Trzepak.pl

Regulamin forum


Wypowiedzi muszą stosować się do zasad ogólnie przyjętej "netykiety" wynikającej z dokumentu RFC 1855, zamieszczonego pod tym adresem:
http://www.ietf.org/rfc/rfc1855.txt
Osoby wypowiadające się tu "zawodowo" proszone są o logowanie się swoim imieniem i nazwiskiem, a w stopce ich wypowiedzi wskazane jest przedstawienie danych adresowych łącznie z linkiem do strony głównej przedsiębiorstwa lub organizacji, którą reprezentują.
Umieszczanie informacji reklamowych w wypowiedzi i w stopce nie jest wskazane a moderatorzy mogą ingerować usuwając takie posty w sposób nie podlegający dyskusji.



Nowy temat  Odpowiedz w temacie
Przejdź na stronę Poprzednia 1 2
Autor Wiadomość
Post: czw, 28 gru 2017 12:13:06 
Odpowiedz z cytatem
Offline
Obserwator
Obserwator

Rejestracja: wt, 19 mar 2013 12:29:37
Posty: 44
baroo pisze:
Powiem szczerze, że ja powoli skłaniam się do zwirtualizowania routerów u siebie, ale nie mogę jeszcze nigdzie znaleźć jakiegoś konkretnego gotowca, że ktoś to podobnie zrobił. Zakładam postawianie na w miarę mocnej maszynce XenServera, przekierowanie przerwań od kart przez SR-IOV i odpalenie Linuxowych VMek dostępowej i BGP (do tego w drugiej lokalizacji redundantna kopia tego samego). Ma ktoś jakieś doświadczenia z taką konfiguracją?

4-5 lat temu robiłem tego typu konfigurację. Serwer fizycznie umożliwiał wpięcie 2 kart po PCIe (wobec czego zostały wpięte 4 portowe każda - 1Gb). Ostatecznie miałem 3 maszyny po 8 portów 1Gb/s. Wszystko zwirtualizowane z wykorzystaniem SR-IOV. Po zabawie z przerwaniami na linuksowych wirtualkach - CPU było wykorzystane poniżej 50%. Wobec czego na serwerach można było jeszcze umieścić inne wirtualki, które korzystały z portów ethernet wbudowanych w serwerach do komunikacji ze światem. Gotowców nie było, trzeba było samemu kombinować. Fakt jest taki, że 3 maszyny obsługiwały mi dosłownie wszystko i były jeszcze luzy. Minus to cena kart z SR-IOV w tamtych czasach. Nie wiem jak teraz.


Na górę
Post: czw, 28 gru 2017 12:26:55 
Odpowiedz z cytatem
Offline
Powieściopisarz
Powieściopisarz

Rejestracja: czw, 25 mar 2010 13:23:23
Posty: 1736
Jak rozkłada się w takiej sytuacji te przerwania z vm na karty? Jak realizuje się wtedy komunikację pomiędzy vmkami?

_________________
www.inet.one.pl
Konfiguracja BGP. Podział pasma (filtry mieszające, IFB). Skrypty bash, perl.


Na górę
Post: ndz, 31 gru 2017 15:42:42 
Odpowiedz z cytatem
Offline
Obserwator
Obserwator

Rejestracja: wt, 19 mar 2013 12:29:37
Posty: 44
Jeśli chcesz wykorzystać SR-IOV to zakładam, że masz wsparcie ze strony CPU, itd. Wtedy przydzielasz porty z karty sieciowej bezpośrednio do vm'ki. Ja zastosowałem 1 port na 1 VM'ke, ponieważ wtedy mogłem maksymalnie wykorzystać port - oczywiście wykorzystując 802.1q, bo 1 interfejs to trochę słabo :) Nie współdzielisz portu między VM'kami.
Na Vm'kach dodajesz tyle CPU (core) ile jest potrzebne do maksymalnego wykorzystania przydzielonego interfejsu. Oczywiście można dać wszystkim maksymalną ilość, ale ze względów bezpieczeństwa (DDOS, itd) nie polecam. W ten sposób wykorzystujesz maksymalnie port z sieciówki.
Mam nadzieję, że nie zamieszałem :)


Na górę
Post: ndz, 31 gru 2017 16:57:02 
Odpowiedz z cytatem
Offline
Żółtodziób
Żółtodziób

Rejestracja: ndz, 17 lut 2013 21:27:00
Posty: 3
A wracając do problemu przedstawionego przez autora wątku to czy dysponując CCR1072 oraz nowym wydajnym serwerem to czy nie lepiej było by odwrócić zadania.
Co myślisz o tym, żeby CCR1072 tylko routował (z czym sobie poradzi) a NAT i firewall zrobić na serwerze lub dedykowanych VM'kach dla poszczególnych segmentów sieci?

W przypadku DDoS kiedy dostaniesz te 10G ruchu to CCR1072 rozdzieli to na VM'ki i szybciej dojdziesz do tego gdzie jest kierowany atak.
Oczywiście powyższe poda warunkiem, że CCR1072 robi tylko routing bez żadnych funkcji związanych z firewall.


Na górę
Post: ndz, 31 gru 2017 18:58:44 
Odpowiedz z cytatem
Offline
Obsesyjny prozaik
Obsesyjny prozaik
Awatar użytkownika

Rejestracja: pt, 14 sty 2011 0:36:15
Posty: 1225
Lokalizacja: Jaworzno
akurat CCR1072 poradzi sobie lepiej z NATem, bo będzie działał na wszystkich rdzeniach :) Póki BGP pracuje na 1 rdzeniu to wstawianie 1072 do tej roli nie ma żadnego sensu...

_________________
netmon.pl - blog o sieciach, sprzęcie i oprogramowaniu dla ISP.


Na górę
Post: wt, 02 sty 2018 13:45:04 
Odpowiedz z cytatem
Offline
Obserwator
Obserwator

Rejestracja: wt, 19 mar 2013 12:29:37
Posty: 44
Loockas ma sporo racji. Jeżeli coś może działać wielowątkowo to z definicji powinno działać lepiej. Aczkolwiek jeszcze kwestia wydajności rdzeni, instrukcji wbudowanych w CPU, metod cacheowania, możliwości interfejsów itd. Za dużo zmiennych, więc ciężko jednoznacznie stwierdzić. CCRy to solidne urządzenia. Właściwie od niedawna (2 lata) mam z nimi styczność przy niewielkiej sieci (2-3k IP), więc ciężko jest się wypowiedzieć na temat ich wydajności. Wcześniej przy 10 krotnie większej stosowałem w core urządzenia, które routing realizowały sprzętowo (cisco), zaś niższe warstwy realizowałem przy pomocy vm'ek. Konfiguracja nie do zdarcia. Oczywiście nie zapominamy o redundancji.


Na górę
Wyświetl posty nie starsze niż:  Sortuj wg  
Nowy temat  Odpowiedz w temacie
Przejdź na stronę Poprzednia 1 2


Kto jest online

Użytkownicy przeglądający to forum: Bing [Bot] i 8 gości


Nie możesz tworzyć nowych tematów
Nie możesz odpowiadać w tematach
Nie możesz zmieniać swoich postów
Nie możesz usuwać swoich postów
Nie możesz dodawać załączników

Szukaj:
Przejdź do:  
Dzisiaj jest śr, 24 sty 2018 7:41:38

Strefa czasowa UTC+02:00

Moderatorzy: Administratorzy, Moderatorzy

Nakarm glodne dziecko - wejdz na strone www.Pajacyk.pl


Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
SubSilver2 modified for Trzepak.pl by Colir
Polski pakiet językowy dostarcza phpBB.pl