Много и сразу.

Обсуждение на тему выбора оборудования
Ответить
evanko
Сообщения: 4
Зарегистрирован: 23 янв 2013, 10:29

Доброго времени суток, форумчане!

Возникла необходимость реализовать следующее.

Есть
1. 2 провайдера (оба IPoE, скорость 15 и 10 Мб)
2. 1 физическая сеть, разделенная на 2 подсети 192.168.0. и 192.168.1.
3. По 192.168.1. ходит в основном (99,9%) UDP трафик (IP атс)
4. по 192.168.0. ходят все остальный ПК + принтеры и тд. всего около 100 "голов"
5. VPN сервер в сети п.4
6. несколько web и ssh серверов (необходим проброс)

Необходимо
1. Балансировка нагрузки по провайдерам с возможностью полностью переключиться
на одного из них в случае падения второго
2. организовать 2 шлюза для обеих подсетей
3. организовать проброс портов с любого провайдера на VPN, WEB и SSH серверы
4. Ограничить подсеть п.4 выход в инет по портам, контенту и скорости (по пользователю или лучше по IP)
5. Закрыть для п.3 весь TCP трафик (кроме нескольких портов) +
организовать проброс UDP портов от любого провайдера в АТС
6. Посмотреть, а лучше посчитать трафик пользователей подсети п.4 по посещаемым ресурсам
7. В идеале выделить адресное пространство серверов в отдельную подсеть (допустим 192.168.2.)
и прописать маршрутизацию из сети п.4 к ним.


Все это сейчас реализовано на нескольких железках + софтовый прокси.
Хотелось бы попроще и постабильнее.
Бюджет слабо лимитирован собственной совестью.

ПС забыл, обязательно необходим локальный DHCP, который сможет раздавать адреса на 2 подсети (с серверами и пользователями, у АТС свой аналог DHCP есть, работает неконфликтно и независимо от обычного) + DNS (с возможностью прописывать статические адреса, получаемые устройствами при автоматической регистрации в сети)


Подскажите, пожалуйста, необходимое оборудование и возможные подводные камни.


Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

любой мтик, все зависит от нагрузки.

1. Балансировка нагрузки по провайдерам с возможностью полностью переключиться
на одного из них в случае падения второго

как такового балансирования трафика в мтике нет, т.е. готового решения из коробки, каждый выдумывает исходя из своих задач. в мтике есть раскаска пакетов, соединений, маршрутов, очереди - объединив эти механизмы можно получить желаемый результат.
failover на двух аплинках делается просто двумя маршрутами по умолчанию с разными метриками.

6. Посмотреть, а лучше посчитать трафик пользователей подсети п.4 по посещаемым ресурсам

считать сам по себе мтик не умеет, но умеет отдавать информацию в виде neftlow. можно придумать что то вроде: http://slagovskiy.blogspot.ru/2010/02/m ... lyzer.html
покажет вам все что угодно.

всё остальное никаких сложностей.


evanko
Сообщения: 4
Зарегистрирован: 23 янв 2013, 10:29

Спасибо за коммент!

Я "слегка" новичек в работе с данным оборудованием,
поэтому прежде всего хотел увидеть рекомендацию по модели железки.

Какая подойдет мне по производительности.
И желательно ткнуть меня в описание софта, где можно прочитать инфу по описанной мной задаче.


Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

Я "слегка" новичек в работе с данным оборудованием,
поэтому прежде всего хотел увидеть рекомендацию по модели железки.

Какая подойдет мне по производительности.


если это офисная сеть, то начните смотреть на RB 1XXX серию.
суть в том, что из задачи не ясно, какие каналы будет обрабатывать железка, какое количество пакетов, какая нагрузка будет на фаерволе - сколько правил, сколько шейперов будет работать. все это нагрузка на процессор и память маршрутизатора, исходя из оценки этих цифр можно понять что по железу вам нужно


Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

И желательно ткнуть меня в описание софта, где можно прочитать инфу по описанной мной задаче.


1. Балансировка нагрузки по провайдерам с возможностью полностью переключиться
на одного из них в случае падения второго


http://wiki.mikrotik.com/wiki/Advanced_ ... _Scripting
http://wiki.mikrotik.com/wiki/Load_Bala ... e_Gateways

3. организовать проброс портов с любого провайдера на VPN, WEB и SSH серверы
5. Закрыть для п.3 весь TCP трафик (кроме нескольких портов) +
организовать проброс UDP портов от любого провайдера в АТС


http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/NAT
http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Filter

2. организовать 2 шлюза для обеих подсетей
7. В идеале выделить адресное пространство серверов в отдельную подсеть (допустим 192.168.2.)
и прописать маршрутизацию из сети п.4 к ним.


http://wiki.mikrotik.com/wiki/Manual:IP/Address
http://wiki.mikrotik.com/wiki/%D0%A0%D1 ... D1%81/VLAN

6. Посмотреть, а лучше посчитать трафик пользователей подсети п.4 по посещаемым ресурсам

выше написал.


всё это и многое другое вы найдете:
1. https://www.google.ru/
2. http://wiki.mikrotik.com/wiki/Manual:TOC


evanko
Сообщения: 4
Зарегистрирован: 23 янв 2013, 10:29

simpl3x писал(а):
И желательно ткнуть меня в описание софта, где можно прочитать инфу по описанной мной задаче.


1. Балансировка нагрузки по провайдерам с возможностью полностью переключиться
на одного из них в случае падения второго


http://wiki.mikrotik.com/wiki/Advanced_ ... _Scripting
http://wiki.mikrotik.com/wiki/Load_Bala ... e_Gateways

3. организовать проброс портов с любого провайдера на VPN, WEB и SSH серверы
5. Закрыть для п.3 весь TCP трафик (кроме нескольких портов) +
организовать проброс UDP портов от любого провайдера в АТС


http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/NAT
http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Filter

2. организовать 2 шлюза для обеих подсетей
7. В идеале выделить адресное пространство серверов в отдельную подсеть (допустим 192.168.2.)
и прописать маршрутизацию из сети п.4 к ним.


http://wiki.mikrotik.com/wiki/Manual:IP/Address
http://wiki.mikrotik.com/wiki/%D0%A0%D1 ... D1%81/VLAN

6. Посмотреть, а лучше посчитать трафик пользователей подсети п.4 по посещаемым ресурсам

выше написал.


всё это и многое другое вы найдете:
1. https://www.google.ru/
2. http://wiki.mikrotik.com/wiki/Manual:TOC



Вот огромное спасибо, человечище!
Гуглом я пользоваться умею,
хотелось услышать отзыв и пинок в правильном направлении от человека,
который уже имел подобный опыт.


evanko
Сообщения: 4
Зарегистрирован: 23 янв 2013, 10:29

simpl3x писал(а):
Я "слегка" новичек в работе с данным оборудованием,
поэтому прежде всего хотел увидеть рекомендацию по модели железки.

Какая подойдет мне по производительности.


если это офисная сеть, то начните смотреть на RB 1XXX серию.
суть в том, что из задачи не ясно, какие каналы будет обрабатывать железка, какое количество пакетов, какая нагрузка будет на фаерволе - сколько правил, сколько шейперов будет работать. все это нагрузка на процессор и память маршрутизатора, исходя из оценки этих цифр можно понять что по железу вам нужно



ПК пользователей активно использующих инет по нескольким портам около 80 + около 70 IP-телефонов,
физических серверов 9 + виртуальных около 10
для каждого клиента своя полоса должна быть пропускания + общая труба по группам ПК
Я посматривал на http://mikrotik.ru/katalog/katalog/marshrutizatory/marshrutizatory/routerboard-ccr1016-12g
однако меня немного смущают отзывы на хабре о стабильности систем микротик.

Достаточна ли будет по производительности указанная железка?


Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

Хватит с запасом. У нас в продакшене стоит старшая модель, та которая 36 ядерная, нагрузка на ней 300 мбит, 80к pps, трафик домашнего интернета, шейперы, наты, роуты, фильтры, динамическая маршрутизация - средняя загрузка cpu=10%. Сейчас заказали еще одну под более серьезную нагрузку.
О стабильности можно долго разговаривать, холивары есть везде. Я за время использования мтиков естественно спотыкался о многие их болезни! НО за такую цену и за такой функционал/железо вы не найдете аналогов. Не считая конешно же linux\freebsd самосборов. У самих два пограничный маршутизатора на фряхе, честно - не трогаешь их, работают как часы, но все равно, наметили их замену на микротики ccr как только их ros 6 перейдет в статус релиза


Аватара пользователя
simpl3x
Модератор
Сообщения: 1532
Зарегистрирован: 19 апр 2012, 14:03

http://slagovskiy.blogspot.ru/?m=1

Начните еще отсюда, тут тоже с нуля знакомство с ros. Базис вы тут получите


Ответить