RSS
 

Posts Tagged ‘juniper’

Очередной

05 Mar

Пока мы замерли в ожидании MX80, вышел uTorrent 2.0. Пришлось достаточно быстро увеличивать пропускаемый pps и решение было достаточно простое – поставить в параллель еще одну j-series. Приехала, сделали трепанацию и вставили мозгов:

Вшили нужный junos прямо вот сюда:

И, конечно, перед установкой в стойку необходимо поставить воздушный фильтр и решетку с до-ребрендинговым логотипом Juniper:

Ну а затем все прозаично – железка стоит и работает  :)

 

Прислали сравнение Extreme Summit, Catalyst 3750 и Alcatel OmniSwitch

27 Jul

Лежит документ тут. Занятное дело – Extreme дешевле, имеет более интересную гарантию, лучшую производительность. Но, блин, в абсолютно “независимом” отчете Extreme Summit проигрывает в РАЗЫ более дорогому каталисту.

Пойти, что-ли, написать пару “независимых” сравнений разного железа ?

p.s. Я не говорю, что Cisco – это плохо. Это не так – линейка Aironet совершенно очаровательна, в качестве PPPoE BRAS линейка 2800/3800 наиболее привлекательна (у Juniper для этого нужно ставить минимум M7i), а у Cisco Unified Communications Manager просто нет, по моему мнению, конкурентов. Но свитчи у Cisco несколько, эээ, overpriced.

 

Чего нет в Juniper

08 мая

Несмотря на очень привлекательные цены на маршрутизаторы Juniper, при полном или частичном переходе с роутеров Cisco стоит иметь в виду следующие (в 99% случае – некритичные) ограничения:

  1. В JunOS нет поддержки NBAR (Network Based Application Recognition). Т.е. если в Cisco для шейперов по приложениям можно было использовать NBAR, ограничивая (а точнее – пытаясь ограничить, т.к. есть ограничения, в т.ч. достаточно большое увеличение загрузки CPU), допустим, torrent/emule, то в случае использования Juniper прийдется это делать на отдельном специализированном устройстве (например, на том же самом Fortinet UTM devices – благо его можно поставить в режиме бриджа) либо городить трафик-шейпер по портам. Только нужно помнить – torrent-over-ssl все равно просто и быстро поймать – очень серьезная задача.
  2. Time-based access-lists. Если в Cisco IOS можно было достаточно просто реализовать шейпинг с изменением полосы по времени (т.е. для тарифного плана вида “10 Мбит/с днем, 20Мбит/с ночью и выходные”), то в JunOS подобные вещи “в коробке” реализовать нельзя. С использованием разнообразных подпорок в виде стоящего рядом компьютера с cron’ом и скриптами для изменения конфигов роутера Juniper, конечно, это реализуется.

Имейте в виду при планировании сети и услуг.

 

Плохо ездит ? Проверь железо и почитай буквари!

06 Apr

Последнюю неделю боремся с рядом моментов у заказчиков, которые можно описать фразой “А у меня загрузка не поднимается больше X мбит/с”. Или – “вечером появляется 2% потерь при достижении порога в Y мбит/с”.

Результаты разбирательств прогнозируемы. Причины проблем у заказчиков:

  • перегрузка “роутера” на базе FreeBSD. Ресурсы кушает pf, не хватает буферов, прерывания  и т.п. Результат – потери, деградация качества канала.
  • промежуточное железо. Ставит заказчик ноутбук на интерфейс – все пучком. Включает свою инфраструктуру – чудеса. Причина – на трассе стоит свитч вендора “икс”, который почему-то не свитчит с необходимой производительностью.
  • false negative. Мерять канал пингом или mtr для получения объективных данных – неверно в корне. Тот-же iperf – тоже не особая панацея, мы ведь живем не в зоопарке, не в замкнутой экосистеме. Реальный Интернет – это нечто другое, нежели лаба с парой свитчей и роутеров.

Подробнее о последнем. Если хочется померять мегабиты – можно сходить на speedtest.net, конечно. Но этот сервис предназначен для ориентировочной проверки скорости для бродбенд-пользователей, скорости между компьютером клиента и сервером speedtest’а. Здесь возникает масса моментов – антивирус на компьютере пользователя, операционные системы и настройки ip-стэка на сервере и у клиента, загруженность тестового сервера (мы, кстати, свой kharkiv.speedtest.net перевели на nginx и получили 20-25% прироста в скорости! Только заменой вэб-сервера!). Далее помним о зависимости расстояния (читай – времени, т.к. есть свои естественные задержки в связи со скоростью света и привнесенные задержки на каналообразующем и маршрутизирующем оборудовании) и TCP Window Size. Подробнее см. отличный материал на Wikipedia. Как ни крути, 10Мбит/с получить единичным TCP-соединением с достаточно удаленного источника  (а именно поверх TCP ходят протоколы FTP и WWW – ведь именно скачкой/закачком обычно пытаются измерять) НЕВОЗМОЖНО в принципе.

То есть, если нужно померять более-менее реально, запускаем пару-тройку десятков закачек с разных серверов. Можно это сделать на FreeBSD с помощью fetch или curl:

# fetch -o /dev/null http://remote.server.tld/iso/big_DVD_image.iso
# curl -o /dev/null http://another.server.tld/iso/big_DVD_image.iso

Далее – о мнимых “потерях”. Запустим любимый в народе mtr на, допустим, yahoo.eu (извините, вырвалось :)):

Мнимые потери в mtr

Видим “страшные потери” на каком-то хопе. Звоним своему провайдеру и начинаем его ругать. А причина проста – там (как и у нас, собственно) стоит Juniper с отличной конструкцией в конфигурационном файле, в разделе filter:

term icmp {
from {
protocol icmp;
icmp-type [ echo-request echo-reply unreachable time-exceeded ];
}
then {
policer small-bw-policer;
accept;
}

term trace-route {
from {
protocol udp;
destination-port 33434-33523;
}
then {
policer small-bw-policer;
accept;
}
}

…где small-bw-policer выглядит как:

policer small-bw-policer {
  if-exceeding {
    bandwidth-limit 128k;
    burst-size-limit 15k;
  }
  then discard;
}

Умеющим читать на английском вышеизложенные куски конфига понятны. Неумеющим читать – конфиг нам говорит, что если общее количество трафика icmp или udp (на диапазон портов), предназначенного маршрутизатору, будет больше 128К, трафик уничтожается, а mtr показывает “мнимые” потери.

А проверить по-настоящему просто:

# ping -s 1500 -q -c 100 yahoo.eu
PING yahoo.eu (68.180.206.184): 1500 data bytes
--- yahoo.eu ping statistics ---
100 packets transmitted, 100 packets received, 0% packet loss
round-trip min/avg/max/stddev = 217.482/220.701/224.686/2.490 ms

То есть для корректного результата мы делаем icmp-эхо-запросы на хост, который нам интересен и смотрим на результат. И тогда в ряде случаев не прийдется паниковать и звонить провайдеру с сообщением, что “все пропало”.

Вышеизложенным я не в коей мере не хочу сказать, что у нас все идеально, что во всем мире интернет работает, как часы. Даже с учетом достаточно высокой надежности, к которой мы стремимся, интернет сложен и зависим от каждого – причем не только от каждого оператора/провайдера, но и от конечного пользователя или подключенного в интернет устройства. На моей памяти за последние два месяца были две или три достаточно неприятные проблемы со связностью у наших аплинков, причем это были проблемы вне их зоны влияния. Из-за роста нагрузки мы переводим бэкбон на Extreme – каталисты близки к потолку по надежной производительности и иногда выдают чудеса, о которых как-нибудь в другой раз. Просто хотелось бы видеть грамотную диагностику проблем. И не забываем о модели OSI :)

 

Гигабитные коммутаторы – субъективные заметки

03 Apr

Давайте представим себе ситуацию — нужно агрегировать в одной из точек некоторое количество гигабитных каналов. Конечно, мы можем взять $300 и пойти в магазин за каким-нибудь неуправляемым чудом, но это не наш метод. Наша задача — найти качественный коммутатор с 24 портами Gig-E из представленных на местном рынке. Качественный — в том смысле, чтобы снизить по-возможности хождение по граблям и не лететь на работу в пятницу вечером. Итак, участники очень субъективного теста:

Cisco Catalyst 3560G

Cisco Catalyst 3560G

Классика – это Cisco Catalyst 3560G. Несмотря на то, что более бойкие конкуренты наступают на пятки ценой, производительностью и функциональностью, эти свитчи наиболее известны на рынке, популярны в операторских и корпоративных сетях.  Несомненным плюсом является огромное количество инженеров, которые знакомы с этим оборудованием, достаточно вменяемая поддержка вендора (при наличии, правда, саппорт-контракта), в т.ч. в случае необходимости замены оборудования.

Exteme Networks Summit X350-24t

Exteme Networks Summit X350-24t

Возьмем в наше соревнование Extreme Networks Summit X350-24t. Несмотря на то, что этот свитч поддерживает L2/L4 (т.е. в нем нет поддержки L3 роутинга), на него стоит обратить внимание. Extreme делают коммутаторы высокого класса, которые работают надежно и прогнозируемо. Добавим сюда поддержку EAPS (Ethernet Automatic Protection Switching), возможность управления настройками коммутаторов с использованием XML и ряд фирменных протоколов для сверхбыстрого переключения (в десятки, если не сотни раз быстрее, нежели обычный stp) – получим коммутатор для производительной, управляемой и надежной сети, с очень неплохим соотношением цена/возможности.

Juniper EX3200

Juniper EX3200

Еще один вендор, который набирает обороты на Украине – Juniper Networks. Эта компания широко известна своими маршрутизаторами, а теперь предлагает коммутаторы L3. Младшая модель, EX3200, присутствует в нашем обзоре. Особенности Juniper EX3200 – дисплей на передней панели (мелочь, а приятно), первые восемь портов поддерживают PoE 802.13af, операционная система – JunOS. Стоит обратить внимание на то, что фишкой Juniper является встроенная защита операционной системы от атак и ряд функций, направленных на  безопасное удаленное изменение конфигурации (желающие могут вспомнить о том, как весело менять критичные access-list’ы на Cisco, которая стоит в другом городе).

Edge-Core ES4626

Edge-Core ES4626

Не забудем популярного и недорогого вендора  – Edge-Core. Без шуток – Edge-Core очень неплохое оборудование, которое используют многие операторы. Вопрос в том – можно ли его ставить на бэкбон нагруженной сети ? А как насчет его функций по маршрутизации – будет ли достаточно коммутатора Edge-Core ES4626 для того, чтобы, например, использовать его для подключения в KH-IX ?

В таблице нет коммутаторов  ZyXEL, D-Link, HP. Причина этому проста – мы не используем гигабитые решения этих производителей, соответственно – нет данных о надежности, возможностях, проблемах и прочем.

Итак, таблица с данными. Ряд данных – с сайтов производителей, дистрибуторов, документации. Ряд – с самих коммутаторов. И совсем немного (о совместимости SFP-модулей) – из опыта работы.

Гигабитные коммутаторы - сводная таблица. V.1.0

Теперь перейдем к выводам. Субъективным. Начнем с Edge-Core – это достойное и наиболее дешевое решение среди представленных. Но есть “ложка дегтя” – слабый процессор, мало памяти, микроскопическая роутинговая таблица (использовать для пиринга с KH-IX нельзя – не влезут префиксы). Вменяемая поддержка в Харькове с одной стороны, обидные ошибки в софте – с другой. Я бы рекомендовал ставить его на уровень доступа. Кстати, немаловажный момент – возможность установки XFP без приобретения дополнительных промежуточных модулей. Типичный (и не самый худший) представитель “второго эшелона” вендоров.

Cisco Catalyst – дорого, солидно, известная марка. Выверенная, достаточно надежная аппаратная часть. Но с другой стороны – малая производительность, слабый CPU, memory-leaks в софте  (а это значит – клинчи, рост потребления памяти со временем, паузы передачи данных при пересчете spanning-tree). Добавим сюда невозможность поднять соединение 10G – за эти деньги лучше поискать что-то другое. Тем не менее – стоит рекомендовать для тех, у кого широко используются Cisco-based технологии (кластеры коммутаторов, системы управления сетью и т.п.).

Extreme Summit – это классический L2/L4, сравнительно недорогой, но прогнозируемо работающий. Есть весь функционал для оператора – защита сети, защита операционной системы коммутатора, шейперы, мониторинг нагрузки в реальном режиме времени и многое другое. Совершенно очаровательный web2.0 интерфейс, сделанный на Flash. Если нужна большая ethernet-сеть, с кольцами, байпасами и высокой надежностью – ее лучше строить на Extreme. А если сесть и нарисовать (или найти/скачать) систему управления, которая будет на необходимых узлах описывать VLANы, шейперы и прочее, загружая на коммутаторы  XML – работа будет в радость.

Juniper EX3200 – это отличный компаньйон для тех, кто уже использует J-series, M-series и другие роутеры Juniper. Но не только – если нужна L3-маршрутизация, аналогов по цене и возможностям, фактически, нет. Операционная система JunOS написана для инженеров – работать приятно и безопасно, функционал очень широкий. Интерфейс для мониторинга/настройки через браузер не хуже (а может, и лучше), чем у Summit – тот же web2.0, очаровательные анимированные графики загрузки и прочее. EX3200 расчитан для применения провайдерами и широко применяется именно ими.

Небольшое заключение. Если нужен скоростной L2-бэкбон провайдеру или надежная корпоративная сеть – мы ставим и рекомендует Extreme. Нужен ip routing – рекомендуем Juniper EX-series, тут альтернатив нет. Если финансы стеснены – Edge-Core отличный выбор (только не нужно от него требовать слишком много). Cisco Catalyst – это годами проверенные аппараты, но их цена явно завышена, а брать б/у неверно – конденсаторы сохнут в любом устройстве, вне зависимости от вендора.

Буду благодарен за указание на неточности и ошибки.