Что лучше, SONiC или Cisco IOS?

Cisco - стандарт качества и работоспособности

Думал. что интернет всё помнит, но нет :(. Был график с количеством багов софта и сравнивал cisco с другими вендорами. Там cisco занял первое место по количеству багов (Больше всгео багов у cisco), на последнем месте была Arista(меньше всего багов). Щас попытался найти этот график но его нигде нету :(

Что лучше, SONiC или Cisco IOS?

hint000, Перенес :)

Что лучше, SONiC или Cisco IOS?

Bermut,

позволят сделать все выше описанные действия(nat, mangle, L2 фильтрацию)?

эти модели могут всё о чем вы писали, но вот не думаю, что полный функционал mangle там присутствует. Можно с костылями маркировать траффик по IP/PORT и перекидывать в другую таблицу маршрутизации. Mangle умеет менять TTL на ходу, менять TCP MSS и еще много чего, что эти свичи не могут.

Не будут ли они привередливы к qsfp28 модулям/dac кабелям?

Скорее всего будут такие, которые не заработают. У меня не заработали микротиковские DAC на N9K-C93180YC-FX3. Opway,10gtek,juniper,finisar работали отлично.

Необходимы ли им лицензии для полноценной работы?

Знаю, что для отдельных VRF и PBR нужна лицензия. Никогда не использовал эти свичи без лицензии, так что не знаю что там работает без них.

Что лучше, SONiC или Cisco IOS?

думаю sonic позволит использовать маркировку соединений и раскидывание их по разным таблицам маршрутизации, и в целом фильтрацию L4 уровня, то позволит ли такое IOS?

В NX-OS можно маркировать траффик и раскидывать их в нужные интерфейсы не используя таблицу маршрутизации (PBR), но вот я сомневаюсь, что можно легко раскидвать траффик в разные таблицы маршрутизации без костылей. Вот с костылями это возможно (Например сделать локальный луп на портах и с помощью этих портов соеденять несколько таблиц маршрутизаций, или же программный vrf leak). Фильтрация на L4 работает.

Возможно ли на ios фильтровать соединения одного L2 домена, при этом на L4 уровне?

Возможно, есть Vlan access map, который позволяет сделать ACL по мак адрессам или по IP и фильтровать траффик до того как он дойдет до шлюза.

Умеет ли ios в d/snat?

По документам умеет, но очень много лимитов. Вообще я бы не делал NAT на свичах, даже если производитель говорит, что всё работает. Ну не научились они его нормально делать, сделали кое как для галочки и всё. Единственный раз был свидетелем dst nat на catalyst 9k свичах, после долгих отговорок клиент всё-таки решил сделать этот нат, было 4 свича по 2 штуки в стеке, на обоих сделали нат и через 2 недели high cpu, packet loss. Пока не выключили нат проблема не ушла
.
тут инфа на нексус 5к нат

Что будет лучше для резюме?

Ну если это резюме для сетевика, то на одном свиче далеко не уедешь. Я думаю, что для резюме достаточно будет самой технологии, а вот делали вы ее на cisco/sonic/arista/huawei/juniper уже не имеет разницы, потому что работают они все одинаково, переделать конфиг одного вендора на другой со всеми тестами можно за несколько дней, максимум неделя.

Или существуют коммутаторы лучше предложенных мною, на Б/У рынке в бюджете до 100к? В целом, что будет лучше для домашней лаболатории?

Думаю что вы потратите больше чем 100к, так как QSFP стоят побольше обычных SFP+, не совсем плохие наверное штука от 4-5к, DAC будет дешевле, а AOC дороже.

P.S. Я тоже любитель домашних лаб, начинах с покупи железок, тоже брал по 1, но как только начал глубоко изучать технологии, понял что например 1 свича не хватит, в большинстве случаях надо 4 например, а это уже слишком дорого :) после этого вся моя Network Lab переехала в виртуализацию.

Как из одной локальной сети сделать запрос в другую локальную сеть через SSH?

Почему нельзя просто сделать ssh user@192.168.2.26 с машины под адресом 192.168.1.3?

Почему нельзя, если можно. У всех обычно так и работает. У вас проблемы в сети скорее всего, потому и не работает. Может быть фаервол блокирует, не работает маршрутизация, нужен нат ... так можно еще десяток терминов дописать.

Чем лучше эмулировать Cisco Nexus N3K-C3064PQ, если не GNS3?

shurshur,

Вот тут есть мануал как в eve-ng запустить (не пробовал)

Этот метод работает, использую NXOS в eve-ng, ставил по вашему мануалу.

@pelzateev

Чем лучше эмулировать Cisco Nexus N3K-C3064PQ

в EVE-NG можете запустить виртуальный нексус, но вот эмулировать конкретную платформу нексуса там нельзя.

Как получить полную скорость от cisco 2921?

Павел, Ну если есть место в кладовке, то можно сохранить роутер :). Может быть когда нибудь он вам понадобится.

Как получить полную скорость от cisco 2921?

Павел,

мне нужно прокинуть порты с серверов а вот как это без NAT должно работь вообще не представляю.

Без НАТ никак :) . Модель этого роутера не соответствует вашим требованиям.

Кто и как использует кредиты RIPE Atlas?

yuri ннн, У нас 252,875,606 с учетом того, что периодически их тратим

Mikrotik*. Как выделить время подлючения конкретных клиентов и записать в файл?

Надо: Прошу подсказать альтернативные варианты решения, если такие есть?

Есть, турникет называется.
микротик тут сооооовсем лишний

При загрузке торрент процессор сильно нагружается, как это решать?

Bermut, раньше тоже искал приличный линукс маршрутизатор и нашел его. на 20г не тестил, но люди в интернетах говорят что работает и используют его на бордерах. Посмотрите может вам тоже подойдет. У меня на 2г хорошо работал (большей нагрузги в сети не было).

Как использовать полученный посредством OSPF gateway для BGP маршрутов?

aborouhin,

P.S. Кажется, я понял, что Вы имели в виду (рисовать схемки полезно, наступает просветление :) Если по BGP маршруты будет отдавать не сторонний сервер (10.2.2.2), а сам тот сервер, через который и надо строить маршрут (10.0.0.1) - то он может указать next-hop self, и вместо этого self подставится тот адрес, который сейчас выбран OSPF. Так?

Да, именно так и есть. ну почти :) смотря как построен BGP, Если на лупбеках, то подставится адрес лупбека, который должен знать каждый роутеро отовсюду по оспф. это можно провернуть и со сторонним сервером тоже.
Тут еще есть пару моментов:
1. Если делать EBGP то там next hop self по дефолт указывается IP соседа. в таком случае вам ниче менять не надо, всё само поменяется.
2.в IBGP next hop self сам не меняется. вам надо делать это в фильтре или полисе, когда будуте передавать IBGP IBGP.
3. Ну и последний вариант, не знаю как у вас сделанно в данный момент. но когда вы используете IGP underlay для BGP, то BGP надо строить на loopback(этот интерфейс всегда в UP и его статус не зависит от падения интерфейся/туннеля). Так мы получим топологию OSPF, где мы будем знать все линки до lookback-ов, дальше работает SPF алгоритм и он сам найдет самый короткий путь до loopback-а. Если линк, который используется в данный момент упадет, то оспф сам перестроит маршрут до лупбека и вам ничего нигде не надо менять. Таким образом если хоть один линк(даже если он идет через 10 роутеров) жив и по нему мы знаем лупбек, то траффик от BGP сам будет переключаться автоматически. Если построить BGP на лупбеках и указать next-hop-self, то думаю это то что вам надо.

VPN1 отвалился, маршрут до 10.0.0.1 строится через два VPN и промежуточный узел 10.3.3.3. Как рассказать нашему 10.1.1.1, что полученные по BGP маршруты должны теперь идти через шлюз 10.0.2.1?

Если использовать 3 вариант, то OSPF и BGP сами всё сделают.
10.0.0.1 будет next-hop для BGP роутов. когда отвалится VPN-1, то дорогу до 10.0.0.1 мы узнаем от оспф от соседа VPN-2.

P.S.
Не зная всех деталей, всё-таки думаю что вам надо построить OSPF на всех роутерах и анонсировать в нем лупбеки, а на лупбеках строить bgp, не знаю как в bird/mikrotik но например когда на лупбеках строите в cisco надо указать update source и next-hop self. строите Full mesh ibgp если роутеров мало, если много то смотрите в сторону Route reflector. BGP тема большая, так сразу всё и не подскажешь

Как использовать полученный посредством OSPF gateway для BGP маршрутов?

aborouhin,

В фильтре BGP я не могу указать или один, или другой.

не надо ничего указывать. BGP посылает префикс с атрибутом next-hop. В вашем случае насколько я понял next-hop адресса маршрутизируются по OSPF и по дефолут next-hop IP и IP BGP Peer-а будут маршрутизироваться через один и тот же оспф линк.

Как использовать полученный посредством OSPF gateway для BGP маршрутов?

aborouhin,

-
- роутер знает, что к этим подсетям надо ходить через хост 10.0.0.1
- но к хосту 10.0.0.1 есть много потенциальных маршрутов, конкретный из которых выбирается OSPF
- надо указать шлюзом для этих подсетей тот, через который мы сейчас ходим к 10.0.0.1

Это всё так и работает по дефолту. Если у вас не работает, значит что-то намудрили :)

В чем разница между interface vlan и interface loopback на cisco?

hint000,

Вот уж loopback вы в принципе никак не сможете для этого использовать, хоть на cisco, хоть на eltex, хоть на ПК, этот тип интерфейса недоступен извне и используется в пределах самого устройства.

У многих это получилось и у меня тоже. Создаете loopback интерфейс, делаете динамичскую маршрутизацию и засовываете туда этот Loopback.
Результат: когда отвалится один линк, маршрутизация перестроится и Loopback будет доступен с другой стороны.

P.S. Делал это на cisco.
P.S.S. Это делается чтобы не менялся MGMT IP устройства, если делать interface vlan, то когда упадет линк, а вместе с ним и interface vlan, то по IP вы уже не достучитесь до устройства. Надо будет использовать IP другого interface vlan, ну или можно растянуть это влан на все порты чтобы он не падал. Мне больше нравится вариант с Loopback-ом.

Закончились eRACL фильтры на QFX5110?

вообще странно, у нас есть
Model: qfx5110-48s-4c
Junos: 18.4R2-S3
И там Allocated на Egress 2048, а у вас всего 256.
Тут уже были? Говорят что Counter занимет +1 место в TCAM, попробуйте убрать.

Starting in Junos OS Release 19.1R1, you can increase the number of egress VLAN firewall filters on the QFX5110 from 1024 to 2048 by using the egress-to-ingress option. You include this option under the from statement at the [edit firewall] hierarchy.

Вот это тоже попробуйте

Закончились eRACL фильтры на QFX5110?

Какая версия софта у вас?

Нужны ли стекируемые коммутаторы?

Валентин, Насколько я помню это не LAG, у него порты в standalone , которые находятся в одном виртуальном свиче + mac pining, он конкретные маки по конкретным портам разносит.

A DVS and/or VSS-switches offers multiple load-balancing options: by default load balancing based on Virtual Port id (sometimes called Source-MAC pinning) is being used on the VSS and DVS.

Не нашел официального документа, но эта фича работает по дефолту.
тык

Нужны ли стекируемые коммутаторы?

Добавлю. Если у вас возникли сомнения и вы не знаете что вам нужно сейчас, то я бы взял на вашем месте Cisco Catalyst 9k, которые умеют работать в виртулаьном стеке без специальных стек портов. Хотите используйте как обычные свичи, а когда передумаете переделаете в стек. Не обязателньо брать Cisco, можно поискать других вендоров с похожим функционалом. у Cisco это Virtual Stackwise, У Juniper это Virtual chassis.

P.S. А вообще я бы смотрел на те железки, которые преднозначены для работы в DC. Cisco Nexus/Juniper QFX. Они решат любые ваши проблемы

Как правильно настроить доступ между VLAN?

А что надо сделать?