The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  правила/FAQ  поиск  регистрация  вход/выход  слежка  RSS
"Помогите выбрать железяку под ядро "
Вариант для распечатки  
Пред. тема | След. тема 
Форум Маршрутизаторы CISCO и др. оборудование. (Маршрутизация)
Изначальное сообщение [ Отслеживать ]

"Помогите выбрать железяку под ядро "  +/
Сообщение от alexcandr email(ok) on 22-Дек-16, 00:23 
Приветствую всех!
Помогите пожалуйста с выбором оборудования под ядро сети.
Сеть не большая, в офисе порядка 40 компов + 5 серверов, есть удаленные точки около 40 по городу.
В офисе все просто, стоит пару dlink 1210-28/me и 3com один, gate Kerio control на старом серваке.
Все дико виснит и работает не ахти.
Задача заменить Kerio, поставить центральную железку, которая будет отвечать за маршрутизацию/VPN/Vlan статистику и прочие блага.
Бюджет ограничен порядка 30к рублей)
В наличие есть сервак не плохой.
Прочитав кучу форумов определил для себя три варианта:

1 Сервак на Centose/freebsd в роли роутера + коммутатор L2
2 Микротик - про него мало чего знаю, но пишут что очень надежный и все может
3 Коммутатор L3 среднего звена

Посоветуйте пжл в каком направление луче двигаться) на что обратить внимание при рассмотрение этих вариантов.

На прошлой работе была вообще cisco 800 серии и пользователей под 100 и она справлялась нормально.

Счас задача стоит организовать Vlan разные сети, ограничить доступ, вывести все серваки в одну подсеть, маршрутизация и прочее.
С удаленными точками у нас сделан канал по VPN провайдера в 5 Мб. С офиса раздается им интернет и локальные ресурсы.

Заранее спасибо! буду признателен за любую помощь!

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Помогите выбрать железяку под ядро "  +/
Сообщение от Andrey (??) on 22-Дек-16, 09:37 
Если Kerio делает NAT, то L3 свитч забудьте. Свитчи NAT не умеют. Ну если только С6500. Но это уже не столько свитч, сколько "платформа". Да и уровень Enterprise/DataCenter.
Бюджет 30кРуб и L3 "среднего звена" - все-таки несовместимо. Если только не будете заказывать на e-bay или брать с авито. Но это может оказаться лотерей - как повезет.

Что такое "статистику и прочие блага"?
Микротик не будет держать "статистику и прочие блага". Это маршрутизатор, а не "билинговая платформа" или FTP/HTTP/SMTP сервер. В остальном: VLAN,VPN,OSPF,BGP и прочие плюшки - есть "из коробки".
Сервер - может все что угодно, но держать "статистику и прочие блага" рекомендуется не на пограничном устройстве(маршрутизаторе, МСЭ и т.п.). Да и сервисы типа VPN,OSPF,BGP в любом случае придется прикручивать.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Помогите выбрать железяку под ядро "  +/
Сообщение от Pofigist on 22-Дек-16, 11:28 
Если есть возможность брать железки на вторичном рынке - уложитесь, если нет - только колхозить...

Для понимания - любой неплохой сервак дохнет при потоке не более 50-100 kpps, вне зависимости от используемой ОС, из-за архитектурных ограничений шины PCI/PCI-e.
Самая дохлая Cisco ISR v1 имеет производительность более 100 kpps, та же 3845, которую я брал на вторичном рынке за 15к рублей (и еще 5к вбухал в абгрейд флеша и памяти) дает 500 kpps.

> На прошлой работе была вообще cisco 800 серии и пользователей под 100 и она справлялась нормально.

Они очень разные по производительности, но современные - что-то на уровне 50 kpps если не ошибаюсь.

> С удаленными точками у нас сделан канал по VPN провайдера в 5 Мб.

Вообще ни о чем - хоть D-link ставьте, потянет. Хотя есть ключевой вопрос - сколько VPN-каналов используется одновременно? Если не более 5-10 - то тоже не вопрос, любое железо тянет. Если больше 10-ти - надо смотреть и думать.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Помогите выбрать железяку под ядро "  +/
Сообщение от DeerFriend on 22-Дек-16, 12:11 
> Для понимания - любой неплохой сервак дохнет при потоке не более 50-100
> kpps, вне зависимости от используемой ОС, из-за архитектурных ограничений шины PCI/PCI-e.
> Самая дохлая Cisco ISR v1 имеет производительность более 100 kpps, та же
> 3845, которую я брал на вторичном рынке за 15к рублей (и
> еще 5к вбухал в абгрейд флеша и памяти) дает 500 kpps.

У вас очень устаревшая инфа про "любой неплохой сервак". Их производительность уже в mpps давно меряют, но инструкции по тюнингу придется поискать, годных пока не слишком много в инете написано. Особенно на русском языке.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

5. "Помогите выбрать железяку под ядро "  +/
Сообщение от Pofigist on 22-Дек-16, 15:04 
> У вас очень устаревшая инфа про "любой неплохой сервак". Их производительность уже
> в mpps давно меряют, но инструкции по тюнингу придется поискать, годных
> пока не слишком много в инете написано. Особенно на русском языке.

Да ну? Что от PCI/PCI-e уже отказались? Проблема - в архитектуре шины. Не CPU, не OS - в шине.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Помогите выбрать железяку под ядро "  +/
Сообщение от DeerFriend on 22-Дек-16, 21:28 
> Да ну? Что от PCI/PCI-e уже отказались? Проблема - в архитектуре шины.
> Не CPU, не OS - в шине.

А что именно там проблемно? пси-е же напрямую в камень идёт.

Вот например http://www.opennet.dev/opennews/art.shtml?num=43122 &nbs...
Сколько придется за асу переплатить, чтобы обрабатывать не меньше?

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

8. "Помогите выбрать железяку под ядро "  +/
Сообщение от Pofigist on 22-Дек-16, 21:52 
> Вот например http://www.opennet.dev/opennews/art.shtml?num=43122 &nbs...
> Сколько придется за асу переплатить, чтобы обрабатывать не меньше?

Ну для начала - свои 5.8 mpps он разбирает не на реальных интевейсах, а на loopback. То есть - мимо шины.

> > А что именно там проблемно? пси-е же напрямую в камень идёт.

Проблемы - в PCI/PCI-e :) Для начала разберитесь как сетевой интерфейс передает данные в RAM/CPU для обработки, посмотрите тактовую частоту шины, сколько циклов занимает обработка прерывания, сколько - захват и освобождение шины и т.д. После этого все станет очевидно имхо.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

9. "Помогите выбрать железяку под ядро "  +/
Сообщение от DeerFriend on 22-Дек-16, 22:18 
> Ну для начала - свои 5.8 mpps он разбирает не на реальных
> интевейсах, а на loopback. То есть - мимо шины.

Что это меняет для трафика, который входит и выходит?

> Проблемы - в PCI/PCI-e :) Для начала разберитесь как сетевой интерфейс передает
> данные в RAM/CPU для обработки, посмотрите тактовую частоту шины, сколько циклов
> занимает обработка прерывания, сколько - захват и освобождение шины и т.д.
> После этого все станет очевидно имхо.

Если в цисках эту проблему решили, то почему они пропускают через себя так мало pps?

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "Помогите выбрать железяку под ядро "  +/
Сообщение от Pofigist on 22-Дек-16, 23:53 

> Если в цисках эту проблему решили, то почему они пропускают через себя
> так мало pps?

Мало? Железка которая лет десять как снаята с производства пропускует трафика в 5 раз больше чем современный писюк? Ну ок - мало. :)

> Что это меняет для трафика, который входит и выходит?

А ну понятно... Полное непонимание вопроса, но зато есть желание поспорить. До свидания.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

12. "Помогите выбрать железяку под ядро "  +/
Сообщение от DeerFriend on 23-Дек-16, 11:19 
> А ну понятно... Полное непонимание вопроса, но зато есть желание поспорить. До
> свидания.

Мне будет тебя не хватать, человек, который не может обосновать свои заявления. Пока пока.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

13. "Помогите выбрать железяку под ядро "  +/
Сообщение от Pofigist on 23-Дек-16, 18:43 
>> А ну понятно... Полное непонимание вопроса, но зато есть желание поспорить. До
>> свидания.
> Мне будет тебя не хватать, человек, который не может обосновать свои заявления.
> Пока пока.

Поизучайте матчасть - я имхо четко и однозначно сказал что проблема в шине PCI/PCI-e, в ответ мы мне приводите примеры синтетических тестов, которые не используют передачу данных по этой шине. Ну ок, только вот в реальной жизни - так не получится.

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

7. "Помогите выбрать железяку под ядро "  +/
Сообщение от DeerFriend on 22-Дек-16, 21:30 
> Да ну? Что от PCI/PCI-e уже отказались? Проблема - в архитектуре шины.
> Не CPU, не OS - в шине.

А что именно там проблемно? пси-е же напрямую в камень идёт.

Вот например http://www.opennet.dev/opennews/art.shtml?num=43122
5,8mpps
Сколько придется за асу переплатить, чтобы обрабатывать не меньше?

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

11. "Помогите выбрать железяку под ядро "  +/
Сообщение от stalker37 email(ok) on 23-Дек-16, 10:52 
> Если есть возможность брать железки на вторичном рынке - уложитесь, если нет
> - только колхозить...
> Для понимания - любой неплохой сервак дохнет при потоке не более 50-100
> kpps, вне зависимости от используемой ОС, из-за архитектурных ограничений шины PCI/PCI-e.

Правда?
А мужики то и не знают.
https://s30.postimg.org/4wpms8wwh/pps.png

При этом загрузка CPU ~200 попугаев

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

3. "Помогите выбрать железяку под ядро "  +/
Сообщение от ShyLion (ok) on 22-Дек-16, 11:32 
> Прочитав кучу форумов определил для себя три варианта:

Это не три варианта, это три компонента, каждый из которых необходим по отдельности.

Коммутатор ядра - роутит между виланами, также может примитивно фильтровать с помощью аксес-листов. Делает это очень быстро на железе и может спокойно жевать гигабиты.
Советую б/у Cisco Catalyst 3560/3750

Маршрутизатор для подключения VPN пользователей и удаленных офисов. Советую в центр ставить Cisco ISG, от 2811 до 3945E от бюджета и пропускной способности, а в филиалы ставить Cisco 871, 881, 891 от бюджета. На всем этом поднять DMVPN с EIGRP и иметь нормальную, управляемую сеть.

Натилку/проксю для пользователей - тут уж что угодно, от домашнего тплинка до Cisco роутера или линухового тазика.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

14. "Помогите выбрать железяку под ядро "  +/
Сообщение от alexcandr email(ok) on 28-Дек-16, 00:21 
Всем спасибо за помощь!!!
Я так понял что третий вариант мне совсем не подходит, маленький бюджет и задачи не под это оборудование, сетка маленькая, трафика тоже мало (сейчас провайдер выдает по 5 Мб канал VPN на удаленные точки и все это приходит в офис, где канал 10 Мб + линия инета 30 мб)

Разъясните пжл еще пару моментов. У нас сча три подсети, одна офис, вторая и третья - это удаленные объекты. Сейчас в роли роутера старый сервачок с Kerio Control, который только распределяет трафик между подсетями.
Что хотим сделать:
1. Nat
2. Кэширующий прокси сервер (раньше юзал его для экономии трафика и быстрого доступа, думаю с нашим каналом тоже актуально)
3. Firewall
4. Антвирус
5. Vlan (Вынести сервера в отдельную подсеть и закрыть доступ всем, кроме админов)
6. VPN - простой, для подключения из дома нескольких компов
7. Статистика по загруженности канала/порта
8. Учет трафика/Блокировка и ограничения трафика
9. Статистика по сайтам
10. Вынести в другую подсеть сервер с данными

Все самое основное я перечислил)

Сможет ли Микротик сделать все это? И нужно ли будет покупать для него доп лицензии или что то типо этого (как на циске)

Linux точно с правиться с этим + есть отличный сервак для него. Но я так понимаю что к Linux еще нужно брать коммутатор L2 который умеет Vlan.
И наверняка нужно будет менять сетевую карту, которая стоит на более производительную?

Хочется конечно купить коробку, коробку настроить ее и забыть, но подозреваю что так не получиться.

Может использовать сервер Linux с Микротиком в паре??? (но тогда не понятно в какой роли будет микротик) или же докупить коммутатор c Vlan. Если так, то какой коммутатор под мои цели подойдет?

Заранее всем спасибо!!!


Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

15. "Помогите выбрать железяку под ядро "  +/
Сообщение от Cyber100 (ok) on 28-Дек-16, 13:44 
>[оверквотинг удален]
> Linux точно с правиться с этим + есть отличный сервак для него.
> Но я так понимаю что к Linux еще нужно брать коммутатор
> L2 который умеет Vlan.
> И наверняка нужно будет менять сетевую карту, которая стоит на более производительную?
> Хочется конечно купить коробку, коробку настроить ее и забыть, но подозреваю что
> так не получиться.
> Может использовать сервер Linux с Микротиком в паре??? (но тогда не понятно
> в какой роли будет микротик) или же докупить коммутатор c Vlan.
> Если так, то какой коммутатор под мои цели подойдет?
> Заранее всем спасибо!!!

прикручивай себе pfsense и не заморачивай никому мозги.)


Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

16. "Помогите выбрать железяку под ядро "  +/
Сообщение от alexcandr (ok) on 13-Фев-17, 14:57 
Ребят всем спасибо!!!)

Вроде определились с вариантом) понятно что кроме сервака под linux/fbsd ничего не подойдет под наш бюджет))

Подскажите пжл еще по одному вопросу:

Есть два отдела 20 и 3 человека, есть сервера, нужно вынести сервера + отдел 3 человека в другую сеть, но при условии что бы оба отдела могли пользоваться сервисами серверов.

Можно даже сделать три подсети. Главное что бы они не могли попасть к друг другу.

Собственно можно сделать разные подсети и на Linux маршрутизаторе настроить правила маршрутизации, но тогда можно будет сменить ip и попасть в другую подсеть.
На ум приходит технология Vlan. С ней не знаком, поэтому спрашиваю у вас

Нужно ли покупать коммутатор L3 для эти целей или с маршрутами справиться Линукс. Если нужно то подойдет ли вот он, не дорогой вроде и все есть) Linksys LGS528.

Заранее спасибо!

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

17. "Помогите выбрать железяку под ядро "  +/
Сообщение от fantom (??) on 21-Фев-17, 07:50 
>[оверквотинг удален]
> Можно даже сделать три подсети. Главное что бы они не могли попасть
> к друг другу.
> Собственно можно сделать разные подсети и на Linux маршрутизаторе настроить правила маршрутизации,
> но тогда можно будет сменить ip и попасть в другую подсеть.
> На ум приходит технология Vlan. С ней не знаком, поэтому спрашиваю у
> вас
> Нужно ли покупать коммутатор L3 для эти целей или с маршрутами справиться
> Линукс. Если нужно то подойдет ли вот он, не дорогой вроде
> и все есть) Linksys LGS528.
> Заранее спасибо!

Если трафика на сервера у вас менее 400Мбит  - линукс справится (при одной гиговой сетевухе)
Коммутатор у вас вроде в ВЛАН-ами дружит (длинк который)

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру