Коллеги, такой вопрос. Background: Есть сервис-провайдер, который предоставляет определенные услуги (kind of voice services) другим организациям. Точки присутствия этого провайдера находятся в нескольких городах Украины и России. Как для организации общего маршрутизируемого сегмента между площадками, так и для подключения клиентов используются туннели (IPIP / IPSec). На сегодняшний день ресурсы используемого оборудования исчерпаны: Cisco 18xx, 19xx на 25-30Mbps трафика вышли на 100-процентную загрузку CPU с соответствующими потерями (туннельный трафик весь process switched, поэтому возможности fast switching не могут быть утилизированы). UPDATE: в каждой PoP этот сервис-провайдер подключен к разным интернет-провайдерам. Поэтому вопрос получения провайдерского VPN (например, у Укртелеком) для организации связности между своими PoP пока не рассматривается. Суть задачи: Апгрейд оборудования лишен смысла - переход на 100Mbps-capable оборудование в такой конфигурации (туннели) за скромные деньги невозможен: - маршрутизаторы cisco 29xx / 39xx отодвигают проблему на полгодика-годик (и стоят совсем не пять копеек) - juniper j-series тянут от $2k за штуку (не учитывая лицензий IPSec/etc) - в украине есть 7304/NSE-100 за $6-7k за штуку, но IPSec в PXF не обрабатывается - что-то серьезное типа ASR1000 - за >$15k То есть логично выплывает желание использовать что-то nix-based, поскольку соотношение цены/производительности в бОльшей степени определяется требованиями к производительности x86-based сервера и, по сравнению с C/J-based решением, цена его значительно ниже. Такое решение не только дешевле установить, но и дешевле держать необходимый резерв. С другой стороны, хочется использовать специализированное решение, заточенное под определенную задачу, чтобы от человека, который возьмет на себя обслуживание этой сети, не требовалось широкое знание nix-систем. Мне в голову приходит два относительно недорогих решения: - mikrotik RB-series. Тут у меня только одно опасение - закрытый софт, закрытая система и появление новых фич определяется мнением поставщика на сей счет. Например, поддержка GRE в mikrotik'ах просилась на форумах в течение нескольких лет, пока была реализована. - linux-based systems like http://www.vyatta.org/ - вроде, почти идеальный продукт - развивается не в пример быстрее mikrotik'а и выбор аппаратной платформы намного шире,чем у mikrotik (собственно, лимитируется только здравым смыслом и требуемой мощностью при выборе железа) Вопрос в следующем: - можете прокомментировать мой ход мысли и последовавшие за ним выводы и сказать, насколько надежно использование того или иного решения в промышленном применении под нагрузкой до 100Mbps в режиме форвардинга IPIP/IPSec, маршрутизацией BGP/OSPF, защитой с помощью ACL и доступа в режиме SSH? - на что, кроме mikrotik и vyatta, можно еще посмотреть? - у кого есть реальный опыт использования этих решений? Если же все-таки говорить о J-series (как о самом дешевом из вменяемого), то каковы у них реальные параметры производительности на imix-трафике, образованном IPIP / IPSec туннелями? Данные из даташита не дают возможности оценить реальную производительность (худший вариант - J2320 Firewall+Routing @ 64-byte packets дает 175Kpps/90Mbps, но что они считают файрволлом - ACL'и или stateful inspection, я не знаю) Спасибо. -- /doka ~~~~~~~~ http://doka-ua.blogspot.com/ http://omar-ha-em.blogspot.com/ "Справа не в церкві і не в наркотиках. Справа у відповідальності та вдячності. Якщо в тебе це є, маєш шанс померти не останньою скотиною." (с) С.Жадан, "Ворошиловград"