1. Тогда и MetaFabric от Juniper, если о VCS от Brocade. Мухи с мухами, котлеты с котлетами. А к TRILL подходит SPB, который вы отчего-то игнорируете.
2. «Разграничение на L3» взаимоисключает «TRILL позволяет… объединять распределенные дата-центры в единую L2-сеть».
OTV + FabricPath — прошлый век, сейчас в моде (в том числе и у Cisco) EVPN, а OTV переведут на VXLAN, чтобы был, как EVPN.
Возможно, ваш пост не о том, как бывает, а о том, как вы сделали. Но тогда я не понимаю, к чему отсылки к QFabric и TRILL, объединяющий датацентры, соединенные по L3.
TRILL – общепринятый стандарт, у которого быстро появились вендорские варианты: FabricPath от Cisco (который используем мы) и QFabric от Juniper.
Почему вы считаете QFabric вариантом TRILL? Начните с того, что QFabric это не протокол.
FabricPath — это предстандарт TRILL — проприетарное решение Cisco, несовместимое с TRILL и в следующем поколениее линейке Nexus (9К) его просто нет.
Еще TRILL позволяет… объединять распределенные дата-центры в единую L2-сеть
Первый же флуд (или ваш шторм) полетит в соседний ЦОД. Не делайте так. Инженеры Cisco не рекомендуют делать DCI на FabricPath.
А как же SPB? Простой, открытый протокол. Не требует специальных ASIC, в отлшичии от TRILL.
Простите, но, по-моему, вы вцепились в один нюанс защиты от DDoS. Например, flx упомянул атаки типа Infrastructure. Почему вы не пишите, что абсолютно все защитники от DDoS не доводят до вас, что вам необходимо проверить, не открыт ли, например, SNMP на бордерах ваших аплинков? Допустим, вы закрыли всё с помощью firewall, ваши аплинки блэкхолят весь неправильный трафик, но в один момент на их бордерах возрастает CPU до 100%, они теряют пиры и ваш ресурс лежит от DDoS. А SNMP это только капля в море возможных нюансов.
В сети можно найти фото двух сторон банковских карт. На сайте вашего любимого банка в разделе «как легко и быстро получить карту с доставкой» написано про опасности размещения фото карты в социальных сетях?
В сети можно найти много открытых сетевых жестких дисков на public IP. Производители дисков не договаривают?
Список «недоговариваний» можно продолжать очень долго и не только про Интернет.
В защиту именно Qrator хочу сказать, что они (по-моему, единственные в стране) бесплатно и часто делятся своей статистикой по DDoS, что помогает правильно готовиться к атакам.
Для увеличения надежности можно было бы использовать маршрутизаторы и коммутаторы не одного производителя, а двух разных, чтобы программный баг не положил задублированное одинаковое оборудование.
Соглашусь. Еще можно вспомнить, что скорость IP трафика меньше скорости интерфейсов (плата за заголовки фреймов). Мне это напоминает общение с представителями Huawei: своими догадками и фантазиями я рассказываю, как их оборудование работает (возможно).
Хочется услышать ответ от первоисточника.
Полоса не должна делиться на 10 ровно. Хочу яснее представить вашу сеть и связность. Если 75 — это не покупаемая полоса (что емеет смысл, так как редкие атаки и резервное копирование могут проходить бесплатно для вас при тарификации burstable), то это очень похоже на физическую полосу включений. Набирать 75 гигабитными портами дорого, неэффективно и просто скучно. Правильнее 75 сделать из 7 «десяток» и 5 гигабит. Но и 5 гигабит надежнее и правильнее с точки зрения трафика заменить на одну «десятку». Число 8 изящно делятся на 2 и можно сделать резервирование по платам, или коробкам, или трассам и так далее. В этом я и вижу странность 75 гигабит.
В двух ЦОД ваших коллег в комнаты поддержки так же стеснительно отодвигая плитку потолка входят кабеля :)
Клиентам дата-центра будет доступна интернет-полоса суммарной пропускной способностью 75 Гбит/с
«Будет» или «доступна»?
Полагаю, при вашей суммарной утилизации (по всем ЦОД) до 18-20 Гбит/с вы не покупаете полосу 75, так как в этом нет смысла. Странное число 75: на 10 ровно не делится.
Я не знаю тонкостей, но беглый поиск в любимом поисковике выдает нескольковариантов, а так же принцип работы на пальцах:
Еще сложнее обстоит ситуация, когда звонок абоненту, воспользовавшемуся MNP, придет не от сотового оператора. Например, вызов могут совершить из сети фиксированной связи, оператор которой не установил SFR-систему, или от зарубежного оператора или роуминг-партнера, который вообще не в курсе российских особенностей MNP.
В этой связи сотовым операторам разрешили заняться пропуском трафика от других сетей (соответствующие поправки правительство приняло на этой недели). При вышеописанной схеме звонок пойдет к «оператору-донору», который определит, в какой сети сейчас обслуживается данный абонент, и перенаправит туда вызов. После этого «оператор-донор» выставит счет за пропуск трафика оператору, инициировавшему вызов.
С удовольтсвием почитаю рассказы, как работают звонки с зарубежных операторов на перенесенный номер (sprat пишет, что skype пока не работает) и как будет работать и сколько стоить междугородний и международный роуминг. Оператор-донор должен же возместить себе свои расходы за пропуск трафика между перенесенным номер и оператором-реципиентом.
Я часто встречаю людей за 40, которые сидят на тарифах пятилетней или даже десятилетней давности (которые были дороже и которые операторы уже «оптимизировали»). Им не хочется разбираться в новых тарифах, для них это очень далеко. Разбираться в переводе номера, в том, что в 2 часа ночи нужно будет сменить SIM, а еще 6 часов могут быть перебои, возможно, им тоже не захочется.
А вот привлекать новых активных, «молодых», клиентов путем переманивания от конкурентов ОпСоСам, возможно, как раз и захочется. Т.е. для новых абонентов плюшки могут остаться, а старым еще что-нибудь «оптимизируют».
Я думаю, когда на одном из двух вводов работать нельзя по причине, например, нагрузки, то это значит, что резерва по лучам нет: выход из строя одного всегда влечет за собой вывод другого.
Я не критикую ваши ДЦ и опыт, просто хочу понять смысл.
Что такое RETN-IX? Если верить Google, то это сочетание символов встречается только при упоминании вас.
Электроэнергия от городской сети в NORD подается по двум независимым лучам, т.е электроснабжение дата-центра зарезервировано по схеме 2N. Если происходит сбой хотя бы на одном луче, то дата-центр автоматически переходит на энергоснабжение с помощью 9 дизель-генераторных установок (ДГУ). Пока ДГУ включаются в работу, электроснабжение в дата-центре осуществляется с помощью источников бесперебойного питания (ИБП).
2 независимых луча не резервируют друг друга, поэтому при сбое хотя бы одного луча переходите на ДГУ?
Прекрасное устройство для применения взлома через зарядку в больших масштабах. Вставляют же скиммеры в банкоматы и ловят карточки. Почему бы не модифицировать зарядные столбы.
У Вас все коммутаторы на схеме с поддержкой L3. Можно подробнее? Про операторов, как я понимаю, этим BGP занимается. Что терминирует IP в ДЦ1 и как это резервируется?
2. «Разграничение на L3» взаимоисключает «TRILL позволяет… объединять распределенные дата-центры в единую L2-сеть».
OTV + FabricPath — прошлый век, сейчас в моде (в том числе и у Cisco) EVPN, а OTV переведут на VXLAN, чтобы был, как EVPN.
Возможно, ваш пост не о том, как бывает, а о том, как вы сделали. Но тогда я не понимаю, к чему отсылки к QFabric и TRILL, объединяющий датацентры, соединенные по L3.
На фото голубые коннекторы в коммутатор — это Panduit Push-Pull. Изящное решение.
Почему вы считаете QFabric вариантом TRILL? Начните с того, что QFabric это не протокол.
FabricPath — это предстандарт TRILL — проприетарное решение Cisco, несовместимое с TRILL и в следующем поколениее линейке Nexus (9К) его просто нет.
Первый же флуд (или ваш шторм) полетит в соседний ЦОД. Не делайте так. Инженеры Cisco не рекомендуют делать DCI на FabricPath.
А как же SPB? Простой, открытый протокол. Не требует специальных ASIC, в отлшичии от TRILL.
Простите, но, по-моему, вы вцепились в один нюанс защиты от DDoS. Например, flx упомянул атаки типа Infrastructure. Почему вы не пишите, что абсолютно все защитники от DDoS не доводят до вас, что вам необходимо проверить, не открыт ли, например, SNMP на бордерах ваших аплинков? Допустим, вы закрыли всё с помощью firewall, ваши аплинки блэкхолят весь неправильный трафик, но в один момент на их бордерах возрастает CPU до 100%, они теряют пиры и ваш ресурс лежит от DDoS. А SNMP это только капля в море возможных нюансов.
В сети можно найти фото двух сторон банковских карт. На сайте вашего любимого банка в разделе «как легко и быстро получить карту с доставкой» написано про опасности размещения фото карты в социальных сетях?
В сети можно найти много открытых сетевых жестких дисков на public IP. Производители дисков не договаривают?
Список «недоговариваний» можно продолжать очень долго и не только про Интернет.
В защиту именно Qrator хочу сказать, что они (по-моему, единственные в стране) бесплатно и часто делятся своей статистикой по DDoS, что помогает правильно готовиться к атакам.
Когда-то это звучало смешно.
Хочется услышать ответ от первоисточника.
В двух ЦОД ваших коллег в комнаты поддержки так же стеснительно отодвигая плитку потолка входят кабеля :)
«Будет» или «доступна»?
Полагаю, при вашей суммарной утилизации (по всем ЦОД) до 18-20 Гбит/с вы не покупаете полосу 75, так как в этом нет смысла. Странное число 75: на 10 ровно не делится.
С удовольтсвием почитаю рассказы, как работают звонки с зарубежных операторов на перенесенный номер (sprat пишет, что skype пока не работает) и как будет работать и сколько стоить междугородний и международный роуминг. Оператор-донор должен же возместить себе свои расходы за пропуск трафика между перенесенным номер и оператором-реципиентом.
А вот привлекать новых активных, «молодых», клиентов путем переманивания от конкурентов ОпСоСам, возможно, как раз и захочется. Т.е. для новых абонентов плюшки могут остаться, а старым еще что-нибудь «оптимизируют».
Я не критикую ваши ДЦ и опыт, просто хочу понять смысл.
Когда откажет второй луч, то переходить на батарейки, а с них на ДГУ. Иначе, зачем вам 2 луча?
Я думаю, что тут нужно смотреть на вероятность, что чаще происходит:
1. последовательное отключение 2 вводов
2. отключение только одного ввода.
А насчет RETN-IX? Очень интересный термин.
2 независимых луча не резервируют друг друга, поэтому при сбое хотя бы одного луча переходите на ДГУ?