У кого бы поклянчить прошивки для Juniper

[klink0v]

Всё таки понадобились мне относительно свежие прошивки для Juniper SRX-345. Версии 21.4R1 чтобы потестировать один баг и последняя рекомендованная JTAC-ом чтобы в перспективе обновиться.

Но если у циски можно прикинуться каким-нибудь французом и скачать всё что нужно прямо с офсайта, то в случае с Juniper-ом такое не проканает. Требуется наличие

Comments

[leh_a]

Постою рядом и псмотрю вдруг кто для меня купит лицензий mikrotik p10 с компенсацией рублями по любому курсу

[klink0v]

А в чем там прикол? Я сейчас смотрю, вроде в некоторых отечественных магазинах их вполне себе продают (просто в гугле вбил). Её надо на юрлицо покупать, или на физика тоже можно?

[klink0v]

Я вон смотрю, на Авито чел барыжит ими по 11440 рублей за штучку.

[leh_a]

Ну тоже вариант. Я не видел его

[burbilog]

Эм, а там у кисок точно что-то можно скачать? Насколько я помню там как-то сложно было, надо было иметь информацию внутрях ихнего сайта, чтобы скачать дали.

А вообще, в следующем году буду нахрен все старые киски выпиливать, на софтовые роутеры заменять.

[klink0v]

У цисок точно можно, хоть и придется пройти квест с регистрацией и созданием псевдоличности из недружественной страны.

> на софтовые роутеры заменять

А по PPS потянут?

Я вот тоже местами обычными Linux-машинами маршрутизирую, но упираюсь в обеспечение нормального Failover-а. Keepalived как-то вообще ни разу не user-friendly, работает через одно место и внутренняя логика у него дурацкая.

[burbilog]

Гм, оказывается не ответил когда-то.

У меня трафик относительно скромный, должно тянуть.

Что касается всяких CARP и т.п., честно говоря, сколько ни пытался иногда придумать вменяемую архитектуру с фейловером, всегда шерсть на загривке дыбом вставала и весь опыт вопил "не делай так!".

Потому что лично по моему опыту 95% проблем случается не в виде "железка померла и не пингуется", а в виде "железка через жопу работает, но по закону подлости она и пингуется и в заббиксе в порядке". И какой-нибудь фейловер тоже по закону подлости не сработает.

А вот конструкция сети усложнится до такого, что потом через несколько лет обязательно буду проклинать себя всеми матюками - нахрена я такой умный был? Прорву внутренних BGP пиров дублировать занятие для не слабонервных.

Я сейчас делаю так - водружаю на интеловскую железку гипервизор, под ним одной виртуалкой софтовый роутер на базе OPNSense (удобный комбайн, решающий подавляющее количество роутерных задач), а другой маленькую линуховую с другим внешним IP. Что позволяет издалека спокойно

[klink0v]

Я не уверен, что у меня виртуалки (именно виртуалки) потянут маршрутизацию прода. Всё-таки там есть определённые накладные расходы, связанные с переключениями контекста. Разве что им отдать всю сетевуху (PCIe passthrough) или какие-то порты с неё (SR-IOV). Да и в любом случае, железку под виртуалкой тоже иногда приходится шатать (обновлять ОС, прошивки, сбрасывать подвисания по питанию и всё вот это).

А насчет OPNSense... есть у меня коллега, который его очень любит и везде использует. Ох сколько же мы с ним мудохались чтобы GRE+IPSec между двумя точками построить: у меня Juniper SRX, у него этот OPNSense. Я цензурными словами передать это не смогу. Плюс, шаг вправо-влево от стандартной конфигурации (например, привязать скрипты к OpenVPN-серверу): усё, приплыли.

Так что нет. Я для себя решил: либо выделенная сетевая железка а-ля циска-жунипер, либо "голая" железная линуксовая машина.