Имеется 2 аплинка BGP на Cisco 6500, и один iBGP на фильтр-машину (чтобы показывать страничку-заглушку абонентам, которые лезут на неугодные РКН сайты).
С сегодняшнего дня излишнее количество маршрутов грохают циску после получения новых маршрутов из-за нашего доблестного РКН.
От аплинков приходит 680 и 690к маршрутов соответственно + примерно 140-150к маршрутов идет на фильтрацию.
Циска получила маршруты, превысила лям, и упала. Пришлось в срочном порядке отрубать один из аплинков.
такой вот подарочек на новый год.
В срочном порядке ищем маршрутизатор, который осилит больше 2-х лямов маршрутов.
Присмотрели Juniper MX104.
Выбираем прям очень срочно, так что решил спросить у вас, у мудрых, кто что посоветует, может есть что-то более интересное?
Из требований: больше 2кк маршрутов, 4 SFP аплинка 10Гбит.
Cisco IOS Software, s72033_rp Software (s72033_rp-ADVENTERPRISEK9_WAN-M), Version 12.2(33)SXI5, RELEASE SOFTWARE (fc2)
Technical Support: www.cisco.com/techsupport
Copyright (c) 1986-2010 by Cisco Systems, Inc.
Compiled Sat 23-Oct-10 01:29 by prod_rel_team
ROM: System Bootstrap, Version 12.2(17r)SX7, RELEASE SOFTWARE (fc1)
Cisco_6500 uptime is 3 days, 14 hours, 52 minutes
Uptime for this control processor is 3 days, 14 hours, 51 minutes
Time since Cisco_6500 switched to active is 3 days, 14 hours, 50 minutes
System returned to ROM by reload at 00:03:06 MSK Fri Dec 13 2019 (SP by reload)
System image file is "disk1:s72033-adventerprisek9_wan-mz.122-33.SXI5.bin"
Last reload reason: Reload Command
This product contains cryptographic features and is subject to United
States and local country laws governing import, export, transfer and
use. Delivery of Cisco cryptographic products does not imply
third-party authority to import, export, distribute or use encryption.
Importers, exporters, distributors and users are responsible for
compliance with U.S. and local country laws. By using this product you
agree to comply with applicable laws and regulations. If you are unable
to comply with U.S. and local laws, return this product immediately.
Талян, буду честен, в цисках я практически не разбираюсь, нашей 6509Е рулит удалённый мегамозг, который утверждает, что в BGP она не умеет. Вот и удивился.
fdroid, эта тарантайка модульная. По сути название 6509- это тупо шасси (коробка). А уж что в нее сунут, то и будет.
Есть модули на 512 к маршрутов, есть модули XL на лям маршрутов. То есть совсем не означает, что если ты видишь циску 65-й серии, то она умеет лям маршрутов. Все зависит от требухи в ней.
Про BGP - я не знаю. Мне какую дали, такую и верчу) На нашей BGP есть) Других я и не видел. Есть еще 7200 две штуки. Валяются без дела.
Но что-то я не уверен, что бывают циски 65 без BGP.
Талян, можете прокомментировать результат, полученный по snmp - таки умеет она в BGP или нет? https://pastebin.com/LyTtyay8 Извиняюсь, что pastebin, просто хабракуна больше 10 000 символов не пропускает.
Маршрутизатор Juniper MX104 имеет более мощный процессор по сравнению с MX80, а также поддерживает 6 млн. маршрутов RIB, 2.2 млн маршрутов FIB против 4 млн. маршрутов RIB, 1. млн маршрутов FIB
Сделал запрос в NAG, жду комментариев.
sh ip cef summary
Cisco_6500>sh ip cef summary
IPv4 CEF is enabled for distributed and running
VRF base:
916348 prefixes (916347/1 fwd/non-fwd)
Default network 0.0.0.0/0
Table id 0
Database epoch: 6 (916348 entries at this epoch)
Exception Handling status : on
L3 Hardware switching status : on
Fatal Error Handling Status : Reset
Fatal Errors: 0000000000000000
Fatal Error Recovery Count: 0000000000000000
Strabbo, да, знаю) Я уже и в джунипер написал напрямую. Жду ответ.
204 дороговата, но посмотрим как и что, когда ответят.
Сюда я потом отпишусь обязательно.
Талян, Посмотрите еще в сторону cisco asr9k не знаю сколько будет по цене, вроде их линейки на базе Typhoon умеют 4кк в FIB, но что-то мне подсказывает, что они будут дороже :)
mx104 тупиковый выбор, нет там 2kk FIB, дословно в логах появляется
Max route supported on this platform = (1815893)
А учитывая то, что
BGP routing table entries examined: 786402
и еще если у вас URL фильтрация сделана с помощью /32 без агрегации - то это сейчас 1564372
получается что >2kk
Как уже советовали, если не mx204, то присмотритесь к mx150 а то и к паре.
Нет, у нас фильтрация немного хитрее:
Если маршрут присутствует в /24, но он идет через фильтр-сервер, а там уже принимается решение - либо отправлять маршрут обратно в циску в интернет, либо блочить, если маршрут принадлежит заблоченному списку. Каждый адрес по /32 это не вариант.
150-я не подойдет, ибо мало медных портов. Потому и используем модульную циску, чтобы не городить кучу езерчаннелов.
fdroid, а почему вы сами этим не займетесь? Я вижу, что вы знаете основные термины. А для настройки своей AS больше знать и не надо. Попросите себе больше ЗП, да один раз настройте и забудьте.
Талян, мегамозг имеет непререкаемый авторитет перед начальством, если "он сказал, значит нельзя!" Там вообще дикая схема маршрутизации и связка NASов, BRASов, биллинга, и прочего. И уже пол-года не можем победить работу dhcp-релея для GPON. Логической схемы нет, всё в голове у мегамозга. Из меня сетевик-то на уровне L2 да микротиков. На микротах, в принципе, могу реализовать кое-что, и то понимаю, что в той схеме маршрутизации и топологии сети, которую я придумаю для каждого конкретного случая (помимо основной работы ещё занимаюсь всяким, в т.ч. объединяю филиалы, налаживаю сети в небольших организациях и т.д.), кроме меня никто не разберётся, если я не задокументирую что, куда, и зачем. Даже если сам для себя что-то не задокументирую, потом мозг морщу вспоминая зачем сделал что-то именно так, а не иначе. Логика же нашей циски и вообще маршрутизации в голове только у одного удалённого админа. Исторически так сложилось, я пришёл - уже было так. Мы (остальные админы) максимум что делаем на циске - это манипуляции со вланами.
Я предпочитаю DIR-300 ))) А что? Если какие-то проблемы - выключил, включил - и как новенький)) Все 100 мегабит - в вашем распоряжении!
Написано
CityCat4
@CityCat4 Куратор тега Сетевое оборудование
Талян, я думаю автор ответа либо тупо не понял про что речь, либо просто яббланутый. Мы тут затеяли AS-ку заиметь, свою подсеть и все дела. Я спрашивал нашего прова и будущего аплинка насчет железки на 2 full view - мне посоветовали вот это
Местечковые провы прям абажают DIR-300, кстати. Прост, как полено, горит правда хорошо :)
CityCat4, а у вас сеть большая? Много в вашей AS'ке? Просто так то нормальная железка, которую предлагают.
Единственное - я ненавижу микротики потому что я в них ничего не понимаю. Но это уже я друак, а не роутер)
Написано
CityCat4
@CityCat4 Куратор тега Сетевое оборудование
Талян, да нет, обычная контора, у которой два провайдера и хочется чтобы тырнет в случае падения одного (или проблем с доступностью сайтов за ним - так тоже бывает) переключался на второго, не только исходящий, но и входящий. Нам даже /24 полностью толком-то и не нужна.
неправда Ваша. Не тянет он столько даже по кабелю. Режет в районе 70-80Мбит/с, wifi дохнет через несколько лет работы, постепенно всё хуже и хуже работает, пока не надоест или не перестанет совсем работать сам роутер. Но факт - прост, работает, и для домашнего применения - отличная штука. А уже через несколько лет можно и сменить. Ну или изначально взять что подороже.
CityCat4
@CityCat4 Куратор тега Сетевое оборудование
mikes, угу, конечно, два дефолта брать с каждой ноги? За одним провом падает связность, некий сайт у разраба не открывается, а ему очень надо (а разрабам всегда надо очень), руководство недоуменно вопрошает у меня "какого простите, МПХ мы потратили денег на всю эту шляпу - а как не работало - так и не работает"? И я не знаю, что ответить...
CityCat4, будет работать, не сомневайся. от того что у тебя из 2х маршрутов при обрыве сети падает 1 или из 2к маршрутов отвалится 1к, для остальных не будет смысла.. смысл держать fullview только если ты сам дальше раздаешь че нить
А не подскажешь - вот у нас 2 подключения по BGP с Full View. Чтобы представить на секунду, что мы тупиковый провайдер, то как осуществить такое, чтоб к нам от вышестоящих пришёл не весь список маршрутов? Указать только дефолтные?
mikes, кваге не доверяем. Туда столько сетевух не втыкнуть, сколько нам надо.
Но спасибо за совет. Но я не думаю что ядро линукса сможет работать так же как TCAM в циске.
У нас на кваге живет сервер фильтрации траффика только. Все остальное - на железках.
А вы свою жлезку нам не продадите?)) Которая не нужна)
Сложный
