On 20 Sty, 00:05, nastach <n...@p...pl> wrote:
> On 19 Sty, 23:57, "f...@o...pl" <f...@o...pl> wrote:> Dziwi mnie ten napastliwy
ton. Chcesz jabłka niebieskie - spytaj się
> > chińczyków - załatwią :-)
> > Kiedyś nie było punktów wymiany - co to musiał być za szalony pomysł
> > dla dużych ISP! Teraz są.
> > Tak pracuję głównie na otwartym oprogramowaniu - dla mnie to nie jest
> > powód do wstydu. Tak, zajmuje się nieraz małymi klientami - z
> > nadzieją, że nadal będziemy współpracować jak będą więksi. Nie mam
> > kompleksów związanych z tym.
>
> Ale czy ktoś mówi że open source jest złe, RS'y w IX'ach głównie się
> opierają
> na BIRD, OpenBGPD czy Quagga. Każdy klient jest tak samo istotny ten
> co robi
> 20Gbps ruchu i ten co robi 10Mbps, ważne żeby zrozumiał pewne zasady.
> Najgorzej jak ten co robi 10Mbps ma większe wymagania niż ten co co
> robi
> 20Gbps ...
> Czasami może lepiej przemyśleć swoją postawę niż krytykować
> innych ;-))
Ok, wezmę to pod uwagę :-)
Rafał

do góry

On 19 Sty, 22:24, "f...@o...pl" <f...@o...pl> wrote:
> On 19 Sty, 21:52, nastach <n...@p...pl> wrote:
>
>
>
>
>
> > On 19 Sty, 21:34, "f...@o...pl" <f...@o...pl> wrote:
>
> > > On 19 Sty, 16:06, Grzegorz Janoszka <Grzeg...@nie-lubie-
>
> > > 20 lub 200 punktów wymiany stosuje ustalone przez siebie zasady? - to
> > > są tylko zapisy danej firmy - to nie jest bezwzględne prawo! W
> > > dokumentacji przywołanego tu AMSIX nie ma wzmianki o tym, iż nie
> > > przychylą się do potrzeb partnerów w interesach (to taką relację
> > > klient-sprzedawca uznaję za najbardziej dojrzałą).
>
> > Nie chodzi tu o zapisy w umowach tylko o dobre praktyki, które się
> > sprawdzają i zostały wypracowane przez IX'y. Jest to spowodowane
> > tylko tym żeby zapewnić bezpieczeństwo innym uczestnikom. Szkoda
> > jak by jeden uczestnik mógł spowodować awarię u innych uczestników
> > IX'a.
> > Uwierz mi czym większy IX tym mniej elastyczny.
>
> > > Mamy wolny rynek, a
> > > ja wierzę, że to potrzeby klienta wpływają na jego kształt. Wierzę, w
> > > moc konkurencji - dlatego jestem ciekawy stanowiska nowego gracza,
> > > jakim jest TPIX (lub innych punktów wymiany).
>
> > Polecam link, który wcześniej wklejałem.
>
> > > Właśnie elastyczność, szybkość reakcji i podążanie za potrzebami rynku
> > > decydują o rozwoju firm. Mi jako płatnikowi zależy na jak najlepszej
> > > jakości usług. Chcę uzyskać maksymalną niezawodność. Nie chcę jednak
> > > strzelać z armaty do muchy - chciał bym zastosować jak najprostsze
> > > rozwiązanie, gdyż takie działają najlepiej. Problem został opisany w
> > > tym celu, by bardziej doświadczeni administratorzy mogli pomóc -
> > > odpowiedzi trudno jednak uznać mi za wsparcie ze strony usługodawcy.
> > > Zupełnie inaczej firma (dla której pracuję) została potraktowana przez
> > > ATMAN'a.
> > > Nie rozumiem postawy "gdzie to jest wpiete po Twojej stronie to nas
> > > nie interesuje". Gdzie tu interakcja z klientem? Przecież, można
> > > nawiązać lepsze relacje z klientem - nawet bez realizacji jego
> > > "zachcianek".
>
> > Oczywiście że jest ale nie można spełniać wszystkich zachcianek
> > "Bo ja jestem super klient mam dostać co chcę bo się nie wepnę".
> > Dla nas jest ważniejsze bezpieczeństwo i niezawodność niż podpinanie
> > za wszelką cenę klientów.
>
> > > PLIX miał być rodzajem "głównego" łącza. Taki był plan, ponieważ to
> > > jest PLIX! Niestety, tak nie może być.
>
> > Widać nasza strata :-((
>
> > > Spodziewałem się powodzi
> > > pomysłów, rozpoznania potrzeb klienta, wsparcia specjalistów. No cóż,
> > > należy się z tym pogodzić i podpiąć teraz tak jak dają. Takie
> > > życie :-)))
> > > Co do TPIX - wygląda na to, że jesteśmy atrakcyjnym klientem dla TP.
> > > Nie kontaktowaliśmy się jeszcze w sprawie TPIX'a, ale jeśli nikt się
> > > nie wypowie w tej sprawie tutaj to spróbuję uzyskać odpowiedzi na moje
> > > pytania i je tutaj zamieszczę.
>
> > TPIX ma taką samą umowę dla wszystkich uczestników, jak widać w ich
> > dokumencie jeden mac-address na porcie.
>
> > Pozdrawiam
>
> "Widać nasza strata :-(("    - to nie tak :-)
> Rozwój Internetu - czyli i PLIX'a! - jest w interesie każdego z nas,

Cieszę się, że tak nas postrzegasz :)

> oraz firm dla których pracujemy. Do tego dążymy. Tak zarabiamy.
> Nie widzę tylko merytorycznego stwierdzenia, np.:
> - nie mamy możliwości technicznych, nasz sprzęt tego nie wspiera, ale
> kliencie pracujemy nad tym, może tak kiedyś się da

Bo prawda jest taka, ze technicznie da się to zrobić po naszej
stronie.
Nie raz i nie dwa już o tym myśleliśmy i nawet chcieliśmy poluzować
nasze założenia, jednak za każdym razem przychodziły nam na pamięć
sytuacje gdy nasi klienci powodowali "drobne" awarie.
Jedna z nich na przykład spowodowała, że niektóre portale na
kilkanaście minut zniknęły z tablicy światowego bgp.
Weź pod uwagę jedną rzecz: jesteśmy profesjonalnym ixem i tego
profesjonalnego podejścia od nas wymagają uczestnicy korzystający z
dostępu do PLIXa.
Ostatnią rzeczą jaka przychodzi nam do głowy jest robić na złość
firmom, które łożą na nasze utrzymanie.

Wiele pomysłów naszych klientów wdrazamy, chociaż czasem nie są do
końca po naszej myśli, np. Porty 100Mbps + colo switcha 1u w cenie
500pln, mimo, że od samego początku twierdziliśmy, że minimalny port
do podpiecia się w PLIXie to gigabit.

Niemniej dla nas i naszych uczestników najważniejsze jest żeby PLIX/
Internet działał i tutaj musimy być tym złym policjantem, który na
niektóre rzeczy pozwolić nie może dla bezpieczeństwa "społeczeństwa"
czyli w naszym wypadku uczestników PLIXa.



> - lub: kliencie {szanowny :) } mylisz się, tak się nie robi, jesteś w
> błędzie, to jest do niczego, ponieważ... (tu mi się podobał pierwszy
> post Sylwestra: merytorycznie stwierdził, że dane rozwiązanie może
> zrywać sesję BGP)
> - kliencie, zróbmy tak: ty osiągniesz swoje cele jeśli zrobisz to i
> to, kupisz to i tamo, my zrobimy też coś, by łatwiej Ci było osiągnąć
> dany cel
> - inaczej: kliencie, super pomysł! masz port na rok za darmo :->

W większości przypadków pomagamy uczestnikom PLIXa jak tylko możemy.
Z drugiej strony oczekujemy, że będą dostosowywać swoje myślenie i
działanie nie tylko do tego jak im jest wygodniej, a jak bezpieczniej
i pewniej będzie dla wszystkich.

Ja ie mam nic przeciwko vrrp/carpom, jak już pisałem, sam wielokrotnie
takie rozwiązania implementowalem u wielu naszych uczestników, to
naprawdę da się zrobić w sposób taki, aby było jak najmniej bolesne
dla operatora.

Oczywiście inne duże IXy są dla nas wzorem, gdyż one mają często dużo
więcej problemów z którymi sobie radzą a do nas to nie trafia,
niemniej z ciekawostek mogę napisać, ze kilka lat temu zanim udało nam
się uporządkować publiczny vlan PLIXowy, urządzenia pewnego producenta
z Tajwanu, po wpieciu portem accessowym do PLIXa wieszały się
fizycznie i bez hard resetu nie wstawały.
Piszę to po to, by pokazać, że pozornie proste i nie szkodzące nikomu
pakie mogą oddziaływać na innych w tym samym vlanie w różny sposób.

Generalnie zasada jest taka: mamy ponad 100Gbps ruchu. Jeśli ktoś
swoim działaniem spowoduje, że ten ruch w PLIXie przestanie lecieć, to
wszyscy będą mieć problemy.

My wybieramy mniejsze zło. Nawet jeśli miało to być kosztem rezygnacji
jednego klienta z usługi. Nam zależy na tym, by wszyscy mieli stabilną
usługę.

Możemy odpytać każdego z ponad 160 uczestników PLIXa, czy się zgadzają
na takie rozwiązanie jakiego się domaga Sławek. Jeśli nie będzie
obiekcji, to wdrożymy to od jutra.

Mam nadzieje, ze przybliżyłem istotę problemu.

Ps. Przeczytajcie dokładnie regulamin TPIXa. Tajemnicą poliszynela
jest, że tworzył go w dużej mierze nasz były już pracownik. Zobaczcie
jakie są tam zapisy odnośnie ilości maców na porcie etc. Zerknijcie
też na czas reakcji na awarie i porownajcie to z tym co na co dzień
oferujemy w PLIXie. Może wtedy zrozumiecie, czemu jesteśmy tacy
"staroświeccy" w podejściu dotyczącym bezpieczeństwa wszystkich w
PLIXie.

Sylwester

do góry

On 20 Sty, 00:14, obeer <s...@g...com> wrote:
> On 19 Sty, 22:24, "f...@o...pl" <f...@o...pl> wrote:
>
>
>
>
>
> > On 19 Sty, 21:52, nastach <n...@p...pl> wrote:
>
> > > On 19 Sty, 21:34, "f...@o...pl" <f...@o...pl> wrote:
>
> > > > On 19 Sty, 16:06, Grzegorz Janoszka <Grzeg...@nie-lubie-
>
> > > > 20 lub 200 punktów wymiany stosuje ustalone przez siebie zasady? - to
> > > > są tylko zapisy danej firmy - to nie jest bezwzględne prawo! W
> > > > dokumentacji przywołanego tu AMSIX nie ma wzmianki o tym, iż nie
> > > > przychylą się do potrzeb partnerów w interesach (to taką relację
> > > > klient-sprzedawca uznaję za najbardziej dojrzałą).
>
> > > Nie chodzi tu o zapisy w umowach tylko o dobre praktyki, które się
> > > sprawdzają i zostały wypracowane przez IX'y. Jest to spowodowane
> > > tylko tym żeby zapewnić bezpieczeństwo innym uczestnikom. Szkoda
> > > jak by jeden uczestnik mógł spowodować awarię u innych uczestników
> > > IX'a.
> > > Uwierz mi czym większy IX tym mniej elastyczny.
>
> > > > Mamy wolny rynek, a
> > > > ja wierzę, że to potrzeby klienta wpływają na jego kształt. Wierzę, w
> > > > moc konkurencji - dlatego jestem ciekawy stanowiska nowego gracza,
> > > > jakim jest TPIX (lub innych punktów wymiany).
>
> > > Polecam link, który wcześniej wklejałem.
>
> > > > Właśnie elastyczność, szybkość reakcji i podążanie za potrzebami rynku
> > > > decydują o rozwoju firm. Mi jako płatnikowi zależy na jak najlepszej
> > > > jakości usług. Chcę uzyskać maksymalną niezawodność. Nie chcę jednak
> > > > strzelać z armaty do muchy - chciał bym zastosować jak najprostsze
> > > > rozwiązanie, gdyż takie działają najlepiej. Problem został opisany w
> > > > tym celu, by bardziej doświadczeni administratorzy mogli pomóc -
> > > > odpowiedzi trudno jednak uznać mi za wsparcie ze strony usługodawcy.
> > > > Zupełnie inaczej firma (dla której pracuję) została potraktowana przez
> > > > ATMAN'a.
> > > > Nie rozumiem postawy "gdzie to jest wpiete po Twojej stronie to nas
> > > > nie interesuje". Gdzie tu interakcja z klientem? Przecież, można
> > > > nawiązać lepsze relacje z klientem - nawet bez realizacji jego
> > > > "zachcianek".
>
> > > Oczywiście że jest ale nie można spełniać wszystkich zachcianek
> > > "Bo ja jestem super klient mam dostać co chcę bo się nie wepnę".
> > > Dla nas jest ważniejsze bezpieczeństwo i niezawodność niż podpinanie
> > > za wszelką cenę klientów.
>
> > > > PLIX miał być rodzajem "głównego" łącza. Taki był plan, ponieważ to
> > > > jest PLIX! Niestety, tak nie może być.
>
> > > Widać nasza strata :-((
>
> > > > Spodziewałem się powodzi
> > > > pomysłów, rozpoznania potrzeb klienta, wsparcia specjalistów. No cóż,
> > > > należy się z tym pogodzić i podpiąć teraz tak jak dają. Takie
> > > > życie :-)))
> > > > Co do TPIX - wygląda na to, że jesteśmy atrakcyjnym klientem dla TP.
> > > > Nie kontaktowaliśmy się jeszcze w sprawie TPIX'a, ale jeśli nikt się
> > > > nie wypowie w tej sprawie tutaj to spróbuję uzyskać odpowiedzi na moje
> > > > pytania i je tutaj zamieszczę.
>
> > > TPIX ma taką samą umowę dla wszystkich uczestników, jak widać w ich
> > > dokumencie jeden mac-address na porcie.
>
> > > Pozdrawiam
>
> > "Widać nasza strata :-(("    - to nie tak :-)
> > Rozwój Internetu - czyli i PLIX'a! - jest w interesie każdego z nas,
>
> Cieszę się, że tak nas postrzegasz :)
>
> > oraz firm dla których pracujemy. Do tego dążymy. Tak zarabiamy.
> > Nie widzę tylko merytorycznego stwierdzenia, np.:
> > - nie mamy możliwości technicznych, nasz sprzęt tego nie wspiera, ale
> > kliencie pracujemy nad tym, może tak kiedyś się da
>
> Bo prawda jest taka, ze technicznie da się to zrobić po naszej
> stronie.
> Nie raz i nie dwa już o tym myśleliśmy i nawet chcieliśmy poluzować
> nasze założenia, jednak za każdym razem przychodziły nam na pamięć
> sytuacje gdy nasi klienci powodowali "drobne" awarie.
> Jedna z nich na przykład spowodowała, że niektóre portale na
> kilkanaście minut zniknęły z tablicy światowego bgp.
> Weź pod uwagę jedną rzecz: jesteśmy profesjonalnym ixem i tego
> profesjonalnego podejścia od nas wymagają uczestnicy korzystający z
> dostępu do PLIXa.
> Ostatnią rzeczą jaka przychodzi nam do głowy jest robić na złość
> firmom, które łożą na nasze utrzymanie.
>
> Wiele pomysłów naszych klientów wdrazamy, chociaż czasem nie są do
> końca po naszej myśli, np. Porty 100Mbps + colo switcha 1u w cenie
> 500pln, mimo, że od samego początku twierdziliśmy, że minimalny port
> do podpiecia się w PLIXie to gigabit.
>
> Niemniej dla nas i naszych uczestników najważniejsze jest żeby PLIX/
> Internet działał i tutaj musimy być tym złym policjantem, który na
> niektóre rzeczy pozwolić nie może dla bezpieczeństwa "społeczeństwa"
> czyli w naszym wypadku uczestników PLIXa.
>
> > - lub: kliencie {szanowny :) } mylisz się, tak się nie robi, jesteś w
> > błędzie, to jest do niczego, ponieważ... (tu mi się podobał pierwszy
> > post Sylwestra: merytorycznie stwierdził, że dane rozwiązanie może
> > zrywać sesję BGP)
> > - kliencie, zróbmy tak: ty osiągniesz swoje cele jeśli zrobisz to i
> > to, kupisz to i tamo, my zrobimy też coś, by łatwiej Ci było osiągnąć
> > dany cel
> > - inaczej: kliencie, super pomysł! masz port na rok za darmo :->
>
> W większości przypadków pomagamy uczestnikom PLIXa jak tylko możemy.
> Z drugiej strony oczekujemy, że będą dostosowywać swoje myślenie i
> działanie nie tylko do tego jak im jest wygodniej, a jak bezpieczniej
> i pewniej będzie dla wszystkich.
>
> Ja ie mam nic przeciwko vrrp/carpom, jak już pisałem, sam wielokrotnie
> takie rozwiązania implementowalem u wielu naszych uczestników, to
> naprawdę da się zrobić w sposób taki, aby było jak najmniej bolesne
> dla operatora.
>
> Oczywiście inne duże IXy są dla nas wzorem, gdyż one mają często dużo
> więcej problemów z którymi sobie radzą a do nas to nie trafia,
> niemniej z ciekawostek mogę napisać, ze kilka lat temu zanim udało nam
> się uporządkować publiczny vlan PLIXowy, urządzenia pewnego producenta
> z Tajwanu, po wpieciu portem accessowym do PLIXa wieszały się
> fizycznie i bez hard resetu nie wstawały.
> Piszę to po to, by pokazać, że pozornie proste i nie szkodzące nikomu
> pakie mogą oddziaływać na innych w tym samym vlanie w różny sposób.
>
> Generalnie zasada jest taka: mamy ponad 100Gbps ruchu. Jeśli ktoś
> swoim działaniem spowoduje, że ten ruch w PLIXie przestanie lecieć, to
> wszyscy będą mieć problemy.
>
> My wybieramy mniejsze zło. Nawet jeśli miało to być kosztem rezygnacji
> jednego klienta z usługi. Nam zależy na tym, by wszyscy mieli stabilną
> usługę.
>
> Możemy odpytać każdego z ponad 160 uczestników PLIXa, czy się zgadzają
> na takie rozwiązanie jakiego się domaga Sławek. Jeśli nie będzie
> obiekcji, to wdrożymy to od jutra.
>
> Mam nadzieje, ze przybliżyłem istotę problemu.
>
> Ps. Przeczytajcie dokładnie regulamin TPIXa. Tajemnicą poliszynela
> jest, że tworzył go w dużej mierze nasz były już pracownik. Zobaczcie
> jakie są tam zapisy odnośnie ilości maców na porcie etc. Zerknijcie
> też na czas reakcji na awarie i porownajcie to z tym co na co dzień
> oferujemy w PLIXie. Może wtedy zrozumiecie, czemu jesteśmy tacy
> "staroświeccy" w podejściu dotyczącym bezpieczeństwa wszystkich w
> PLIXie.
>
> Sylwester

Kurcze - bardzo dziękuję za konkretną odpowiedź. To jest wystarczające
dla mnie. Już powoli traciłem nadzieję na merytoryczną dyskusję.
Pozdrawiam serdecznie
Rafał Jackiewicz

do góry

On 20 Sty, 00:07, "f...@o...pl" <f...@o...pl> wrote:
> On 19 Sty, 23:17, nastach <n...@p...pl> wrote:
>
>
>
>
>
> > > "Widać nasza strata :-(("    - to nie tak :-)
> > > Rozwój Internetu - czyli i PLIX'a! - jest w interesie każdego z nas,
> > > oraz firm dla których pracujemy. Do tego dążymy. Tak zarabiamy.
> > > Nie widzę tylko merytorycznego stwierdzenia, np.:
> > > - nie mamy możliwości technicznych, nasz sprzęt tego nie wspiera, ale
> > > kliencie pracujemy nad tym, może tak kiedyś się da
> > > - lub: kliencie {szanowny :) } mylisz się, tak się nie robi, jesteś w
> > > błędzie, to jest do niczego, ponieważ... (tu mi się podobał pierwszy
> > > post Sylwestra: merytorycznie stwierdził, że dane rozwiązanie może
> > > zrywać sesję BGP)
> > > - kliencie, zróbmy tak: ty osiągniesz swoje cele jeśli zrobisz to i
> > > to, kupisz to i tamo, my zrobimy też coś, by łatwiej Ci było osiągnąć
> > > dany cel
> > > - inaczej: kliencie, super pomysł! masz port na rok za darmo :->
> > > Skorzystamy z Twojego pomysłu i zaproponujemy innym uczestnikom
> > > podobne rozwiązania. Będziemy pierwsi na rynku wprowadzający takie
> > > rozwiązanie!
> > > Co było potrzebne: cztery pary zezwoleń dostępne na jednym porcie:
> > > - IP1 - MAC1
> > > - IP2 - MAC2
> > > - IP3 - MAC1
> > > - IP3 - MAC2
> > > Można to też rozwiązać inaczej - nie analizujmy teraz tego czy
> > > potrzeba tyle IP czy MAC'ów - odpowiadam bezpośrednio na poprzedni
> > > post.
> > > Serio(!) spodziewałem się lepszego kontaktu - chociaż dziękuję za
> > > podjęcie dyskusji tutaj. Podejście typu "bo regulamin" jest przypisane
> > > raczej dużym, nie elastycznym firmą - monopolistą.
>
> > Drogi przyszły/niedoszły kliencie.
>
> > Ale jak tu o merytoryczną dyskusją skoro upieracie się że wasze
> > rozwiązanie jest git i innego nie ma,
> > a IX'y się mylą bo chcą wyciągać kasę od klientów za kolejne porty.
> > Zrozum proszę że N mac-address'ów na jednym porcie to potencjalne
> > zagrożenie dla IX'a i innych uczestników.
> > Historia wiele razy pokazala, ze kazdy robi bledy. Nie mozemy sobie
> > pozwolic, aby jeden z uczestnikow poprzez swoja pomylke spowodowal
> > problem u innych.
> > Dla nas wyjście z tej sytuacje jest jedno, musimy stworzyć takie
> > zasady aby zapewnić bezpieczeństwo wszystkim uczestnikom co wiąże
> > się z nałożeniem pewnych restrykcji oraz ograniczeniom, które nie są
> > czasami zrozumiałe i wygodne dla nich.
> > Oczywiście możemy wpuszczać do sieci CDP/EDP/BPDU pozwalać każdemu na
> > N adresów IP oraz mac, nie filtorwać tego rozgłaszają
> > ale chyba nie tego od nas klienci oczekują prawda ?
>
> > P.S.
> > Ale najłatwiej krzyczeć: "Po pierwsze PLIX zły niechcieć dać mi 3
> > adresów ip, po drugie PLIX zły niechcieć mi puszczać 4 mac-addresów,
> > po trzecie PLIX na porcie 1G nie pozwala puszczać 2G"
>
> > Hmm może Kota by zatrudnić do reklamy z takim hasłem ;-))
>
> > Pozdrawiam
>
> Nie krzyczę. Czytam uważnie posty starając się zrozumieć wszelkie
> racje. Nigdzie nie napisałem, że się ktoś myli. Jak rozumiem
> koresponduję z pracownikami PLIXa - i to jest wspaniałe: bezpośredni
> dostęp do osób technicznych.
> Staram się przedstawić problem - oczekując merytorycznej dyskusji.
> "Drogi przyszły/niedoszły kliencie." - sam jestem "techniczny",
> rozumiem i doceniam dowcip :-) Jednak wydźwięk korespondencji można by
> troszkę stonować. Chcemy kupić jeden port. 1000zł. Mało? Dużo? Zapewne
> zależy dla kogo. Ja chciał bym dostawać 1000zł więcej na mój business.


Drogi Rafale (jeśli mogę po imieniu oczywiście)

Nie traktuj postów nastacha obrazliwie, nastach pisze o ogólnych
problemach ludzkości z uwzględnieniem polskich realiów. W wielu
wypadkach klienci korzystający z 100-200Mbps wymiany w PLIXie mają
wymagania dużo wyższe mi ż operatorzy wpięci 10Gbps. Szanujemy
wszystkich klientów i tak samo pomagamy takim co maja 100Mbps jak i
40Gbps. To nasze zadanie - pomagać wszystkim ucestnikom PLIXa, którzy
tego potrzebują.

Zapytaj naszych klientów jak to działa, a najlepiej zostań nawet
testowo i się przekonaj sam.
Jestem przekonany, że nie będziesz zawiedziony :)

Co do dyskusji merytorycznej, uważam, że jest ona potrzebna, dzięki
temu możemy rozwijać PLIXa, ale zawsze musimy mieć na względzie fakt,
że to naprawdę kawał polskiego internetu i nie możemy sobie lekceważyć
kwestii bezpieczeństwa całego węzła. I tak jak wspomniałem w
poprzednim poście, przychylamy się do wielu pomysłów, o ile nie
uderzają one w całego PLIXa

Sylwester

do góry

Dnia 18.01.2011 Sławek Lipowski <s...@l...org> napisał/a:
> Dawno dawno temu klient miał ruter na Debianie z Quagga. Dowolna jego
> awaria to był pad Internetu. Jakakolwiek prace przy nim musiała być
> planowana na godziny nocne, ponieważ wiązały się z pewnym lub
> ewentualnym padem dostępu do Internetu.
>
> Problem skończył się, gdy maszyna ta została zastąpiona przez dwie
> maszyny z Quaggą. Do każdego dostawcy są przynajmniej dwie sesje z dwóch
> różnych IP stykowych, jest iBGP między maszynami, jako next hop na
> wszystkich sesjiach BGP do danego dostawcy rozgłaszany jest IP różny od
> tych, z których zestawiane są sesje, i to IP migruje między maszynami
> dzięki VRRP (keepalived). Do tego momentu wszystko jest cacy. Można
> serwisować maszynę wyłączając ją całkowicie, zestaw jest odporny na pad
> jednej z maszyn.
>
> Kilka dni temu pojawił się wątek podpięcia tego układu do PLIXa i
> spotkaliśmy się ze ścianą. Podobnie jak u wszystkich dostawców,
> poprosiliśmy o trzy IPki z klasy stykowej, możliwość spięcia sesji BGP z
> dwóch z nich i rozgłoszenia trzeciego jako next hop. W odpowiedzi
> dowiedzieliśmy się, że pojedynczy port w PLIX to ze względów
> bezpieczeństwa jedno IP i jeden adres MAC.
Ja to powiem tak.

Jestem w podobnej sytuacji. 2 routery na linuksie, z quagga. Co prawda inna
dystrybucja, ale to znaczenia nie ma. Kilka lacz, w tym 2 IX-y.

Przez dlugi czas zastanawialem sie czy nie zaprzac do tego wszystkiego vrrp.
Ale doszedlem do wniosku ze pomysl jest bez sensu.

Bo przeciez:
- moje routerki nie padaja. Zbyt czesto.
- lacza ktore mam nie padaja. Zbyt czesto.

Jak lacze padnie - na drugim routerze musze zapewnic dzialanie calej sieci. Jak
nie zapewnie - jest zonk. Jak router padnie - jak wyzej. Przy czym pad lacza
zdarza sie czesciej niz pad routera. Jak router pada - to go wymieniam by nie
padal. A prace serwisowe poprzedzam ip neigh XXX shutdown ;)

W ten sam sposob zakladam ze plix, jako kolejne moje lacze moze pasc. I
nieplanowany pad plixa zdarzy sie czesciej niz nieplanowany pad mojego routera.
Wiec - zabawy w vrrp u mnie na styku do plixa maja sredni sens.


A teraz spojrzmy z drugiej strony. Chlopaki z PLIX-a staraja sie utrzymac
dzialanie PLIX-a. Dopuszczanie do tego by klient zaczal im siac kilkoma macami
- moze doprowadzic do tego ze zrobi jakas brzydka petelke - ergo plix
przestanie dzialac. I dla mnie, jako zadowolonego klienta plixa, ktorym
otrzymuje obecnie jakies 35% ruchu bardziej liczy sie to ze ten ruch bedzie
"prawie zawsze" niz to ze plix bedzie miec jednego klienta wiecej ktory
podwyzszy moj download na plixie o 1%.


> Z AC-Xem spięliśmy się w ten sposób bez problemu. PLIX zaproponował
> zakupienie 3 portów, żeby mieć 3 adresy IP...
acx w l3? czy l2? Jezeli l3 - ma zasieg lokalny przeciez. Wiec potencjalny
problem by dotyczyl tylko Twojego wezla.

> Macie jakieś pomysły, jak to rozwiązać bez generowania nieuzasadnionych
> kosztów? Chcielibyśmy zachować możliwość położenia jednej (dowolnej) z
> maszyn bez degradacji ruchu.
moze wsadzic osobny router w plixie? jakas puszke 1U zdolna uciagnac ruch jaki
macie do plixa - a miedzy nim a Twoimi dwoma routerami bawic sie w ulepszanie
bgp? :)

--
Andrzej 'The Undefined' Dopierała
HomePage: http://andrzej.dopierala.name/
Reprezentuję siebie i wyrażam tylko moje zdanie!

do góry

Witam,

Dzięki za duży odzew. Trochę się tego nazbierało, żeby nie mnożyć postów
postaram się odpisać w jednym, tak skrótowo, jak się da.

<Odnośnie tego, co pisze Sylwester (jeśli mogę po imieniu oczywiście :))>

-> Przyjmuję do wiadomości, jak jest w AMS-IX. Sprawdziłem, jak jest w PLIX:

http://www.plix.pl/pl/help/faq
http://www.plix.pl/download/configuration_pl.pdf

"Uczestnicy podłączani są do węzła przy pomocy portów Ethernet o
przepustowości 1Gbps lub 10Gbps. Każdemu portowi uczestnika przydzielany
jest na stałe jeden lub więcej adresów IP z puli adresowej PLIX
195.182.218.0/23."

Czy możemy zatem otrzymać trzy adresy IP na jednym porcie (i wykorzystać
je we wspomniany wcześniej sposób) zakładając, że cały ruch będzie
przychodził z takim samym, pojedynczym adresem MAC? Ewentualnie jeśli
nie ma takie możliwości, to może warto zmienić tę informację? ;)

"umowa na dostęp do PLIX zabranie rozgłaszania więcej niż jednego adresu
MAC na jednym porcie."

Tego faktycznie wcześniej nie zauważyłem, mój błąd. Mam w związku z tym
pytanie na przyszłość. Jak wygląda u Was procedura migracji na inny MAC?
W AMS-IX możliwe jest przypisanie dwóch adresów MAC do portu.

-> VRRP w Linuksie (keepalived) nie ma zaimplementowanego wirtualnego
MAC adresu. Można oczywiście rzeźbić i osiągnąć taki efekt, ale wyznaję
zasadę, że najprostsze działające i spełniające wszystkie założone cele
rozwiązanie byłoby najlepsze. Ponadto z wirtualnym MAC w VRRP i CARP
jest też taki problem, że ich liczba jest ograniczona. W dużym IXe może
stanowić to realny problem.

-> Potrzebujemy rozwiązanie, które podtrzyma przynajmniej jedną sesję do
PLIXa, takie jest założenie.

-> "Wydaje mi się, że jeśli ktoś ma 600Mbps
ruchu do PLIXa (czyli ok. 1,5Gbps całego swojego ruchu), to stać go
już na coś mocniejszego niż pecet z linuxem/bsd"

Ruter na linuksie nie musi oznaczać "peceta". Nie wspomnę już o tym, że
zarówno PLIX, jak i wspomniany AMS-IX nie działają na "czymś lepszym",
tylko na linuksie/bsd, prawda?

<Nastach>

-> Nie forsuje swojego rozwiązania, nie twierdzę, że jest najlepsze, nie
staram się wymusić niczego na PLIXie, po prostu pytam o propozycje
możliwych rozwiązań zakładając, że zarówno stanowisko PLIXa, jak i
wymagania klienta się nie zmienią.

<Sylwester & Nastach>

-> Co w kwestii bezpieczeństwa zmienia to, czy na poście przepuścicie
jeden MAC, czy tez dwa? Pytam z Ciekawości.

<Rafal>

-> Co do wymagań z perspektywy klienta, to mam wrażenie, że tak to tylko
u nas no i może w Erze. ;)

<Bartosz Waszak>

-> "Sam pomysł VRRP na styku z BGP jest wg mnie dziwnym wynalazkiem."

VRRP w tym rozwiązaniu nie przełącza IP, z których spinane są sesje.
VRRP przełącza adres, który jest rozgłaszany jako next hop.

-> "Czemu nie 2 komplety sesji BGP z kazdym z routerow uniknie sie
zbednych announce/withdrawn z BGP i braku dostepnosci na czas
renegocjacji sesji ?"

Nie wiem, czy dobrze rozumiem, co masz na myśli, ale dokładnie tak mamy.
Na każdej z maszyn mamy komplet sesji BGP do każdego operatora. Do PLIXa
w prosty sposób na jednym porcie się nie da spiąć sesji z obu maszyn, bo
jeden MAC per port.

-> "To w czasach 95% chyba nie jest zbytnio trudne :P "

Nie jest, ale klient tego nie chce. Trzeba by to stale kontrolować,
ponadto klient wymaga stałych opłat za łącza. Klient jest przede
wszystkim dostawcą treści, ma dużo usług wystawionych na cały świat.
Jakiś niemiły gest ze strony konkurencji mógłby podbijać koszta.

<Grzegorz Janoszka>

-> "Punkt wymiany ruchu nie może być
"głównym łączem"."

Oczywiście w przypadku ISP nie może być. Tylko że mowa o dostawcy
treści, który celuje w polskiego odbiorcę i który realizuje teraz ruch
głównie w dwóch kierunkach: polskie IXy (poprzez AC-X, pośrednio przez
PLIX i KIX) oraz TP. Myślę, że to wyjaśnia, co Rafał miał na myśli.
Jeśli miał na myśli coś innego, to mnie za chwilę zapewne poprawi. :)

-> "Żaden szanujący się punkt wymiany ruchu na świecie nie bawi się w
jakiś wirtualne adresy szalejące między quaggami"

Co rozumiesz przez nie pozwala? To, że zezwala na jedno IP i jeden MAC
nie znaczy, że nie może stać za tym dowolne rozwiązanie (w tym quagga z
"szalejącymi", cokolwiek masz na myśli, adresami IP). Sylwester pisał o
tym wcześniej. Ponadto we wspomnianym rozwiązaniu VRRP nie przełącza
IPków, z których quaggi spinają sesje BGP.

-> "Stasiu i Jasiu zrobili osiedlówkę"

Pudło, tak jak mówiłem, nie osiedlówka, a dostawca treści.

<Komuch>

Z tego co zdążyłem doczytać, to vyatta także nie ma wirtualnego MAC
adresu na VRRP i ludzie starają się to obchodzić tak samo, jak w każdym
innym linuksie.

<Andrzej 'The Undefined' Dopierała>

-> "Przez dlugi czas zastanawialem sie czy nie zaprzac do tego
wszystkiego vrrp.
Ale doszedlem do wniosku ze pomysl jest bez sensu."

W tym wypadku takie, a nie inne rozwiązanie wynikło bezpośrednio z
wymagań klienta, przyjętej przez niego polityki i różnych zaszłości
związanych z istniejącymi już rozwiązaniami. Rozwiązanie się sprawdza.

-> "acx w l3? czy l2? Jezeli l3 - ma zasieg lokalny przeciez. Wiec
potencjalny
problem by dotyczyl tylko Twojego wezla."

Oczywiście, że w L2. Wszystkie usługi ATMANa mamy zresztą tak podpięte.
Pozostaje pochwalić AC-X za swobodę, jaką dają klientowi i za to, że to
ogarniają jakoś mimo braku ograniczeń.

<Zboj>

Generalnie się zgadza. Powód dla którego utrzymywane są po stronie
klienta dwie maszyny z pełnym kompletem tras jest ogólnie taki sam, jak
ten, dla którego PLIX ma dwa RSy. Nawet działa to na podobnej zasadzie. :)

<Ogólnie>

Generalnie to dyskusja, chyba nieco niepotrzebnie, zeszła na sferę
polityczną, podczas gdy nie stawiałem sobie za cel reformowanie PLIXa, a
jedynie rozwiązanie danego problemu technicznego.

Aktualnie rodzi mi się już w głowie koncepcja wyrzeźbienia pewnego
rozwiązania, które zadowoli klienta i spełni wymogi PLIXa, zobaczymy co
z tego wyjdzie.

Jeśli pominąłem coś istotnego, to proszę zwrócić mi uwagę. :)

Pozdrawiam,

--
Sławomir Lipowski
http://lipowski.org

do góry

> Czemu nie 2 komplety sesji BGP z kazdym z routerow uniknie sie zbednych
> announce/withdrawn z BGP i braku dostepnosci na czas renegocjacji sesji ?

W wariancie PLIXowym - 1 IP/MAC na port, gdy masz dysył z kraju, a nie
kabelkologię w PLIX DC, to co proponujesz też jest nie do zrobienia - chyba
że kolokując dod. switcha w PLIX DC, ale czemu to bez sensu - już opisałem.
Mimo wygłoszonej tutaj deklaracji o otwartości - PLIX ma swoje maniery i
priorytety. Czasem nawet nie maskowane regulaminem, a zwykłym - nie, bo nie.

Ale merytorycznie - niezależnie od oceny rozwiązania z VRRP - wariant 2
sesji BGP na porcie do 1 odbiorcy, który spełniłby i Twoją propozycję i
pewnie w jakimś sensie oczekiwania Rafała, wymagałby akceptacji 2 IP i 2 MAC
na porcie. Trudno mi sobie wytłumaczyć, czym 2 pary mac-ip naruszają
bezpieczeństwo względem 1 pary. Szczególnie, że w akceptowanej przez PLIX'a
wersji, można wsadzić do PLIX DC switcha, zapiąć 2 pary portów i i tak zbić
to później na 1 switchu wysyłając jakąś transmisją poza W-wę. W praktyce -
dosył do W-wy i tak pozostanie 1, a transmisje zmiksują się w 1 transmisji,
a później w 1 serwerowni odbiorcy. Dokłądnie tak samo, jak w 1 podsieci są
obydwa routery PLIXowe. Takie 2 pary są więc bardzo dalekie od dramatycznej
retoryki Sylwka o wpuszczaniu wszystkiego i braku filtrów na cokolwiek. No
ale dramatyzm oświadczenia, zaklinanie się na bezpieczeństwo i eskalacja
potencjalnych problemów, pozwalają na uduszenie przeciwnika i jego
argumentacji. Kompletnie rpzy tym nie próbując wyjaśnić, co dokładnie np. 2
pary ip-mac na porcie mogą nabroić, że należy ich tak kategorycznie zakazać.
Wedle mojej skromnej wiedzy "nie popartej sesjami z 20 IXami" - ryzyko jest
dokładnie takie samo, jak przy 1 parze ip-mac. Oczywiście pod warunkiem
zachowania dokładnie takiej samej konfiguracji bezpieczeńśtwa w zakresie
innych filtrów.

I poważnie. Zamiast demagogii, że to może wywalić "kawał polskiego
Internetu", chciałbym przeczytać - w jaki sposób.

Pozdrawiam,

--
---
Zboj (Piotr Marciniak)
zboj \at/ mnc.pl

do góry

Dnia Wed, 19 Jan 2011 15:20:47 -0800, f...@o...pl napisał(a):
/../
> Kurcze - bardzo dziękuję za konkretną odpowiedź. To jest wystarczające
> dla mnie. Już powoli traciłem nadzieję na merytoryczną dyskusję.
> Pozdrawiam serdecznie
> Rafał Jackiewicz

Profesjonalnie to cytaty tnij.

do góry

On 20 Sty, 20:16, Smok Eustachy <s...@w...pl> wrote:
> Dnia Wed, 19 Jan 2011 15:20:47 -0800, f...@o...pl napisał(a):
> /../
>
> > Kurcze - bardzo dziękuję za konkretną odpowiedź. To jest wystarczające
> > dla mnie. Już powoli traciłem nadzieję na merytoryczną dyskusję.
> > Pozdrawiam serdecznie
> > Rafał Jackiewicz
>
> Profesjonalnie to cytaty tnij.

Zgłoś zażalenie do Gogola.
Rafał

do góry

nastach wrote:

> Najgorzej jak ten co robi 10Mbps ma większe wymagania niż ten co co
> robi 20Gbps ...

Ale to jest pewna prawidłowość zwana Pareto - 20% klientów generuje 80%
problemów.
;-)

--
Ślązak

do góry