Pull to refresh

Comments 178

Кругом в статье идёт сравнение с Cisco/Juniper. Но их-то многие любят за их ASIC'и. Естесственно тех же атомов хватит для поддержания довольно крупной сети, но в одну линейку с дорогими железками с аппаратной маршрутизацией и прочими хардварными фичами их ставить немножко неуместно. Ну и стекирование.
В данном случае железка рассматривается не очень сильная. У Lannerа есть, к примеру, FW-8892, 2U, 2 XEON LGA 1366, до 48Гб оперативки (можно ECC), до 24 GbE, с сопроцессором Cavium CN1620 и т.п.
Да, спасибо. Не ознакомился просто со всей предлагаемой продукцией. Как-нибудь гляну на них на досуге :)
реалии таковы, что на собственных ASIС делаются только совсем уж cutting edge железки, остальные — на общедоступном кремнии =)
ASR1k — пожалуй, cutting edge, но недорогие и ни в коем случае не топовые.
А есть еще L3 свитчи, которые неплохо умеют роутить.
Вспоминается
вот эта картинка
image
Прочитал заголовок, и подумал что на это железо можно IOS налить.

В коробке есть порты SATA-2. А куда устанавливаются диски если появится такая необходимость?
По поводу IOS — тут вопрос простой. Все железо x86 — совместимое, так что можно пробовать (конечно, в образовательных целях :), запустить L2IOU…
Есть HDD mounting kit, скриншоты из даташита (сорри за качество):

Стоит отметить, что конкретно в данную модель, устанавливается один 2.5" HDD.
Влезет, проверено. Это стандартный крепеж от производителя, винчестер встает как влитой, никуда не упирается. Да и обдув продуман.
А Mikrotik и так своими руками :) И платы, и корпуса отдельно продаются. Да и ось (RouterOS) можно поставить хоть на x86. Плюс стоимость их даже в сборке невелика.
Только за что-то больше базового функционала придется платить за лицензию на RouterOS. Не сравнить по-моему с мощью и гибкостью pfSense — в котором я могу поставить вообще ЛЮБОЙ пакет из портов FreeBSD (который, конечно. сможет работать на железе — например иксы на железках без видеовыхода будет трудно настраивать.
Ну учитывая соотношение ценна/возможности. RouterOS не так уж и плох :)
Правда чтобы выйти за куцый базовый функционал pfsence нужно иметь навыки работы с FreeBSD, а в RouterOS вполне богатый функционал изначально (конечно при наличии лицензии)
На FreeBSD уже есть рабочий MPLS? iptables?
Ни в коем случае не против pfSense, но все же по функционалу RouterOS выигрывает. а за pfSense остается только бесплатность…
MPLS — частичный freebsd.mpls.in/, а вот зачем на фре iptables ума не приложу при наличии IPWF и PF?
начать хотя бы с того, что шейпер в нем удобней на порядок :)
ipfwnat и dummynet уже научились работать более чем на одном ядре, размазывая нагрузку?
с другой стороны, pbr во фре реализован изящней.
Как по мне лучше работает pfnat, dummynet не размазывается к сожалению, приходится
/usr/bin/cpuset -l 0 -t $(procstat -t 0 | awk '/dummynet/ {print $2}')

цеплять его к 0 ядру, так нагрузка падает в разы, но зато его точность по сравнению с htb намного приятней, так что кому что нужно. У фри куча других плюсов (zfs, стойкость к атакам и т.п), но не будем превращать тему в холивар, я пользуюсь 4 системами, фрей примерно треть.
Как по мне лучше работает pfnat


pfnat однопоточный. только в 10ке его сделали smp-friendly. и он не умеет того, что умеет libalias/netfilter.

но зато его точность по сравнению с htb намного приятней

кроме htb есть много других дисциплин. та же hfsc куда лучше, теплее и ламповее :)

zfs

зачем этот пожиратель памяти на роутере?
стойкость к атакам

что это? в чём выражается?
Иксы на маршрутизаторе? *картинка про хлеб-троллейбус*
Ну тут, по сути, та же история :)
За чуть меньшие деньги можно купить RB1100AHx2 или RB1100Hx2 с кучей портов и лицензией на RouterOS. С помощью встроенного гипервизора можно добавить Asterisk. А здесь разве что сразу залить какой-нибудь Proxmox, а потом запихнуть кучу всего — покупать x86 железку за 20 килорублей под банальный роутер не очень целесообразно.
RB1100AHx2 — не получится под metarouter использовать, не пашет он там пока… К сожалению.
А почему не пашет, интересует этот вопрос?
Пока нет поддержки конкретно этой железки.
У самого стоят по филиалам как раз они.
Просто тут пишут что есть поддержка и образ выложен! Сам пока не пробывал жду RB1100AHx2, как раз есть планы использовать metarouter
Listed PPC boards: RB1000, RB1100, RB1100AH and RB800.
RB1100AH и RB1100AHx2 — разные железяки.
на последнем — не пашет.
RouterBOARD RB1100AHx2 reports similar message, but MetaROUTER feature is not currently supported on this router.
Ооо… точно, интересно чем мешает два процессора в реализации MetaROUTER!
Не знаю, тикет у них давно.
Но воз и ныне там.
В RB1100AHx2 слабее процессор и память. Опять же, хоть я и работал с RouterOS, и мне она нравится своей, самобытностью, что-ли, но, как говорится лучше — «только хардкор, только FreeBSD»
вы можете сделать маршрутизатор CISCO / Juniper своими руками.

Фигею с таких заголовков.
Есть такие маршрутизаторы Cisco.
А есть такие.
(в случае жунипера можно предоставить аналогичные картинки)

Вы с кем конкурируете? С первыми, или со вторыми? Может, не стоит обобщать? Я бы с удовольствием почитал про «тестирования производительности в сравнении с вышеупомянутыми гигантами» — коробку на атоме против представителя линейки ASR9k или CRS. Это будет даже не разгром — вы не сможете сгенерировать такую нагрузку, чтобы ASR начал проседать, а вот с убийством атома справится мой домашний i7 :)

Так что еще раз: Cisco, Juniper и прочие выпускают массу разного оборудования, и коробка на атоме способна худо-бедно конкурировать лишь с лоу-ендом. И даже по функционалу все сложно — у этих вендоров есть немало вкусных проприетарных решений, которых нет в опенсорсе.
Мы конкурируем с межсетевыми экранами Cisco ASA от 5505 вплоть до 5580. На ASR'ы мы не замахиваемся. В следующих статьях будут таблицы сравнения производительности/цены линейки оборудования Lanner FW и линейки ASA.
ASA — паршивый маршрутизатор, паршивый VPN концентратор и паршивый ALG (если без дополнительных модулей). И надеюсь, вы проводите сравнение с новой линейкой X? 5505 и 5580 очень-очень устарели.

В таблице сравнения не забудьте рассмотреть pps и cps (со всеми сервисами включая NAT и IPS). Кроме того, обязательно рассмотрите выбор интерфейсов (10G на железке уровня 5580 категорически необходим). Само собой, без сдвоенных блоков питания нельзя. Разумеется, требуется резервирование железок хотя бы на уровне active-standby с репликацией сессий и конфигов, чтобы выдергивание питания из одной железки не вызвало падения сессий. А еще важное преимущество железа Cisco — первоклассный саппорт, про этот пункт тоже не забудьте. Ну и так далее.

Сможете конкурировать?
1) Это скучно. Даже мой домашний компьютер способен бороться на равных с большинством моделей ASA в плане производительности. Есть куча других параметров, часть которых я озвучил.
2) Я не вижу цифр по заявленной производительности. Почему написано про мегатранзакции в секунду процессорной шины, но нет данных о скорости работы железки в сборе?
Способен бороться? Интересно :)

— 20Gbps firewall (4.000.000 sessions)
— 1Gbps ipsec vpn (10.000 peers)

Разумеется, одновременно. Разумеется, без тормозов. Демонстируйте. Когда сможете — вспомните, что это железка пятилетней давности и она давно устарела.
Я же сказал — «с большинством». 5585-X — это то меньшинство, которое я не имел в виду. 4-сокетную машину сложно побить односокетной.

Хотя… i7 3770k на 4,4ггц… Я, честно говоря, не знаю, чем его можно прожечь, чтобы померить производительность. Однако, гигабит на AES он вытянет запросто, благо соответствующая инструкция есть, и вроде жжет на 3-4гб/с.

Я знаю, что 5555-X содержит некий «1x 2.80 Ghz Intel 4C/8T» CPU и 16гб RAM, скорее всего i7 поколения SB. Его мой компьютер побьет — намного выше частота и немного лучше архитектура. При правильном софте побьет, разумеется — у меня есть некоторые сомнения, что в винде удастся достичь сравнимых значений — миллиона cps, миллиона одновременных соединений :)
Тесты через truecrypt. А без поддержки хардверной поддержки AES смотрим результаты i3. Правда, тут следует учесть, что количество потоков тесте похоже 4 штуки. А при 4кк все ощутимо просядет. По крайней мере на cisco 2921 разница в объеме шифрованного трафика разниться от 26 до 623 мбит/с, при том что pps идет от 50 793 до 52 378. Но чтобы атомы вытянули такую скорость без asic… Да и далеко не каждый xeon поддерживает хардверное aes.
CISCO раскручена уже очень хорошо, подобные же железки, особенно в России, только начинают свой путь.
Простой ответ — за все надо платить. Я часто сталкивался с проектами, в которых просто не было возможности выкладывать сотни тысяч рублей за CISCO.
В таблице сравнения не забудьте рассмотреть pps и cps (со всеми сервисами включая NAT и IPS).
Сделаем.
Кроме того, обязательно рассмотрите выбор интерфейсов (10G на железке уровня 5580 категорически необходим). Само собой, без сдвоенных блоков питания нельзя.
Вот модуль расширения на 4 10GbE оптических порта, к примеру. В FW-8892 таких влезет 3 штуки, итого 12 портов. Есть модули и на 10GbE медь. Да, и, конечно, в FW-8892 резервирование БП (как, впрочем, и резервирование отдельных системных hotswap вентиляторов сзади юнита) есть.
Разумеется, требуется резервирование железок хотя бы на уровне active-standby с репликацией сессий и конфигов, чтобы выдергивание питания из одной железки не вызвало падения сессий.
Резервирование железок есть в функционале pfSEnse, причем там как раз не важно. чтобы в резерве стояла именно CISCO.
А еще важное преимущество железа Cisco — первоклассный саппорт, про этот пункт тоже не забудьте.

А первоклассный сапоорт мы предоставляем всем своим клиентам без исключения (и не берем, как порой делает CISCO, денег за подписку на него).
CISCO раскручена уже очень хорошо

Так по праву. Те же ASR1k великолепны в роли маршрутизаторов и VPN концентраторов. Мощный control plane, очень функциональный хардварный data plane, невысокая цена.
Сделаем.

Мне больше интересно, почему это до сих пор не сделано. Даже микротик сразу выкладывает подобные данные.
А первоклассный сапоорт мы предоставляем всем своим клиентам без исключения (и не берем, как порой делает CISCO, денег за подписку на него).

Т.е. вы можете без лишних вопросов доставить замену в течение 2-х часов после заведения кейса и подтверждения необходимости замены (в любое время дня и ночи), и в штате техподдержки сидят люди уровня CCIE? И такой саппорт длится с десяток лет, причем даже спустя годы после снятия железки с продаж? Так не бывает.
Т.е. вы можете без лишних вопросов доставить замену в течение 2-х часов после заведения кейса и подтверждения необходимости замены (в любое время дня и ночи), и в штате техподдержки сидят люди уровня CCIE? И такой саппорт длится с десяток лет, причем даже спустя годы после снятия железки с продаж? Так не бывает.
ТАК, бывает, но не сразу, согласен. Раскрутка только начинается — и к таким показателям, безусловно, будем стремиться.

А вот быть «на короткой ноге» со всеми покупателями — так мы уже работаем. Все вопросы, включая помощь по настройке, мы решаем оперативно — по телефону, удаленному доступу, через трекер на сайте и т.д.
ТАК, бывает, но не сразу, согласен. Раскрутка только начинается

Так бесплатно не бывает, тем более в течение 10+ лет (а не только базовый гарантийный срок). Только за деньги. И такая поддержка у любого вендора стоит немалых денег. Если вы захотите стать исключением из правила, то вы вылетите в трубу.

«Раскрутка начинается» = «вскоре, с увеличением количества клиентов, начнет ухудшаться отношение к каждому из них». Все через это проходили.
Это не первый мой проект в плане сервиса клиентов — и я, соглашусь, тоже через это
«вскоре, с увеличением количества клиентов, начнет ухудшаться отношение к каждому из них»
проходил. Такой опыт — безусловный плюс и ошибки, безусловно, учтены.
Т.е. вы можете без лишних вопросов доставить замену в течение 2-х часов после заведения кейса и подтверждения необходимости замены (в любое время дня и ночи), и в штате техподдержки сидят люди уровня CCIE? И такой саппорт длится с десяток лет, причем даже спустя годы после снятия железки с продаж? Так не бывает.


Ну ну, где же cisco в России такие замены представляет? А если железо С3 категории? Для России реально работает 8*5NBD, да и то не во всех случаях. И да, если пример про америку, не забудьте упреждающую замену.
где же cisco в России такие замены представляет?

Разве у нас нельзя заказать 24x7x2?
А если железо С3 категории?

Не знаю деталей, но они вполне резервируют его на складах под клиентов со смартнетами. Мне как-то собирались менять 7200-й с VSA. Правда, в итоге от этого дела отказались, но никто никаких проблем в данной замене не видел.
Если что: мы имеем разрешение на импорт C3 :)
Год назад московский склад cisco работал в режиме 8*5, насколько я знаю, за год ничего не изменилось. А проблема с С3 категорией заключается в том, что ФСБ выдает заключение на ввоз каждой единицы оборудования, причем в письме ему необходимо объяснять, для чего ввозится оборудование, причем там должен обязательно указываться конечный заказчик. Поэтому да, нет никаких проблем в замене оборудования С3. надо только выждать пока ФСБ одобрит эту замену, а процедура занимает в среднем 4-6 недель, хотя дистриб наш говорил что затягивалось оформление на 6 месяцев. Так что при покупке С3 категории cisco предупреждает, что смартнетовские сроки замены могут затягиваться.
ASA — паршивый маршрутизатор, паршивый VPN концентратор и паршивый ALG

Для SME есть что-то получше?
ISRы привлекательнее на мой взгляд. Могут много, включая голос.
ISR несравним с ASA, ИМХО. Это вещи фунционально разного плана. БелАЗ пролезет там, где застрянет матиз, но это не значит, что матиз хуже — просто предназначены они для разных вещей
Это вещи фунционально разного плана.

Я бы не сказал. Они во многом сравнимы.
По роутингу ISR умеет примерно всё. ASA умеет мало.
По VPN ISR умеет всё (DMVPN, GETVPN, хотя с другой стороны кастрированный anyconnect). ASR же по причине невозможности даже пустить GRE по IPSec весьма безнадежна. Статические site-to-site туннели — это уныло.
По файрволингу у IOS есть неплохой и стремительно матереющий ZBPF.

С точки зрения инспектирования L7 у циски дела традиционно обстоят весьма плохо, тут лучше обратиться к другим вендорам.

Итого, ISR — это такая волшебная коробочка, которая пусть и не быстро, но справится с практически любой задачей, которая возникнет перед SMB сегментом. А для фильтрации трафика где-то на уровне L4 в крупном ентерпрайзе, конечно, надо ставить асы, в этом плане она все-таки более развита. А еще лучше следовать тренду и использовать файрволы в гипервизорах.
По функционалу пользовательского удаленного доступа ISR проигрывает ASA, так и было задумало, железки решают абсолютно разные задачи. Что касается ZBF, то это скорее решение для малого филиала когда есть только ISR и хочется одной железкой закрыть все вопросы. Как серьезное решение по фильтрации я бы его не рассматривал, тем более тогда маршрутизатор серьезно проседает по производительности.

А еще лучше следовать тренду и использовать файрволы в гипервизорах.

как доп. средство да, или для фильтрации трафика между машинами/группами машин (то есть внутри ДЦ), но выставить, например, ASA 1000V на границу — далеко не лучшее решение. Сейчас уже не вспомню ссылку, но видел статью где тестировали производительность и поведение 1000V при более менее нормальной нагрузке, кажется 4-6Г, и набором правил фильтрации. Не все так гладко.
По функционалу пользовательского удаленного доступа ISR проигрывает ASA

Ну я упомянул, что тут ASA лучше. Но она вовсе не идеальна. Опять же, хочется писать логи сессий — а низя.
Как серьезное решение по фильтрации я бы его не рассматривал

Дык SMB.
Он недавно даже HA научился.
но выставить, например, ASA 1000V на границу — далеко не лучшее решение.

Нет конечно. Но когда почти вся инфраструктура виртуальная (как это уже происходит у многих), то надобность в граничном файрволе (ну ладно, не с интернетом, а хотя бы с остальной внутренней инфраструктурой) пропадает. Это многое облегчает, так как «стейтфульный файрвол» = «неоптимальный роутинг».
Вы не поверите, но рынок ASA — это именно энтерпрайс. 5505 — это странноватый уродец, который был придуман для связи маленьких филиалов с большим центральным офисом. Функционал 5505 глубоко ущербен, а ценнобразование странное, как, кстати, и для многих других SoHo продуктов.
Да знаю я, что ентерпрайз. Сам пользуюсь. Когда-то активно. Сейчас, к счастью, намного реже. Были времена, когда использование PIX/ASA для организации site-to-site туннелей было хорошей идеей. Сейчас их использование обычно ограничивается, собственно, файрвольными задачами. С этим они справляются отлично — даже уродец 5505 в свое время клал на лопатки по части производительности ISRы, да и сейчас по сравнению с младшими G2 смотрится не совсем плохо с точки зрения цены.
Касательно VPN концентратора скажу так. ASA позиционируется как VPN концентратор именно пользовательского удаленного доступа. И, честно говоря, ничего лучше для remote access не видел. Если имелось ввиду терминация кучи IPSEC (DMVPN), то особо на ASA никто и не возлагал большие задачи.
ASA позиционируется как VPN концентратор именно пользовательского удаленного доступа. И, честно говоря, ничего лучше для remote access не видел.

Смотря про какой удаленный доступ идет речь. Мы как-то тестировали решение под SSL VPN одного не очень известного вендора — есть те же RDP, SSH, VNC и многое другое в браузере как у anyconnect, но с полным логированием по всем этим протоколам. Дергает скриншоты RDP, пишет все переданное и полученное по ssh. Очень круто. Цена? Ну кто видел ценник на premium версию anyconnect, тот уже всё понял.
Так может поделитесь информацией, в качестве ликбеза. Спасибо!
Не знаю кто такие SME, но посмотрите juniper SRX.
Вы конкурируете с 5580? Вы серьезно? Вы видили, какую нагрузку хотя бы под VPN держит 5580?
5585-X SSP10 держит, согласно документации, 1Гбит IPSec VPN (На деле гораздо меньше. И я даже не говорю о старой 5580). Вы думаете, что эту цифру тяжело преодолеть?
Или Вы решили, что именно моделью FW-7540 мы собираемся конкурировать с 5580?
Да вы не стесняйтесь, с Juniper SRX сравнивайте заодно. И про производительность (коня в вакууме — ибо практически все свободно доступные ОС, включая pfsense — это просто детский лепет по сравнению с тем-же junos или ios, и каким образом вы будете сранивать убого-обрезанную ОС с полноценной «сетевой» — тоже интересно) расскажите. Желательно в килопакетах, да на трафике типа UDP SIP.

> у этих вендоров есть немало вкусных проприетарных решений, которых нет в опенсорсе.

М, чисто ради любопытсва — это каких?
Ну к примеру дайте аналог DMVPN+EIGRP. С масштабируемостью до десятков тысяч узлов в облаке, без потери функционала или скорости сходимости.
DMVPN есть, EIGRP действительно нет

А можете привести пример облака DMVPN с десятком тысяч узлов? А то и из буханки можно троллейбус сделать…
EIGRP намертво привязывает к оборудованию Cisco. Отличный пример того, как единожды выбрав технологию, ты оказываешься рабом компании.
А что вас смущает? Разве моновендорность — это плохо? Если компания предлагает проприетарное решение, которое совершеннее открытых аналогов, имеет смысл пользоваться именно им. Даже если это немного дороже.

И ничто не мешает задействовать разные протоколы на разных участках.

У Juniper например есть классный QFabric, абсолютно проприетарный, идеологически верный (единый management, разделенный contol plane).
Да, моновендорность это очень плохо. Cisco крайне успешно протеряла российский рынок, сделав целый ряд совершенно идиотских шагов. Когда у нас встал вопрос о модернизации ядра сети, мы решили полностью отказаться от оборудования Циско (в пользу Juniper и Extreme, если интересно).
Моновендорность — это хорошо, так как сопровождение существенно упрощается.
Как я уже писал, у Juniper тоже есть очень вкусные решения. Если вы их игнорируете ради снижения vendor lock-in — сочувствую. С тем же успехом можно дэлинки ставить.
Если ради моновендорности вы отказываетесь от очень вкусных решений других производителей, то извините, мне жаль как раз вас. За прошедшие годы у нас не было проблем из-за поддержки мультивендорности.
Если ради моновендорности вы отказываетесь от очень вкусных решений других производителей

Так вы их используете? Они же всегда будут являться vendor lock-in.
Моновендорность хороша, но не везде.
В корпоративных сетях — возможно да. Смартнеты, плавный апгрейд, привычки админов опять же.
Для оператора моновендорность — зло (если вы не какой-нибудь ростелеком). Потому что для каких-то задач лучше и дешевле взять джунипер, для каких-то — циску. опять же, сеть развивается практически непрерывно, и тот вендор, что рулил год-два назад, сегодня может уже не быть столь привлекательным по цене/плюшкам.
Уточните пожалуйста почему Вы полностью отказались от оборудования CISCO, Вас не устроила, например, цена, архитектура, производительность, функциональность?

Но добавлю свои 5 копеек по поводу цены. В последней закупке финальная стоимость оборудования CISCO оказалась аналогичной стоимости сетевого оборудования HP. Это еще раз доказывает что в каждой ситуации присутствует индивидуальный подход.
Нас не устроила совокупность характеристик (например, попросту отсутствовали доступные коммутаторы с 10Gb портами), стоимости и, специально отдельно оговорю, условий и политики лицензирования Cisco.
По цене, естественно, тоже не по GPL бы брали :)
По лицензированию я Вас прекрасно понимаю. Иногда кажется, что нужно пятидневный курс сделать по этой тематике (хотя у партнеров и продажников такое есть). Но в целом, иногда вопросы лицензирования напрягают, и если с маршрутизаторами/коммутаторами все достаточно прозрачно, то, например, unified communication — муть.
У Juniper и Extreme было намного, намного проще.
DMVPN есть

Какой DMVPN? Начиная с базовых фич: phase 3 (в цискиной терминологии), 2547oDMVPN.
Это разве что самые глобальные фичи. Можно составить огромный список более мелких.
Ну и назовите тех, у кого оно развернуто на опенсорсе. >100 узлов в облаке (это очень мало).
А можете привести пример облака DMVPN с десятком тысяч узлов?

Если хотите, могу поискать, где я видел упоминания о десятках тысяч (по крайней мере, тысячи споков — норма для очень многих компаний), но можете поверить на слово: даже ASR1k хабом это вытянет. EIGRP поверх этого дела гарантирует офигенно быструю сходимость.
DMVPN есть в виде OpenNHRP, то есть, совместим с циской. Можно сделать хаб на циске и споки на линуксах, например, или всё на линуксах. Ну, разумеется, без EIGRP и с OSPF.

MPLS нет вообще, я про него не говори.

И про 10К споков: да я верю что вытянет, но вопрос, зачем? Это как в том xkcd: линукс поддерживает 4096 процессоров, а флеш до сих пор тормозит на полный экран.
DMVPN есть в виде OpenNHRP, то есть, совместим с циской

Вы представляете себе количество разнообразных фич в цискиной реализации DMVPN и то, насколько далеко эта реализация шагнула от банального mGRE/IPSec & NHRP?
Опять же — есть ли phase 3 в OpenNHRP?
но вопрос, зачем?

Как зачем? Крупная филиальная сеть. Необходимость обеспечить прямую связь узлов друг с другом и минимум конфигурирования.
DMVPN позволяет добавлять новые споки, не трогая конфигурации ни других споков, ни хабов.
Поддержки phase3 я не видел, видимо, нет.

И я знаю, зачем нужен DMVPN. Но, откровенно говоря, я не решился бы делать сеть на 10К точек, хотя проблемы как с широковещательными доменами тут нет. Сегментировал бы как-то. Может я и неправ в этом, не знаю.
Сегментировал бы как-то.

Это автоматически материализует бутылочное горлышко на стыке сегментов.
Процессор общего назначения против специализированного у CISCO / Juniper — ну ну, посмотрел бы я на эту железяку под нагрузкой хоть в 1G трафика и 1Mpps, не говоря о 4х. Нет оптических портов, 1 блок питания. Исключительно SOHO решение может разве-что конкурировать с топовыми SOHO роутерами, но не более.
Процессор общего назначения против специализированного у CISCO

В Cisco ASA'х используется железо общего и серверного назначения, от AMD Geode и Intel Celeron до 24-ядерников от Intel.
ну ну, посмотрел бы я на эту железяку под нагрузкой хоть в 1G трафика и 1Mpps, не говоря о 4х. Нет оптических портов, 1 блок питания

Вы после прочтения решили, что модель всего одна? Их много.
Ткните в модель с оптическими портами (похоже я слепой, но на всех моделях 8P8C) и 2 мя блоками питания, у себя в инфраструктуре яб ей место нашел.
Если Вы действительно заинтересовались оборудованием, просим Вас, напишите подробные требования к платформе (кол-во портов, кол-во оптических портов, нужны ли 10GbE модули и т.д.) на адрес tech@nativepc.ru
Мы с удовольствием подберем для Вас оптимальный вариант и обязательно ответим в кратчайшие сроки.

Огласите хотя-бы порядок цен, вот интересная моделька при условии оставить 4 медных порта, а 10 заменить на оптические. 6 штук 10Г — норма, под бордер + NAT + Шейпер, может неплохо пойти, если все в одном. Но интересна цена такого варианта, без цены тяжело считать целесообразность.
FW-8892B + 3 модуля NVM-IXM202A (каждый 2х10GbE SFP) = ~250 000 руб. Конечно, зависит от объемов поставок.
Да, еще стоимость процессора и оперативки — но это на порядок цены несильно влияет, можете оценить сами…
Это ценник, если нужно именно 6 10Г. Порядок теперь представляете. А точнее, что порядок цены на порядок меньше цен CISCO.
А каковы преимущества конкретно вашего решения по сравнению с любым другим x86 сервером в сравнимой набивке?
ASA использует CPU для управления. Шифрование идет через аппаратный модуль (CryptoPU), обработка сетевых пакетов — тоже.
Если говорить в ваших терминах — посмотрел бы я на цену CISCO с указанным вами функционалом. Как говорил Snowbl1nd — конкретно эта железка — не конкурент ASRам…
UFO landed and left these words here
Да да, согласен, сборка на x86 RouterOS запустится на данной железке.
> Платформа имеет на борту напаянный двухъядерный ЦП Intel® Atom D525 Pineview

*facepalm*

Для сетевых железок давно уже есть Freescale MPC8*** или QuorIQ у которых есть довольно умные сетевые контроллеры, на которых можно делать offloading и пачку не менее интересных вещей. Почему циской и любимы.
Пока нет, но будем к этому стремиться!
а мне нравится… мне кажется у них получится урвать кусочек :)
надо же с чего-то начинать
Спасибо на добром слове, будем стараться!
Все у вас хорошо, но логистика хромает. Оплатили заказ 4 июня с доставкой до Кирова, посылка через ТК «Деловые линии» пришла только в понедельник 17 июня.
Транспортная компания тут точно не виновата, они быстро доставляют, видимо, были задержки с отгрузкой. И так уже не первый раз.
Разберитесь со своим отделом отправки.
Максим, добрый день! Рады видеть Вас в нашем блоге.
Действительно имела место задержка с отправкой Вашего заказа. Ответственный человек понес наказание в виде общественного порицания :).
Со своей стороны, мы просим при оплате по безналу скидывать копию платежки — тогда отправка будет оперативнее и выполняться утром следующего дня (речь идет о Деловых линиях).
Все хорошо то, что хорошо кончается ©
Спасибо за быстрый ответ!
Простите, но 20000руб за атом, который загнётся на 100kpps ната…
Если за те же деньги можно взять 16 ядерный микротик, который пропустит в разы больше трафика.
routerboard.com/CCR1016-12G
Да, 17mpps(на голом трафике), естественно, FW-7540 не съест, у него предел будет где-то около 2-3mpps. Не нужно так ужасно думать об атоме(100kpps). Да и назначения у железок разные — например, CCR потеряет примерно 95% производительности от нескольких правил фильтрации или, не дай бог, роутинга (производитель сам это заявляет).
Не кажется, что Вы, мягко говоря, лукавите? Все же говорить «Вы знаете, что можете сделать циску своими руками», а дальше рассказывать о ПК, собранный в другом форм-факторе, но, заметьте, вовсе БЕЗ ПО от Циски — нечестно.

Ладно бы, домохозяйкам лапшу вешали, но здесь аудитория как-то примерно понимает, чего стоит сделать циску своими руками. Продаться, конечно, хочется (и нужно), но вводить аудиторию в заблуждение уже даже названием (и текстом) рекламной статьи… не комильфо.
Некогда (к сожалению) читать весь тред, но посмотрел на цены (конкретно — Lanner FW-7540) и воскликнул «да они опухли!»

Розница доступная — 19 700 р.

Juniper SRX210 (при несравнимых возможностях / функционале ОС — полноценная junos с mpls, IDS, IDP и прочими-прочими) можно взять за 30 килорублей. Чуть-чуть соображающие понимают что дисконты на Juniper и Cisco достаточно легко 40-50% можно получить.

Я даже не говорю про Microtik…

Вы реально думаете что бизнес будет с такими ценами хоть сколь-нибудь успешным? Да этой железке красная цена 300$, не больше.

Никогда не понимал такой политики компании давать дисконт 40-50% на товар, а не услугу.
А может и от 19 700 р. возможно получить такую-же скидку ?)
Дело в том что себестоимость железа у той же Cisco кардинально ниже цены (10-15-20% от заявленной), но дикие расходы на разработку (как оборудования так и ПО).

За счёт этого они могут в принципе давать такие скидки и не уходить в минус.

Эти ребята (Ланнер) — у них затраты на НИОКР почти нулевые (стандартное железо), ПО они вообще не делают.

В итоге — продавать _это_ за такие деньги…
Я может быть скажу что то новое:
но за 30 килорублей вы получите SRX210HE голый:) IDP license trial получите, никакого функционала UTM, так же полное отсутвие wccp(есть аналог FBF), а что самое смешное что за любой чих в сторону UTM требуются деньги, это касается антивируса, webфильтрации на устройстве и juniper pulse и так далее.
Так что весьма сомнительный вопрос что за такие же деньги вы получите полноценный junos.
Для сравнения ASA5505-BUN-K9(в чистоте, стоит 13килурублей) дальше выбираешь по лицензиям что тебе надо. Например апгрейд до 50 пользователей 6 638 руб. security plus 16 121руб. хочется anyconnect так и его можно тоже заплатив 58 700тыс. при том что все это будет работать.
И вот спрашивается зачем покупать заранее дорогой juniper? Если можно обойтись пускай убогеньким но работающим решением?
по поводу Lanner надо взять на попробывать понакатывать на него junos jsr посмотреть на производительность, возможно его можно будет применять в качестве учебных целей.
Долго думали? :)) А что из IDP и прочего вы получите на Lanner? Может хотя-бы какую-то ОС профессиональную сетевую? Или вообще какую-то ОС?

«убогенькое» и «работающее» — взаимоисключающее вообще-то. Нахрен тогда Lanner если есть Microtik, который и работает и при этом дешевый до безобразия (и после него ;) )?
Ну тут есть два решения вопроса:
1. Vyatta
2. Не покупать Lanner, а покупать Cisco ASA 5505, хотя у меня дома стоит ASA5512-K9, в связи с новыми взаимоисключающими параграфами у нас в законах.
Всегда есть два пути. Пусть вот лучше Lanner скажет какое отношение они имеют к Алтель. Для меня не секрет что их железки такие же как у Lanner.
Мне кажется, или вышеупомянутая связка голой асы + 50 пользователей + сек. плюс уже на 20% дороже голого SRX, который всё это умеет из коробки? Хотите IPS на асе — опять же, покупать модуль. И никакого UTM (даже платного). И производительность в 2,5 раза меньше.
Тут корректнее сравнивать не с SRX210HE, а с SRX100B, который по GPL стоит $ 447. ASA5505-K8 по GPL без смартнета — $ 595, на 33% дороже.
Ну не получится у вас конкурировать с C/J и прочими. Их покупают за _софт_, который умеет много чего нужного и делает это хорошо. У вас голое железо.
Свою нишу решения типа вашего тоже имеют, но вот о конкуренции забудьте. И никогда это с C/J не сравнивайте. Всегда проиграете.
Вы извините но j серия у меня стоит исключительно для резервирования E1 патоков(их у меня ну очень много)…
На большее к сожалению J серия не способна… про MX я вообще молчу, в подметки не годится ASR.
j series- софтовые, как ими можно много Е1 резервировать я не понимаю. А МХ по некоторым фичам тот же ASR уделает легко и непринужденно.
почему j series и 6 E1(j6350)? Отвечу потому что в основном Avaya дорого(да и не люплю я G650, который скопипастили с Nortell), а про Cisco AS5400XM, так она уже стоит, статвить на всякий аварийный такую же только для поддержки офисных нужд больно дорого.
А на тему некоторых фич, я скажу так, 1006 прекрасно справляется с своими фичами… А вот когда нам пытались втюхивать MX, как то они неожиданно не вытягивают по тем же показателям ASR. Притом высказывания что MX убийца ASR это изначально не правильно, MX как мне кажется это скорее замена cat 65xx series(Это мое личное мнение).

P.S. Вот у меня есть вопрос? А способен ли srx210HE на getvpn? Почему меня это интересует, потому что одному нашему кастомеру нужно решение готовое, но у него еще много cisco 29XX роутеров.
Я вот когда читаю такие сравнения где «pfSense, Zentyal, ClearOS, Vyatta, Zeroshell» и PC hardware это то же самое что Cisco/Juniper у меня улыбка прям до ушей :) Это все равно как сравнивать китайский компьютер в магазине и майнфрейм IBM. Стоит дешевле, запускает linux/windows, меньше енергии требует меньше :)
Ну я бы не был столь категоричен. Софтовые решения любят за гибкость, дешевизну и масштабируемость. Железки — за надежность, компактность и производительность. Но — в довольно узком круге задач, под которые эта железка затачивалась.
Так что в прямую сравнивать, наверное, неверно.
Но можно.
Если бы там гибкость была, а так разве что микротик совсем лицом в гряз не ударил, а все эти pfSense'ы и Vyatta'ы и 20 процентов тех функций не поддерживают что есть у Juniper/Cisco. Иногда просто до смешного доходит. По поводу масштабируемости то ее просто нет, знакомство с такими решениями почти всегда заканчивается после того как появляется потребность в скоростях больше 1 гигабита.
>знакомство с такими решениями почти всегда заканчивается после того как появляется потребность в скоростях больше 1 гигабита.
Я просто оставлю это здесь
image

Vyatta, два восьимядерных (кажется) ксеона, 16 гб мозгов, интеловские сетевухи. Почитайте тему на НАГе что ли.
В вятте ничего «совсем не работающего» не заметил, тем более 20%. pfSense не ковырял, но там внутри фря, а базовые вещи типа роутинга/шейпинга/ната в ней работают вполне прилично.
Какие сервисы включены для изображенного на графике трафика? Тянет ли 10G совсем-совсем без дропов (по тем классам трафика, где дропов не должно быть)?
По подробностям лучше к автору — сиречь к cmhungry (он есть на наге), он вам все расскажет, что можно.
Это, в общем-то, обычный хомячий трафик, дропы если и есть, то минимальные (иначе сожрут ведь, сиповой телефонией тоже пользуются)
Практика показывает, что дропы голоса менее 1% не особо заметны (да и хомячки отродясь не заботились по поводу отключения торрентов перед телефонным разговором), но даже 0,1% дропов может сильно просадить скорость TCP потока. Проверено лично.

Заодно:
Железки — за надежность, компактность и производительность. Но — в довольно узком круге задач, под которые эта железка затачивалась.

Ну например ASR1k циска называет гибридным роутером. Он обладает сравнимым с софтовым роутером функционалом (я сейчас не про control plane, который как бы всегда программный, а про data plane), а производительность ближе к хардварным платформам, пусть и не дотягивает (всего-то под 40гб/с со всеми сервисами на 2-юнитовом, но охренительно тяжелом 1002-X, и более сотни гигабит на модульных платформах — это слабее, чем терабиты на истинно хардварных железках).
ASR может что иерархический QoS с многократной вложенностью+CGN на мильоны записей+стейтфульный файрвол+NBAR на десятках гигабит прокачать, что десятки тысяч VOIP вызовов терминировать (разумеется, момент установки вызова обрабатывается программно, но когда пойдет поток — им занимается уже только хардварная часть в виде QFP, что лично меня неимоверно впечатляет).
Скажем так, если рассматривать не сферического коня, а реального ISP, причем который живет на свои (без мешка денег за спиной), то тут на первый план выходит стоимость гигабита NAT (в данном случае речь о нем).
Да, NAT можно делать на железке. Да, производительность на юнит может быть впечатляющей.
Но вот стоимость этого решения? На момент внедрения решений на вятте ASR в продакшене еще не было, насколько я помню.
А стоимость железных решений неоправданно высокая. Найдите видеопрезентацию cmhungry, он там все подробно рассказывает, почему и как.

Так что не холивара ради, а справедливости для.
А стоимость железных решений неоправданно высокая.

Ну скажем ASR1002-x стоит по GPL $33k. Плюс лицензии, которые неплохо бы докупить. И, наверное, можно не объяснять, чем хороши старшие модульные шасси со сдвоенными супами и SSO?

Стоимость гигабита ната — это здорово, но есть еще вопрос стоимости сопровождения решения. Когда речь о ядре/периметре, горизонтальное масштабирование может обойтись дорого. Вот вылезет у них наглый клиент вроде меня, огорченный тем, что обещанные 10G имеют полпроцента дропов и это меня не устраивает.

Те самые живущие на свои деньги провайдеры вообще нередко любят любые дыры затыкать 6500-ми, которые тоже не две копейки стоят…
>Ну скажем ASR1002-x стоит по GPL $33k
А теперь сравните со стоимостью сервера на двух ксеонах о 8 ядрах с двумя 10Г карточками и 16гб оперативы

> Когда речь о ядре/периметре, горизонтальное масштабирование может обойтись дорого.
Ставим рядом еще один сервер. Потом еще. Потом еще. Каждый сервер натит свой префик серых сетей в префикс белых. Нормально масштабируется.

>Вот вылезет у них наглый клиент вроде меня, огорченный тем, что обещанные 10G имеют полпроцента дропов и это меня не устраивает.
Учитывая, что провайдер — хомячий, а абонбаза меряется десятками тысяч (может даже уже за сотню), то такого умного клиента проще послать. Just business.

>Те самые живущие на свои деньги провайдеры вообще нередко любят любые дыры затыкать 6500-ми, которые тоже не две копейки стоят…
Да ну? б/ушный 65-й можно собрать весьма недорого, другое дело, что берут их обычно под рутинг/свичичинг/полисинг, а не под нат.
Учитывая, что провайдер — хомячий

Так не интересно.
Работа под ентерпрайз куда вкуснее по деньгам.
берут их обычно под рутинг/свичичинг/полисинг, а не под нат.

Ну да, с NATом в больших масштабах там ситуация печальна. Хотя в мелких кто-то использует.
Но ведь и под роутинг можно поставить софтовую коробку. Теоретически.
Работа под ентерпрайз куда вкуснее по деньгам.

По деньгам — возможно. По скорости развития и усвоения информации — далеко не всегда…

Но ведь и под роутинг можно поставить софтовую коробку. Теоретически.

Хомячки софтовую коробочку кладут на раз-два, проверено. Да и не стоит геморрой в обслуживании софтроутера на агрегации/доступе экономии на б/у-шном коте.
Плавно приходим к выводу, что геморрой в обслуживании софтонатилки не стоит экономии на нормальном роутере :)
Э неееет :) Я говорил про агрегацию-доступ. В ядре расклад иной и ценники на железо другие.
Там может и оправдывать
Классическая задача ядра — просто очень быстро передавать пакеты, без сервисов. NAT и прочее — задача бордера (или агрегации).
А на кой он на агрегации?
Ну и бордер, традиционно, рядом с ядром обычно (или связан с ядром непосредственно).
Разве что ставить брасы на PPPoE/L2TP, но, опять же, это уже не модно.
На агрегации, чтобы поближе к юзеру — пока трафик еще не успел разойтись в разные стороны.

Бордеров, опять же, может быть по числу точек пиринга, которые, в свою очередь, ровным слоем по всей стране.
Вы опять какими-то глобальными категориями мыслите.
Кто у нас «ровным слоем по всей стране»? Большая четверка, ТТК, Домру. Там софтроутерам делать нечего, там энтерпрайз, контракты с производителями и решения «под ключ». Рай для жирных интеграторов.
Если брать уровень локальный — а в том же Питере или Москве у хомопровайдера может быть далеко не один десяток тысяч активных абонов, то там ситуация другая.
Есть внутренний трафик — он, считай, бесплатный. Есть внутренний пиринг между операторами — хотя и небольшой в общей массе, но тоже дешевый.
А вот зачем натить близко к юзеру? Не понимаю. Куда он разойдется? У нас же не PPPoE (там, как я уже сказал, действительно проще ставить брас на сегмент), а честный Ethernet (IPoE как вариант). Точек выхода «в мир» немного — как правило, это крупные площадки типа М9 — ну может пятерка наберется. А трафик к бордерам обычно как идет? Через ядро (или крупные узлы агрегации, куда трафик от районных узлов сходится). Вот там нат и ставить — бо дешевле поставить одну (две-три-десять) мощную железку, чем пучок мелких. И админить потом проще.
А трафик к бордерам обычно как идет? Через ядро

Трафик к бордерам обычно идет кратчайшим маршрутом.

Гонять весь трафик всех пользователей через пару центральных железок? Словами «убого, немасштабируемо» этого не передать.
Зависит от количества крупных узлов агрегации, бордеров etc. так что я не был бы столь категоричным.
Опять же, это не отменяет того, что железку проще и дешевле ставить рядом с бордером или крупной агрегацией — тупо цена за гигабит выйдет лучше.
простите, какой геморрой? штатная vyatta с cisco-like cli.
всё расписано и задокументировано. где геморрой?
Причем тут CLI?
Будете ставить по полисеру на каждый жилой квартал, потому что два квартала софтовое решение не вытянет?
>потому что два квартала софтовое решение не вытянет?

вы не могли бы обосновать своё утверждение? как минимум, о каких цифрах ( gbit/s & mpps ) идёт речь?
Я исхожу из того, что 10гб/с уже может быть проблемой. Раз выше с такой гордостью показывали 8гб/с.
>Я исхожу из того, что 10гб/с уже может быть проблемой.

1.Intel Takes Vyatta to 10Gig (2009 год, если что)
2. ipfw meets netmap (6.5 Mpps in userspace)
3. Intel DPDK
3.1 Intel DPDK
3.2 не очень свежая pdf'ка от intel про DPDK. 80mpps for single socket xeon
3.3
6WIND Announces Virtual Switch Acceleration Software Solution
for Intel® Open Network Platform

The demonstration configuration features the standard open-
source Open vSwitch (OVS) running on an HP ProLiant server with two Intel® Xeon® processors.
The 6WINDGate-accelerated OVS is controlled by a Big Switch Floodlight controller using
OpenFlow protocols and utilizes an Ixia traffic generator to provide ten 10Gbps full-duplex
traffic streams. The 6WINDGate-accelerated OVS switches traffic to achieve a rate of 60Mpps,
providing a 10x improvement compared to a non-accelerated OVS.


отсюда
Это все скорее роутинг без сервисов. Скучно.
8гбит/с было на скептическое «да оно больше гига не прожует». Сейчас уже гораздо более мощные процессоры и новый софт, уверен можно и больше.
Простите каких это функций vyatta не поддерживает?
Dmvpn? Vyatta 6.6 поддерживает!
Vrrp? В базе есть!
Load balance? Тоже есть в базе!
Ospf? Так тоже есть в базовой версии!
Bgp? Есть
Ipsec? Тоже есть!
Web proxy, idp, l7 filtering а еще вагом и маленькая тележка того что vyatta поддерживает!!!
Очень громко сказано. «DMVPN», «OSPF», «BGP»… Эти технологии/протоколы за (десятки) лет обросли огромным количеством фич.
Откройте это, введите там например «OSPF» и проверяйте, какие фичи есть на Vyatta, а каких нет. Что-то мне подсказывает, что там и 20% не наберется.
а всем ли нужны эти фичи нужны?
Каждая из этих фич делалась по пожеланиям конкретных заказчиков, а не просто потому что проджект-менеджеру вендора вдруг захотелось. Никому не нужны все фичи, но большинству (если считать, что инженеры/архитекторы грамотные и владеют матчастью хотя бы немного за рамками поголовно устаревших программ сертификации) нужно хотя бы 20% фич. Исходя из того, что Vyatta, условно, не имеет 80% функционала нормальных роутеров (а если говорить о современных фичах, то наверняка цифра будет 100%), заказчик скорее всего останется недоволен. Мало кто захочет роутер, застрявший на уровне IOS/JunOS 10-летней давности. Разве что из соображений жесткой экономии каждой копейки, когда либо так, либо вообще никак.
>нужно хотя бы 20% фич.

ну вот про 80/20 вы в курсе.

>Исходя из того, что Vyatta, условно, не имеет 80% функционала нормальных роутеров

можете это утверждение как-то обосновать?

опять же, о каком именно железе речь и на какой сегмент рынка мы ориентируемся?
ну вот про 80/20 вы в курсе.

Вы не смогли это оспорить. Потому я считаю, что вы согласны с этим утверждением.

Это касается лишь фич конкретных протоколов. Если брать количество самих протоколов, то ситуация резко станет еще печальнее.
можете это утверждение как-то обосновать?

Я привел ссылку. Хотите пройдемся по пунктам в случае OSPF или, тем более, BGP (где все еще грустнее, а развитие еще стремительнее)?
Можно DMVPN обсудить. У циски например были весьма радикальные различия между phase 1 => phase 2 => phase 3. Хотя на первый взгляд все вроде то же самое. На второй взгляд вылезает масса нюансов вроде «в таких топологиях работало паршиво», «здесь были такие-то ограничения», «это не поддерживалось» и так далее.
о каком именно железе речь

Начиная с младших ISRов к примеру, если хотите. Речь в основном про софтовые фичи, потому платформа не так принципиальна.

Вам совершенно правильно чуть ниже сказали, что хвастаться поддержкой VRRP, OSPF, BGP и так далее все равно что говорить «данная машина умеет ездить». Само собой разумеется, что железка, претендующая на выход из SOHO класса, обязана все это уметь. А вот дальше начинаются мелкие и «мало кому нужные» нюансы, благодаря которым «копейка» весьма радикально отличается от современного S-Klasse. Но вы утверждаете, что они примерно на одном уровне, так как оба способны доставить пассажира из точка А в точку Б, ну и у них есть по 4 колеса, по 4 двери, руль слева… Самому не смешно?
Вы не смогли это оспорить.


чайник Рассела, не?

Это касается лишь фич конкретных протоколов. Если брать количество самих протоколов, то ситуация резко станет еще печальнее.


покупают не количество протоколов и фич. покупают нечто, что может решать конкретные задачи.
многим для ix-ов достаточно возможностей bgp в 3550.

Хотите пройдемся по пунктам в случае OSPF или, тем более, BGP

давайте. только OSPFv2 и из этого выкинем MPLS.

а насчёт BGP — как вы объясните, что на тех же data-ix/msk-ix/nix.cz в качестве роут-сервера используется bird/quagga, а не любимая вами Cisco?

Можно DMVPN обсудить.

в рамках RFC 2332.

Начиная с младших ISRов к примеру, если хотите. Речь в основном про софтовые фичи, потому платформа не так принципиальна.


ок. к нам приходит пара линков с QinQ, из каждого надо «выдернуть» по 3-4 vlan'а(с наружными тегами) и собрать из этого новый QinQ и перемаркировав vlan'ы. после чего всё это передать через интернеты.

покупают не количество протоколов и фич. покупают нечто, что может решать конкретные задачи.
многим для ix-ов достаточно возможностей bgp в 3550.

Вот я, если честно, тоже не понимаю этого меряния фича-листами.

У меня есть задача. Под решение этой задачи я выбираю железо и софт, исходя из определенных критериев. Абстрактное «вот эта железка умеет на n фич больше» мне при этом как-то до лампочки…
У меня есть задача. Под решение этой задачи я выбираю железо и софт, исходя из определенных критериев.

Обычно это выглядит так: под решение задачи подбираются железо и софт, после чего задача модифицируется. Так как в процессе анализа решений обязательно найдется множество вкусняшек, позволяющий либо резко сократить трудозатраты на дальнейшее сопровождение этого дела, либо добиться радикально более быстрой сходимости, либо получить больший запас мощности на будущее, и так далее.

И если у вас задача ограничивается «обеспечить маршрутизацию, и чтобы при отвале линков/железок связь когда-нибудь восстановилась, хотя бы через минуту», то действительно нет ни малейшей надобности стремиться к гибкости и производительности серьезных решений, можно брать любую железку, на коробке которой написано «OSPF» или «BGP».
Из моей практики основным критерием являлись цена и надежность.
Потом фичи, наличе железа этого вендора в сети.
Опять же, кто реализует решение? Интегратор?
Тогда велкам — фичи, оптимизация, циско.
Оператор?
Тогда подход иной — унификация, прозрачность.
При этом использование большого числа фич конкретного вендора приводит нас либо к vendor-lock (что плохо), либо к усложнению решений, что само по себе неплохо, но не всегда оправдывает выигрыш в сходимости/мощности и т.д.

Я боюсь, мы с вами разговариваем с разных исходных позиций и преследуем разные цели. Оттого и взгляды на решения не сходятся.
При этом использование большого числа фич конкретного вендора приводит нас либо к vendor-lock (что плохо), либо к усложнению решений

Обычно фичи конкретного вендора опережают стандарты на несколько лет, они проще, удобнее, их имплементация и сопровождение обходятся дешевле.

Пример. Многие сигнализируют TE туннели с одной целью — добиться мгновенной сходимости. Это сложно и муторно. Есть LFA для OSPF и IS-IS, позволяющий добиться того же результата для большинства маршрутов с помощью пары идентичных команд на всех роутерах (для полного покрытия потребуется чуть больше команд, но все равно это и рядом не стояло с TE). Есть только у C/J, насколько я знаю. Можно условно назвать это vendor-lock, хотя вендоров аж две штуки, но хрен редьки не слаще. Плохо ли это? Лучше мучиться с TE там, где большинство его фич вообще не задействовано?
Ну вот, опять вы в энтерпрайз.
Когда нужно отроутить 40-50 гигабит, завернуть это дело в MPLS, да еще и отбалансить/зарезервировать при помощи TE, только очень альтернативно одаренный человек будет пользовать софтовые решения.
Мы с вами с чего начинали? С функционала софтроутера. Кто применяет софтроутеры? Либо пионеры, либо люди, желающие от них довольно специфического функционала (например, NAT). Либо третий вариант, когда ты уже не пионер, но ставить железку не хочется, и точно знаешь, что возможностей этого софтроутера тебе хватит.
только очень альтернативно одаренный человек будет пользовать софтовые решения.

А если трафика, скажем, под гигабит, но его все равно надо защищать?
Кто применяет софтроутеры? Либо пионеры, либо люди, желающие от них довольно специфического функционала (например, NAT).

Так NAT, полисеры и т.д. можно и на железе держать. Причем на одном и том же. По не самой высокой цене.
А если трафика, скажем, под гигабит, но его все равно надо защищать?

Тогда вопрос в этом, сколько за эту защиту готовы заплатить.

Так NAT, полисеры и т.д. можно и на железе держать. Причем на одном и том же. По не самой высокой цене.

Можно. Вопрос, опять же, в цене железки(а точнее в цене того самого гигабита ната), возможностях (GRE/FTP-хелперы), количестве трафика…
чайник Рассела, не?

Нет. Вам дали аргумент. Вы сказали «не нужно». Следовательно, с изначальным утверждением вы согласны, иначе я получил бы от вас список фич софтороутеров.
многим для ix-ов достаточно возможностей bgp в 3550.

Он даже от одного full view захлебнется.
только OSPFv2 и из этого выкинем MPLS.

Нет, мы оставим OSPFv3 (который и IPv4 тягать может). MPLS? Хорошо, учитывая, что никто в здравом уме его не гоняет на софтовых коробках — выкинем. Еще не рассматриваем те фичи, которые связаны с работой сдвоенных супов.

Перечисляю через запятую самое интересное. Выделите то, что vyatta умеет.
Graceful shutdown, OSPFv3 IPSec authentication, Area Transit Capability, OSPF Flooding Reduction, OSPF Forwarding Address Suppression in Translated Type-5 LSAs, per-prefix LFA, remote LFA, iSPF, Limit on Number of Redistributed Routes, Link State Database Overload Protection, LSA throttling, Link-local Signaling (LLS) Per Interface Basis, Mechanism to Exclude Connected IP Prefixes from LSA Advertisements, On Demand Circuit (RFC 1793).

Это половина списка. Если хотите — продолжим.
как вы объясните, что на тех же data-ix/msk-ix/nix.cz в качестве роут-сервера используется bird/quagga, а не любимая вами Cisco?

Запросто. Что требуется от роут-сервера? Мощь control plane. Что могла предложить циска пару-тройку лет назад? А ничего. 7200 слаб (если мне память не изменяет, NPE-G2 на уровне одноядерного четвертого пентиума), каталисты еще слабее, CRSы — слишком дорого и излишне под такое, да и тоже не фонтан. Сейчас есть ASRы, запросто переваривающие по 30 миллионов маршрутов. Они на современных интеловских 4-ядерниках. И их сейчас активно ставят по IXам.
в рамках RFC 2332.

Ух ты. В рамках RFC, которому лет 15. И который рассматривает лишь один из протоколов, на которых базируется концепция DMVPN. Я могу узнать, по какой причине вы решили откопать этого динозавра, и вообще с какой стати надо ориентироваться на RFC при обсуждении технологий? RFC априори содержат описания устаревших технологий, потому что эта схема работает по принципу:
1) Вендор реализует технологию, желательно — на паре разных платформ.
2) Вендор показывает рабочей группе, что «оно работает», и там уже начинают писать стандарты.
3) Другие вендоры имплементируют технологию.
От первого до третьего пункта могут пройти годы,
и собрать из этого новый QinQ и перемаркировав vlan'ы. после чего всё это передать через интернеты.

QinQ через интернеты? Я правильно вас понял? Это какое-то очень сильное колдунство…
простите, но как из

Нет. Вам дали аргумент. Вы сказали «не нужно».

следует
Следовательно, с изначальным утверждением вы согласны

и тем более
иначе я получил бы от вас список фич софтороутеров.


?
я лишь согласился с очевидным 80/20 и попросил обосновать утверждение
Исходя из того, что Vyatta, условно, не имеет 80% функционала нормальных роутеров


тем более я выше писал, что не вижу смысла сравнения по фичлистам.

вообще с какой стати надо ориентироваться на RFC при обсуждении технологий?


а какой смысл вообще в сравнении чего-то, что есть у одного единственного вендора?
с таким же успехом можно требовать поддержку babel в cisco.

QinQ через интернеты? Я правильно вас понял? Это какое-то очень сильное колдунство…

ну хорошо, просто через ip-сеть. покажете на ISR?
но как из… следует

Легко и непринужденно. Если в ответ на перечень функционала вы сказали не «у меня это тоже есть», а «ну и что, все равно никто этим не пользуется», то очевидно, что вы согласны с изначальным утверждением.
я лишь согласился с очевидным 80/20 и попросил обосновать утверждение «Vyatta, условно, не имеет 80% функционала нормальных роутеров»

Если Vyatta имеет 20% функционала взрослых, то методом вычитания мы получаем, что Vyatta не имеет 80% функционала взрослых. Математика, 3-й класс.
а какой смысл вообще в сравнении чего-то, что есть у одного единственного вендора?

Только в этом и есть смысл. А какой смысл сравнивать стандарт, который есть у всех в одинаковом виде? Самый вкусный функционал всегда опережает стандарты и потому является уникальным для вендоров.
с таким же успехом можно требовать поддержку babel в cisco.

Пожалуйста, требуйте. Имеете право, кладете один балл себе в копилку. В ответ я упомяну EIGRP, LISP, RPL (RFC 6553), FabricPath (ну не совсем роутинг, но похоже) и с натяжкой ODR (убого, но как бы тоже протокол маршрутизации).
ну хорошо, просто через ip-сеть

QinQ через IP-сеть? Все равно очень сильное колдунство.
Если в ответ на перечень функционала вы сказали не «у меня это тоже есть», а «ну и что, все равно никто этим не пользуется», то очевидно, что вы согласны с изначальным утверждением.


вот как раз этот момент «очевидно» я и прощу пояснить.

Если Vyatta имеет 20% функционала взрослых, то методом вычитания мы получаем, что Vyatta не имеет 80% функционала взрослых.


угу. а еще, что таких случаев, когда нужны возможности взрослых — всего 20%

QinQ через IP-сеть? Все равно очень сильное колдунство.


why not?
вот как раз этот момент «очевидно» я и прощу пояснить.

Но вы уже пояснили: «я лишь согласился с очевидным 80/20».
На всякий случай: вы хорошо себя чувствуете? Может, перенести холивар на другое время? :)
а еще, что таких случаев, когда нужны возможности взрослых — всего 20%

Несомненно. Большинство контор вообще прекрасно обходится одним-единственным стабильно работающим дэлинком («стабильность» для них равносильно «зависает не чаще раза в месяц»), который по совместительству является шлюзом в интернет. Им не нужны ни OSPF, ни BGP. Но с ними все понятно, потому мы их не обсуждаем.
why not?

Наверное, потому что QinQ является L2 инкапсуляцией, и инкапсулирующий заголовок (.1q) сорвет на первом же маршрутизаторе, и именно поэтому использование QinQ в интернете или любой IP (маршрутизируемой) сети является неимоверно сильным колдунством ;)
level3,
И все таки, с какими задачами по вашему не может справится vyatta?
Если хотите я пару статей в recovery mode про Vyatta Altell neo 1.5.1 напишу, которые наглядно показывают на то что vyatta как раз таки может!!!
Проскрольте ленту, там все уже обсудили. Я немного из другого сектора (ISP/ Enterprise) туда Vyatta как собаке 5я нога нужна. Говорить о том что в маршрутизаторе есть BGP/OSPF/VRRP это все равно что хвалить машину и говорить что у нее есть функция ездить.
Базовые вещи да, а если нужно роутмап сложный или PBR то все, приехали. Vyatta может для NAT и подходит, мне нужен был MPLS, после просмотра альтернативных предложений оказалось что только микротик с горем пополам его сапортит. Кстати на наге есть еще хорошая тема о A10 который делает 150 гигабит ната в 1юните, если не брать во внимание предысторию с вьетнамским сапортом то снова оказывается что софтовые решения проигрывают :)
Насчет PBR не сталкивался, но не вижу причин. по которым бы оно не работало.
MPLS на софтовом решении — это уже само по себе странно, не находите? Когда оператор дорастает до MPLS, он уже должен иметь возможность позволить себе аппаратное (или псевдоаппаратное) решение. Тем более, железо с поддержкой MPLS/VPLS уже довольно доступное по цене.

>A10 который делает 150 гигабит ната в 1юните
Стоимость в пересчете на гиг трафика при этом какая получается?) Что-то мне подсказывает, что зело высокая… Ну и плюс проблемы традиционные с GRE/FTP/PPTP и тыды.
MPLS на софтовом решении — это уже само по себе странно, не находите?

Нисколько, это раньше MPLS был чем-то дорогим и энтерпрайзным, сейчас поддержка mpls есть в любом ISR роутере от Cisco и в любой 50$ коробочке от mikrotik. MPLS это не что-то до чего «доростают», это просто удобное решения многих задач без костылей и синей изоленты :)

Самый хороший пример это MPLSo GRE/MGRE. Очень удобная штука для небольшой компании у которой есть десяток офисов в разных местах и которые хотят получить нормальную связность со всеми прелестями MPLS'а.
А вот нифига. Как речь заходит о коммутаторах с поддержкой MPLS, так сразу всё становится печально. Мы в итоге в Питере взяли Extreme с его ERPS (EAPS) в качестве кольца.
Ой-вей. MPLS (VPWS/VPLS) на экстримах работает. Проверено. С джуниперами все печальнее, но у них, по факты, L3 на коммутаторах убог для ISP.
EAPS — это про другое. Как бы ПиН (вы из ПиН, я не ошибся?) не любили L2-кольца, это гораздо менее гибкая технология, внедрять которую в живую сеть — очень болезненно (знаем, плавали). В случае сложной операторской сети MPLS выглядит гораааздо лучше.
Нет, я не из ПиНа.
Что MPLS на Extreme работает, сомнений нет. Проблема в том, что стоимость MPLS-коммутаторов Extreme существенно выше стоимости EAPS'ных. В условиях большого города проще и дешевле взять дополнительно волокон/лямбд, чем разворачивать MPLS. ;)
Ну как вам сказать… во-первых, зависит от скидок по GPL и возлагаемых задач. Например, x670 — офигенный 10G коммутатор с l3-фаршем. При сравнимом с ex4500 ценником по возможностям он гораздо шире.
x460 — тоже вполне себе неплохое решение с возможностью расширения до 6x10G.
Но да, можно строить EAPS-домены. Возможно, для каких-то сетей это оправдано. Но реальность такова, что от L2 все же стараются отходитть.
x670 юзаем, да.
х460 на момент покупки ещё не было.
Ну хорошо, по части MPLS, возможно, адекватных софтовых решений (пока) нет.
В остальном — см выше)) Сравнивать впрямую софтовые и аппаратные решения глупо, разные задачи все же
>Самый хороший пример это MPLSo GRE/MGRE. Очень удобная штука для небольшой компании у которой есть десяток офисов в разных местах и которые хотят получить нормальную связность со всеми прелестями MPLS'а.

vxlan, не?
Мягкое с теплым не путайте, VXLAN нужна только для VM mobility и то как показывает практика идея была хреновая более чем полностью и многие перехоят на L3 внутри гипервизоров.
Начнем с того, что VXLAN опирается на L3 мультикаст, а также это просто решение для растягивания L2, что всегда и без исключений есть зло.

Можете объяснить, как данная технология поможет в случае объединения расположенных в разных локациях площадок? Вы хотите организовать один L2 сегмент на десяток офисов?
Only those users with full accounts are able to leave comments. Log in, please.