Доброго времени суток, форумчане!
Возникла необходимость реализовать следующее.
Есть
1. 2 провайдера (оба IPoE, скорость 15 и 10 Мб)
2. 1 физическая сеть, разделенная на 2 подсети 192.168.0. и 192.168.1.
3. По 192.168.1. ходит в основном (99,9%) UDP трафик (IP атс)
4. по 192.168.0. ходят все остальный ПК + принтеры и тд. всего около 100 "голов"
5. VPN сервер в сети п.4
6. несколько web и ssh серверов (необходим проброс)
Необходимо
1. Балансировка нагрузки по провайдерам с возможностью полностью переключиться
на одного из них в случае падения второго
2. организовать 2 шлюза для обеих подсетей
3. организовать проброс портов с любого провайдера на VPN, WEB и SSH серверы
4. Ограничить подсеть п.4 выход в инет по портам, контенту и скорости (по пользователю или лучше по IP)
5. Закрыть для п.3 весь TCP трафик (кроме нескольких портов) +
организовать проброс UDP портов от любого провайдера в АТС
6. Посмотреть, а лучше посчитать трафик пользователей подсети п.4 по посещаемым ресурсам
7. В идеале выделить адресное пространство серверов в отдельную подсеть (допустим 192.168.2.)
и прописать маршрутизацию из сети п.4 к ним.
Все это сейчас реализовано на нескольких железках + софтовый прокси.
Хотелось бы попроще и постабильнее.
Бюджет слабо лимитирован собственной совестью.
ПС забыл, обязательно необходим локальный DHCP, который сможет раздавать адреса на 2 подсети (с серверами и пользователями, у АТС свой аналог DHCP есть, работает неконфликтно и независимо от обычного) + DNS (с возможностью прописывать статические адреса, получаемые устройствами при автоматической регистрации в сети)
Подскажите, пожалуйста, необходимое оборудование и возможные подводные камни.
Много и сразу.
- simpl3x
- Модератор
- Сообщения: 1532
- Зарегистрирован: 19 апр 2012, 14:03
любой мтик, все зависит от нагрузки.
как такового балансирования трафика в мтике нет, т.е. готового решения из коробки, каждый выдумывает исходя из своих задач. в мтике есть раскаска пакетов, соединений, маршрутов, очереди - объединив эти механизмы можно получить желаемый результат.
failover на двух аплинках делается просто двумя маршрутами по умолчанию с разными метриками.
считать сам по себе мтик не умеет, но умеет отдавать информацию в виде neftlow. можно придумать что то вроде: http://slagovskiy.blogspot.ru/2010/02/m ... lyzer.html
покажет вам все что угодно.
всё остальное никаких сложностей.
1. Балансировка нагрузки по провайдерам с возможностью полностью переключиться
на одного из них в случае падения второго
как такового балансирования трафика в мтике нет, т.е. готового решения из коробки, каждый выдумывает исходя из своих задач. в мтике есть раскаска пакетов, соединений, маршрутов, очереди - объединив эти механизмы можно получить желаемый результат.
failover на двух аплинках делается просто двумя маршрутами по умолчанию с разными метриками.
6. Посмотреть, а лучше посчитать трафик пользователей подсети п.4 по посещаемым ресурсам
считать сам по себе мтик не умеет, но умеет отдавать информацию в виде neftlow. можно придумать что то вроде: http://slagovskiy.blogspot.ru/2010/02/m ... lyzer.html
покажет вам все что угодно.
всё остальное никаких сложностей.
-
- Сообщения: 4
- Зарегистрирован: 23 янв 2013, 10:29
Спасибо за коммент!
Я "слегка" новичек в работе с данным оборудованием,
поэтому прежде всего хотел увидеть рекомендацию по модели железки.
Какая подойдет мне по производительности.
И желательно ткнуть меня в описание софта, где можно прочитать инфу по описанной мной задаче.
Я "слегка" новичек в работе с данным оборудованием,
поэтому прежде всего хотел увидеть рекомендацию по модели железки.
Какая подойдет мне по производительности.
И желательно ткнуть меня в описание софта, где можно прочитать инфу по описанной мной задаче.
- simpl3x
- Модератор
- Сообщения: 1532
- Зарегистрирован: 19 апр 2012, 14:03
Я "слегка" новичек в работе с данным оборудованием,
поэтому прежде всего хотел увидеть рекомендацию по модели железки.
Какая подойдет мне по производительности.
если это офисная сеть, то начните смотреть на RB 1XXX серию.
суть в том, что из задачи не ясно, какие каналы будет обрабатывать железка, какое количество пакетов, какая нагрузка будет на фаерволе - сколько правил, сколько шейперов будет работать. все это нагрузка на процессор и память маршрутизатора, исходя из оценки этих цифр можно понять что по железу вам нужно
- simpl3x
- Модератор
- Сообщения: 1532
- Зарегистрирован: 19 апр 2012, 14:03
И желательно ткнуть меня в описание софта, где можно прочитать инфу по описанной мной задаче.
1. Балансировка нагрузки по провайдерам с возможностью полностью переключиться
на одного из них в случае падения второго
http://wiki.mikrotik.com/wiki/Advanced_ ... _Scripting
http://wiki.mikrotik.com/wiki/Load_Bala ... e_Gateways
3. организовать проброс портов с любого провайдера на VPN, WEB и SSH серверы
5. Закрыть для п.3 весь TCP трафик (кроме нескольких портов) +
организовать проброс UDP портов от любого провайдера в АТС
http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/NAT
http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Filter
2. организовать 2 шлюза для обеих подсетей
7. В идеале выделить адресное пространство серверов в отдельную подсеть (допустим 192.168.2.)
и прописать маршрутизацию из сети п.4 к ним.
http://wiki.mikrotik.com/wiki/Manual:IP/Address
http://wiki.mikrotik.com/wiki/%D0%A0%D1 ... D1%81/VLAN
6. Посмотреть, а лучше посчитать трафик пользователей подсети п.4 по посещаемым ресурсам
выше написал.
всё это и многое другое вы найдете:
1. https://www.google.ru/
2. http://wiki.mikrotik.com/wiki/Manual:TOC
-
- Сообщения: 4
- Зарегистрирован: 23 янв 2013, 10:29
simpl3x писал(а):И желательно ткнуть меня в описание софта, где можно прочитать инфу по описанной мной задаче.1. Балансировка нагрузки по провайдерам с возможностью полностью переключиться
на одного из них в случае падения второго
http://wiki.mikrotik.com/wiki/Advanced_ ... _Scripting
http://wiki.mikrotik.com/wiki/Load_Bala ... e_Gateways3. организовать проброс портов с любого провайдера на VPN, WEB и SSH серверы
5. Закрыть для п.3 весь TCP трафик (кроме нескольких портов) +
организовать проброс UDP портов от любого провайдера в АТС
http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/NAT
http://wiki.mikrotik.com/wiki/Manual:IP/Firewall/Filter2. организовать 2 шлюза для обеих подсетей
7. В идеале выделить адресное пространство серверов в отдельную подсеть (допустим 192.168.2.)
и прописать маршрутизацию из сети п.4 к ним.
http://wiki.mikrotik.com/wiki/Manual:IP/Address
http://wiki.mikrotik.com/wiki/%D0%A0%D1 ... D1%81/VLAN6. Посмотреть, а лучше посчитать трафик пользователей подсети п.4 по посещаемым ресурсам
выше написал.
всё это и многое другое вы найдете:
1. https://www.google.ru/
2. http://wiki.mikrotik.com/wiki/Manual:TOC
Вот огромное спасибо, человечище!
Гуглом я пользоваться умею,
хотелось услышать отзыв и пинок в правильном направлении от человека,
который уже имел подобный опыт.
-
- Сообщения: 4
- Зарегистрирован: 23 янв 2013, 10:29
simpl3x писал(а):Я "слегка" новичек в работе с данным оборудованием,
поэтому прежде всего хотел увидеть рекомендацию по модели железки.
Какая подойдет мне по производительности.
если это офисная сеть, то начните смотреть на RB 1XXX серию.
суть в том, что из задачи не ясно, какие каналы будет обрабатывать железка, какое количество пакетов, какая нагрузка будет на фаерволе - сколько правил, сколько шейперов будет работать. все это нагрузка на процессор и память маршрутизатора, исходя из оценки этих цифр можно понять что по железу вам нужно
ПК пользователей активно использующих инет по нескольким портам около 80 + около 70 IP-телефонов,
физических серверов 9 + виртуальных около 10
для каждого клиента своя полоса должна быть пропускания + общая труба по группам ПК
Я посматривал на http://mikrotik.ru/katalog/katalog/marshrutizatory/marshrutizatory/routerboard-ccr1016-12g
однако меня немного смущают отзывы на хабре о стабильности систем микротик.
Достаточна ли будет по производительности указанная железка?
- simpl3x
- Модератор
- Сообщения: 1532
- Зарегистрирован: 19 апр 2012, 14:03
Хватит с запасом. У нас в продакшене стоит старшая модель, та которая 36 ядерная, нагрузка на ней 300 мбит, 80к pps, трафик домашнего интернета, шейперы, наты, роуты, фильтры, динамическая маршрутизация - средняя загрузка cpu=10%. Сейчас заказали еще одну под более серьезную нагрузку.
О стабильности можно долго разговаривать, холивары есть везде. Я за время использования мтиков естественно спотыкался о многие их болезни! НО за такую цену и за такой функционал/железо вы не найдете аналогов. Не считая конешно же linux\freebsd самосборов. У самих два пограничный маршутизатора на фряхе, честно - не трогаешь их, работают как часы, но все равно, наметили их замену на микротики ccr как только их ros 6 перейдет в статус релиза
О стабильности можно долго разговаривать, холивары есть везде. Я за время использования мтиков естественно спотыкался о многие их болезни! НО за такую цену и за такой функционал/железо вы не найдете аналогов. Не считая конешно же linux\freebsd самосборов. У самих два пограничный маршутизатора на фряхе, честно - не трогаешь их, работают как часы, но все равно, наметили их замену на микротики ccr как только их ros 6 перейдет в статус релиза
- simpl3x
- Модератор
- Сообщения: 1532
- Зарегистрирован: 19 апр 2012, 14:03
http://slagovskiy.blogspot.ru/?m=1
Начните еще отсюда, тут тоже с нуля знакомство с ros. Базис вы тут получите
Начните еще отсюда, тут тоже с нуля знакомство с ros. Базис вы тут получите