Tak jsem se právě vzpamatoval z dospávání hackatonu a přidruženého cestování a mohl bych to kapku – no byl to mazec, háčkovací zápřah, jak má být.
Jak proběhl náš síťový hackaton? K síťování:
CCR1072 jsme zavařili vcelku snadno – ten router dá klidně 20+Gbit forwardovacího trafficu, ale nesmíte po něm chtít žádný iptables pravidla. I s vypnutým conntrackem už 100 pravidel zbrzdí forwarding znatelně a při 200+ pravidlech jde propustnost úplně do kopru (z několika miliónů pps na stovky tisíc).
BGP full feed (aktuálně ~615k IPv4 rout globálně) CCR1072 natahuje 3,5 minuty – což není tak strašné; ale má to problém. Jakmile se těm routám nastaví nějaké filtry, začne to být operace na desítky minut. Jelikož je implementace BGP single threaded, je vytížena na aktualizacích tabulky a nedá se spolehnout, že by tohle mělo fungovat nějak někdy spolehlivě.
Suma sumárum: jak jsem čekal, Mikrotiky mají svoje limity, trochu mě překvapilo, jak moc jsou nízko. Každopádně pro teď asi lepší řešení stejně nemáme (a full-feed ani tak brzo neplánujeme). Pro vzdálenější budoucnost jsme s Gluxem vybrali vhodné kandidáty od Juniperu (akorát holt budeme muset jet na hardware z druhé ruky, to je holt normálka v tomhle segmentu na organizace s naším rozpočtem).
S Gluxem (Standa Petr) jsme taky připravili vzorovou konfiguraci BGP pro nody (kvůli přechodu od OSPF). Abych si tím setupem byl skálopevně jistý, ještě si s ním budu muset pohrát, ale už vím aspoň, co a jak.
Díky všem, co jste dorazili a pomohli; ale zrovna tak všem, co jste dorazili, abyste se něco dozvěděli – příště se klidně víc ptejte, někteří tam jenom seděli a smutné koukali, že tomu ne až tak rozumí – pokud se nebudete ptát zrovna toho, co uber-zuřivě tluče do klávesnice, někdo okolo něj vám problematiku příště rád vysvětlí.
Díky Brmlabákům, že nás nechali tam na víkend squatovat. Určitě si dáme brzo další hackaton, řekl bych, že +- interval 3 měsíců by mohl fungovat. Určitě se podívejte na fotky v naší galerii.