RouterOS jako hraniční IPv4/IPv6 router v NIXu

[zdenek.svarc]

Každý, kdo bude zvažovat technické aspekty vstupu do NIXu, se zákonitě dostane k otázce vhodnosti nasazení RouterOS jako hraničního routeru. V NIXu působíme od roku 2005 a můžu zodpovědně prohlásit, že za tuto dobu nás RouterOS nikdy nenechal na holičkách. Naše agregované toky se pohybují ve špičkách okolo 800 Mbit/s a průtok do NIXu umí kulminovat okolo 500 Mbit/s běžného internetového toku (cca 100.000 paketů/s). Zatížení 3,2 GHz CPU se ve špičkách pohybuje okolo 25%. Hraniční router má vypnutý connection tracking a běží na něm pouze BGP a OSPF routing. V současnosti jedeme na verzi 4.9.

Z nedostatků lze vzpomenout pouze nefunkčnost MD5 u BGP peeru ve verzích cca 3 roky starých a druhá, bohužel současná nepříjemnost, v podobě nemožnosti zadat IPv6 adresu v některých BGP dialozích ve Winboxu. Pomůže CLI.

Nejsme vystaveni před nikterak náročné routovací konstrukce, proto jsme si vždy s implementací BGP v RouterOS vystačili. Jediným důvodem, proč bychom někdy v budoucnu měli platformu změnit, by byla hardwarová nedostatečnost související s nárůstem síťového toku, resp. nedostupností vysokorychlostních ethernetových adaptérů.

Z.

[shimmi]

No, jsme holt světová specialita, každý ISP s 2k lidí, hurá na vlastní AS, Cisco je drahý, dáme mikrotik

[zdenek.svarc]

2000 zákazníků, to dnes u běžného ISPčka (FTTx/WIFI) znamená průtok okolo 500 Mbit/s jak nic. Tedy číslo, kterého dosahovali velcí operátoři před pár lety. Jaký důvod se od té doby objevil, proč by operátoři této velikosti už neměli chtít vlastní AS?

Cisco. Myslíte si, že když má operátor na to, aby financoval FTTH s desetiletou návratností, že nemá na financování Cisco routeru? Nebo snad vnímáte brand Cisco jako má Apple? Tohle není spotřební elektronika, tohle jsou telekomunikace. Nechci Cisco k vůli společenskému statusu. Cisco chci k vůli výkonu, podpoře, homogenitě. A to jsou přesně ty důvody, proč malí operátoři šáhnou po RouterOS. Na routování stovek megabitů nebo gigabitů nepotřebují ASIC ani QuantumFlow, podporu mají ve velké komunitě a homogenita dosahuje od AP až po hraniční router. To není vítězství nouze, ale racionality.

Mimo téma. Vzpomínáte, jak se před pár lety všichni posmívali Huawei? Hádejte, na čem dneska jedou všechny ty slavné české 3G sítě. Píše se rok 2010 a Ericsson a Nokia Siemens Networks si ani neškrtli. Stejně to může za chvíli dopadnout v některých tržních segmentech, kde se potkává Huawei a Cisco. V carrier segmentu už dávno dostává Cisco na zadek od Juniperu. Cisco zkrátka není žádný zlatý grál.

Z.

[Jardax]

Taky mame vsechno na Huawei
Nemuzu si stezovat, je to drzak.
Btw mi zbyly z jednoho projektu nejake AR46, kdyby to nekoho zajimalo. 350.000 pps v te nejslabsi verzi.
I nejake AR28 by se nasly.

[Ajfel]

Zatížení 3,2 GHz CPU se ve špičkách pohybuje okolo 25%. Hraniční router má vypnutý connection tracking a běží na něm pouze BGP a OSPF routing. V současnosti jedeme na verzi 4.9.

Muzes napsat, co presne za konfiguraci to mate ?

[okoun]

2000 zákazníků, to dnes u běžného ISPčka (FTTx/WIFI) znamená průtok okolo 500 Mbit/s jak nic. Tedy číslo, kterého dosahovali velcí operátoři před pár lety. Jaký důvod se od té doby objevil, proč by operátoři této velikosti už neměli chtít vlastní AS?

trochu offtopic, ale na 2000 zákazníků má tady místní "velký isp" linku 80 Mb/s
ono totiž v lokalitách, kde nejsou dobře dostupné konekty tak i 100 Mb/s je luxus

[zdenek.svarc]

Muzes napsat, co presne za konfiguraci to mate ?

/system resource> print
uptime: 20w2d7h26m37s
version: "4.9"
free-memory: 1842748kB
total-memory: 1945772kB
cpu: "Intel(R)"
cpu-count: 2
cpu-frequency: 3166MHz
cpu-load: 22
free-hdd-space: 23708kB
total-hdd-space: 60601kB
write-sect-since-reboot: 31710
write-sect-total: 124852
architecture-name: "x86"
board-name: "x86"
platform: "MikroTik"

/system resource pci> print
# DEVICE VENDOR NAME IRQ
0 01:03.0 XGI Technology Inc. (eXtre... Volari Z7 (rev: 0) 0
1 02:00.0 Broadcom Corporation NetXtreme BCM5721 Gigab... 10
2 03:00.0 Broadcom Corporation NetXtreme BCM5721 Gigab... 11
3 05:00.1 Intel Corporation 82571EB Gigabit Etherne... 10
4 05:00.0 Intel Corporation 82571EB Gigabit Etherne... 11
5 00:1f.3 Intel Corporation 82801G (ICH7 Family) SM... 5
6 00:1f.2 Intel Corporation 82801GB/GR/GH (ICH7 Fam... 5
7 00:1f.1 Intel Corporation 82801G (ICH7 Family) ID... 0
8 00:1f.0 Intel Corporation 82801GB/GR (ICH7 Family... 0
9 00:1e.0 Intel Corporation 82801 PCI Bridge (rev: ... 0
10 00:1d.7 Intel Corporation 82801G (ICH7 Family) US... 7
11 00:1d.2 Intel Corporation 82801G (ICH7 Family) US... 6
12 00:1d.1 Intel Corporation 82801G (ICH7 Family) US... 5
13 00:1d.0 Intel Corporation 82801G (ICH7 Family) US... 7
14 00:1c.5 Intel Corporation 82801GR/GH/GHM (ICH7 Fa... 10
15 00:1c.4 Intel Corporation 82801GR/GH/GHM (ICH7 Fa... 11
16 00:1c.0 Intel Corporation 82801G (ICH7 Family) PC... 11
17 00:01.0 Intel Corporation Server Host-Primary PCI... 11
18 00:00.0 Intel Corporation Server DRAM Controller ... 0

[zdenek.svarc]

trochu offtopic, ale na 2000 zákazníků má tady místní "velký isp" linku 80 Mb/s
ono totiž v lokalitách, kde nejsou dobře dostupné konekty tak i 100 Mb/s je luxus

Jasně. A na druhé straně, jinak vypadá agregovaný průtok FTTH providera a jinak vypadá agregovaný průtok WIFI providera, i když budou mít stejný počet zákazníků.

[Ajfel]

/system resource> print
uptime: 20w2d7h26m37s
version: "4.9"
free-memory: 1842748kB
total-memory: 1945772kB
cpu: "Intel(R)"
cpu-count: 2
cpu-frequency: 3166MHz

Ja mel spis na mysli, typ MB, CPU, ale i tak dik

[zdenek.svarc]

Je to MSI P1-102A2M (MS-9249), viz http://www.msi.com/index.php?func=prodd ... rod_no=716

Podobné stroje jsem právě nabídl v bazaru: http://www.ispforum.cz/viewtopic.php?f=2&t=6767

Z.

[Majklik]

Otázka pro ty, co jedete na ROSu BGP pro IPv4/IPv6. Na jaké verzi spolehlivě aktuálně?
Teď je nasazen ROS 3.30 a jede se jen IPv4. Jeden BPG router na x86, multihome AS. Nezbývá, než přidat podporu IPv6, tak jaké verze ROSu máte ověřeny? Dle předchozích pokusů i křiku na forum u Mikrotiku 3.30 nevypadá na vhodnou verzi. Cílový stav bude dva BGP routery (každý řešící jeden eBGP uplink jinam), ideálně něco na bázi RB1100AHx2 a za tím několik jedoucích už iBGP (tam je řada RB1000/RB1100 krabic).
Jinak, jedete někdo i BGP proti svým zkazníkům? Zákoš si provozuje vlastní privátní AS, má dvě linky a dva routery, chce propagovat k nám ten svůj malý příděl IPček (ven jde agregován v našem AS) a od nás fakticky jen defualt gate.Klásické řešení zálohy linky k jednomu ISP.

[zdenek.svarc]

Aktuálně 5.8 (http://www.nix.cz/cz/mrtg/4/2/switch_14_gi2_44). Zákaznické AS propagujeme taktéž, v rámci jednoho ze dvou jeho multihomingů. RB1000 jsme jeden čas provozovali a můžu říct že bych už do powerpc jako hraničního routeru znovu nešel. Serverová fošna + serverové sí'tovky + xeon a 2 Gbit/s běžného BGP toku (100.000 p/s) nemá absolutně problém.

[okoun]

Každý, kdo bude zvažovat technické aspekty vstupu do NIXu, se zákonitě dostane k otázce vhodnosti nasazení RouterOS jako hraničního routeru. V NIXu působíme od roku 2005 a můžu zodpovědně prohlásit, že za tuto dobu nás RouterOS nikdy nenechal na holičkách. Naše agregované toky se pohybují ve špičkách okolo 800 Mbit/s a průtok do NIXu umí kulminovat okolo 500 Mbit/s běžného internetového toku (cca 100.000 paketů/s). Zatížení 3,2 GHz CPU se ve špičkách pohybuje okolo 25%. Hraniční router má vypnutý connection tracking a běží na něm pouze BGP a OSPF routing. V současnosti jedeme na verzi 4.9.

Z nedostatků lze vzpomenout pouze nefunkčnost MD5 u BGP peeru ve verzích cca 3 roky starých a druhá, bohužel současná nepříjemnost, v podobě nemožnosti zadat IPv6 adresu v některých BGP dialozích ve Winboxu. Pomůže CLI.

Nejsme vystaveni před nikterak náročné routovací konstrukce, proto jsme si vždy s implementací BGP v RouterOS vystačili. Jediným důvodem, proč bychom někdy v budoucnu měli platformu změnit, by byla hardwarová nedostatečnost související s nárůstem síťového toku, resp. nedostupností vysokorychlostních ethernetových adaptérů.

Z.

ahoj, mohu se tě zeptat? mám problém ted nakofigurovat na CCR bgp peer NIX pro ipv4 a ipv6 prostě se to nespojí, podpora z nixu neví, prej že nezná mikrotik a prej dle jejich logů to zahazuje to naše CCRko, tak nevím co dělám špatně, routing filtry tam vůbec aplikované nejsou, nevím tedy co se kde má nastavit, ale třeba mám trnazit od dialů který má také cisco boxy a to je de jako bez problémů...

[ef]

Ahoj, pošli export, máme taky proti NIXu mikrotik sice x86 ale vše šlape. Bych to porovnal.

[okoun]

Ahoj, pošli export, máme taky proti NIXu mikrotik sice x86 ale vše šlape. Bych to porovnal.

Kód: Vybrat vše

/routing bgp instance

add as=205535 client-to-client-reflection=no name=peering_NIX out-filter=out_peer_nix router-id=91.210.16.231
/routing bgp network

/routing bgp peer

add in-filter=ipv4_peering_nix_in instance=peering_NIX name=ipv4-nix_gw2 out-filter=ipv4_peering_nix_out remote-address=91.210.16.246 remote-as=6881 ttl=default
add address-families=ipv6 in-filter=ipv6_peering_nix_in instance=peering_NIX name=ipv6-nix_gw2 out-filter=ipv6_peering_nix_out remote-address=2001:7f8:14::2 remote-as=6881 ttl=default
add in-filter=ipv4_peering_nix_in instance=peering_NIX name=ipv4-nix_rs1 out-filter=ipv4_peering_nix_out remote-address=91.210.16.1 remote-as=47200 ttl=default
add address-families=ipv6 in-filter=ipv6_peering_nix_in instance=peering_NIX name=ipv6-nix_rs1 out-filter=ipv6_peering_nix_out remote-address=2001:7f8:14::11 remote-as=47200 ttl=default
add in-filter=ipv4_peering_nix_in instance=peering_NIX name=ipv4-nix_rs2 out-filter=ipv4_peering_nix_out remote-address=91.210.16.2 remote-as=47200 ttl=default
add address-families=ipv6 in-filter=ipv6_peering_nix_in instance=peering_NIX name=ipv6-nix_rs2 out-filter=ipv6_peering_nix_out remote-address=2001:7f8:14::12 remote-as=47200 ttl=default


jinak je někdo v nixu kdo funguje i v nepracovní dny?