LINUX.ORG.RU

Soft switch/router VPP

 , , , ,


4

3

Цель открытого проекта VPP — создание свича/маршрутизатора L2/L3+ с множеством функций, включая полноценный NAT, с высокой производительностью обрабатывающего сетевые пакеты при использовании обычного процессора за счёт векторной обработки данных (эта технология уже используется в новых промышленных сетевых устройствах). Проект ведётся Cisco, Pantheon Technologies и другими.

Продукт работает на Intel DPDK. Этот фрэймворк позволяет использовать сетевую карту Intel в обход ядра операционной системы.

Продукт не является стабильным; все отчёты об ошибках и запросы функциональности принимаются кураторами. Разработчики будут благодарны за тестирование.

>>> Страница VPP

>>> Страница DPDK

>>> Список рассылки

>>> Подробности

★★★

Проверено: Shaman007 ()
Ответ на: комментарий от init_

т.е. gre тоже не работает при нате через сабж, так?

и да, скажите кому-то с кучкой cisco voip шлюзов, что их шлюзы надо выкинуть на помойку потому что они устарели :)

а без хелперов - одна сессия pptp/gre пролезет. а вот вторая сессия - уже нет.

NiTr0 ★★★★★ ()
Ответ на: комментарий от init_

4.12 - все хелперы на месте. потому что никто в здравом уме не будет себе стрелять в ногу, выпиливая то, чем пользуется куча народа.

к примеру active FTP mode - у вас тоже устаревшая технология? без хелпера он тоже не работает...

NiTr0 ★★★★★ ()
Ответ на: комментарий от NiTr0

к примеру active FTP mode - у вас тоже устаревшая технология?

Это не просто устаревшая технология, это окаменелое говно мамонта.

tereshchenko ()
Последнее исправление: tereshchenko (всего исправлений: 1)
Ответ на: комментарий от NiTr0

Это обычный юношеский максимализм. ;)

В целом понятно, что когда в приоритетах скорость, страдает универсальность. Просто на мой взгляд это очень странно, в эпоху надвигающегося ipv6 возрождать nat на новом, еще более ненужном уровне...

AVL2 ★★★★★ ()
Ответ на: комментарий от AVL2

вы как то читаете по диагонали, я же говорю мы протестировали pptp, оно работает через vpp, если есть запас в внешнем пуле - то проблем не будет, linux выпиливает pptp из хелперов, да и вообще все что есть в хелперах нетфильтра - это старое деревянное и ненужное, на то оно и модульно. Если хотите тестировать продукт - тестируйте. Насчет ipv6 вы правы, никаких таблиц состояний, все прозрачно и никаких натов не надо. Кстати оно умеет 6rd.

init_ ★★★ ()
Ответ на: комментарий от AVL2

VPP это не прошивка для коммутаторов, это программный продукт, который поддерживается x86 процессорами, и сетевыми картами intel, пакеты существуют для дистрибутивов centos, debian, ubuntu. Там в шапке темы написано что это софтовый свич/маршрутизатор с возможностями других технологий. Это для серверов, а не для рабочих станций. Именно для серверов доступа или для сервиса организующего работу кластера виртуализации (например openstack).

init_ ★★★ ()
Ответ на: комментарий от AVL2

Я же изначально спрашивал, это для фирмварей коммутаторов и роутеров придумано?

Так это для того, чтобы из компьютера сделать этот самый комутатор/маршрутизатор, но быстрый.

AS ★★★★★ ()
Ответ на: комментарий от AVL2

ipv6 уже 10 лет надвигается, но все никак не надвинется. до сих пор добрая половина (если не 3/4) клиентских роутеров в принципе ipv6 не умеют. т.е. ipv4 будет востребован еще ой как долго. и нат его, да, потому что новых блоков адресов особо не купить.

NiTr0 ★★★★★ ()
Ответ на: комментарий от init_

на входящие звонки? и при отсутствии активного обмена с телефоном до того эдак с полчаса-час?

или просто проверили «телефон подключился - значит все работает»?

NiTr0 ★★★★★ ()
Ответ на: комментарий от NiTr0

ipv6 уже 10 лет надвигается, но все никак не надвинется.

И никогда не надвинется. Я с ним немного поразбирался и выяснил несколько вещей. Во первых, его писали умственно неполноценные люди. Но это еще не фатально. Во вторых, и в главных, те, кто его внедряет, несут только потери и не получают никаких преимуществ. Именно поэтому даже если провайдер предоставляет ipv6, он это чаще всего скрывает, а потом и вовсе закрывает поддержку.

Нет, под ipv6 я имел в виду не эту хренотень, а само расширение адресного пространства, которое все равно произойдет, просто в другой имплементации. Придет свой телеграм от ip и быстро обгонит этот чемодан без ручки...

AVL2 ★★★★★ ()
Ответ на: комментарий от NiTr0

хмммм, а как насчет избыточности портов? натыкать то можно, только ipv4 блоки тоже покупать нужно, в зависимости от числа клиентов под натом, а еще нужно резервировать, так что эта технология хреново скэйлится

init_ ★★★ ()

что-то вы народ горячитесь насчет ipv6, его уже все крупные провайдеры используют, вы с чего взяли что это тухлая технология? она вполне рабочая, да, развивали 20 лет, а потом плюнули и разработали новую технологию и давай ее также 20 лет развивать, а потом другие придурки придут и скажут также что это сырая технология и никто ее юзать не будет, что за бред то, народ вы о чем вообще? это же не программу переустановить елки палки, это так то вопрос всего интернета

init_ ★★★ ()
Ответ на: комментарий от init_

что-то вы народ горячитесь насчет ipv6, его уже все крупные провайдеры используют, вы с чего взяли что это тухлая технология? она вполне рабочая, да, развивали 20 лет, а потом плюнули и разработали новую технологию

итаниумы тоже некоторые недальновидные всё еще используют :-P

anonymous ()
Ответ на: комментарий от init_

резервирование не проблема, вариантов много (от самого простого - нат на брасе, до балансировки с общей таблицей сессий).

и да, на 1 ип вполне безболезненно можно 30-50 абонов сажать. а если спамботов и прочее зверье подрезать на DPI - то гораздо больше.

NiTr0 ★★★★★ ()
Ответ на: комментарий от init_

сессия не умирает у ната по времени в случае VPP

итить-колотить, это кто до такого додумался-то?... да у него же при первом скане портов либо DDOS извне засрется таблица сессий и все весело издохнет. то же самое - и при нормальной жизнедеятельности юзеров, но не так резко а растянуто по времени...

NiTr0 ★★★★★ ()
Ответ на: комментарий от NiTr0

А никто и не говорит о ненужности ната под ipv4. Без ната на ipv4 давно уже никак. Помню, в 1993 году я впервые встретился с интернетом и уже тогда нат был необходим!

Не нужна замена ipv4. Пока не нужна. Клиенты без проблем платят за адреса. Например, yota безлимит стоит 1400 руб, а адрес стоит 400 руб (~25% просто с воздуха) оба в месяц, а себестоимость этого адреса по самому конскому тарифу 27 рублей, да тебя зарежут за саму мысль прикрыть эту лавочку.

Пока ipv4 обеспечивает все реальные потребности, никто его не подвинет. Вот появятся кейсы, в которых ipv4 ляжет и появится ему замена. Или запретят провайденрам нат, обяжут каждому клиенту выдавать свой адрес и за неделю у всех будет ipv6...

AVL2 ★★★★★ ()
Ответ на: комментарий от NiTr0

Насколько я понял, у них используется не очистка по времени а таблица ограниченного размера. При переполнении она очищается. Суть в принципе та же и проблемы должны быть похожие, но только при большой нагрузке.

AVL2 ★★★★★ ()
Ответ на: комментарий от AVL2

ну такой вариант в принципе жизнеспособный. и, возможно, даже лучше в некоторых кейсах очистки по таймауту. хоть и менее предсказуемый (к примеру, прибивать tcp сессию, по которой несколько минут не было трафика, в случае активного скана портов ботами - некошерно как-то).

NiTr0 ★★★★★ ()
Ответ на: комментарий от AVL2

Ну редко кто делает роутер из компьютера совершенно без сетевых служб, то есть один только роутинг, dhcp и нат.

Ты не врубаешься. Именно для этого нужен DPDK и производные. Цель - получить на дешёвом интеле аналоги дорогих цисок и хуайвеев.

Линукс тут только пускала программы и доступ к настройкам через интерфейс управления.

Я же изначально спрашивал, это для фирмварей коммутаторов и роутеров придумано? Тогда ситуация понятна. Но вы спорите, нет, это для серверов и компьютеров.

В смысле железа - это для «обычных» серверных интелов. В смысле функциональности - это «умные» роутеры с натом, поддержкой PPP и прочим.

LamerOk ★★★★★ ()
Ответ на: комментарий от LamerOk

Ты не врубаешься. Именно для этого нужен DPDK и производные. Цель - получить на дешёвом интеле аналоги дорогих цисок и хуайвеев.

Да я врубился в это еще в самом начале. Это и есть по сути фирмварь коммутатора или маршрутизатора. Берем пецук и делаем из него шлюз. Ура.

В смысле железа - это для «обычных» серверных интелов. В смысле функциональности - это «умные» роутеры с натом, поддержкой PPP и прочим.

Слушайте, ну кому во времена softeither или openvpn вообще нужен этот ваш ppp? Вы еще gpe и ptp вспоните. Вы вообще о чем?

Да, я согласен, что покупая глупую недлорогую железку я получаю удобное и надежное в плане поддержки железное решение, за ради чего можно принести в жертву удобство и возможности.

Но имея полноценный пецук не иметь возможности прибиндить свой сервис на внешний интерфейс? Это вы серьезно? Или присандалить нужную реализацию туннеля? ipsec и все? А мобильных клиентов как подсоединять? Опять gre и всякую ерунду на его основе (pptp,l2tp) ? Это чтобы каждый день слушать жалобы клиентов, что опять ни хрена не работает, потому что пров зарезал 47 протокол? Да нахрен мне это надо?!

Нет уж, простите, но если ваш ответ на все вопросы, это нат, то ну его нафиг.

AVL2 ★★★★★ ()
Ответ на: комментарий от AVL2

Слушайте, ну кому во времена softeither или openvpn вообще нужен этот ваш ppp?

Всем абонентам, сидящем на PPPoE и компании. И да, откуда у абонентов взялся какой-то vpn, пусть даже самый что ни на есть open?

Вы вообще о чем?

Я о carrier grade NAT начального уровня, как не сложно догадаться.

Но имея полноценный пецук не иметь возможности прибиндить свой сервис на внешний интерфейс? Это вы серьезно?

Да. Если хочешь сандалить какую-то свою самодеятельность на промышленные решения, развёрнутые в сотни инсталляций, обслуживающих тысячи клиентов, то давай до свидания, ищи себе новую работу.

А мобильных клиентов как подсоединять?

Ну, раз обычные клиенты сидят на оптике, то мобильных подключаем по мобильной оптике, очевидно же.

Нет уж, простите, но если ваш ответ на все вопросы, это нат, то ну его нафиг.

Нет, это вы простите. Это решение не для офисных одминов и даже не для интеграторов. Это решение для телекома. Кто не знает, что такое телеком, в шеренгу по двое и в толксы.

LamerOk ★★★★★ ()
Ответ на: комментарий от LamerOk

Ну, раз обычные клиенты сидят на оптике, то мобильных подключаем по мобильной оптике, очевидно же.

Кстати, забыл сказал, что в VPP есть даже поддержка GTP-U. Вообще поставьте, посмотрите функционал, и сразу поймете все его фишки, их реально очень много, есть даже поддержка IL для провайдеров. И много фишек, которые просто не документированы еще, но я думаю это дело времени.

Если чего-то вам нехватает, то всегда можно сделать feature request и поговорить с разработчиками для чего вам это нужно через рассылку, ребята там адекватные, в основном славяне из Братиславы. Так что они могут легко принять ваш запрос, если он адекватен и грамотно объясним

init_ ★★★ ()
Последнее исправление: init_ (всего исправлений: 3)
Ответ на: комментарий от LamerOk

Да я понял, понял. Это решение для телекома. Примитивно, но с хорошей пропускной способностью. Там чем проще, тем лучше. Я бы им вообще запретил все эти туннели, наты, есть tcp/ip, вот его используйте...

Горите в аду, проклятый билайн со своим l2tp или даже ростелеком со своим pppoe...

AVL2 ★★★★★ ()
Ответ на: комментарий от LamerOk

Это решение для телекома.

скорее - попытка сваять решение для магистральных телекомов.

но тут проблема в том, что магистральному телекому стабильность важнее копеечной экономии на железе (регулярные краши на обкатке в месяц обойдутся дороже покупки какого-то MX80/ASR1002X, + в случае бренда - понятно кто отвечает за краши и с кого требовать фиксы, есть какой-никакой SLA). а мелким телекомам/ISP оно не особо подходит из-за сильной урезанности по фичам.

NiTr0 ★★★★★ ()
Ответ на: комментарий от init_

Это для серверов..

Я совсем не в курсе, по ссылкам прошёл, но ничего не понял.. И я хомяк, далёк от этих ваших энтерпрайзов.

Насколько стандартизована спецификация железа сетевых карт?

Как я (наверно наивно) представляю, там внутри VPP/DPDK должны быть аналоги драйверов, а для них - должны быть даташиты (типа в какие порты IO надо записать какие-то байтики, чтобы на железе выполнилась такая-то функция). Насколько эти даташиты-спецификации (и есть ли они?) обсуждены сообществом (индустриями)? Для интернета каждый нюанс каждого аспекта каждого протокола обсуждается в RFC, дядьками из разных компаний и университетов. А тут? Не позволят ли эти спецификации (ну там reserved-значения каких-то байтов) Интел тебя удалённо «помэнэджить»?

(просто Интел печально известна своей AMT, вот и спрашиваю..)

the1 ()
Ответ на: комментарий от the1

Не позволят ли эти спецификации ... Интел тебя удалённо «помэнэджить»?

Я хотел сказать не Интелу, а кому угодно - соседу-васяну. (Интел наверняка сможет - благодаря AMT).

the1 ()
Ответ на: комментарий от Vlad-76

BGP вы можете настроить в юзерспейсе, через tap например, но с этим я пока не разбирался, вообще в инете где-то есть схемы bgp через vpp, без bgp там много что есть потестить

init_ ★★★ ()
Ответ на: комментарий от NiTr0

скорее - попытка сваять решение для магистральных телекомов.

Об чем и речь.

Я все таки склоняюсь к мысли, что это попытка сискарей обкатать новую прошивку своих маршрутизаторов на интелах. Благо интелы у них давно уже используются.

а мелким телекомам/ISP оно не особо подходит из-за сильной урезанности по фичам.

но тут уже вопросы производительности. Аппаратные длинки серии dfl при стоимости от 20 до 60 тыр в ценах 2014 года реально прокачивают до 100мбит(!).

До 1 гигабита прокачивают обычные пецуки под линуксом. А вот 10gb линки обслуживать уже затруднительно. Возможно при таких скоростях у провайдеров уже и выбора особого не будет.

AVL2 ★★★★★ ()
Ответ на: комментарий от AVL2

но тут уже вопросы производительности.

нет, тут вопрос фич. коробку, пригодную чисто для ната, которая не умеет в динамическую маршрутиацию и к тому же потенциально будет регулярно падать - никто себе не поставит даже на обкатку. а больше для мелких ISP/магистралов в этом проекте ничего не интересно - ни всякие MPLS, ни прочие GTP-U.

Аппаратные длинки серии dfl при стоимости от 20 до 60 тыр в ценах 2014 года реально прокачивают до 100мбит(!).

эти поделки приобретают разве что упоротые.

А вот 10gb линки обслуживать уже затруднительно.

нормально себе свежие i5 роутят десяточку. с натом - поменее, но все же 5-6 гбит осилят.

NiTr0 ★★★★★ ()