Приветствую всех!
Помогите пожалуйста с выбором оборудования под ядро сети.
Сеть не большая, в офисе порядка 40 компов + 5 серверов, есть удаленные точки около 40 по городу.
В офисе все просто, стоит пару dlink 1210-28/me и 3com один, gate Kerio control на старом серваке.
Все дико виснит и работает не ахти.
Задача заменить Kerio, поставить центральную железку, которая будет отвечать за маршрутизацию/VPN/Vlan статистику и прочие блага.
Бюджет ограничен порядка 30к рублей)
В наличие есть сервак не плохой.
Прочитав кучу форумов определил для себя три варианта:1 Сервак на Centose/freebsd в роли роутера + коммутатор L2
2 Микротик - про него мало чего знаю, но пишут что очень надежный и все может
3 Коммутатор L3 среднего звенаПосоветуйте пжл в каком направление луче двигаться) на что обратить внимание при рассмотрение этих вариантов.
На прошлой работе была вообще cisco 800 серии и пользователей под 100 и она справлялась нормально.
Счас задача стоит организовать Vlan разные сети, ограничить доступ, вывести все серваки в одну подсеть, маршрутизация и прочее.
С удаленными точками у нас сделан канал по VPN провайдера в 5 Мб. С офиса раздается им интернет и локальные ресурсы.Заранее спасибо! буду признателен за любую помощь!
Если Kerio делает NAT, то L3 свитч забудьте. Свитчи NAT не умеют. Ну если только С6500. Но это уже не столько свитч, сколько "платформа". Да и уровень Enterprise/DataCenter.
Бюджет 30кРуб и L3 "среднего звена" - все-таки несовместимо. Если только не будете заказывать на e-bay или брать с авито. Но это может оказаться лотерей - как повезет.Что такое "статистику и прочие блага"?
Микротик не будет держать "статистику и прочие блага". Это маршрутизатор, а не "билинговая платформа" или FTP/HTTP/SMTP сервер. В остальном: VLAN,VPN,OSPF,BGP и прочие плюшки - есть "из коробки".
Сервер - может все что угодно, но держать "статистику и прочие блага" рекомендуется не на пограничном устройстве(маршрутизаторе, МСЭ и т.п.). Да и сервисы типа VPN,OSPF,BGP в любом случае придется прикручивать.
Если есть возможность брать железки на вторичном рынке - уложитесь, если нет - только колхозить...Для понимания - любой неплохой сервак дохнет при потоке не более 50-100 kpps, вне зависимости от используемой ОС, из-за архитектурных ограничений шины PCI/PCI-e.
Самая дохлая Cisco ISR v1 имеет производительность более 100 kpps, та же 3845, которую я брал на вторичном рынке за 15к рублей (и еще 5к вбухал в абгрейд флеша и памяти) дает 500 kpps.> На прошлой работе была вообще cisco 800 серии и пользователей под 100 и она справлялась нормально.
Они очень разные по производительности, но современные - что-то на уровне 50 kpps если не ошибаюсь.
> С удаленными точками у нас сделан канал по VPN провайдера в 5 Мб.
Вообще ни о чем - хоть D-link ставьте, потянет. Хотя есть ключевой вопрос - сколько VPN-каналов используется одновременно? Если не более 5-10 - то тоже не вопрос, любое железо тянет. Если больше 10-ти - надо смотреть и думать.
> Для понимания - любой неплохой сервак дохнет при потоке не более 50-100
> kpps, вне зависимости от используемой ОС, из-за архитектурных ограничений шины PCI/PCI-e.
> Самая дохлая Cisco ISR v1 имеет производительность более 100 kpps, та же
> 3845, которую я брал на вторичном рынке за 15к рублей (и
> еще 5к вбухал в абгрейд флеша и памяти) дает 500 kpps.У вас очень устаревшая инфа про "любой неплохой сервак". Их производительность уже в mpps давно меряют, но инструкции по тюнингу придется поискать, годных пока не слишком много в инете написано. Особенно на русском языке.
> У вас очень устаревшая инфа про "любой неплохой сервак". Их производительность уже
> в mpps давно меряют, но инструкции по тюнингу придется поискать, годных
> пока не слишком много в инете написано. Особенно на русском языке.Да ну? Что от PCI/PCI-e уже отказались? Проблема - в архитектуре шины. Не CPU, не OS - в шине.
> Да ну? Что от PCI/PCI-e уже отказались? Проблема - в архитектуре шины.
> Не CPU, не OS - в шине.А что именно там проблемно? пси-е же напрямую в камень идёт.
Вот например http://www.opennet.me/opennews/art.shtml?num=43122 5,8mpps
Сколько придется за асу переплатить, чтобы обрабатывать не меньше?
> Вот например http://www.opennet.me/opennews/art.shtml?num=43122 5,8mpps
> Сколько придется за асу переплатить, чтобы обрабатывать не меньше?Ну для начала - свои 5.8 mpps он разбирает не на реальных интевейсах, а на loopback. То есть - мимо шины.
> > А что именно там проблемно? пси-е же напрямую в камень идёт.
Проблемы - в PCI/PCI-e :) Для начала разберитесь как сетевой интерфейс передает данные в RAM/CPU для обработки, посмотрите тактовую частоту шины, сколько циклов занимает обработка прерывания, сколько - захват и освобождение шины и т.д. После этого все станет очевидно имхо.
> Ну для начала - свои 5.8 mpps он разбирает не на реальных
> интевейсах, а на loopback. То есть - мимо шины.Что это меняет для трафика, который входит и выходит?
> Проблемы - в PCI/PCI-e :) Для начала разберитесь как сетевой интерфейс передает
> данные в RAM/CPU для обработки, посмотрите тактовую частоту шины, сколько циклов
> занимает обработка прерывания, сколько - захват и освобождение шины и т.д.
> После этого все станет очевидно имхо.Если в цисках эту проблему решили, то почему они пропускают через себя так мало pps?
> Если в цисках эту проблему решили, то почему они пропускают через себя
> так мало pps?Мало? Железка которая лет десять как снаята с производства пропускует трафика в 5 раз больше чем современный писюк? Ну ок - мало. :)
> Что это меняет для трафика, который входит и выходит?
А ну понятно... Полное непонимание вопроса, но зато есть желание поспорить. До свидания.
> А ну понятно... Полное непонимание вопроса, но зато есть желание поспорить. До
> свидания.Мне будет тебя не хватать, человек, который не может обосновать свои заявления. Пока пока.
>> А ну понятно... Полное непонимание вопроса, но зато есть желание поспорить. До
>> свидания.
> Мне будет тебя не хватать, человек, который не может обосновать свои заявления.
> Пока пока.Поизучайте матчасть - я имхо четко и однозначно сказал что проблема в шине PCI/PCI-e, в ответ мы мне приводите примеры синтетических тестов, которые не используют передачу данных по этой шине. Ну ок, только вот в реальной жизни - так не получится.
> Да ну? Что от PCI/PCI-e уже отказались? Проблема - в архитектуре шины.
> Не CPU, не OS - в шине.А что именно там проблемно? пси-е же напрямую в камень идёт.
Вот например http://www.opennet.me/opennews/art.shtml?num=43122
5,8mpps
Сколько придется за асу переплатить, чтобы обрабатывать не меньше?
> Если есть возможность брать железки на вторичном рынке - уложитесь, если нет
> - только колхозить...
> Для понимания - любой неплохой сервак дохнет при потоке не более 50-100
> kpps, вне зависимости от используемой ОС, из-за архитектурных ограничений шины PCI/PCI-e.Правда?
А мужики то и не знают.
https://s30.postimg.org/4wpms8wwh/pps.pngПри этом загрузка CPU ~200 попугаев
> Прочитав кучу форумов определил для себя три варианта:Это не три варианта, это три компонента, каждый из которых необходим по отдельности.
Коммутатор ядра - роутит между виланами, также может примитивно фильтровать с помощью аксес-листов. Делает это очень быстро на железе и может спокойно жевать гигабиты.
Советую б/у Cisco Catalyst 3560/3750Маршрутизатор для подключения VPN пользователей и удаленных офисов. Советую в центр ставить Cisco ISG, от 2811 до 3945E от бюджета и пропускной способности, а в филиалы ставить Cisco 871, 881, 891 от бюджета. На всем этом поднять DMVPN с EIGRP и иметь нормальную, управляемую сеть.
Натилку/проксю для пользователей - тут уж что угодно, от домашнего тплинка до Cisco роутера или линухового тазика.
Всем спасибо за помощь!!!
Я так понял что третий вариант мне совсем не подходит, маленький бюджет и задачи не под это оборудование, сетка маленькая, трафика тоже мало (сейчас провайдер выдает по 5 Мб канал VPN на удаленные точки и все это приходит в офис, где канал 10 Мб + линия инета 30 мб)Разъясните пжл еще пару моментов. У нас сча три подсети, одна офис, вторая и третья - это удаленные объекты. Сейчас в роли роутера старый сервачок с Kerio Control, который только распределяет трафик между подсетями.
Что хотим сделать:
1. Nat
2. Кэширующий прокси сервер (раньше юзал его для экономии трафика и быстрого доступа, думаю с нашим каналом тоже актуально)
3. Firewall
4. Антвирус
5. Vlan (Вынести сервера в отдельную подсеть и закрыть доступ всем, кроме админов)
6. VPN - простой, для подключения из дома нескольких компов
7. Статистика по загруженности канала/порта
8. Учет трафика/Блокировка и ограничения трафика
9. Статистика по сайтам
10. Вынести в другую подсеть сервер с даннымиВсе самое основное я перечислил)
Сможет ли Микротик сделать все это? И нужно ли будет покупать для него доп лицензии или что то типо этого (как на циске)
Linux точно с правиться с этим + есть отличный сервак для него. Но я так понимаю что к Linux еще нужно брать коммутатор L2 который умеет Vlan.
И наверняка нужно будет менять сетевую карту, которая стоит на более производительную?Хочется конечно купить коробку, коробку настроить ее и забыть, но подозреваю что так не получиться.
Может использовать сервер Linux с Микротиком в паре??? (но тогда не понятно в какой роли будет микротик) или же докупить коммутатор c Vlan. Если так, то какой коммутатор под мои цели подойдет?
Заранее всем спасибо!!!
>[оверквотинг удален]
> Linux точно с правиться с этим + есть отличный сервак для него.
> Но я так понимаю что к Linux еще нужно брать коммутатор
> L2 который умеет Vlan.
> И наверняка нужно будет менять сетевую карту, которая стоит на более производительную?
> Хочется конечно купить коробку, коробку настроить ее и забыть, но подозреваю что
> так не получиться.
> Может использовать сервер Linux с Микротиком в паре??? (но тогда не понятно
> в какой роли будет микротик) или же докупить коммутатор c Vlan.
> Если так, то какой коммутатор под мои цели подойдет?
> Заранее всем спасибо!!!прикручивай себе pfsense и не заморачивай никому мозги.)
Ребят всем спасибо!!!)Вроде определились с вариантом) понятно что кроме сервака под linux/fbsd ничего не подойдет под наш бюджет))
Подскажите пжл еще по одному вопросу:
Есть два отдела 20 и 3 человека, есть сервера, нужно вынести сервера + отдел 3 человека в другую сеть, но при условии что бы оба отдела могли пользоваться сервисами серверов.
Можно даже сделать три подсети. Главное что бы они не могли попасть к друг другу.
Собственно можно сделать разные подсети и на Linux маршрутизаторе настроить правила маршрутизации, но тогда можно будет сменить ip и попасть в другую подсеть.
На ум приходит технология Vlan. С ней не знаком, поэтому спрашиваю у васНужно ли покупать коммутатор L3 для эти целей или с маршрутами справиться Линукс. Если нужно то подойдет ли вот он, не дорогой вроде и все есть) Linksys LGS528.
Заранее спасибо!
>[оверквотинг удален]
> Можно даже сделать три подсети. Главное что бы они не могли попасть
> к друг другу.
> Собственно можно сделать разные подсети и на Linux маршрутизаторе настроить правила маршрутизации,
> но тогда можно будет сменить ip и попасть в другую подсеть.
> На ум приходит технология Vlan. С ней не знаком, поэтому спрашиваю у
> вас
> Нужно ли покупать коммутатор L3 для эти целей или с маршрутами справиться
> Линукс. Если нужно то подойдет ли вот он, не дорогой вроде
> и все есть) Linksys LGS528.
> Заранее спасибо!Если трафика на сервера у вас менее 400Мбит - линукс справится (при одной гиговой сетевухе)
Коммутатор у вас вроде в ВЛАН-ами дружит (длинк который)
