Что лучше, SONiC или Cisco IOS?

Question

[Bermut]

Мне необходим в домашную лаболаторию коммутатор с 40gb/100gb портами, и функциональностью выше L3, на который, желательно, можно будет делегировать статическую маршрутизацию всего и вся в своей сети. Сейчас выбираю между bare metal коммутатором - Arista DCS-7050QX-32, или Cisco N5K-C5624Q, в целом конфигурация портов и того и того варианта меня устраивает, вопрос только вот в чем, что лучше, cisco ios или cumulus linux/sonic linux, которые как-раз таки можно поставить на arista, думаю sonic позволит использовать маркировку соединений и раскидывание их по разным таблицам маршрутизации, и в целом фильтрацию L4 уровня, то позволит ли такое IOS? Возможно ли на ios фильтровать соединения одного L2 домена, при этом на L4 уровне? Умеет ли ios в d/snat? Что будет лучше для резюме? Или существуют коммутаторы лучше предложенных мною, на Б/У рынке в бюджете до 100к? В целом, что будет лучше для домашней лаболатории?

Comments

[Strabbo]

думаю sonic позволит использовать маркировку соединений и раскидывание их по разным таблицам маршрутизации, и в целом фильтрацию L4 уровня, то позволит ли такое IOS?

В NX-OS можно маркировать траффик и раскидывать их в нужные интерфейсы не используя таблицу маршрутизации (PBR), но вот я сомневаюсь, что можно легко раскидвать траффик в разные таблицы маршрутизации без костылей. Вот с костылями это возможно (Например сделать локальный луп на портах и с помощью этих портов соеденять несколько таблиц маршрутизаций, или же программный vrf leak). Фильтрация на L4 работает.

Возможно ли на ios фильтровать соединения одного L2 домена, при этом на L4 уровне?

Возможно, есть Vlan access map, который позволяет сделать ACL по мак адрессам или по IP и фильтровать траффик до того как он дойдет до шлюза.

Умеет ли ios в d/snat?

По документам умеет, но очень много лимитов. Вообще я бы не делал NAT на свичах, даже если производитель говорит, что всё работает. Ну не научились они его нормально делать, сделали кое как для галочки и всё. Единственный раз был свидетелем dst nat на catalyst 9k свичах, после долгих отговорок клиент всё-таки решил сделать этот нат, было 4 свича по 2 штуки в стеке, на обоих сделали нат и через 2 недели high cpu, packet loss. Пока не выключили нат проблема не ушла
.
тут инфа на нексус 5к нат

Что будет лучше для резюме?

Ну если это резюме для сетевика, то на одном свиче далеко не уедешь. Я думаю, что для резюме достаточно будет самой технологии, а вот делали вы ее на cisco/sonic/arista/huawei/juniper уже не имеет разницы, потому что работают они все одинаково, переделать конфиг одного вендора на другой со всеми тестами можно за несколько дней, максимум неделя.

Или существуют коммутаторы лучше предложенных мною, на Б/У рынке в бюджете до 100к? В целом, что будет лучше для домашней лаболатории?

Думаю что вы потратите больше чем 100к, так как QSFP стоят побольше обычных SFP+, не совсем плохие наверное штука от 4-5к, DAC будет дешевле, а AOC дороже.

P.S. Я тоже любитель домашних лаб, начинах с покупи железок, тоже брал по 1, но как только начал глубоко изучать технологии, понял что например 1 свича не хватит, в большинстве случаях надо 4 например, а это уже слишком дорого :) после этого вся моя Network Lab переехала в виртуализацию.

[Bermut]

Strabbo, насколько понимаю, вы сведуете в оборудовании cisco, подскажите пожалуйста, а cisco N9K свичи, например N9K-C9372TX-E или N9K-C93108TC-EX, позволят сделать все выше описанные действия(nat, mangle, L2 фильтрацию)? Не будут ли они привередливы к qsfp28 модулям/dac кабелям? Необходимы ли им лицензии для полноценной работы? Буду признателен за ответ.

[Strabbo]

Bermut,

позволят сделать все выше описанные действия(nat, mangle, L2 фильтрацию)?

эти модели могут всё о чем вы писали, но вот не думаю, что полный функционал mangle там присутствует. Можно с костылями маркировать траффик по IP/PORT и перекидывать в другую таблицу маршрутизации. Mangle умеет менять TTL на ходу, менять TCP MSS и еще много чего, что эти свичи не могут.

Не будут ли они привередливы к qsfp28 модулям/dac кабелям?

Скорее всего будут такие, которые не заработают. У меня не заработали микротиковские DAC на N9K-C93180YC-FX3. Opway,10gtek,juniper,finisar работали отлично.

Необходимы ли им лицензии для полноценной работы?

Знаю, что для отдельных VRF и PBR нужна лицензия. Никогда не использовал эти свичи без лицензии, так что не знаю что там работает без них.

[Strabbo]

hint000, Перенес :)

Answer 1

[Strabbo]

Перенес с коментов в ответы.

думаю sonic позволит использовать маркировку соединений и раскидывание их по разным таблицам маршрутизации, и в целом фильтрацию L4 уровня, то позволит ли такое IOS?

В NX-OS можно маркировать траффик и раскидывать их в нужные интерфейсы не используя таблицу маршрутизации (PBR), но вот я сомневаюсь, что можно легко раскидвать траффик в разные таблицы маршрутизации без костылей. Вот с костылями это возможно (Например сделать локальный луп на портах и с помощью этих портов соеденять несколько таблиц маршрутизаций, или же программный vrf leak). Фильтрация на L4 работает.

Возможно ли на ios фильтровать соединения одного L2 домена, при этом на L4 уровне?

Возможно, есть Vlan access map, который позволяет сделать ACL по мак адрессам или по IP и фильтровать траффик до того как он дойдет до шлюза.

Умеет ли ios в d/snat?

По документам умеет, но очень много лимитов. Вообще я бы не делал NAT на свичах, даже если производитель говорит, что всё работает. Ну не научились они его нормально делать, сделали кое как для галочки и всё. Единственный раз был свидетелем dst nat на catalyst 9k свичах, после долгих отговорок клиент всё-таки решил сделать этот нат, было 4 свича по 2 штуки в стеке, на обоих сделали нат и через 2 недели high cpu, packet loss. Пока не выключили нат проблема не ушла
.
тут инфа на нексус 5к нат

Что будет лучше для резюме?

Ну если это резюме для сетевика, то на одном свиче далеко не уедешь. Я думаю, что для резюме достаточно будет самой технологии, а вот делали вы ее на cisco/sonic/arista/huawei/juniper уже не имеет разницы, потому что работают они все одинаково, переделать конфиг одного вендора на другой со всеми тестами можно за несколько дней, максимум неделя.

Или существуют коммутаторы лучше предложенных мною, на Б/У рынке в бюджете до 100к? В целом, что будет лучше для домашней лаболатории?

Думаю что вы потратите больше чем 100к, так как QSFP стоят побольше обычных SFP+, не совсем плохие наверное штука от 4-5к, DAC будет дешевле, а AOC дороже.

P.S. Я тоже любитель домашних лаб, начинах с покупи железок, тоже брал по 1, но как только начал глубоко изучать технологии, понял что например 1 свича не хватит, в большинстве случаях надо 4 например, а это уже слишком дорого :) после этого вся моя Network Lab переехала в виртуализацию.

Answer 2

[Everything_is_bad]

мне необходим в домашную лаболаторию коммутатор

вообще пофиг, бери чё осилишь, тут же главное понимание как делать, а не в какой железке.

Answer 3

[SunTechnik]

При беглом просмотре, отзывы от SONiC весьма неоднозначные.
Вообще, SDN несколько меняет подход к организации сети, и есть опасение, что некоторые вещи можно почувствовать только если коммутаторов больше 2 в сети..

Так то на Arista есть и их собственная ОС.
Формально, оба коммутатора L3 уровня, так что не очень понятно о какой фильтрации на L4 Вы говорите.

Для тестов, Arista может быть и интереснее, но не значит что она лучше или хуже..

Answer 4

[Drno]

зачем надо обязательно что то покупать домой то? да еще и тратить столько финансов на это... есть же вроде публичные подобные "тестеры", по крайней мере у Циско вроде точно были...

а вообще - логично изучать то, что массово используется на рынке (либо в конкретной компании, если Вы туда собрались) - cisco, mikrotik, huawei

Answer 5

[SiLeNSe]

Cisco - стандарт качества и работоспособности,вообще можно сэкономить и посмотреть варианты от tplink Zyxel

Comments

[hint000]

Cisco - стандарт качества и работоспособности

Лукацкий, перелогиньтесь. :)

2018 год:
https://s3r.ru/tsiskopad-cisco-asa-v-rossii-prover...

По всему миру в результате массовых атак на свитчи Cisco отключаются целые сегменты интернета. Уязвимость, через которую осуществляется атака, присутствует как минимум в 168 тыс. устройств. Мишенью хакеров, эксплуатирующих баг, стал рунет и объекты критической инфраструктуры России. Шестого апреля 2018 г. началась массированная хакерская атака на популярные свитчи компании Cisco, которая привела к отключению целых сегментов интернета.

2023 год:
https://biz.cnews.ru/news/top/2023-10-19_10-ballna...

Более 10 тыс. сетевых устройств Cisco взломаны из-за уязвимости нулевого дня. Компания «забыла» о них рассказать

2024 год:
https://safe.cnews.ru/news/top/2024-04-26_cisco_is...

Две уязвимости нулевого дня в Cisco полгода используются для атак на госучреждения
С ноября 2023 г. прежде неизвестная хакерская группировка изобретательно эксплуатирует две уязвимости в сетевых экранах Cisco. В компании уверены, что речь о деятельности спецслужб.

...и подобного можно накопать про Cisco за каждый месяц и каждый год.

[Strabbo]

Cisco - стандарт качества и работоспособности

Думал. что интернет всё помнит, но нет :(. Был график с количеством багов софта и сравнивал cisco с другими вендорами. Там cisco занял первое место по количеству багов (Больше всгео багов у cisco), на последнем месте была Arista(меньше всего багов). Щас попытался найти этот график но его нигде нету :(