Router

[Robotvor]

Lidi, nechovejte se jako Vaši zákazníci

[sub_zero]

-nech si CCRko na NAT a UBNT router rizeny UCRM na shaping (je to jako skrabat se na hlave nohou, ale ucel to asi splni)
-verejky po VLANe: paklize sit bude L2, problem bych nevidel. Pokud L3, zbytecny plytvani verejek. Bud to nechat tak jak to mas nebo nasadit radius
-jiny krabice (Cisco, Jun, Hua) bude zlo na cfg shapingu. Pokud nejsi "CLI-like". A to nemluvim o integraci treba s ISP adminem (dle me sci-fi)

My mame NAT na ASR a FW+QT na MK.
On asi bude nejakej duvod, proc vsichni jedeme na x86 nebo CCRkach.

[Cheprer]

-nech si CCRko na NAT a UBNT router rizeny UCRM na shaping (je to jako skrabat se na hlave nohou, ale ucel to asi splni)
-verejky po VLANe: paklize sit bude L2, problem bych nevidel. Pokud L3, zbytecny plytvani verejek. Bud to nechat tak jak to mas nebo nasadit radius
-jiny krabice (Cisco, Jun, Hua) bude zlo na cfg shapingu. Pokud nejsi "CLI-like". A to nemluvim o integraci treba s ISP adminem (dle me sci-fi)

My mame NAT na ASR a FW+QT na MK.
On asi bude nejakej duvod, proc vsichni jedeme na x86 nebo CCRkach.

Mno právě že ubnt router na qos teoreticky nepotřebují, protože plánují shaping přenést na cpe. Takže moje otázka je hlavně jestli nechat na hraniční router který nebude dělat qos ale asi jenom drobný fw a routing tak jestli nechat ccr (výměna za 10G) nebo jestli právě netestnout ten ubnt router či jinou alternativu.
Resp ubnt router s 10G porty už stojí 40tis. Er8xg ale nikde k tomu není moc ohlasu.
Ccr1036 s 10G stojí lehce prez půlku toho ubnt ale nevím zda bude zvládat třeba 2G
1072 je podle mě pít cena 70k je mooc. To už bych právě šel do toho asr nebo nebo juniperu
Kompatibility s adminem mě moc netrápí když to stejně chci dát pric. I když bůh ví co to ucrm tam nemám ještě vše otestováno tak uvidím. Ale právě volba juniper/cisco není friendly ani pro jeden systém.
Tak mě zajímá jak to řeší všichni ostatní. Jasně že postavila x86 se stejným výkonem oproti té 1072 asi tak za půlku ne ly méně.
Protože tu vidím ze jeden jede na x86 linux,, někdo x86 MK, někdo virtual MK. Je to tak různé že nevím jaká bude nejlepší volba.
Zas dvě zařízení se mi úplně nelibý držet kvůli tomu náhradní kus taky nepraktické.

Abych definoval co tim chtel basnik rici, vzhledem k predpokladu nasazeni ucrm zvazuji ten ubnt router, MK opoustet nechci ale nejsem si uplne jist zda 1036 s 10G portem bude dostacovat na treba 2G, ale dejme tomu ze by dostacoval. Tak teoreticky nejlevnejsi varianta.
Ale hlavou mi vrta spise to ze jestli neni "lepsi" [to stale nevim] jit do ubnt routeru protoze mi jejich routery prijdou vic linux nez uzavreny MK ale podle vsech testu co sem videl jsou ubnt routery podstatne horsi co se tyka vykonu treba oproti CCR coz mi proste nejde moc dohlavy.
Pokud by ubnt byla spatna volba, ccr1036 nestacil vykonem tak uz jenom zbyva x86 coz asi nechci, nebo 1072 coz mi prijde moc drahy, to uz bych se vykaslal na user friendly a radeji tam dal cisco protoze tolik penez za produkt MK mi prijde mimo. To uz bych asi zvazil zpet x86, kde to sice budu muset nechat nekoho poskladat ale vyjde to na pulku co to ccr a vykon bude asi stejny neli lepsi. Ale zas je to o tom nekoho otravovat, nekliknes v eshopu na polozku koupit. Asi uz jsem trosku zlenivel.

[Sidi]

-nech si CCRko na NAT a UBNT router rizeny UCRM na shaping (je to jako skrabat se na hlave nohou, ale ucel to asi splni)
-verejky po VLANe: paklize sit bude L2, problem bych nevidel. Pokud L3, zbytecny plytvani verejek. Bud to nechat tak jak to mas nebo nasadit radius
-jiny krabice (Cisco, Jun, Hua) bude zlo na cfg shapingu. Pokud nejsi "CLI-like". A to nemluvim o integraci treba s ISP adminem (dle me sci-fi)

My mame NAT na ASR a FW+QT na MK.
On asi bude nejakej duvod, proc vsichni jedeme na x86 nebo CCRkach.

Mno právě že ubnt router na qos teoreticky nepotřebují, protože plánují shaping přenést na cpe. Takže moje otázka je hlavně jestli nechat na hraniční router který nebude dělat qos ale asi jenom drobný fw a routing tak jestli nechat ccr (výměna za 10G) nebo jestli právě netestnout ten ubnt router či jinou alternativu.
Resp ubnt router s 10G porty už stojí 40tis. Er8xg ale nikde k tomu není moc ohlasu.
Ccr1036 s 10G stojí lehce prez půlku toho ubnt ale nevím zda bude zvládat třeba 2G
1072 je podle mě pít cena 70k je mooc. To už bych právě šel do toho asr nebo nebo juniperu
Kompatibility s adminem mě moc netrápí když to stejně chci dát pric. I když bůh ví co to ucrm tam nemám ještě vše otestováno tak uvidím. Ale právě volba juniper/cisco není friendly ani pro jeden systém.
Tak mě zajímá jak to řeší všichni ostatní. Jasně že postavila x86 se stejným výkonem oproti té 1072 asi tak za půlku ne ly méně.
Protože tu vidím ze jeden jede na x86 linux,, někdo x86 MK, někdo virtual MK. Je to tak různé že nevím jaká bude nejlepší volba.
Zas dvě zařízení se mi úplně nelibý držet kvůli tomu náhradní kus taky nepraktické.

1036 jsem viděl na 1,3Gbit trafficu (NAT, routing) a CPU se flákalo.

[basty]

Resil jsem podobny problem, kdy jsem chtel resit centralne shaping apod. Musel by tam byt PC apod. Zalezi tam dost na topologii. Mame centralni misto optiku, kde se bere konekt, a z tohoto mista jsou rekneme 2 hlavni skoky, 1. kde je x vesnic a 2 druhy x vesnic. Pak da se rict i treti misto u toho privodu, kde je soucasne i hodne lidi a optika...

Nakonec je to tak, ze CCR jako brana, ktery dela routing, nat a shaping optiky, ktera je primo do toho (takze relativne malo QT, ktery jeste ccr zvladne).
Pak v tom miste je 4011, ktera sbira v miste privodu bezdraty a shapuje tu vetsi vesnici z bezdratem.
Pak jsou spoje do tech 2 lokalit, kde jsou na kazdym 4011, ktery shapujou ty vsechny vesnice co jsou za tim.
Tokama nam to vychazi ze to jede 10-20%. Kdyz nebude stacit vymeni se za nejaky CCRko levny.

Takze shaping resime centralne, ale pro dane oblasti. Coz si myslim ze je jeste v poradku. Defakto jsou 2 mista napojeny hodne kapatitne, takze se to smyslem chova jako dalsi brana... s tim ze k tem 4011 mam defakto neomezenou kapacitu a tudiz se mne netyka nejaky reseni shaping po ceste.

Misto jednoho centralniho mista na shaping resim vice mist.

[Pintero]

Já mám na CCR1030 večerní traffic 1,3 Gbps, je tam NAT, FW, 1700 SQ, CPU do 20%, latence v pohodě.

[Cheprer]

Sidi: diky za info. Muzes mi specnout nejaky blizsi podrobnosti.
Protoze ted kdyz mrknu na profiler na prakticky cely vykon mi zere FW. Jo ale tak tam je pre tisic FR to stejny mangle a asi 200 NAT pravidel.
Tim ze bych po L2 posilal VLAN na verejky tak usetrim tak 100 pravidel, takze by podle me teoreticky nemel byt problem. Ale vzdy kdyz si reknu teoreticky, tak realita obiha nekde jinde.

SAmotny qtree mi podle profileru moc nezere, ale spis ten FW, envim jak to ma reseny UCRM, resp. nemam to ve velkem provozu ze bych mohl rict ze to ma lepe optimalizovano ci naopak oproti adminovi.

Basty: nad tim jsem taky trosku premyslel, a zminoval eventuelne rozdeleni zateze, ale jaksi mit tam nekolik stroju reseni toho a tamto, potom komplikovanejsi preposilani verejek atp...
Puvodne jsem mel routery vsude, a taky to slo, ale presel sem z urcitych dle me rozumnych duvodu na FLAT a jeden centralni stroj, ktery to uz posila do nekolika MW, POE switche, Optickeho switche atp...

[basty]

ano, obecne mam co vesnice to router, v ramci vesnice pak uz jsou jen bridge. Takze routovana sit. L2 ma sve vyhody a sve nevyhody (klasicke dilema). Mne prislo lepsi mit routovanou. Verejky natujem, takze tento duvod neresim.

[sub_zero]

ano, obecne mam co vesnice to router, v ramci vesnice pak uz jsou jen bridge. Takze routovana sit. L2 ma sve vyhody a sve nevyhody (klasicke dilema). Mne prislo lepsi mit routovanou. Verejky natujem, takze tento duvod neresim.

ja si obecne taky myslim, ze L3 je jasna volba a "best practice" Resp. v rozumne mire a do urcityho poctu useru je L2 akceptovatelna, naslednej troubleshooting je jednodussi a provozovani B2B sluzeb (okruhy) cistejsi.
Ale tohle vse se da na L3ce taky postavit.
Ja bych osobne prekopal fw.. kazdej subnet do svyho chainu, cim vic rozdelis provoz jumpem, tim vic tomu ulehcis. To samy s manglem. Packet, kterej musi procestovat cestu fw/manglem od vrchu az dolu je zatez.navic.

[ArkaNoid]

Som za Linux/BSD
Ak mas routrovanu siet, tak si to oddelis
Lokalitu si ushapujes nejakym tym MiNi PC a viacmenej sa rozdeli zataz
- http://www.qotom.net/product/41.html
- dane PC zozere tak max 10-15W
- nam na tom bezi nejaky tvz agent na synchronizaciu s internym udajmi
- je to bash script pre synchronizaciu s vnutropodnikovym systemom
- mame tam IP blockera
- moznost DHCP
- kto neplati - ten nejede
- shaping podla nastavenia
- smokeping danej lokality - samozrejme automatizovany
- pridas klienta - zacne ti kreslit graf
- zakaznik ma plny pristup na net
- zariadenie co ma zakaznik na dome - napr SXT
- ma pristup len do podnikovej siete a naopak
- na to zariadenie sa nedostane nik zvonka

Asi okolo 50 ich mame nasadene
- na jednom odisla sietovka
- na dvoch zdroj
- obcas sa stane zo po vypadku elektriky, a opatovnom zapnuti stroj nenabehne
- treba ho ist zapnut rucne - asi bios
- na to ze to je cina, to chodi spolahlivo

Znie to jednoducho
- ale niekto sa vytrapil, aby sa to doladilo a chodilo spolahlivo
Vid prilozene obrazky
- traffic && load

[hapi]

jo, pokud chceš bastli síť tak klidně. Mimochodem... jakej komerčně dostupnej ISP systém dokáže nastavit bez dalšího ročního odlazování takovej router na běžným linuxu?

Samozřejmě tvoje řešení odpovídá tvé rychlosti přípojce. Jak se začneš blížit k 1Gbit, začneš se chovat jinak a tazatel chce přes 1Gbit a tam už začneš mít obrovský problémy.

Místo toho mini pc bych radši koupil RB4011.

[pgb]

Hapi souhlasím. Panický strach jestli router po výpadku napájení nenaběhne mě z vlastních skládaček vyléčil. Když už Linux mimo gw která běží bez výpadku napájení, tak už k tomu nějakou vhodnou distribuci, která bude mít vyřešené problémy s fs při násilném vypnutí, bude read only atd..... Hodně práce s tím dělat to ručně. Na 150Mbps bych dal 4011 nebo ten silný hex. Pokud už Linux (předpokládám že něco jako openwrt nestačí), tak bych se díval na Alpine linux nebo třeba vyos.

K centrálnímu fw:
Pokud řešíte shaping jen na cpe tak prosím. Nejste schopni řešit vyvažování mezi zákazníky ani žádné jiné. Osobně vidím jako řešení buďto centrální shaper a nebo shaper někde pro jednotlivou vesnici/sektor/pop.

[Myghael]

Tak pokud shaping řešíš tak, že CPE to řeže na rychlost tarifu a snažíš se dělat trasy k sektorům tak aby se to moc nesekalo, tak to stačit může. Do příchodu IPTV to vlastně ani nebyl moc problém. Dnes bych si takto fungovat netroufl.

[Gemb]

Idealna cesta je rezat upload u klienta na CPE a download na zaciatku siete centralne.

[hapi]

tak si zase zasereš upload a nutně potřebuješ systém kterej musí kontaktovat CPEčka což už není moc ok. Asi bych potřemejšlel nad pppoe.