
DNS proxy к сожалению не понимает «split domain». То есть, завернуть запросы к локальному домену без костыля невозможно.
По сути это не совсем корректная топология сети.
Правильный вариант — каскадирование DNS серверов.
При наличии локального домена путь DNS запроса должен быть таким:
1) localhost
2) Local DNS (domain DNS)
3) Mikrotik DNS
4) Internet provider DNS
5) Root DNS
На каждом из этапов прохождения настраивается правило форвардинга DNS запроса. В результате все хорошо работает.
Правильный вариант — каскадирование DNS серверов.
При наличии локального домена путь DNS запроса должен быть таким:
1) localhost
2) Local DNS (domain DNS)
3) Mikrotik DNS
4) Internet provider DNS
5) Root DNS
На каждом из этапов прохождения настраивается правило форвардинга DNS запроса. В результате все хорошо работает.
Я предпочитаю запросы в глобальный интернет не пускать на контроллер домена, пусть он другой работой занимается. Плюс, в случае отказа контроллера (или перезапуска), не пропадет доступ в глобальный интернет (не всегда есть возможность держать два контроллера в каждом филиале).
Это палка о двух концах. При падении микротика ресурсы локальной сети становятся недоступны.
Для меня это обозначает что фраза «с интернетом проблемы, пока работайте с клиентами в ограниченном режиме используя локальный 1С/CRM» теряет смысл и ведет к полному простою офиса. А это деньги.
Для меня это обозначает что фраза «с интернетом проблемы, пока работайте с клиентами в ограниченном режиме используя локальный 1С/CRM» теряет смысл и ведет к полному простою офиса. А это деньги.
Так как mikrotik у меня маршрутизирует между vlan, а сервера и клиенты в разных, то при падении mikrotik работа встает полностью.
Тут уже фактор скорости запуска является крайне важным, микрот по питанию может перезапустить любой сотрудник по подсказкам по телефону, и уже через десяток секунд все работает (главное, это чтобы он просто завис, а не проблема с обновлением). А контроллер домена стартовать может гораздо дольше.
Тут уже фактор скорости запуска является крайне важным, микрот по питанию может перезапустить любой сотрудник по подсказкам по телефону, и уже через десяток секунд все работает (главное, это чтобы он просто завис, а не проблема с обновлением). А контроллер домена стартовать может гораздо дольше.
Да. В таком случае согласен.
Но я все же рассматриваю Mikrotik как роутер, который должен заниматься сугубо специфической работой. Поддержание функционирования локальной сети, сегментирование этой сети и прочее на мой взгляд не его работа.
Это аналогично ситуации когда DC служит, помимо основной функции, файл сервером, сервером БД, RDP, прокси и прочее. Да, он может это делать, но надежность решения резко падает.
Но я все же рассматриваю Mikrotik как роутер, который должен заниматься сугубо специфической работой. Поддержание функционирования локальной сети, сегментирование этой сети и прочее на мой взгляд не его работа.
Это аналогично ситуации когда DC служит, помимо основной функции, файл сервером, сервером БД, RDP, прокси и прочее. Да, он может это делать, но надежность решения резко падает.
Разве DNS не важная часть работы сети? Почему сегментирование не его работа?
Как раз это все его забота, и сегменты, и QoS и DNS (не полный конечно, но нормальный кэш со split DNS). Единственная железка такое может не вытянуть, мощей может не хватить, тогда строят каскадное решение из разных железок, для разных подзадач, вот к примеру Cisco предлагает такое решение: Borderless Campus 1.0 Design Guide
Как раз это все его забота, и сегменты, и QoS и DNS (не полный конечно, но нормальный кэш со split DNS). Единственная железка такое может не вытянуть, мощей может не хватить, тогда строят каскадное решение из разных железок, для разных подзадач, вот к примеру Cisco предлагает такое решение: Borderless Campus 1.0 Design Guide
DNS — да. Но задача роутера — обеспечить доступ в интернет, обеспечить переключение каналов, балансировку, Firewall, VPN канал в другой офис.
Сегментирование сети (VLAN) и внутренний DNS не относится к задачам роутера. Так же как и DHCP сервер для локальной сети (мы не про домашние сети пока говорим :) ).
Сегментирование сети (VLAN) и внутренний DNS не относится к задачам роутера. Так же как и DHCP сервер для локальной сети (мы не про домашние сети пока говорим :) ).
Простите, а чья это задача — VLAN? L3 коммутаторы есть далеко не везде, да и стоят достаточно дорого.
Все зависит от архитектуры сети.
Если трафик имеет «восходящую» к серверам структуру, а коммутаторы организованы в «дерево», то у вас один мощный маршрутизатор L3, который маршрутизирует между VLAN на самом верху. А на местах у вас относительно дешевые L2, которые организуют сеть. При этом, такая структура плохо работает с P2P обменом между VLAN «одного уровня», трафик будет идти «наверх» по дереву коммутаторов (если у вас такая сеть), там маршрутизироваться и спускаться вниз.
Если строить из L3 коммутаторов, то сильный на «вершине» не нужен, но тот-же CSR125 маршрутизирует на скорости около 1Gb/s только с fastpath. Такая сеть требует VLAN маршрутизации, через который все маршрутизаторы могут найти маршрут к друг другу, и построить маршруты между всеми (OSPF это сделает легко).
Если трафик имеет «восходящую» к серверам структуру, а коммутаторы организованы в «дерево», то у вас один мощный маршрутизатор L3, который маршрутизирует между VLAN на самом верху. А на местах у вас относительно дешевые L2, которые организуют сеть. При этом, такая структура плохо работает с P2P обменом между VLAN «одного уровня», трафик будет идти «наверх» по дереву коммутаторов (если у вас такая сеть), там маршрутизироваться и спускаться вниз.
Если строить из L3 коммутаторов, то сильный на «вершине» не нужен, но тот-же CSR125 маршрутизирует на скорости около 1Gb/s только с fastpath. Такая сеть требует VLAN маршрутизации, через который все маршрутизаторы могут найти маршрут к друг другу, и построить маршруты между всеми (OSPF это сделает легко).
Да. Все именно так.
Есть разные масштабы сетей, и под них необходимо разное «железо».
Если мы говорим про сегментирование сети через VLAN, то это задача уровня предприятия, с соответствующими затратами на оборудование.
Если это небольшая сеть на N компов, то тут больше подходит домен и единая адресация сети.
Если опустимся еще ниже и рассмотрим 2-10 компьютеров в условном «одном помещении», то, возможно, это простая одноранговая сеть, которой управляет DHCP роутера, он же DNS, он же WiFi, он же выход в интернет и принт сервер.
Да, я понимаю что в последний вариант можно включить VLAN по комнатам, домен и много чего еще из корпоративной серии, но смысла оно там иметь не будет. Соответственно и затраты на построения такой сети не окупятся.
Есть разные масштабы сетей, и под них необходимо разное «железо».
Если мы говорим про сегментирование сети через VLAN, то это задача уровня предприятия, с соответствующими затратами на оборудование.
Если это небольшая сеть на N компов, то тут больше подходит домен и единая адресация сети.
Если опустимся еще ниже и рассмотрим 2-10 компьютеров в условном «одном помещении», то, возможно, это простая одноранговая сеть, которой управляет DHCP роутера, он же DNS, он же WiFi, он же выход в интернет и принт сервер.
Да, я понимаю что в последний вариант можно включить VLAN по комнатам, домен и много чего еще из корпоративной серии, но смысла оно там иметь не будет. Соответственно и затраты на построения такой сети не окупятся.
Сегментирование сети (VLAN) и внутренний DNS не относится к задачам роутера
Возможно, что я вас не понял и надо определится с использованием терминов.
Коммутатор (свитч) — работает на L2 уровне, незамысловато гоняя Ethernet фреймы по портам (может иметь простенькие правила, в основном для QoS на основ меток во фреймах). Маршрутизатор (роутер) — Работает на L3 уровне, и уже занимается передачей пакетов из не связанных между собой L2 доменов на основе протоколов L3 (всякие IP и им подобные).
При этом, маршрутизатор чаще всего имеет меньше портов (не надо ему много) и мощные процессор, не исключает работу с VLAN. Коммутатор, напротив, слаб процом, но имеет много портов.
У Mikrotik есть линейка коммутаторов со встроенным, маломощным роутером — CRS125.
В вашей цитате, что вы понимали под сегментацией? Наличие VLAN на маршрутизаторе или коммутаторе? По мне, так это одна задача, но её решение может быть разнесено на разные устройства или решаться на одном.
Для меня, интуитивно, Mikrotik это все же маленькая коробочка-роутер (маршрутизатор) который «делает» интернет и WiFi.
Да, у них есть и другие продукты, как L2 свичи. И, даже, L3 маршрутизаторы. Почти как «взрослые». По этой причине для сколько-либо серьезных задач я Mikrotik (даже L3) не рассматриваю, только как приложение к сетевой инфраструктуре для выхода в интернет/подключение через VPN удаленного офиса.
Именно по этой причине грамотная инфраструктура с VLAN это прерогатива более «старшего» железа. Но это чисто мое IMHO.
Да, у них есть и другие продукты, как L2 свичи. И, даже, L3 маршрутизаторы. Почти как «взрослые». По этой причине для сколько-либо серьезных задач я Mikrotik (даже L3) не рассматриваю, только как приложение к сетевой инфраструктуре для выхода в интернет/подключение через VPN удаленного офиса.
Именно по этой причине грамотная инфраструктура с VLAN это прерогатива более «старшего» железа. Но это чисто мое IMHO.
А если не секрет, чего не хватает RoS и RouterBoard для перехода в категорию «старшего» железа. В «моих» сетях пока почти не возникало потребностей свыше тех, что дает продукция Mikrotik. И модели весьма с неслабым железом тоже есть…
можно, я на L7 разбираю запросы к 53 udp и если в них есть firma.local перенаправляю к контроллеру домена
Админы которые ратуют за pfSencse (или прочие *nix системы) — купите наконец железный микротик (хотя бы даже и за свои деньги, AC-lite стоит порядка 50$). Вам понравится :)
Виртуалка с RouterOS это конечно хорошо, но она не позволяет ощутить весь потенциал устройства, по размерам чуть меньше чем обычный домашний роутер.
Бывают случаи (я о маленьких конторах) когда ПК тупо физически не влазит в удобное для его размещения место (какая та полочка рядом с вводом интернета).
Я не призываю срочно менять существующее рабочее решение, но хочу акцентировать внимание на том, что микротик это один из полезнейших инструментов админа для работы с сетью.
Виртуалка с RouterOS это конечно хорошо, но она не позволяет ощутить весь потенциал устройства, по размерам чуть меньше чем обычный домашний роутер.
Бывают случаи (я о маленьких конторах) когда ПК тупо физически не влазит в удобное для его размещения место (какая та полочка рядом с вводом интернета).
Я не призываю срочно менять существующее рабочее решение, но хочу акцентировать внимание на том, что микротик это один из полезнейших инструментов админа для работы с сетью.
Админы которые ратуют за pfSencse (или прочие *nix системы) — купите наконец железный микротик
Имею опыт с обоими. И с ручной настройкой ОС.
У всех есть свои плюсы и минусы.
Если вам никуда не упирается вес-размеры-энергопотребление и есть старая машинка, или топология сети позволяет сделать на виртуалке — Микротик не обязателен. Ну разве что поиграться за деньги конторы на нем.
При подготовке нового офиса с нуля, без имеющегося безхозного железа или при подготовке офиса, где гипервизор виртулок не предусмотрен — толк есть в Микротике.
Админы которые ратуют за pfSencse (или прочие *nix системы) — купите наконец железный микротик
Mikrotik — хорошая железка, но не умеет из коробки failover двух железок, а pfSense — умеет. Так же трудности с агрегацией каналов (грузит процессор). И как сказали выше — полноценный DNS тоже не поднять.
С агрегацией нет проблем, все зависит от RB. Где-то это в железе, в остальных софтово.
Failover через VRRP, который есть в коробке и настраивается без особых сложностей.
DNS печаль :(
Failover через VRRP, который есть в коробке и настраивается без особых сложностей.
DNS печаль :(
С помощью VRRP мы делаем failover для определённого адреса, а я имел ввиду «полноценный» failover железки с настройками, сервисами и, возможно, сессиями (прим.)
Вот и я о том, что надо сначала корректно поставить задачу.
«Полноценный fileover с сессиями» — замечательно, но по факту мало кому нужен.
По моему скромному мнению 95% фирм легко переживет сутки простоя Интернета (да будут ныть, ворчать — но переживут), остальные 4,99% может и будут по настоящему страдать из за отсутствия интернета, но уж точно переживут обрыв сессий (Интернет сам по себе не гарантирует 100% доступности) и оставшийся 0,01% — это конторы с бюджетом на интернет железки более 100k$, там ни микротик ни pfSense (и их Linux аналоги) рядом не стояли.
«Полноценный fileover с сессиями» — замечательно, но по факту мало кому нужен.
По моему скромному мнению 95% фирм легко переживет сутки простоя Интернета (да будут ныть, ворчать — но переживут), остальные 4,99% может и будут по настоящему страдать из за отсутствия интернета, но уж точно переживут обрыв сессий (Интернет сам по себе не гарантирует 100% доступности) и оставшийся 0,01% — это конторы с бюджетом на интернет железки более 100k$, там ни микротик ни pfSense (и их Linux аналоги) рядом не стояли.
есть прекрасные PC для софтроутеров.
пример — Qotom Q190G4: размером чуть больше роутера-мыльницы, 4-ядерный Celeron с пассивным охлаждением, четыре сетевухи Intel igb.
абсолютно безглючен, применяю не первый год. софт, очевидно, можно ставить любой на свой вкус.
производительности с избытком хватает на маршрутизацию/туннелирование гигабита.
пример — Qotom Q190G4: размером чуть больше роутера-мыльницы, 4-ядерный Celeron с пассивным охлаждением, четыре сетевухи Intel igb.
абсолютно безглючен, применяю не первый год. софт, очевидно, можно ставить любой на свой вкус.
производительности с избытком хватает на маршрутизацию/туннелирование гигабита.
Уж много лет Mikrotik живет на вполне себе нормальном x86 компе. На не убитом железе, а на компе, который специально купили под Mikrotik. Все устраивает.
Ставить на старый ПК шлюз равноценно выстрелом в ногу. У микротиков есть образ для виртуальных машин и он более предпочтителен, чем старая железка. Минимум возможностью перенести на другой гипервизор.
Присматриваюсь для дома к варианту маленький PC типа Qotom с несколькими Ethernet выходами плюс Pfsense или Sophos бесплатной версии (у последнего, например, есть IPS). Микротик выглядит более простым по фичам, но каждому свое конечно.
Кстати, а может кто-то посоветовать роутер тот же Mikrotik для офиса? Всего активных около 100-150 устройств в один момент в сети, а в общей сложности до 200-250 девайсов за день пролетает. Текущий роутер (asus какой-то) иногда тупит по dhcp так как у него таблица ограничена 255 девайсами…
Wifi не нужен, только раздача инета. Бюджет до 5-6 тыс если можно.
Wifi не нужен, только раздача инета. Бюджет до 5-6 тыс если можно.
Если с QoS до 50 мегабит, можно взять RB750Gr3, однако таких больших офисов с этим классом роутеров не держал, сеть на 250 устройств у меня на RB1100AHx4
Спасибо. Про первый тоже думал как раз.
Входной канал 50Мбит вроде. Большой потребности именно в скорости нет, в данный момент проблемы из-за количества устройств, приходится даже иногда роутер перезагружать. Малый TTL не помогает, он все равно где то все пролетающие девайсы кеширует.
Входной канал 50Мбит вроде. Большой потребности именно в скорости нет, в данный момент проблемы из-за количества устройств, приходится даже иногда роутер перезагружать. Малый TTL не помогает, он все равно где то все пролетающие девайсы кеширует.
RB750Gr3 обеспечит 50 Мбит/сек, но дает их в полудуплексе (это если применить QoS как я в статье писал). Если QoS упростить, то возможно и больше протянет, учитывайте это.
RB1100AHx4 который держит свыше 250 хостов, ОЗУ использовал около 70 МБ, так что RB750Gr3 по этому параметру точно подойдет, 256 МБ хватит.
И конечно, не забывайте сегментировать сеть, если у вас все будут в одном широковещательном домене, то проблем у вас все равно будет.
RB1100AHx4 который держит свыше 250 хостов, ОЗУ использовал около 70 МБ, так что RB750Gr3 по этому параметру точно подойдет, 256 МБ хватит.
И конечно, не забывайте сегментировать сеть, если у вас все будут в одном широковещательном домене, то проблем у вас все равно будет.
Может проблемы и на asus решит использование сети класса B (/16) для раздачи адресов?
Зачем такие огромные сети? Напилить по кабинетам /28 или /27
Мы же не знаем инфраструктуры. Может это просто магазин с единственным помещением и единственной точкой доступа…
Хороший принцип: дроби сети на меньшие сегменты в рамках разумного. Тут надо находить баланс между расходами на маршрутизацию между сегментами, броадкастовыми штормами в больших сегментах и безопасности в плане ограничения видимости.
Главная проблема, которая может напрягать тот асус в том, что wifi часть забриджена с кабельной. Тут никакие приемущества свитчей не помогут, нужно в явном виде гнать броадкаст от arp, dhcp и других подобных дел в wifi часть, которая такому счастью точно не рада. Изолирование wifi от кабеля (вынеся wifi в отдельный vlan), поможет снизить проблемность сети.
Главная проблема, которая может напрягать тот асус в том, что wifi часть забриджена с кабельной. Тут никакие приемущества свитчей не помогут, нужно в явном виде гнать броадкаст от arp, dhcp и других подобных дел в wifi часть, которая такому счастью точно не рада. Изолирование wifi от кабеля (вынеся wifi в отдельный vlan), поможет снизить проблемность сети.
Уже лет 10 с Mikrotik, еще с 3 версии. И уже давно перестал использовать ПК версии роутеров. За это время через руки прошло очень много разных аппаратов, и честно говоря умирало штук 5, и то оочень старые модели по стандартной болезни, вздутие конденсатор, после перепайки работали дальше. Работаем с крупными ритейлами у которых магазины по все стране, и уже несколько лет наблюдаем как Mikrotik не спеша вытесняет Cisco.
Sign up to leave a comment.
Mikrotik vs Старый ПК, проблема выбора в малом предприятии