Router kerestetik Gigabit/Gigabit nethez

 ( KakalakiAkka | 2018. június 27., szerda - 18:51 )

Nem, ez nem a digi 1000/1000 és hasonló dologról szóló topic. :)

Adott egy hely, ahol szükség lesz minimum 500/500, de előfordulhat az 1000/1000 bérelt vonali internet kapcsolatra. Hogy miért, az titok, de én sem vágom, miért; mindegy, ez az igény. A hely, ahol ez kellene, rendelkezik free wifivel (ubiquiti ap-kból van "pár" darab) meg vannak ugye a saját kis dolgaik. A saját kis dolgaik nem esznek sok netet, a szabad wifit meg be tudjuk szabályozni. Viszont a látogatószám az elérheti akár 3000 főt (eddig napi csúcs valahol 1800 fő környéke volt, de dinamikusan fejlődik a hely), akik a legrosszabbat feltételezve, mind rászabadulnak a wifire és ilyenkor ugye kell nekik ip cím, meg kis sávszél stb. Erre a feladatra keresnék routert, ami nem fekszik meg ha egyszerre rajta "lógnak" ennyien, ami tud vlant, ami ki tudja hajtani a fentebb említett sávszélt röccenés nélkül, ami a kritériumokhoz képest olcsó is (tehát nem a tp link csilivili nem tudom milyen routerre gondolok itt 50 ezer pénzért, de ne legyen milliós vagy sok százezres tétel...). Jelenleg 50/20 a net, amit egy rb2011valami szolgál ki, de ha sok az ember, azt megérzi és az eljövendő nethez valamint a titokhoz ez a router édeskevés lesz. Ha lehet a dobjunk össze rá szerver témát egyenlőre kerülném, de meggyőzhető vagyok.

A titok lényege hogy valami kapcsolatban lesz valamivel qrvanagy sávszéllel folyamatosan. Nem, nem szerverek (mármint nekem van itt szerverem, meg van ott is és ezeket össze kell kötni valamiért dologra gondoltam) közti dolog, ez csak szórakoztatás és nem, nem streamelés.

Erre várom az ötleteket, javaslatokat

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Ha routerboardnál maradunk, akkor megfelelő lehet akár az rb1100ahx4 is? Igazából gyakorlati tapasztalat érdekelne, hogy x sávszélnél y user nem akadt le nálam; mint pl van egy ügyfelünk, szállodája van, 1000/1000 nettel a cisco routerja (rv320 van neki) ~900-nál állt meg kb 3xx userrel. Mondjuk az nem bérelt vonal volt, de a gerinchálózaton akkor csak ő volt és engedtek mindet játszani a szolgáltatóék. :)

Nem kell feltétlen a mikrotik vonalon maradnunk, a lényeg, bírja a fent vázolt strapát. Vpn vonalon sem kell erősnek lennie, egyenlőre a vpn dolog nem játszik sehol sem a területen (meg kb nem is fog, ha jól gondolom).

https://mikrotik.com/product/ Ha van plusz pénz esetleg, akkor a CCR-eknél érdemes nézelődni. Bár hardveres IPSec támogatás nincs bennük általában.

Ott se mennék a 1036-os vonal alá. Azért 3000 emberről beszélünk, ha mindnek csak egy mobilja van, az már eszméletlen forgalom (és nem csak a puszta sávszélre gondolok). Ami mindenképp fontos kérdés még, hogy ezt az egészet AP-kkal mennyire tördeli, de ez nem volt a kérdező scope-jában.

miért? tudsz indokot, hogy miért NE x86-al oldanál meg ilyen feladatot?
SOKKAL jobban jársz a magasabb órajellel mint a több maggal.

Ez az eszköz bőven elég lehet megfelelő AP-kkel. Test results: 162,5kpps/1973.4Mbps 1518byte-os csomagok esetén.

https://mikrotik.com/product/rb450gx4#fndtn-testresults

A router csinálja a routeolást, az AP-(k!) meg végződtetik a klienseket?
--

kb.

Annó mi úgy csináltunk ilyet, hogy cisco AP-ket raktunk ki (ha jól emlékszem 30db-ot) és egy RADIUS szerver volt mögötte, ami végezte a terheléselosztást. Viszont ott ~15k ember volt a peak. Valószínűleg egy eszközzel nem fogod tudni ezt megbízhatóan megoldani, hasonló megoldást javaslok.

A sávszélességed nem lesz nagyobb wifin, de gondolom nem is ez a cél. Egy kapcsolat annyi amennyi (mondjuk 32x5-10mbit). Az eszközöket leginkább az határozhatja meg, hogy mekkora az áteresztőképessége, egy kliensre mekkora sávszélt akarsz és hány kliens kell egy eszközre. Ezeket szépen összeadod, hagysz rá mondjuk 20% tartalékot és felaggatod egy RADIUS szerverre. Utána látod a terhelést, meg mindenféle finomságot és később tudsz rajta finomítani ha kell + működni fog a barangolás is.

Cisco 897VA-K9, nalam ez valt be.

"Itt egy talicska föld. Mit csináljak vele? Ások neki egy gödröt."

2 Gb/s forwardingra + ennek NAT-jára 890-es sorozatot javasolni?! Hát...

fikazas helyett inkabb irj valami ertelmes megoldast/magyarazatot, mert latom ebben a topicban eddig csak ennyit tudtal felbofogni

"Itt egy talicska föld. Mit csináljak vele? Ások neki egy gödröt."

Rendben, legyen a kívánságod szerint. Viszont kérlek, te is írd le hasonlóan, hogy neked mi alapján jött ki, hogy a 890 sorozat a topiknyitó részére megfelelő lenne, mert könnyen lehet, hogy tényleg én számoltam el valamit, és jó lenne a célra a 897VA-K9.

1000/1000 Mb/s a topiknyitó által írt sebesség. Ez azt jelenti, hogy 2 Gb/s forgalmat kell tudnia átengednie magán a routernek.

A 890-es sorozat forwardingban tud 100 kbps NDR-t. Ez ugye NDR, de hálózati eszközt nem terhelünk 100% CPU-ra, mert annak nincs jó vége. Viszont ahogy írtam (és mások is), a szolgáltatótól nem lesz annyi publikus IP, mint amennyi látogató, így privát IP-kkel lenne megoldva, tehát kell NAT is. Célszerűen kell valami minimális tűzfalazás is, de ne is tegyünk rá rendes tűzfalat, elégedjünk meg az interfészre tett ACE-lel. Ezen kívül lesz kamera, beléptető, nem látogatói forgalom is, amelyekek működését nem kellene ellehetetleníteni, szóval illene valami QoS is.

A 890-es sorozat NAT+QoS+ACL beállítással, IMIX forgalommal terhelve 75% CPU-kihasználtság mellett tud 45 Mb/s átvitelt. Ezzel szemben 2 Gb/s lenne a cél, amire tervezni kellene. Nincs túl messze ez a két érték egymástól?

A jelenleg forgalmazott routerek közül licenceléstől függően egy ISR 4451, vagy 4351 akár már jó is lehetne. Teljesítményben, és árban is van egy "kis" differencia a 897VA-K9-hez képest.

Szerintem. Neked mi a véleményed? Tartod továbbra is a 897VA-K9 erre a felhasználási célra való megfelelőségét? Ha igen, tudnád indokolni?

Na vegre! Kellett egy beled rugas es maris valami ertelmessel jottel ki :)
Csak igy tovabb es a vegen meg tenyleg lesz belole valami.

"Itt egy talicska föld. Mit csináljak vele? Ások neki egy gödröt."

Nem válaszoltál a kérdésemre: a 897VA-K9 javaslatod jó lenne a topikban szereplő célra? Ha igen, akkor kérlek, indokold meg miért, ha viszont nem, akkor kérlek azt vázold, hogy miért javasoltad mégis ezt a típust.

"es maris valami ertelmessel jottel ki :)"
A 897VA-K9 javaslatod vajon értelmes volt? :)

"fikazas helyett inkabb irj valami ertelmes megoldast/magyarazatot, mert latom ebben a topicban eddig csak ennyit tudtal felbofogni"

Rejtett sub.

Mivel az ap-k is unifik (meg amíg mi csináljuk a cégnél a dolgaikat, akkor ezek után is azok lesznek), ezért elgondolkodtató a dolog.

akár még ajánlást is kérhetsz tőlük: x y felállás, z összeg, javasoljatok valamit.

Itt nem is biztos hogy a sávszél lesz a nagyobb probléma, inkább a NAT-olt kapcsolatok nagy száma. Nálunk az irodában azért váltottunk egy jobb PC-re, jobbféle hálókártyákkal, mivel a 25-30 ember pc+notebook+mobil kapcsolatok számát nehezen viselte a már nagyobb kategóriás, azaz full rack méretű TP-Link router is. Ez peakben 5000+ kapcsolat, 200mbps. Természetesen az ár számított, így elvetettük a magasabb kategóriás HW beszerzését, helyette lett egy minöségi PC, minőségi LAN kártyákkal, Debian, nem mellesleg használjuk monitoringra, VPN végződtetésre, stb. Ez bevált, bírja, költséghatékony, könnyen kezelhető. Egy cold backup is van belőle, belefért a költségvetésbe, így bármikor kicserélhető ha elromlik.

+1
Ilyen jellegű terhelésnél már nem sávszélességre, hanem csomagszámra kell tervezni. A fentebb ajánlott RB450 max. packet mérettel hiába route-ol ki 1Gb+-t, ha 64k-s csomagoknál 200Mbit-et sem tud.
Amit én tapasztalat alapján MT-ből ajánlanék, az a CCR-1016 - Csomagszűrőn keresztül is feldolgoz 1,3M csomagot másodpercenként, a NAT conntrack-t 1M+ kapcsolatig bírja, nem utolsó sorban redundáns tápos, ipari cucc.
A WiFi-re jó a meglevő UniFi rendszer, max. bővítendő, meg be kell hangolni a terheléselosztást. Illetve a kábelezést, switch-ekre osztást is úgy csinálnám, hogy szomszédos AP-k külön switch-re menjenek (1 ide, 1 oda) és minden switch külön uplink-en direktben a router-be. Mert ott sem az 1Gb-s link, hanem a pici csomagok nagy száma lesz a bottleneck. Valamint, így redundáns is a rendszer.

----------------------------------^v--------------------------------------
"Probléma esetén nyomják meg a piros gombot és nyugodjanak békében!"

Én kétkedve fogadom azokat a számokat.

Nálunk fut jó pár 36magos CCR, viszont olyan 50/50e pps nél már packet lossos, ami nevetségesen kevés. Fut egy jóval izmosabb PC-n is mikrotik az egy fokkal már jobb.

Úgyhogy nekem nagyon álomnak tűnik azaz 1.3millió pps, persze lehet mi vagyunk a bénák :>

Fedora 27, Thinkpad x220

Általában ott van a kutya elásva, amikor bekapcsolsz valami olyan funkciót ami nem megy a fast-path-al.

És általában be kell... :)

https://wiki.mikrotik.com/wiki/Manual:Fast_Path

https://wiki.mikrotik.com/wiki/Manual:IP/Fasttrack

Igen, ezért mondom, hogy nagyon speciális esetben jönnek ki azok a számok. A való életben nem sok köze van hozzá :<

Fedora 27, Thinkpad x220

próbáld ki x86-on valami magas órajelű (és kevés core-al bíró) CPU-val. pl i3 v E3
meg jófajta (multiqueue) server kártyával.

4.7 GHz-es FX-9590-et neki :)
Viccet felreteve: 4.2 GHz-es i3 7350k

annál volt packetloss 50k pps esetén?

Nem. Csak AMD hiaba magasabb orajelu, alacsonyabb frekvenciaval es TDP-vel Intel egy szalon megis beeri. Raadasul arban is jobb Intel.

akkor legyen intel :-)

Na jó de ez a 2 proci nagyon nincs egy kategóriában...

Ez igy van, de most egy szalrol beszeltunk.

Core-to-Core nézve is van egy szakadék. Ryzent kellene nézni 1 szálon ehhez az intelhez. Lehet akkor is Intel nyerne. Ezt nem tudom.

Dual X5675 os CPUkon fut, 2.6GHz. ~1000 pppoe ügyfél és szokott lenni csomagvesztés. Amúgy külföldi fórumokon, meg ahogy mi is tapasztaltuk 5-600 userig jó. Utána nem. Akárhogy csűrtük csavartuk.

Viszont tettünk be PC-t 10GbE kártya + linux + accel-ppp ~2300 pppoe ugyfél, 100/170e pps, ugye ez duplán, mert egyik bejön másikon ugyanennyi ki. És simán ment. Itt más gondok jöttek elő már.

Úgyhogy megy a matek, hogy sok kis mikrotik kevés userrel, vagy pár nagyobb PPPoE koncentrátor. 1 biztos a mikrotik 1-2 speciális esetettől eltekintve, még mindig elég soho kategóriának tűnik, akárhogy szeretnének másképp feltűnni.

Fedora 27, Thinkpad x220

Első kérdés: uez Mikrotik vason hogy' megy? Gyanítom, a PPPoE azért el tud oszlani a magok között.

El tudom képzelni, hogy a fenti vasra teszel valami virtualizációt, ahol akár direkt PCI-passthru-val átadod a NIC-et
és egy gépen futtatsz mondjuk dedikált magonként 1-1 mikrotik VM-t, akkor jobb eredményt fogsz elérni. Azaz kijön a gépenként(magonként) 4-500 PPPoE user.

Sajna ezeken a vasakon mikrotik labdaba se rug, már :D

x86 nagyon mostoha lett. pl 10GbE ethernet támogatás kb 0 asszem van pár sok éves kártya amit támogat és annyi. Így a pci-passthru is kilőve.

Elmentek a CCR/tile-64/ARM irányba csak abból se tudnak értelmes teljesítményt kicsikarni. Legalábbis olyat ami használható is a valós életben.

Sőt egy két ismerős szolgáltató mondta, hogy a CCR 72 magos routere még gyengébben muzsikál mint a régi 36magos.

Viszont az is vicc hogy az 1000 dolláros 36magosból nincsen csak 2 tápos verzió.

Fedora 27, Thinkpad x220

hát, a CHR óta igen, tényleg mostoha.
Ha kellenek bizonyos feature-ök, pl 10 (40-100)G
A CHR esetében viszont csinálhatod azt, hogy beleteszel a gépbe két izomos kártyát (tetszőlegeset, amit támogat a HostOS), és a VM-ek között szétosztod, ahogy akarod.

Ez is működik, tesztelt megoldás. BGP esetén SOKKAL jobb performancia érhető el.

Igen, lehet. Viszont volt olyan ISP aki erre is azt mondta nem az igazi. Mondjuk még a virtualiziót támogató geust programok, is kb 6.42 vel kerültek a CHR-be. Nem is értem eleve ezzel kellett volna kezdeniük ha már CHR-nek szánták.

Esetleg erről a BGP ről van valami konkrétabb infó ? hány neigbor, hány prefix stb ?

És el bírom képzelni, hogy az se mind1 milyen hypervisoron futtatod. Esetleg erre tapasztalat ?

Fedora 27, Thinkpad x220

A szolgáltató is valami ccr-en keresztül adja át a kapcsolatot (itt csak mikrós bérelt vonal lehetséges) kíváncsi leszek majd a dologra ezek után...

A kábelezés jelenleg: bejön a net---rámegy a központi switchre, ahol lebomlik optikákra az sfp portokon+még egy switchre ahol szintén sfp majd optika---minden kis bódéba, ahol úgy gondoltuk optika(értsd: itt elfogyott vagy 5 km közeli (most pontosan nem tudom)optika és ez nem kis falu, ez csak egy "park"), ami sfp modulba majd egy switchbe---onnét kábeleken végpontokra (ki poe-n, ki nem, de kamerák, ap-k, pc-k, beléptetők, stb).

Én is így gondolom, mert a wifi az igazából nem fontos (tehát hogy Rózsika nem tud fészbúkra a kis szarját élőbe stremelni csak max 1/1gyel jobb esetben, az egy na bumm szituáció) Ez a wifi nem arról szól, hogy mindenki (persze vannak egyenlőbbek az egyenlők közt, dehát ők másik ssidn és vlanban vannak...) megkapja az 1G/1G-t, hanem tessék örülni, nem a mobilneted fogy kedves vendég! :) Én is akapcsolatok száma miatt aggódom, mert ahogy egy kedves mikrotik b...fanatikus mondta nekem, olcsóbb ez mint a sziszkó, aztán amikor ment a teszt, szegény miki le-le akadt,a sziszkó meg nem. Akkor meg ment a hümmögés, meg hát a drágább miki stb, stb. Most azon agyalok, hogyan lehetne ezt a kapcsolat dolgot kezelni, de nagyon sanszosnak érzem, hogy a 2 vonal lenne az igazán jó megoldás a feladatra, 2 eszközzel.

Legolcsobban szerintem ugy jarsz, ha kersz szolgaltatotol egy IP tartomanyt es felteszel tobb olcsobb routert, kb 200-500 kliens/routerrel szamolva es VLAN kepes switch(ekk)el elvalasztva az AP-k forgalmat. Igy talan QoS sem fogja megfektetni a routereket, raadasul single point of failure is kizarva.

+1

Udv.

akkor jön a következő kérdés: tud-e / akar-e adni a szolgáltató tartományt (és mekkorát).
(nyilván ha gigás netet tud adni, akkor ip tartományt is tudhat)
mondjuk 1000 user nat-olására már simán lehet, hogy több külső IP-t kell használni...
(mert annyi kapcsolat nem fér el 65k portig)

Azért megnézném azokat az "olcsó" routereket amik 200-500 klienst vígan elvisznek...

Meg egyébként is. Havi szinten kifizet bőven 100e feletti pénzt a gigás bérelt vonalért.
Biztosan azt az egyszeri ~100 000Ft körül összeget akarjuk megspórolni?

RB3011UiAS-RM szerintem visz 200-300-at es csak 179 USD. Ebbol veszel mondjuk kezdetnek 8-at, aztan bovited ha no a latogatoszam. (1432 USD)

Vagy RB750gr3-bol dupla ennyit, az csak 60 USD/db. (960 USD)

Vagy RB1100AHx4-bol fele ennyit, annak darabja 300 USD. (1200 USD)

veszel egy X56xx CPU-val bíró használt szervert minél nagyobb órajellel (~200EUR), esetleg az alaplapi server NIC-nél veszel durvábban még ~100EUR áron.

Veszel rá egy L4 v L5 Mikrotik licencet (25-50EUR áron)

PC-s routeros lekezeli szoftveresen a sok kapcsolatot? Ha a hardver elég attól a szoftver is lehet a gyenge láncszem, nem? (komolyan kérdem, nem foglalkoztam pc-s mikrotikos iránnyal)

Nyilván az x86 software szinten nem sokban különbözik a mikrotik által gyártott vason futó software-től.
A különbség ott van, hogy amíg PC-n van ~3-3.5GHz (multicore) CPU addig mikrotik nem gyárt ilyen magas órajelet.
Van sok feladat ami nem párhuzamosítható (jól) magok között, itt a puszta "erő" számít. Azaz a gigahertz.

A másik dolog, hogy PC-be tudsz tenni olyan NIC-et, ami portonként és irányonként 4 queue-t tartalmaz, ez max terhelés esetén akár 8x több csomag le tud kezelni, mivel minden queue külön IRQ-val dolgozik.

Hozzáteszem, egy ilyen NIC (újan) képes annyiba kerülni, mint egy közepes (értsd pl 3011, v 1100AHx4) Mikrotik hardware.
Nyilván nem ok nélkül.

"A másik dolog, hogy PC-be tudsz tenni olyan NIC-et, ami portonként és irányonként 4 queue-t tartalmaz, ez max terhelés esetén akár 8x több csomag le tud kezelni, mivel minden queue külön IRQ-val dolgozik."

Nagy throughputnal nem ugyis pollingot kell hasznalni?

passz. Én ilyet találtam, itt nincs szó a pollingról.
https://greenhost.nl/2013/04/10/multi-queue-network-interfaces-with-smp-on-linux/

Akarna adni, de nem tud, nincs miből (sarkos példa de siralmas a helyzet). Igazából ott tartunk, hogy a titok valószínűleg ka egy külön vonalat, a free wifi meg egy másikat. meglessük a pc irányt, milyen lehetőségek vannak, mert úgy tűnik, ez az olcsóbb és olcsóbban bővíthető irány adott esetben.

Az árat egyenlőre nem tudjuk, mi mennyibe fog kerülni, bízunk benne, mivel több előfizetése van az "anyacégnek" a szolgáltatónál, ezért nem csúszik bele a dolog a havi millióba...

Még egy pillantás erre?

https://www.ubnt.com/edgemax/edgerouter-infinity/

Persze itt is kérdés mi megy HW-ból. A NAT+Routing pl biztosan. Bővebben itt:

https://help.ubnt.com/hc/en-us/articles/115006567467-EdgeRouter-Hardware-Offloading-Explained

Egyedül a qos problémás....

A MikroTik HW-NAT nélkül is tud 1Gbit/sec-et NAT-olni, de cáfoljatok meg.

CPU kérdése. egy tizenezres eszközzel biztosan NEM. Még route-olni sem feltétlen.

A legtobb Mikrotik nem tudja. Tegyel be nehany QoS szabalyt es meglatod.

Jelenleg a szolgáltató még nem adott árat a dolgokra (500/500; 1000/1000), de amire eddig jutottam: ez a tegyünk fel több olcsóbb router téma nekem eleve kilőve. Az előző hálózat ilyen volt és veri nájsz volt, pláne ha egy router meghülyült. Mondjuk azok mezei Zyxel routerek voltak, mert az előző ember nem csapott az asztalra és mondta azt, ez így nem lesz jó, de nagyon nem (pedig tudta, beszéltem vele, cégeink nincsenek rossz kapcsolatban). A cég meg óriást nőtt, meg persze folyamatosan terjeszkedik is, ahogy nőtt úgy került fel ide is egy zyxel router, meg oda is... Mi nem akarjuk ennyire szétszedni a hálózatot, mert azzal eddigi tapasztalataim szerint csak a szopás van, lehet most olcsóbb, de később drága lehet. Pl.: még nem tudtam mindent kigyomlálni a régi rendszerből és tegnap csak 4,5 órám ment el rá, mire megtaláltam a hibát a hálózatban.Meg kellett csinálni, mert vannak dolgaik, amiknek net kell, stabil, nem szakadozós 5xx feletti ping időkkel, ma egy óriás rendezvényük van majd 2000 emberrel,amit egy cég fizet és ha szar az élmény, bevételt buknak...
Az ilyen dolgokat szeretném elkerülni, mert nekem az időm megy, az ügyfélnek meg a pénze (mi nem a majd pótmunka, majd javítgatok stb cég vagyunk, nekem ilyenekre nincs kedvem, akkor sem ha milliárdos az ügyfél, de akkor sem ha minimálbéres).
Összegezve eddig, amire jutottam: szerintem bepróbálunk az átmeneti időszakra egy rb1100ah4x-et (max 2 hónapra, de nem tudjuk addig a jelenlegi routerral kibírni), mert a jelenlegi rb2011 az kb most fogy el minden téren, de nagyon. Közben meglesem ezt a pc-s (szerver) irányt, mert ez lesz az időtálló megoldás (kb örök, ha jól gondolom, mármint ha kevésnek érezzük, rábővítünk). Csak egyetlen gondom van: gyakorlati tapasztalat alapján a routeros hogy áll ipv6 támogatással (mármint bejövő és kimenő oldalon)? Mert lehet ennek a titoknak csak az ipv6 lesz jó (én feltételezem a legrosszabbat :) )

Szóval, az átmeneti időszakra szerintetek megfelelhet ez az rb100..... router? Semmi extra nem lenne beállítva rajta, csak kis korlátozás, bizonyos portok tiltása (mert próbálkoztak ifjak, dehát valaki nézi néha a logokat és tiltogat dolgokat... :)) A dhcp-t ő intézné, mi 6 percet adunk a leasenek (vannak helyek ahol nem teljes a fedés, oda minek cipelje magával a címet a vendég) és kb ennyi. Azért lenne jó ez a router mert a cégüknél máshol utána jó lehet. Persze ha azt javasoljátok, hogy inkább ne, akkor vesznek egy olyat oda, ide meg keresünk valami mást(vagy beleugrunk gyors a szerverbe aztán ügyes leszek :D ).

A PC irány sem örök, mert sajnos ott is elhalnak az eszközök, és lehet, hogy a hálózati szoftver sincs felkészítve rendesen a több magos CPU-kra. A MikroTik IPv6-os támogatása elég jó. Eddig nekem minden megoldás jól ment/megy ( natív IPv6-ot és tunnel-t is használok ).

Hat azert en nem mondanam, hogy IPv6 tamogatas jo lenne, sot.. Keress ra mennyi marhasag kell, hogy Digivel es Windows kliensekkel menjen! DHCPv6-on nem tudja onmagat nameservernek osztani peldaul, csak akkor ha IP DNS alatt be van allitva. Akkor pedig magat (is) kerdezgeti, amit tuzfallal lehet korlatozni. Erre MUM-on azt mondtak low priority.

Próbaként beállítottam saját magát is DNS-nek IPv6-on (IP --> DNS), viszont a klienseknek az az IP cím nem állítódik be, csak a többi IPv6-os DNS cím.

Hat ez funny, mert nehany honapja meg igy mukodott. Ugy latszik igy "oldottak" meg a problemat. Mert egyebkent mukodik IPv6-on resolverkent, ha manualisan beallitod az OS-ben. Akkor mar kiosztani sem tudja.. En is Google DNS-t adok meg.

6.42.5 a ROS és a firmware is.

Masik: nem tud IPv6 NAPT-t. Igy dinamikus tartomanyoknal (peldaul Digi), ha az eszkoz nem tud DDNS-t, akkor routerrol nem tudod tovabbitani a portot IPv6-on.

A NAPT pontosan mire is való?

Peldaul:
https://www.juniper.net/documentation/en_US/junos/topics/task/configuration/nat-dynamic-source-translation-ipv6-networks.html
https://www.cisco.com/c/en/us/products/collateral/ios-nx-os-software/enterprise-ipv6-solution/white_paper_c11-676277.html

RouterOS-ben nagyon kezdetleges az IPv6 es nem ajanlom senkinek sem jelen allapotban. Azonban teny, hogy minden egyes frissites hoz valami IPv6 ujdonsagot. De en eleget szivtam peldaul IPv6 only VPN-el vele, hogy erre inkabb mas eszkozt valasszak.

Peldaul van nehany routerem osztrak A1-nel, ahol bizonyos tersegben CGNAT-os IPv4 cimet kapsz, de publikus IPv6-ot. Szoval jo lenne NAPT kulso IPv6 cimrol belso IPv4 cimre vagy akar IPv6 cimre (mert DDNS csak routeren van).

gigabitet boven kinatol egy ccr1036, tapasztalat. a traffic shpinget nem a routeren csinaljuk, hanem mogotte a switchen ha kell.

ha olyan resze van a halozatnak, akkor a portot kell priorizalni (a tobbire limit) amin az adott szolgaltatas van es lesz savszelessege. (lehet magasabb szinten is, de az kurvadraga lesz)

imho 3k eszkoz eseten nem a gigabiten kellene elsodlegesen aggodnod, hanem:
1 wifi AP-k fognak elfogyni, nem irtad mennyi van, de olyan 20-50 koruli kliensnel/AP mar kezdodnek a bajok 2.4GHz-en (max. 1-2mbps jut).
2 hany ip cimre natolsz? (tudod, /ip 65k portod van osszesen)

kerdes meg, h hova natlogoolsz :)

Gigabit miatt a titok kitalálója aggódik, én a kapcsoltaok magas száma és lehal a háló miatt aggódom. :) Mint fentebb írtam, a free wifi azért van, hogy örüljön a kedves vendég, nem pedig azért, hogy live streamben élje az életét. :) Az AP-k szerintem nem fogynak el (uap ac-lr és outdoorok vannak páran, jelenleg összesen 20 db szétszórva, ami folyamatosan bővül). Ahol van wifi, nincsennek egyszer 50-en, vagy ha igen, akkor ők ij., de eddig ez még nem fordult elő, de mint írtam, a rendszer bővül, ahol kell folyamatosan.
Még nem tudom, mennyi cím lesz, még nem láttam, mit talált ki a szolgáltató (egyenőre felmértek és majd tájékoztatnak mit tudnak mennyiért adni). Nagyon kíváncsi leszek, mivel kevés a v4 címük, és mivel jellemzően miktorikesek, ezért nem hiszem, v6 működik-e náluk (mondjuk nekünk a bérelt vonalat nem mikrotikkel adnák, de a végén ők is mikrotiket adnak).

ipv6 nem megoldas, sajnos meg mindig szegenyes az ipv6-on elerheto tartalom es a jol mukodo ipv6 kepes eszkozok.
a 20 wifi AP/3k eszkoz meg mingig 150 kliens/AP nagysagrend, az nagyon szukos foleg ha nem egyseges az eloszlas :D nekem az tunik a szuk keresztmetszetnek.
boven gigabit feletti forgalomnal a 1036 RAM hasznalata 5-6% koruli, nem lesz ott a conntrack-kel baj jo esellyel.

A jelenlegi lefedettséghez elég ennyi ap, és ennyi ember azokon a terülteken nem tud lenni, ha igen, nem hiszem, mindenki azonnal wifizni akarna. De mint említettem, ahogy látjuk, hogy nő az igény, lesz ap is. :) nem várjuk meg hogy a tulaj szóljon, hogy na már, na! Továbbá jelenleg napi csúcsok az 1500 fő max (vendégszám). Szoktam nézegetni a controllert, eddig akik wifin lógtak egyszerre az max 300 fő körül volt, jól eloszva az ap-k közt. A 3000 fő a wifin az egy "rossz" forgatókönyv, amire azért jó lőni, mert előbb-utóbb el fogják érni. De routert nem kellene évente cserélni... (mondjuk most kell, mert elfáradt a régi, de valami sokkal erősebb kell a mostani helyett, ha nem is a véglegesre cseréljük most)

Közben jött egy vicces story: a szolgáltató nem hitte el, hogy mit is akarunk valójában, 4 alkalommal jöttek ki felmérni, ebből az utolsóban szolgáltató cég feje/tulajdonosa! :D Megnyugtatták őket, valóban ezt akarják, most már nekiállhatnak az ajánlat tételnek.

Ezek alapján kértem tőlük állásfoglalást a routerre, hátha megfogadjuk tanácsukat (vagy nem).

Na, a router meglett (ccr1016-12g), most ki kellene tesztelnem, mikor fekszik meg (csomag szinten). Hogy tudnám "kihajtani"? Természetesen még nincs éles helyzetben a szolgáltató szeptember közepére ígérte a kiépítést, viszont itt nálunk céges környezetben nem tudtuk kiterhelni pár kpps-nél jobban (pedig küldtük a youtubeot pár lappal, amennyit a gépeink bírtak...). Szóval van lehetőség olyanra, hogy küldök millió apró csomagocskát ide-oda valamilyen egyszerű módon (tehát létezik ilyenre teszt program)? (nat jelenleg nincs)

Köszi!

Azért ez a router, mert a szolgáltató kijelentette, ennek bírnia kell. Ha nem fogja, szar ügy nekik, mert akkor ők biztosítják ingyen a megfelelőre a cserét... :)

Majd az élet megmondja :D

https://mikrotik.com/product/CCR1016-12G#fndtn-testresults

Ezek szerint ha már van 25 filter szabályod, és sok kicsi csomag, nem fog kijönni a gigabit.

Főleg ha még többet kombinálsz össze, pl bridge filterek, queue-k, és ip filterek. :>

Kis pénz kis foci :>

Valószínűleg egy sima NAT, 1-2 port forwarddal menni fog a gigabit átroutolása.

Fedora 27, Thinkpad x220

Ja, hogy a ccr1016-12g a kis pénz..jó tudni. :)

Ez van. A mikrotik olcsó és jó tudással rendelkezik de nem sec appliance. Én a caviium alapú eszközöket szeretem inkább vagy intel.l esetleg.

Iperfel biztosan megtalálod a határt és javaslom az alapos monitorozására közben egy jó eszközzel pl zabbix.

Ezzel a részével nem is vitatkozom, mindössze annyi vot a kommentemben, hogy KKV-ben a konkrét eszköz ára nem számít alacsonynak.

De mégis mennyi az annyi? Anélkül csak homály lesz ebben a thread-ben...
--

170 eFt. bruttó

Nekem otthon RB3011UiAS-RM van bruttó 50 eFt-ért és DIG nettel majdnem tudja az 1000/200-at ami az előfizetés szerinti kapcsolat. A speedtest.net szerint konkrétan 920/300
--
Tertilla; Tisztelem a botladozó embert és nem rokonszenvezem a tökéletessel! Hagyd már abba!; DropBox

A speedtest.net nem mér sem kis csomagokkal, sem 25 filter rulellal.

Megnéztem, hogy itthon a KKV micsoda pontosan: https://ado.hu/ado/kkv-fogalom-meghatarozas-most-meg-barki-hozzaszolhat/

Emlékeim szerint 20-100 főig tartott ez, de a fenti link hazai része szerint 10+ főtől kisvállalkozás és 50-250 főtől közepes. Tehát azt akarod mondani, hogy havonta minimum másfél milliós bérköltség mellé egy bruttó ~200e forintos, sok évre szóló eszköz "megterhelő". Ott valami igazán komoly paradigma váltásra lenne szükség, hogy finoman fogalmazzak.

Még egy mikrovállalkozásnál se kéne egy bruttó 200e forintos "beruházásnak" gondot okoznia. Nyilván nem pattogtatjuk észnélkül a 200e-ket sehol, de ha indokolt és a vállalkozás/szervezet működéséhez kell, akkor ne problémázzanak már.

Lehet, hogy nem kellene, hogy megterhelő legyen, de az. Nyilván nem az 1db 200e-s eszközről van szó, hanem hogyha normális informatikát akarsz kialakítani, akkora a 20e vs. 200e router mellett 150e vs. 3M szerver, 8e vs. 80e switch(ek) és még sorolhatnám. Hogy X vagy Y összeg az nem annyira érdekes, hogy Y=10*X, az már annál inkább.

De itt nem is arról volt szó, hogy a 200e-s CCR drága, hanem hogy a multihoz szokott enterspájz szakik szerint a 200e-s CCR "olcsó gagyi", a rendes router 1,5M-nál kezdődik - és ez a minimum szint egy pl. kiskereskedő KKV-nál ugyanúgy, mint egy IT fejlesztő cég központi szervertermében.

----------------------------------^v--------------------------------------
"Probléma esetén nyomják meg a piros gombot és nyugodjanak békében!"

Nyilván a konkrét cégmérethez kell méretezni. Az ilyen "másfélindul a rendes" c. dolgokat is rögtön lehet felejteni, az a másik véglet, akár szerver, akár switch, akár zokni.

Fentebb az volt, hogy a 200e-s (ráadásul bruttó, olyan 40e visszajön) router a megterhelő. A 200e-s routerből nem következik a 3M-s szerver sem.

Ha van 20-25 juzerem, akkor már olyan nagyon nem lehet észnélkül spórolgatni, mert nagyon vissza fog ütni. Költeni viszont mindíg előre felmérve és reális költségekkel kell. Ugye az sem fordult még elő soha, hogy jött az occó akármi, aztán fél évvel később kukázni kellett bármilyen bővülés miatt és igazából megvették az eredetileg kinézettnél 3x drágábbat, miközben az eredetileg kinézett is bőven ment volna...

+1 Nekem itthon magánszemélyként 40e Ft-os routerem van. Vicces is lenne, ha 200e Ft egy KKV-nak gondot okozna.

Nem kell hinni a "sírásnak", azt azért csinálják, hogy minél jobban lenyomják az áraidat. Például legutóbb megkaptam, hogy nagyon drága a 20-30e Ft-os AP, miközben az 5 apartmanja fullon volt, hivatalos az árlista, napi 90e Ft bevétele. Alkalmazott nincsen, Mariska takarít a szomszédból, ha kell. Szóval beállítottam az általa vett sz*r TP-Link-et (mert hogy az XY áruházban azt mondták, hogy ez csúcs), persze bridge módban, mert kábelezni is drága és hülye vendégeknek az is jó lesz. Aztán persze panaszkodik, hogy naponta 2x újra kell indítani az eszközt. Én meg megmondtam, hogy ez van, ezt vetted.

Egyébként ez jellemzően magyar KKV-ok sajátossága. Ezek tipikusan azok, akik még a MediaMarktban is alkudoznak. BMW X5-el jött a főnök és 3 db normál méretű LCD monitorhoz hívta a vezetőt alkudni. És kapott engedményt! Ha egy multival ezt csinálják, akkor képzeld el egy kisebb céggel mit csinálnak. Volt hogy ajándékot kellett adni, mert "akkor ezt elviszem" es nyúlja a pendriveot. Fizetés átutalással, majd egyszer a határidő után, mert náluk havonta egyszer (sincs) kifizetés. Külföldi tulajdonú cégnek sokszor megváltás dolgozni.

Itt nincs ezzel probléma, ami kell, az kell. Ők is az üzembiztonságra mennek már rá.

Más: nemrég voltam beállítani egy panzióban a wifit (8 apartmanos). Nekem csak össze kellett rakni, beállítani és kész, az eszközöket ők intézték. A tulaj nem ért hozzá. Aki vette viszont igen. Tulaj kicsit aggódott, mikor odaértem, hogy ezek az eszközök jók lesznek-e mert sosem halott róla. Hát minden ubiquiti volt (router, switch, ap-k). Mondtam neki, nyugodtan alhat. :) Őt sem a pénz érdekelte, hanem hogy ne kelljen éjjel valakinek kibatyógni egy létra társaságában az apartman padlására ki-be dugni a *link routert...

Ahol mi telepítünk, megértik az emberek a dolgot. Most drága, aztán egy ideig el lehet felejteni (kb.)! Régi ügyfeleknél is, ahol kell, ott már csak normális ap-k vannak, nincs wifis routerezés mint a hőskorban! Hiába, öregszünk, nem szeretjük a visszatérő kihívásokat... Itt is teljes bizalmat élvezünk, bizonyítottunk pár dolgot, pedig nem is vagyunk nagy nemzetközi cég, akik egy nem kis rendszert üzemeltetnek ott, és amikor délben elfosta magát a rendszer hát 12-13 közt ebéd van. Telefon irodában. 13kor visszaér ember, hát ezt kollégája tudja megcsinálni, ő csinálta, ő meg majd 13:30 kor ér vissza. Rendszer összerakásakor az oktatás 3 embernek megtartva (elmutogatták rózsikáéknak), a másik három gépet meg összerakjátok majd ti, oké (mármint rózsikáék)? És amikor induláskor nem mentek a hálózati eszközök, biztos a hálózatban a hiba(hiába emlegettem neki, én az apkat és a kamerákat is látom, sőt a switch azt mondja, ők is aktívnak néznek ki). Ja biztos. Ezért egy eszköz reset után ment még 20 percig majd megint nem (ez péntek délután 18kor volt és nekik igazán 16-ig van munkaidejük, hétvégén meg nem igazán dolgoznak...). De semmi gond, csak fizetnek az ő rendszerükkel az emberek, semmi komoly. Legutóbb említettem már nekik is, ha még egyszer azt mondják, hálózat hiba van és nem, akkor nekik számlázzuk a kiszállást, a semmittevéssel töltött időm(amikor megmondom a vezetőnek: hát ezért nekem ide nem kellett volna jönnöm), továbbá ha valahol épp voltam (és munkaidőben mindig vagyok valahol) és ott kellett hagynom a megkezdett munkát, akkor azt is. Erre csak hümmögés volt...

De persze én csak egy egyszerű segédmunkás vagyok (thx by pesti mérnökúr, aki azt hitte csak lébecolok a rack körül, biztos festeni akartam a fujikura géppel...) :D.

"ne kelljen éjjel valakinek kibatyógni egy létra társaságában az apartman padlására ki-be dugni a *link routert..."
Ami azt illeti, nekem a D-Link routereim, AP-im, az általam mindenhová felszerelt, szintén D-Link eszközöket sose kellett baszogatni a kezdeti beállításon kívül. Mondjuk a hozzávaló, gyári szoftvert használom rajtuk, persze, hogy nincs bajuk. Ellenben tp-linkkel folyton csak a baj van.

--
openSUSE 42.2 x86_64

TP-Link se mind rossz, de ha a 7xx, 8xx szeriabol latok eszkozt, akkor azonnal a kukat javaslom.

Így van, jövőre kiderül. Ezt a mikrotikes filter szabályos dolgot nem vágom, hogy is értik valójában (mármint a mérésük nekem annyira nem életszerű...).

Zéró szabály esetén rengeteg youtube ablak nyitva (pár száz 2 porton) sem értem még el a mpps-t. Mondjuk annyira nem aggódom, csak a kíváncsiság hajt. Ha az idei csúcs napon kiszolgált egy rb2011 majd 2500 embert (ebből egyszerre persze nem voltak fent a wifin mind, olyan 500-700 között volt az egyszerre csúcs), akkor az élet aszondja, van esély, hogy működjön eme eszközzel a dolog. Mondjuk a vr még nem indult el, de azt megbeszéltük a fejlesztőjével, hogy az jobb lesz offline (nem a net miatt, egyéb okok miatt). Most itt irodai körülmények közt a proci terhelés folyamatos 0%, itt nálunk mondjuk csak 30/20as net van 1-2 gép egyszerre 2-3 telefon kíséretében.

Ami viszont nekem nem annyira tetszik ebben a routerben, hogy a ventik hangosak. A proci meg terheletlenül is 55C, mondjuk az irodában is van 25-27 fok... Szépnek szép, memóriabővítésen mélázok, de mondjuk azt később is meg tudjuk lépni.

Továbbá, igen, drága, de olcsóbb mint egy ciscos alternatíva 1.5-3 millióért. A szervert meg élből aszondták nem. Nem az ára miatt, emberi okokra hivatkozva (nem ránk gondoltak, hanem a helyi emberükre :), mikrotikhez meg abszolút nem ért, mondjuk olvasni tud, de jelszavat, hozzáférést úgysem kap).

Mint írtam korábban, kiderül, jövő héten beállítom a szabályokat és már csak gigás kapcsolat kell az éles teszthez, mit is tud valójában eme eszköz.

Én anno a pps-t iperf-el próbáltam, udp csomagok, először 1500byte, majd 768byte, 512byte legvégül 64byte mérettel.

Intel server, i3 procival, multiqueue NIC-el, összesítve 2mpps-t átvitt izzadás nélkül.

A Mikrotik tűzfal szabályok vs mérés pedig szerintem pontosan le kell, hogy írva legyen.
(gyanítom van egy standard lista ami alapján 25 szabály létre van hozva az ip/firewall/filter-ben - azt kevésbé
tartom életszerűnek, hogy egy adott csomag sorban 25 rule-on megy át, ahol történik is vele valami :-)

" egy adott csomag sorban 25 rule-on megy át, ahol történik is vele valami :-)" - irrelevans, mivel kiertekelni mindenkeppen ki kell a szabalyok sorrendjeben, h match vagy nem match. aztan, hogy a csomag mas fele megy vagy tortenik vele valami, majdnem irrelevans.

Gondolom azért érdekes a legalább 25 szabály, h. ne a 2. v. 3. -nál legyen azonnal match a forgalom 90+ %-ra, hanem menjen le szépen a kiértékelés 20-22. szabályig is legalább, dolgozzon a CPU valós körülményeknek megfelelően.
--

ha a forgalmad 80-90%-a eljut odaig, akkor szar a tuzfalad es at kene gondolnod mit is rontottal el :)

Tudja valaki, hol található az a 25 filter szabály, illetve a tesztforgalom amivel tesztelik a Mikrotik routereket?

197. Garancia kiterjesztéssel. :D Mert az kell hozzá főnök szerint...