OpenSource маршрутизаторы работают ничуть не хуже и имеют порой гораздо более широкие возможности, чем их проприетарные аналоги, которые к тому же и стоят гораздо больше.
Хм.... cisco продает железки хорошие, софт у них плохой и весь ограниченный(сказывается монополия), netbsd можно дописать как софт к железкам и он будет во много раз лучше, только cisco это всячески пресекает :-(
у себя давно все циски выкинул нафиг, ибо нефиг. сеleron500/128мб с двумя hdd в зеркале c 5 штуками 100мб Ethernet и быстрее и дешевле, даже если вешать на сетевухи всякии конвертеры в e1 или опто мультиплексоры.
> у себя давно все циски выкинул нафиг, ибо нефиг. сеleron500/128мб с двумя hdd в зеркале c 5 штуками 100мб Ethernet и быстрее и дешевле, даже если вешать на сетевухи всякии конвертеры в e1 или опто мультиплексоры.
Не просек теорию. На кой черт на роутере зеркало? Там вообще винты не нужны и единственной подвижной частью должны быть пропеллеры в блоке питания.
>3845 умеет смешивать много гигабит потоков и держать несколько _тысяч_ vpn с шифрованием данных. Ваш cel500/128ram сие сможет?..
а зачем мне столько? я же не провайдер. на сегодня около 400 шифрованных каналов(openvpn) в ЦО держится. сервер 4хXeon 4gb ram. в филиалах селерончики. все циски выкинули после того как в ЦО сдохла главная циска, которая всё это держала. два дня были без связи, много рубликов потеряли. заколебались у представителей циски новую циску ждать и послали их йух. а щас, ну сдох винт и чё? воткнул новый и всё. сдох сервер? так бакап на втором поднял за 30 минут и всё. а держать запасное оборудование циски дороговато. сдохла сетевуха? замахнул за 5ть минут. вообщем провайдеры инета гараздо чаше падают. и всё это оборудование МОЖНО КУПИТЬ В ЛЮБОМ комп. магазине.
> а зачем мне столько? я же не провайдер. на сегодня около 400 шифрованных каналов(openvpn) в ЦО держится. сервер 4хXeon 4gb ram. в филиалах селерончики. все циски выкинули после того как в ЦО сдохла главная циска, которая всё это держала. два дня были без связи, много рубликов потеряли.
Угу. Я этот этап тоже проходил несколько лет назад. Пока потоки маленькие, мало клиентов - еще можно полагаться на X86 с ОС общего назначения. Но уже при нескольких тысячах клиентов сказываются врожденные недостатки. Ну нету в том же Linux аналога CEF! Поэтому читать, когда ребята с удивлением обнаружили, что если в Linux воткнуть две сетевухи и сделать echo 1 >/proc/sys/net/ipv4/ip_forward то он будет маршрутизить трафик, и после этого они думают победить Cisco - смешно.
6509 с 720 Sup'ом они тоже предлагают своей фигулькой заменить?
>...они думают победить Cisco - смешно. 6509 с 720 Sup'ом они тоже предлагают своей фигулькой заменить?
65xx не заменит, а вот 72xx - легко.
И на что вам сдался CEF? Хорошая вещь, но от него толк есть только когда нет access-листов. Если же в роутинг включается ЦП, то наступает ппц... В отличие от PC-роутеров.
Где-то в нете попадались тесты. Там мужики получили производительность 550 килопакетов в секунду на PC с Linux и BSD (NAPI, polling etc.). Вот как раз в этом сегменте (производительность до 550kpps) и находятся 72xx (тока NPE-G1 выпадает немного). Вот их и можно смело заменять на PC ИМХО. Если же нужно что-то более мощное, то остается тока циска/ждунипер...
ps
на сегодняшний день, конфигурация вполне работоспособна и свои функции , по поддержанию бизнес процессов компании выпоняет. как столкнемся с проблемой нехваткой ресурсов x86. тогда и будем смотреть в сторону других решений.
Простое замечание - access-lists и CEF отлично живут вместе.
;)
Вы наверно спутали с policy. Да, не всякая policy может быть отработана на уровне CEF, НЕКОТОРЫЕ виды policy приведут к тому, что часть пакетов ляжет на процессор. Ну и NBAR, тут тоже не все шоколадно, хотя даже Skype новые IOS умеют определять без загрузки проца.
Собственно, Juniper - это пример во что может превратиться BSD если задаться целью получить на выходе Cisco.
Спасибо за великолепную статью - она увеличила мою продолжительность жизни лет на 300, ибо как говорят 5 минут смеха добавляет год жизни.
Кратко говоря - автор полный ламер, в сетях понимает на уровне типового аникейщика, ничего крупней сохо-сети (1 сервер, он же - роутер, неуправляемый свичь, гигабитный разумется, и полтора десятка писюков, собранных на коленке) он нифига не видел.
mmm62, может в каком-нибуть мухосранске, где нет ни одной приличной фирмы, торгующей сетевым оборудованием, где приличного сетевика днем с огнем не сыщещь, и где одни нищие конторки, с оборотом 3 рубля в месяц, такой подход и оправдан. Но никак не в цивилизованных местах, с нормальными фирмами и нормальными специалистами.
> 3845 умеет смешивать много гигабит потоков и держать несколько _тысяч_
> vpn с шифрованием данных. Ваш cel500/128ram сие сможет?
не, ну честно - смешно читать
Вы это сами проверили или поверили тому, что на cisco.com написано?
так у них и про 7206 написано, что он 16000 PPPoE терминировать может, а реально 300-400 :)
я не защищаю PC роутеры, просто гнать не надо
железка уровня 10000 одновременных VPN стоит в районе 100к$
а 3845 13 тыщ в базе
мдя ;)
как обычно толпа пионеров пиписьками меряется крошечными своими (ну типа линукс абалденно разрулит несколько сот юзеров и тд и тп ;) )
между тем как не в ОС совсем дело...
а в железе...
ну вот сейчас есть проектик в россии (крупнейший надо заметить проектик)
ну раскидывает там 6500-й каталист с пачкой модулей (все вместе железо на полляма тянет) до 700 тысяч (!!!) одновременных коннектов, ну загружено железо при этом всего процентов на 20, да килопакетов в секунду несколько сот тысяч раскидывает....
просьба рассказать, какая архитектура аппаратная на которой линукс работает сможет такое же делать ;))
счас пионеры начнут кричать что сервер на ксеонах или оптеронах с PCI-E каким нить будет не хуже работать ;))) но я-то не поверю... :)))
а знаете прикол? FWSM модуль для 6500, расчитанный на 5 гигабит трафика, работает под PIX OS, и процессор там стоит пентиум 3 1Ghz :) (точнее два проца таких)
дело-то в тех самых килопакетиках, а не в гигабитах на самом деле ;)
что просиходит с обычным железом когда несколько лямов юзеров ломиться начинают - причем с меелкими запросами - думаю подробно описывать не надо ;)
короче нету сейчас нормального железа окромя джунипера и циски...
кстати джунипер (радуйтесь или печальтесь, пионеры) работает под управлением сильно переделанной freebsd :)
> Собственно, Juniper - это пример во что может превратиться BSD если
> задаться целью получить на выходе Cisco.
просто поразительно, откуда люди черпают информацию
во-первых, Juniper не ставит целью получить на выходе Cisco
во-вторых, BSD там выполняет довольно простые задачи, вроде ведения таблиц маршрутизации и обслуживания cli
основную работу делает FEB и модули, каждый из которых имеет свой ЦП, набор ASIC'ов, свою ОС и даже (!) свой cli
На самом деле основное преимущество железа от цыско - -не производительность а надежность и совместимость. Единицу вычислительной можности можно легко найти дешевше, и не только среди писи рутеров, много железа разного.
Но ставя цысковский рутер я четко знаю, что мне не придется среди ночи переться в ебеня за полста километров потому-что там пьяный электрик рубанул свет, упсятник разрядился, но рутер некорректно лег и не поднялся от того что файловую систему в нем перекосило.
Или трахаться с апстримом с настройкой bgp, потому-что сам квагу например ниасиливаю, а он мне помочь примером не может потому-что в глаза ее не видел.
>может в каком-нибуть мухосранске, где нет ни одной приличной фирмы, торгующей сетевым оборудованием, где приличного сетевика днем с огнем не сыщещь, и где одни нищие конторки, с оборотом 3 рубля в месяц, такой подход и оправдан. Но никак не в цивилизованных местах, с нормальными фирмами и нормальными специалистами.
москва чтоль?:))))шутник в москве почему то обороты денег большие а требования к спецам нет:)
Вообще говоря, в очень многих случаях обычный писюк вполне может заменить циску. Фактически основная область цисок на данный момент - коммутация ядра сети или провайдерские площадки. Просто Cisco появилась ещё тогда, когда никакая ОС не могла и близко сравниться с её возможностями, но тем не менее миф о том, что это единственное устройство маршрутизации - остался. Что касается отказоустойчивости: у вас же наверняка в сети есть другие серверы, например web, sql и тд. Вероятность выхода из строя роутера равна вероятности выхода из строя sql-сервера. По мне так - и то и то неприятно и требует разрешения проблемы в минимальные сроки.
>просто поразительно, откуда люди черпают информацию
>во-первых, Juniper не ставит целью получить на выходе Cisco
>во-вторых, BSD там выполняет довольно простые задачи, вроде ведения >таблиц маршрутизации и обслуживания cli
>основную работу делает FEB и модули, каждый из которых имеет свой ЦП, >набор ASIC'ов, свою ОС и даже (!) свой cli
именно это я и имел ввиду. А вы не оценили сарказма.
;)
Если кто-то начнет делать серьезные рутеры под Linux - его роль сведется к тому же самому. Фронтенд, дабы админу привычней было.
>просьба рассказать, какая архитектура аппаратная на которой линукс работает сможет такое же делать ;))
Это кластер под линаксом, маштабируется практически до бесконечности, может маршрутизировать трафик между галактиками. Правда я не совсем уверен, могут ли узлы кластера разделять общие таблицы маршрутизации?
Пусть специалисты меня поправят.
>Вообще говоря, в очень многих случаях обычный писюк вполне может заменить циску. Фактически основная область цисок на данный момент - коммутация ядра сети или провайдерские площадки.
вот может и перешли бы мы на линукс, да сдерживают:
1. отсутствие испытанных сериальных (v35 или g703) интерфейсов
2. таки сложность поддержки "своего" дистрибутива (таки мы используем линух-рутеры, но только с езернетами), бутящегося с флеша, адекватных аналогов самосбору не видать :-(
А как они потеряют? Они же могут быстро заменить вышедшее из строя оборудование (может за исключением сервера, но выход из строя сервера вероятно сам по себе приведёт к печальным последствиям, независимо от того, возложена на него дополнительная задача или нет).
Можно представить две стратегии - платим много, уменьшая вероятность сбоя, но в случае такового теряем большое время, или же платим меньше, вероятность сбоя увеличится, но время на его устранение будет меньше. Что лучше? А что важнее минимизировать - общее время простоя или максимальное?
А потому что такую экзотическую хрень как 4 процессорную маму выпущенную 3-4 года назад нигде найдешь за разумные сроки. или при отказе 1 проца нужно подбирать еще 3 новых, чтобы работали все вместе.
Да почему же единственный. Для сохо есть целая пачка недороутеров, которые стоят и дешевле писюка с линуксом, и надежнее его, да и в настройке проще.
Далее - на рынке сохо веб и почта нередко живут на серваке провайдера. К слову - сейчас многие активно пытаются там же разместить и свой SQL. А в относительно недалеком будущем туда могут перебраться и офисные приложения.
Что вы там сказали? Безопасность? Господи вы реально считаете что красноглазый аникейщик с гвинпином на перевес может обеспечить большую безопасность чем команда настоящих професионалов???
Так что как платите ща 20 уе за инет, так будете платить еще столько же за полный комплект офисных приложений через веб. А вместо полноценных писюков будут стоят терминалы - компактные, ьесшумные и требующие обслуживания. История как известно развивается по спирали.
Бред, да и только. *Несколько конкретных* кисок вполне заменябельны писюнделями при условии что у вас нет других кисок.
К примеру у нас в центре стоит cisco 7609 который роутит *полторы сотни* гигабитных интерфейсов. У него два блока питания от разных фаз, два управляющих процессора для backup'а, hotswap блоков и многое другое чего на базе писюнделей просто не сделать. Не говоря уже о возможностях программного обеспечения...
