On Mon, Nov 28, 2011 at 04:18:52PM +0200, Vladimir Litovka wrote:
UPDATE: в каждой PoP этот сервис-провайдер подключен к разным интернет-провайдерам. Поэтому вопрос получения провайдерского VPN (например, у Укртелеком) для организации связности между своими PoP пока не рассматривается.
Вообще говоря, практически каждый провайдер готов кроме услуги доступа в интернет предоставить еще и услугу "последней мили" до другого провайдера. Так что я бы эту опцию полностью не отбрасывал.
Апгрейд оборудования лишен смысла - переход на 100Mbps-capable оборудование в такой конфигурации (туннели) за скромные деньги невозможен: - маршрутизаторы cisco 29xx / 39xx отодвигают проблему на полгодика-годик (и стоят совсем не пять копеек) - juniper j-series тянут от $2k за штуку (не учитывая лицензий IPSec/etc)
Лицензия на ipsec там не требуется. Впрочем, в данном случае я бы смотрел скорее не на j-series, а на мелкие srx'ы (см. ниже).
- в украине есть 7304/NSE-100 за $6-7k за штуку, но IPSec в PXF не обрабатывается - что-то серьезное типа ASR1000 - за >$15k
То есть логично выплывает желание использовать что-то nix-based, поскольку соотношение цены/производительности в бОльшей степени определяется требованиями к производительности x86-based сервера и, по сравнению с C/J-based решением, цена его значительно ниже. Такое решение не только дешевле установить, но и дешевле держать необходимый резерв. С другой стороны, хочется использовать специализированное решение, заточенное под определенную задачу, чтобы от человека, который возьмет на себя обслуживание этой сети, не требовалось широкое знание nix-систем.
... а требовалось глубокое знание одной узкой системы, мало где на практике применяемой. Или, в обычном худшем случае - просто знание _еще одной_ системы. В общем, здесь я с тобой не согласен. Если уж смотреть в сторону unix-based платформ - то, jimho, смотреть стоит в сторону "обычных" unix'ов, обслуживаемых обычными админами, иначе зарплата "специально заточенного" админа скушает всю разницу по capex'у :)
- можете прокомментировать мой ход мысли и последовавшие за ним выводы и сказать, насколько надежно использование того или иного решения в промышленном применении под нагрузкой до 100Mbps в режиме форвардинга IPIP/IPSec, маршрутизацией BGP/OSPF, защитой с помощью ACL и доступа в режиме SSH? - на что, кроме mikrotik и vyatta, можно еще посмотреть?
Посмотри еще на pfSense (http://www.pfsense.org/). На базе freebsd/pf/pfsync/carp (тот же pfsense только без web'а) вполне вменяемый redundant array of inexpensive firewalls строится очень просто и работает годами (IPSec и dynamic routing в моем случае не было за ненадобностью).
- у кого есть реальный опыт использования этих решений?
Если же все-таки говорить о J-series (как о самом дешевом из вменяемого), то каковы у них реальные параметры производительности на imix-трафике, образованном IPIP / IPSec туннелями? Данные из даташита не дают возможности оценить реальную производительность (худший вариант - J2320 Firewall+Routing @ 64-byte packets дает 175Kpps/90Mbps, но что они считают файрволлом - ACL'и или stateful inspection, я не знаю)
На srx210 я без проблем разогнал ipsec-туннель до 40Mbit на больших пакетах и до 8kpps на мелких. Возможно, там получится и больше - с другой стороны туннеля стояла FreeBSD pIII/600Mhz. На обычном ip/mpls знакомые его до 900Mbit разгоняли (опять же, больше разогнать задача не стояла). -- In theory, there is no difference between theory and practice. But, in practice, there is.