Hardware pro GW (10 Gbit)

svestka

Ideální je mít disk v GW jako read only. Jen boot, načíst odněkud (klidně z vedlejšího stroje) konfiguraci, uložit si ji na svůj disk pro případ pozdější potřeby (když by příště nebyl dostupný zdroj čerstvých konfiguračních dat), přepnout do RO režimu a tím mě disk přestal zajímat.

drakgon

svestka to muzu u ROS nějak u boot tahat konfiguraci z nějakého souboru umístěného někde na síti? Nebo jak to myslíš? Nevidím důvod... RAID pole je lokálně na gw, tam jsou 2x top SSD v RAID1 a je to plné autonomni...

jcltm

svestka Tak systém bez RO zabíjí podle všeho microSD na RPi. Ale osobně se mi to ještě nestalo, RPi co mám v provozu 24/7 bez RO běží léta stále z origo karet (obyč Kingston) - ale zápis z mé aplikace je do RAMdisku. U dospělých SSD, zvlášť server-grade, bych se toho nebál. Na GW se na disk ukládá tak maximálně log, případně statistiky, a to ten disk nesloží.

drakgon

jcltm asi se budu ptát blbe, ale co je přesně “bez RO”?

jcltm

drakgon bez ReadOnly 😉

kaddy

drakgon díky za info, já to budu stavět na R620 takže PERC7, ale šlo mě o to, že ten mikrotik vidí HW RAID svazek a potvrdil jsi mou domněnku, že je to vázaný na ten svazek což je bezesporu velká výhoda v případě výměny

drakgon

kaddy přesně tak... výměna disku nebude mít na licenci vliv

svestka

máme na gw poctivý linux, ne MK. disk je po nastartování přepnut do Ro režimu. ta moje poznámka byla spíše obecně, spíš k zamyšlení, zda na stroji kterej jede z ramky, je potřeba vůbec nějaký raid apod.

drakgon

svestka a čím tedy shapujes a resis fw, nat... jedes IPtable? Nebo nějaké sofistikovanejsi řešení? A konfigurujes vse v souborech, nebo mas nějakou gui? Něco jako winbox? Nebo to tam do těch konfiguraku lijes z nějakého vlastního sw?

jcltm

svestka Jako osobně si myslím že RAID je v tomhle případě na boot nesmysl. Ani bez RO se na disk prakticky nic nezapisuje takže bych to neřešil. Ani lepší Mikrotiky za 10ky tisíc taky žádný RAID nemají, bootují z nějaké noname eMMC a že by na tom ty ROMky odcházely bych neřekl.

drakgon

jcltm to mas pravdu.. asi jsou ty zápisy minimální... ale když jsem to stavěl, tak jsem chtěl mít 100% jistotu... možná je to přehnane...😁

svestka

iptables. vedle gw je server s informačním systémem, kterej na pokyn GW vygeneruje konfiguráky a pošle je na gw. ta si to přechroustá (kontrola, optimalizace, ...) a natáhne to. trvá to pár vteřin.
IS je vlastní řešení PHP+MySQL

drakgon

svestka a iptables řeší jak fw, nat tak i shaping? A na té gw mas nějaký svůj sw na tu kontrolu a optimalizaci jak píšeš? Nebo to umí přímo iptables si to kontrolovat? Možná se ptám blbe, ale na linuxu jsem nikdy neshapoval...

svestka

drakgon to už chceš moc, dělá to kolega. dle mého skripty na kontrolu a optimalizaci konfiguráků jsou psané v C. Na čem je postavený shaping nevím, pro mě je důležitý že dělá co má 🙂
Kdybys moc chtěl, můžu se optat.

drakgon

svestka docela by mě to zajímalo.. už jsem uvažoval nasadit na gw linux... na druhou stranu to ten stávající ROS zvládá..🙂

pgb

drakgon iptables jako takové nic sami od sebe neoptimalizují. Psal jsem to tu já a mnozí další .... pokud použiješ správné větvení v chainech tak není výrazný problém ani s hodně pravidly. Mk jede interně iptables, takže stačí uvažovat stejně a stromečkovat. Velkou změnou v optimalizaci jsou nftables a pokud by jsi stavěl nový linuxový firewall/shaper, tak stavět ho na iptables by byl velký nerozum. Utilitě tc se nevyhneš.

PS: Co se týče jakéhokoliv SW (co psal třeba svestka), tak se vždybude jednat o mezivrstvu přijímající konfiguraci a generující jednotlivá pravidla do iptables/nftables/tc. Přemýšlet o tom, že by psal kdokoliv další alternativní implementaci ovládání netfilteru mimo iptables/nftables je nereálné.

edit: teď píšu v go shaper, který dělá to, že stahuje z jednotlivých mk routerů pomocí api address listy a následně generuje shapovací strom: root => top trida(třeba 600Mbps rádio) => routery => sektory na routeru => uzivatele.

s_a_m

Pokud to pise v Ccku to uz asi skript nebude jinak klobouk dolu pred lidma co tohle davaj ja na to nemel nikdy moc casu od skoly jsem na c++ nesah 🙂 a to jsem to mel 4 semestry 🙂

rsaf

Ono je to jedno, jestli Mikrotik nebo Linux - s Linuxem je více práce s přípravou, ale ve finále to funguje velmi podobně (v obou případech je to víceméně iptables+htb a logika konfigurace je stejná).

Životnost serverových SSDček se dnes často uvádí v DWPD (počet přepisů za den při kterém disk vydrží 5 let). Větší disk má ve stejné úloze tedy větší životnost. Netvrdím, že je potřeba používat 2TB SSDčka, ale místo 128GB za 700 bych asi 258GB za 900 dal.

helapc

Při 10Gbps to už jedno není. Dle mě Linux s nftables to zvládne líp, než Mikrotik s iptables. Nemám ještě otestováno, ale pracuji na tom.

pgb

Zkusil jsem i reálné testy iptables vs nftables. Pokud máš hodně pps tak ten rozdíl je naprosto ohromující. Ty mapy pro nat a mark v nftables jsou velký zázrak. Markuji a natuji do 2Gbps + 120-200kpps a s tím cpu to hne minimálně. Víc ho zatíží inspekce a generování NetFlow.

Jako finální korunu pokud nepotřebuješ shaper, tak můžeš použít flowtables (mk fasttrack) a ještě si polepšit. Dokonce funguje i na IPv6 (ne jako u mk 🙂))

Další stránka »