Всем привет, меня зовут Батр Альчинов, я сетевой архитектор в OXYGEN Data centers & clouds. В этой статье рассказываю о том, как мы искали и нашли виртуальный маршрутизатор в реалиях нашего времени. Если вы в поисках импортозамещенного маршрутизатора для облачных сервисов – эта статья для вас.

Причины поиска

С начала 2022 года исчезла возможность закупать основные зарубежные виртуальные маршрутизаторы/NGFW с поддержкой от производителя, за исключением Checkpoint. В условиях ограничений мы были вынуждены искать альтернативные пути для обеспечения наших клиентов надежными и поддерживаемыми решениями. 

Основные требования к решению:

• наличие функционала L3/L4 МСЭ;

• наличие базового функционала маршрутизатора: динамическая маршрутизация BGP/OSPF, NAT, туннелирование IPsec (Route-based/Policy-based) с GRE/VTI, RA VPN;

• поддержка расширенного функционала маршрутизации: поддержка разных Address-family BGP, BFD, Route-map, Prefix-filter;

• возможность держать более одного Full-view;

• возможность развертывания на VMware;

• мониторинг через SNMP, Syslog;

• наличие Netflow;

• поддержка производителя;

• возможность партнерства с производителем как провайдер услуг;

• производительность – от 8 гбит/сек на порт (с Jumbo frames) и от 1 гбит/сек на порт с стандартным МТУ для VMXNET3-интерфейсов на одном vCPU;

• наличие подробной документации на русском языке.

Почему Eltex vESR

В публичных облаках на базе VMware используются 2 решения сетевого overlay: NSX-V и NSX-T. 

Для NSX-V истек срок жизни продукта, а в NSX-T отсутствует часть функционала, которая позволила бы его назвать полноценным маршрутизатором. Собственно, оно таковым и не является.

В NSX-T отсутствуют следующие возможности:

• динамическая маршрутизация, за счет чего отсутствует и Route-based-туннели;

• возможность прямого мониторинга и логгирования (Syslog).  Эти данные возможно получать только с помощью провайдера;

• RA VPN.

Учитывая вышеуказанное, было принято решение о поиске альтернативного решения, которое поможет нивелировать ограничения NSX-T и заменить продукты ушедших производителей.

Помимо Checkpoint (из доступных зарубежных решений), оставались только отечественные варианты, к примеру ИБ-решения. Их мы можем предлагать, когда помимо передачи данных нужен ИБ-функционал.

Почему мы выбрали Eltex vESR?

Мы искали решение, которое будет:

• использоваться в качестве транзитного маршрутизатора с L3/L4 МСЭ;

• осуществлять внешнюю связность по отношению к сетям клиента в облаке: выход в интернет, терминация внешних L2-стыков;

• использоваться в качестве RA VPN-сервера;

• использоваться в качестве IPsec VPN-сервера.

Поэтому вместо того, чтобы предлагать клиентам NGFW-решения типа Checkpoint, Usergate, etc – мы решили взять то, что лучше всего будет подходить именно для передачи трафика.

Нужно еще учитывать наше позиционирование продукта. Так как в NSX-T не поддерживается динамическая маршрутизация и Route-based IPsec, то мы предлагаем разделение: T1-роутеры NSX-T используются для терминации конечных сетей (то есть в них включаются виртуальные машины клиента), а вот для внешних взаимодействий можно использовать vESR. Но напомню, что мы не позиционируем vESR как замену NSX-T в качестве устройства, терминирующего клиентские сети облака, так как у vESR, как и у любой виртуальной машины, есть ограничение в 10 интерфейсов.

Почему не open source

Несмотря на то, что сами open source-продукты бесплатны, стоимость владения не равна нулю, так как необходимо получить и наращивать/актуализировать компетенции по таким продуктам.

Ну и еще один минус open source для наших целей – непредсказуемый roadmap развития и скорость закрытия уязвимостей, так как эти продукты разрабатывают энтузиасты, зачастую в свободное от работы время. Поэтому поддержка open source-решения может прекратиться в любой момент, тут мы полностью зависим от его создателей. 

Итоги тестирования

Тест проводился на нашей облачной площадке Oxygen МСК-3. Рассказываю о каждом аспекте подробно.

Лицензии

Использовалась лицензия vESR advanced + (до 25 гбит/сек). Подробнее про лицензии можно узнать тут. Если вкратце, лицензии делятся на 9 видов и отличаются максимальной полосой пропускания, размерами RIB/FIB, количеством туннелей, производительностью Nat. 

Производительность

Тест производительности проходил в 2 вариантах: на ВМ с 16 vCPU и 64 gb RAM, а также с 1 vCPU и 3gb RAM. К каждой ВМ vESR было подключено 4 ВМ с Windows, как указано на скриншоте:

Итоги теста производительности для ВМ с 16 vCPU и 64 gb RAM:

• на MTU 1518 между  ВМ  vm-A и vm-B примерно 5.6 Гбит/сек;

• на MTU 1518 между  ВМ  vm-A и vm-B, и между vm-C и vm-D суммарно около 11 Гбит/сек.

В обоих случаях загрузка нулевого vCPU 100%, загрузка остальных от 3% до 4 %.

• на MTU 8800 между  ВМ  vm-A и vm-B примерно 10 Гбит/сек;

• на MTU 8800 между  ВМ  vm-A и vm-B, и между vm-C и vm-D суммарно около 20 Гбит/сек.

В обоих случаях загрузка нулевого vCPU 100%, загрузка остальных от 3% до 4 %.

Итоги теста производительности для ВМ с 1 vCPU и 3 gb RAM:

• на MTU 1518 между  ВМ  vm-A и vm-B примерно 2 Гбит/сек;

Загрузка нулевого vCPU 30%.

• на MTU 8800 между  ВМ  vm-A и vm-B примерно 10 Гбит/сек;

Загрузка нулевого vCPU 10%.

Итоги теста производительности для BGP full-view:

• ВМ с 16 vCPU и 64 gb RAM. Одно fv считается около 40 секунд, два – аналогично. Загрузка нулевого vCPU во время прогрузки fv – 90%, после – стандартно. Использование RAM после загрузки одного full-view – 2183.31 Мбайт. Для 2 fv – 2351.29 Мбайт

• ВМ с 2 vCPU и 3 gb RAM. Одно fv считается около 50 секунд, два – аналогично. Загрузка нулевого vCPU во время прогрузки fv – 90%, после – стандартно. Использование RAM после загрузки одного full-view – 2183.31 Мбайт. Для 2 fv – 2351.29 Мбайт 

В остальном функционал Eltex vESR аналогичен аппаратным аналогам ESR.

Как и в любом продукте, тут есть нюансы. Вот некоторые из них:

• межсетевой экран не выключается полностью. Это важный момент, который может создать трудности, если его не учесть.

• сами протоколы маршрутизации нужно включать отдельно. То есть помимо стандартной настройки как в других вендорах Router OSPF XX, далее в секции настройки протокола надо вбить Enable. В случае с OSPF это касается еще не только настройки самого протокола, но и зон. Для BGP каждая Address-family и BGP-сосед включаются отдельно.

• маршруты между VRF настраиваются через специфичные интерфейсы типа LT, которых может быть только 128. Тут имеются ввиду статические VRF со статическими маршрутами, без использования RT/RD-сущностей;

• для RA VPN настраивать отдаваемые маршруты можно только для OpenVPN. Для PPTP/L2TP/WireGuard так сделать нельзя – отдается только маршрут по умолчанию.

А как с технической документацией?

Она в открытом доступе и она на русском языке, доступна на сайте производителя.

Описано всё довольно подробно и удобно: есть Quick Guide, а есть подробное руководство по эксплуатации. Есть справочник команд, есть про настройку мониторинга, отдельно про обновления, про изменения в софте. То есть очень хорошая, добротно описанная документация. 

Я рекомендую тщательно изучать документацию, а в идеале сходить на обучение к вендору. Есть много нюансов, которые нужно знать, чтобы не «выстрелить себе в ногу», особенно если вы работаете с подобными маршрутизаторами первый раз. 

Что в итоге

По итогам всестороннего знакомства и тестирования vESR могу однозначно сказать – продукт достойный и место свое на рынке он заслужил, особенно в нынешних непростых условиях. 

Выбор виртуального маршрутизатора – это важное решение, которое влияет на безопасность и производительность вашей сети. Eltex vESR стал для нас оптимальным выбором благодаря своей специализации, поддержке и надежности. Независимо от того, ищете ли вы замену устаревшему оборудованию или планируете расширение сети, Eltex vESR станет надежным партнером на пути к успеху.

Наработанная годами экспертиза позволяет экспертам OXYGEN разобраться в любом продукте. Но мы заботимся о клиентах, поэтому минимизируем риски, связанные с кодом виртуальных маршрутизаторов вроде некорректной работы ПО, вопросы безопасности и производительности.

Подписывайтесь на канал OXYGEN в Telegram, чтобы узнавать о новых статьях и главных новостях облачного рынка России. Спасибо вам за уделенное статье время, до новых встреч!