Сотка на аксесс для пользователей — выше крыши. На аплинк — несколько агрегированных гигабитов для фиксированных свитчей либо 10G для модульных. Никто не выдает пользователям гигабиты.
У нас на типичном аксессе 4510R, нередко со старенькими supV, 100mb портов в среднем по 300-350 на шасси, аплинки 2 или 4 гигабита. Ни разу нигде не было даже намека на congestion.
Гигабитные порты скорее стоит выдавать не самым требовательным серверам. И вот тут должны быть очень серьезные проблемы с головой, чтобы ставить дэлинки на мало-мальски критических направлениях.
Тем более что у упомянутого DGS-3120-48TC нет ни одного 10G аплинка. Это уже даже не смешно. Oversubscription будет явно выше феншуйного 1/3…
Я и говорю «адские костыли, которые могут сработать» :)
Ну крайне некрасивое решение, засоряющее чакры и портящее карму. Однако — да, не вижу особых технических препятствий. Преимущества использования балансировщика на месте (распределение нагрузки, фейловер и плавное выведение систем из эксплуатации), части недостатков нет.
Сарказм неуместен. Вы изобразили вполне типичную задачу глобальной балансировки и предложили абсолютно неуместное решение. Может, лучше было бы рисовать на карте города?
А я поддерживаю.
Метод «не чини то, что не сломано» всегда ведет к огромной головной боли. Например, руководствуясь этим методом, нельзя ставить патчи, если вроде как ничего не глючит…
Хотя с подразделением в влан я возможно перегибаю. Но компанию в влан — однозначно.
Тут уж надо бы даже не VLANами, а VRFами разделять, с файрволом посередке… А если вопрос ограничения доступа не стоит, то есть простейшие механизмы, позволяющие исключить такие атаки. DHCP snooping, IP source guard, DAI и так далее. Суммарно: невозможно поднять свой DHCP сервер, невозможно настроить на компьютере адрес статически, невозможно арп спуфингом нарушить работу сети у других и т.д.
На самом деле, можно и сделать копию печати по оттиску, и подделать подпись. Экспертизу ни то, ни другое не пройдет (а печать без валидной подписи тоже не годится). Так что сомневаюсь, что само по себе воровство печати организации способно вызвать эпический факап.
А по поводу печати: работал я в одном из крупнейших банков. Нужно было впервые поставить печать на материальном пропуске. Мне объяснили, как нужно действовать. Итак: подхожу к указанному столу, бормочу «здрасьте», хватаю со стола печать банка, штампую бумажки, возвращаю печать и ухожу. Владелица печати на меня даже не посмотрела.
А вот человек, совершивший глупость вида «можно мне поставить печать?», потерял минут 5 на объяснениях по поводу «что это за бумаги?».
И еще попутно замечание. То, что нарисовано на самой первой картинке — абсолютный пи**ец. Так никто никогда не делает. А американец попадает на американский сервер через расположенный в Африке ACE? Ладно еще две площадки в пределах города с толстыми каналами между ними…
Реальное решение подобной задачи — DNS балансировщики вида Cisco GSS. В то время как ACEы оперируют физическими серверами и VIPами, GSS оперирует сразу ЦОДами. Получив от американца запрос на www.site.com, он поймет по IP адресу вопрошающего, где тот проживает, и вернет адрес расположенного в США VIPа (с маленьким или нулевым TTL). Попутно он общается с ACEами и опрашивает их о статусе. Если, допустим, в США и в России стоят по ферме из двух серверов, и один из штатовских серверов навернулся, то GSS может изменить пропорции нагрузки так, чтобы побольше запросов уходило в Россию.
Разумеется, все крупные интернет-компании задействуют DNS балансировщики в качестве первичной меры распределения запросов, и только потом в дело вступают нормальные лоадбалансеры.
Ну например стандарт PCI DSS (который в последнее время вызывает у меня сильную мигрень) требует, чтобы все неиспользуемые на коммутаторах порты непременно были отключены. И, по-моему, там требуется проверка здоровья подключаемых к сети компьютеров (доменный ли комп, кто залогинился, какая дата у антивирусных баз, применены ли такие-то политики, стоит ли такой-то софт и т.д.), иначе не пущать практически никуда (реализуется либо отдельным VRFом для NAC, либо портовым ACL для ISE). Хотя тут не уверен, нам это в требованиях не писали, но у нас это и так развернуто.
Защита портов коммутатора и L2 — на самом деле весьма здравая идея, о которой действительно мало кто заботится.
Есть еще один механизм балансировки. Он кошмарен. Он настолько кошмарен, что занимает почетное второе место в моем рейтинге «адские костыли, которые могут сработать». Оно может сэкономить массу ресурсов балансировщика, если не требуется анализ трафика в обоих направлениях, и при огромных объемах трафика от сервера к клиенту. И он не скрывает от сервера адрес клиента.
Я вот использую старенький Galaxy Tab P1000 для просмотра записей разных вебинаров, видеолекций и т.д. в метро. У него достаточно большой экран, чтобы можно было без проблем все разглядеть. При этом он достаточно легкий, чтобы держать его по полчаса в одной руке без утомления. Экран IPS. Встроенный аппаратный декодер всеядный, я для него жму видео в h.264 high@5.1 с динамическим битрейтом (в 4-часовой записи вебинара звук битрейтом 32кб/с занимает около 80% места в контейнере, очень экономично).
Лопата-айпад, как и все громадные 10" устройства, даром не нужна.
Хотя вот деду я когда-то подарил первый Asus Transformer под интернет. До этого человек вообще никогда не работал на компьютерной технике, не умел отправлять СМС и с трудом ориентировался в меню простейшего нокиевского глупофона. Сейчас очень бодро серфит просторы интернета, временами делится интересными ссылками, слушает на ютубе старые песни, смотрит всякие «гражданин поэт». Бабка на него постоянно ворчит за то, что уже 12 ночи — а он с планшетником возится :)
А еще можно добавить, что и L3 свитчи могут обрабатывать пакеты программно. В случае с моим любимым Cat6500 это происходит для всего, что идет либо от свитча, либо к нему. И есть несколько способов накосячить в конфигурации так, что даже транзитные пакеты будут переданы методом process switching (т.е. без содействия аппаратной логики). Думаю, понятно, что это крайне нежелательно — производительность падает радикально. И если процессор перегрузится, то начнется свистопляска.
А никто не сможет дать внятный ответ, если рассматриваем топовые (действительно топовые — от сотен тысяч до миллионов долларов) железки. Ну вроде той, про которую топик.
С совсем бюджетными все просто. Свитч позволяет очень быстро общаться в пределах подсети, а роутер может гораздо медленнее передавать пакеты из одной подсети в другую. Это максимально просто выражаясь. У свитча за передачу пакетов отвечает специализированная логика (зовется ASIC в цискиной терминологии), а у роутера каждый пакет проходит через обычный процессор общего назначения (MIPS, ARM или даже x86). У свитча такой процессор тоже есть, но он отвечает лишь за конфигурирование ASICов, ну и за доступ с целью администрирования. Сами пакеты минуют процессор.
А затем появляется мутное семейство L3 свитчей. Стоят они куда дороже L2шных, и наделены функционалом роутера, только имеют недосягаемую для роутера производительность и чаще всего меньший функционал (все операции, связанные с передачей пакета, реализованы аппаратно, потому чем больше железка может, тем дороже стоят составляющие ее чипы, тут как правило не обойтись простым добавлением новых фич в прошивку). Топик как раз про L3 свитч.
Но есть и топовые роутеры вроде упомянутой линейки CRS. Архитектурно — не имеет ничего общего с бюджетными роутерами и потому фактически являются L3 свитчами (ибо пакеты передаются ASICами), только с еще более навороченной аппаратной логикой, с еще большим числом возможностей по части манипуляций с пакетами. Но различия все-таки лишь количественные, ничего качественно другого там нет.
Потому обычно разделение «свитч-роутер» происходит по принципу «будут ли к железке подключаться конечные устройства?». Если да, назовем его «свитч», даже если он прекрасно умеет маршрутизировать. Если нет — скорее роутер. Но все это очень условно и имеет массу исключений.
У нас на типичном аксессе 4510R, нередко со старенькими supV, 100mb портов в среднем по 300-350 на шасси, аплинки 2 или 4 гигабита. Ни разу нигде не было даже намека на congestion.
Гигабитные порты скорее стоит выдавать не самым требовательным серверам. И вот тут должны быть очень серьезные проблемы с головой, чтобы ставить дэлинки на мало-мальски критических направлениях.
Тем более что у упомянутого DGS-3120-48TC нет ни одного 10G аплинка. Это уже даже не смешно. Oversubscription будет явно выше феншуйного 1/3…
Ну крайне некрасивое решение, засоряющее чакры и портящее карму. Однако — да, не вижу особых технических препятствий. Преимущества использования балансировщика на месте (распределение нагрузки, фейловер и плавное выведение систем из эксплуатации), части недостатков нет.
Метод «не чини то, что не сломано» всегда ведет к огромной головной боли. Например, руководствуясь этим методом, нельзя ставить патчи, если вроде как ничего не глючит…
Тут уж надо бы даже не VLANами, а VRFами разделять, с файрволом посередке… А если вопрос ограничения доступа не стоит, то есть простейшие механизмы, позволяющие исключить такие атаки. DHCP snooping, IP source guard, DAI и так далее. Суммарно: невозможно поднять свой DHCP сервер, невозможно настроить на компьютере адрес статически, невозможно арп спуфингом нарушить работу сети у других и т.д.
А по поводу печати: работал я в одном из крупнейших банков. Нужно было впервые поставить печать на материальном пропуске. Мне объяснили, как нужно действовать. Итак: подхожу к указанному столу, бормочу «здрасьте», хватаю со стола печать банка, штампую бумажки, возвращаю печать и ухожу. Владелица печати на меня даже не посмотрела.
А вот человек, совершивший глупость вида «можно мне поставить печать?», потерял минут 5 на объяснениях по поводу «что это за бумаги?».
Реальное решение подобной задачи — DNS балансировщики вида Cisco GSS. В то время как ACEы оперируют физическими серверами и VIPами, GSS оперирует сразу ЦОДами. Получив от американца запрос на www.site.com, он поймет по IP адресу вопрошающего, где тот проживает, и вернет адрес расположенного в США VIPа (с маленьким или нулевым TTL). Попутно он общается с ACEами и опрашивает их о статусе. Если, допустим, в США и в России стоят по ферме из двух серверов, и один из штатовских серверов навернулся, то GSS может изменить пропорции нагрузки так, чтобы побольше запросов уходило в Россию.
Разумеется, все крупные интернет-компании задействуют DNS балансировщики в качестве первичной меры распределения запросов, и только потом в дело вступают нормальные лоадбалансеры.
Защита портов коммутатора и L2 — на самом деле весьма здравая идея, о которой действительно мало кто заботится.
А я бы посочувствовал. Навернулся свитч-ядро, и капут. Надобно сразу два ставить. Даже не в горячий резерв, а на параллельную работу.
Зачем?
Вот настройка на примере балансера F5 и APP-V (применимо к ACE и любому другому серверу).
devcentral.f5.com/weblogs/rkorock/archive/2011/10/14/1098435.aspx
Да он даже на простейшие вопросы не может дать ответ… В отличие от гугла.
Лопата-айпад, как и все громадные 10" устройства, даром не нужна.
Хотя вот деду я когда-то подарил первый Asus Transformer под интернет. До этого человек вообще никогда не работал на компьютерной технике, не умел отправлять СМС и с трудом ориентировался в меню простейшего нокиевского глупофона. Сейчас очень бодро серфит просторы интернета, временами делится интересными ссылками, слушает на ютубе старые песни, смотрит всякие «гражданин поэт». Бабка на него постоянно ворчит за то, что уже 12 ночи — а он с планшетником возится :)
С совсем бюджетными все просто. Свитч позволяет очень быстро общаться в пределах подсети, а роутер может гораздо медленнее передавать пакеты из одной подсети в другую. Это максимально просто выражаясь. У свитча за передачу пакетов отвечает специализированная логика (зовется ASIC в цискиной терминологии), а у роутера каждый пакет проходит через обычный процессор общего назначения (MIPS, ARM или даже x86). У свитча такой процессор тоже есть, но он отвечает лишь за конфигурирование ASICов, ну и за доступ с целью администрирования. Сами пакеты минуют процессор.
А затем появляется мутное семейство L3 свитчей. Стоят они куда дороже L2шных, и наделены функционалом роутера, только имеют недосягаемую для роутера производительность и чаще всего меньший функционал (все операции, связанные с передачей пакета, реализованы аппаратно, потому чем больше железка может, тем дороже стоят составляющие ее чипы, тут как правило не обойтись простым добавлением новых фич в прошивку). Топик как раз про L3 свитч.
Но есть и топовые роутеры вроде упомянутой линейки CRS. Архитектурно — не имеет ничего общего с бюджетными роутерами и потому фактически являются L3 свитчами (ибо пакеты передаются ASICами), только с еще более навороченной аппаратной логикой, с еще большим числом возможностей по части манипуляций с пакетами. Но различия все-таки лишь количественные, ничего качественно другого там нет.
Потому обычно разделение «свитч-роутер» происходит по принципу «будут ли к железке подключаться конечные устройства?». Если да, назовем его «свитч», даже если он прекрасно умеет маршрутизировать. Если нет — скорее роутер. Но все это очень условно и имеет массу исключений.