On 11/29/2011 3:58 PM, Alexandre Snarskii wrote:
То есть логично выплывает желание использовать что-то nix-based, поскольку соотношение цены/производительности в бОльшей степени определяется требованиями к производительности x86-based сервера и, по сравнению с C/J-based решением, цена его значительно ниже. Такое решение не только дешевле установить, но и дешевле держать необходимый резерв. С другой стороны, хочется использовать специализированное решение, заточенное под определенную задачу, чтобы от человека, который возьмет на себя обслуживание этой сети, не требовалось широкое знание nix-систем. ... а требовалось глубокое знание одной узкой системы, мало где на практике применяемой. Или, в обычном худшем случае - просто знание _еще одной_ системы.
В общем, здесь я с тобой не согласен. Если уж смотреть в сторону unix-based платформ - то, jimho, смотреть стоит в сторону "обычных" unix'ов, обслуживаемых обычными админами, иначе зарплата "специально заточенного" админа скушает всю разницу по capex'у :)
а какой x86-железки будет достаточно, чтобы переварить до 100Mbps трафика (200Mbps throughput - т.е. 100/in + 100/out) с тремя гигабитными интерфейсами и двумя full view? CPU/RAM? Производитель? Спасибо
- можете прокомментировать мой ход мысли и последовавшие за ним выводы и сказать, насколько надежно использование того или иного решения в промышленном применении под нагрузкой до 100Mbps в режиме форвардинга IPIP/IPSec, маршрутизацией BGP/OSPF, защитой с помощью ACL и доступа в режиме SSH? - на что, кроме mikrotik и vyatta, можно еще посмотреть? Посмотри еще на pfSense (http://www.pfsense.org/).
На базе freebsd/pf/pfsync/carp (тот же pfsense только без web'а) вполне вменяемый redundant array of inexpensive firewalls строится очень просто и работает годами (IPSec и dynamic routing в моем случае не было за ненадобностью).
- у кого есть реальный опыт использования этих решений?
Если же все-таки говорить о J-series (как о самом дешевом из вменяемого), то каковы у них реальные параметры производительности на imix-трафике, образованном IPIP / IPSec туннелями? Данные из даташита не дают возможности оценить реальную производительность (худший вариант - J2320 Firewall+Routing @ 64-byte packets дает 175Kpps/90Mbps, но что они считают файрволлом - ACL'и или stateful inspection, я не знаю) На srx210 я без проблем разогнал ipsec-туннель до 40Mbit на больших пакетах и до 8kpps на мелких. Возможно, там получится и больше - с другой стороны туннеля стояла FreeBSD pIII/600Mhz. На обычном ip/mpls знакомые его до 900Mbit разгоняли (опять же, больше разогнать задача не стояла).
-- /doka ~~~~~~~~ http://doka-ua.blogspot.com/ http://omar-ha-em.blogspot.com/ "Справа не в церкві і не в наркотиках. Справа у відповідальності та вдячності. Якщо в тебе це є, маєш шанс померти не останньою скотиною." (с) С.Жадан, "Ворошиловград"