背景 机房有一台H3C的路由器,它同时负责接入和三层路由。今年偶然在传文件的时候发现速度奇慢,排查发现瓶颈在这台路由器,三层转发大包(SSH传文件)只有90Mbps左右了,转发率就不用算了吧,然后看路由器的control-plane和data-plane的负载都被打满了,应该是没走成交换芯片(快速路径),全部走CPU(慢速路径)处理去了。更重要的是,这台机器并没有使用ACL、VRF这种比较难offload的功能,如今掉速这么严重,不知道是触发了哪门子bug,再加上系统全部是黑盒,在没有购买官方支持的情况下,基本没有解决这种问题的可能了。 ...
我有一台小主机,来自Lenovo的M73t,CPU型号为i3-4130T,内存为DDR3仅有8GB。这篇文章,我们就一起来看看,如何用这一台已经过时的、仅有两个物理核心的机器,做一台高性能的白盒交换机。 ...
大家好,最近想了想决定在博客开辟“网络方案”的板块,结合博主我所熟悉的MikroTik、H3C、华为等商用设备以及基于Linux的网络系统(如常规发行版Linux、VyOS、OpenWRT),为大家推荐一些能够覆盖家用、工作室及小规模办公室的网络方案,这些方案有各自的侧重点和缺点,适合不同场景使用,当然如果你有你独特的需求,也欢迎和我一起讨论~ ...
500元不到买台华三的商用机,28个千兆口,轻松拉满300M宽带,又可以起BGP起VRF,香就完事了。 注意 本文不打广告,仍然以技术为主。要是打广告博主就不会去捡垃圾了 前言 其实博主我跟MT(MikroTik,以下简称MT)家的设备和软件(RouterOS,以下简称ROS,注意不是机器人操作系统)还挺有渊源,印象里好像是从初三就开始用MT家的ROS了,到现在差不多也有接近9年了,然而,ROS才从那时的5.26更新到现在的6.48,期待已久的ROS 7.0现在连Testing阶段都还没到,是真的磨叽。在这9年的时间里,ROS与Linux的结合,算是让我相当清晰得搞明白了Linux的数据面和各种hook点的功能以及潜在的bug(因为ROS就是基于Linux),慢慢也让我开始决定抛弃这玩意,走上自研网络设备的路线。从一开始借用Linux的系统协议栈,到后来DPDK PMD数据面,再到现在eBPF XDP轻量数据面,快进一步到智能网卡和FPGA,无一不是为了更好地把这玩意替换掉,满足更多场景需要。 ...
出于成本考虑,博主我对OpenWrt系统进行了定制,期望任何一个OpenWrt的机器都能够成为SD-WAN的CE。这个定制里加入了FRRouting和我自己的接口管理套件Ifman,运行在一台MT7620的路由器上,就可以实现分布式网关的Symmetric/Asymmetric特性。两个MT7620的路由器和一台1C1G的虚拟机(RR),已经可以舒舒服服玩起来了~ ...
以前对BGP了解不多,随着工作之后接触这玩意越来越多,再加上对EVPN的深入了解,发现BGP这东西简直是全能神,什么都能撑起来。H3C新园区(应用驱动园区)的大二层就是靠MP-BGP实现的(也就是BGP EVPN),不论是分布式EVPN还是3-stage还是5-stage的CLOS均能看到BGP的身影;在数据中心,不论是Underlay还是Overlay,也都有BGP的身影,更别说城域网了。BGP是互联网的骨架,觉得这句话形容得再合适不过了。 ...
雪糕网络(xuegao_net)最初来源于瞎搞,没想到越搞越大,在逐步整合了所到之处所有的网络之后,发现管理已经力不从心,由此决定结合在鹅厂学到的东西,慢慢对网络结构进行整改,向着独立、自治和软件定义的目标重构网络。 ...
学校还没有开通IPv6,目前只有v4单栈。为了提前享受IPv6,我决定想办法把日本VultrLinode的IPv6地址通过分割前缀的方法引入到自己的网络下面来给客户端分配。中间使用隧道连接起来即可 老规矩~ ...
本篇文章讲述了实际研发iceHorizonCloud的一些想法。 老规矩~ 图0 接下来进入正题~ 前言 这个客户端是干啥用的 上节已经说过,这个客户端是针对设备跨三层路由时进行策略随行而准备的。同时还可以对接入设备进行安全检查,以避免不正当软件造成的不良影响 ...
本次文章主讲网络设备的准入和策略随行 前言 为什么要设备准入 举个栗子,假设我现在是一个世界500强的互联网企业。企业内部一般会有私有的Git仓库、公共存储、服务器等众多资源。那么,假设企业的网是开放无线,人人都可以连上使用,那么紧接着可能会产生一个现象是——随便一个路人看到有WiFi用就连上了,人人都可以随便使用这个企业的网络,当然,人人也可以随便访问他们的私有Git仓库等公共基础设施。这种非授权访问必定是有一定风险的,如果刚好路人是黑客出身,那么这个风险可能就会更大。因此,设备准入,就是要对所有可信设备进行的准许接入,阻挡掉非授权设备的访问,确保每一台设备接入企业网都是授权设备,确保设备归属可查,确保设备可审计 (国家要求) 。 ...