Перейти к содержимому
Калькуляторы

tsolodov

Пользователи
 Просмотреть профиль  Активность

  • Публикации

    83

  • Зарегистрирован

  • Посещение

 Тип публикации 

Сообщения, опубликованные пользователем tsolodov

  1. Опубликовано · Жалоба на ответ

    Для оценки применимости и удобства технологии хочу поставить какую-нибудь кошку с ISG.

    На нее будут терминироватся VLANы с клиентами, клиенты будут авторизоватся, аккаунтится через радиус, будет полисинг трафика.

    На клиента - 3 сервиса - локал, пиринг, инет.

    Нужна поддержка CoA для турбо кнопок всяких, возможность автоматического увеличения скорости ночью.

    Вопрос вот в чем.

    Хочу для начала найти дешевую железку для отработки - на ней будет народу немного, ну клиентов 500 как максимум (IPoE).

    Тарифы от 2 до 50 Мбит.

    Потом по результатам будем думать о ESR10008 к примеру, а что сейчас взять?

    Потянет такая железка по скорости и фичам:

    http://shop.nag.ru/catalog/00001.Kommutatory/02392.Cisco/00083.WS-C3550-12G

    или что помощнее надо брать?

     

    И еще вопрос - можно ли на ней делать NAT? Если да, насколько это увеличит нагрузку?

     

    Внедрял ISG на базе ASR 1002, был на курсах Ericsson, там вещали про BRAS SE. Во время внедрений у циски нашлось множество ограничений, на словах SE мне показался более крутым, при сравнении ограничений он выигрывал. Потестить не успел, т.к. ушел в другую компанию.

  2. Опубликовано · Жалоба на ответ

    Всем привет, коммерсы хотят внедрять IP телефонию, SIP трафик будет ходить по существующей IP сети, дайте пожалуйста ссылки, как правильно внедрить все это дело с точки зрения подготовки сети к этому, так сказать best practice. стоит ли выделять для этого отдельный VRF, где метить DSCP и т.п.

  4. Опубликовано · Жалоба на ответ

    Ситуация следующая:

    есть 7604 циска, прошивка Version 12.2(33)SRC1, RELEASE SOFTWARE (fc1).

     

    она обычный релей, вот куски конфигов

     

    ip dhcp relay information trust-all
no ip dhcp use vrf connected
ip dhcp ping packets 0
!
ip dhcp pool HOME_NET
  vrf HOME_NET
  update arp
  relay source 10.83.0.0 255.255.128.0
  relay source 10.100.128.0 255.255.224.0
  relay destination 10.0.1.24
  relay destination 10.0.1.13

interface Vlan2007
description olt-vp line 2/3
ip vrf forwarding HOME_NET
ip dhcp relay information trusted
ip unnumbered Loopback2
ip helper-address 10.0.1.24
ip helper-address 10.0.1.13
ip policy route-map toBRAS
!

    на этой прошивке все нормально работает. Но при обновлении на Version 12.2(33)SRE4

    клиенты начинаю получать адрес, но не пинговать шлюз(некоторые и получить даже не смогли). Как выяснилось, то часть клиентов какми то образом попадает в arp GRT, а в vrf HOME_NET в арпе вообще пусто. Дебажить времени не было, т.к. роутер боевой. Частые ребуты приведут к тому, что мне надабт по шапке ))).

    Кто-нибудь встречался с такой проблемой????

  7. Опубликовано · Жалоба на ответ

    В сети уже 2-й месяц тестируется BRAS на основе CISCO ISG. Через радиус навешиваются сервисы,

    вот один из сервисов

    Profile name: EXTERNAL-2048-600, 2928 references

    ssg-service-info "QU;614400;115200;D;2097152;393216"

    traffic-class "in access-group 101 priority 40"

    traffic-class "out access-group 101 priority 40"

     

    Всякие замерялки скоростей не всегда адекватно показывают скорость на скачку/отдачу, но клиенты им верят очень охотно.

    На тестовом стенде определил тенденцию-

    если на in/out по 1 Мб/с то на internet.yandex.ru показывает скорость всегда по тарифу.

    если от 4-х до мегабит на скачку (пофиг на отдачу) то на internet.yandex.ru показывает скорость чаще в 2 раза менее, чем по тарифу.

    если тариф 10 на скачку, то на internet.yandex.ru показывает скорость чаще по тарифу.

     

     

    Если запускаем торрент-клиент, то естественно канал забивается под завязку.

    С ftp серверов скорость скачки не всегда уходит "под планку" тарифа.(точнее чаще не уходит)

     

    Поделитесь опытом, кто как доказывает абонентам что с каналом у них все ок?

  10. Опубликовано · Жалоба на ответ

    Нет, всё будет нормально работать.

    Усложним вопрос(для самообразования):

    Будет ли работать эта же схема, если на интерфейсе прописать hepler addres, клиенты получают ip по DHCP, и чтобы сессия поднималась по initiator unclassified ip-address

  11. Опубликовано · Изменено пользователем tsolodov · Жалоба на ответ

    Добрый день всем.

    Уже почти отладил IP сессии routed. Возник вопрос следующего плана:

    Нужно бы еще сделать L2 connected, но инициатором поднятия сесии может только DHCP Discover(Static list не в счет).

    Но есть причины почему это не подходит:

    1) Юрикам DHCP давать не хочется

    2) Из биллинга в данный момент грузятся в RADIUS только IP, нужно пилить чтобы маки грузились тоже.

     

    Что я сделал:

     

    interface TenGigabitEthernet0/2/0.197

    description test GRT ISG

    encapsulation dot1Q 197

    ip address 1.1.1.1 255.255.255.0

    service-policy type control B2B-service

    ip subscriber routed

    initiator unclassified ip-address

     

    Но по сути клиенты живут в одном L2 сегменте. Так все работает, сесии поднимаются. Не наступлю ли я на грабли в дальнейшем?

  13. Опубликовано · Изменено пользователем tsolodov · Жалоба на ответ

    используем уже полгода примерно на 5К, работает стабильно, нагрузки не дает.

    Не поделитесь статьями, доками, которые использовали для внедрения???

    Кстати, 5К обслуживает 1 сервер, или группа серверов???

  16. Опубликовано · Изменено пользователем tsolodov · Жалоба на ответ

    Я бы с mstp вообще не связывался, т.к. там очень уж много заморочек, нужно четко понимать что вы делаете, понимать как регионы между сабой взаимодействуют, иначе можно зайти в тупик).

    если в одном регионе все 4094 влана то получаем rstp и отличную совместимость с циской

     

    Ну и смысл тогда юзать этот mstp? Фишка протокола теряется, если только для совместимости.

  17. Опубликовано · Жалоба на ответ

    эко как развернули) спасибо.

    решили заменить 76 Dlink'oм DGS 3100. подскажите что всетаки лучше rstp или mstp?? стоит делить управление и клиентов по веткам или пусть варятся в одном горшке. При этом планирую на клиентских портах потушить стп и поднять bpdu protect, loopdetect и шторм контроль.

    Мое личное мнение, прошу других срузу не кидаться обвинениями!!!!

     

    Я бы с mstp вообще не связывался, т.к. там очень уж много заморочек, нужно четко понимать что вы делаете, понимать как регионы между сабой взаимодействуют, иначе можно зайти в тупик).

     

    Вот пара хороших статей:

    http://blog.internetworkexpert.com/2008/07/27/mstp-tutorial-part-i-inside-a-region/

    http://blog.internetworkexpert.com/2008/09/24/mstp-tutorial-part-ii-outside-a-region/ - вот эту статью нужно понять

     

    Мое личное мнение: идея у mstp очень хорошая, но админить все это очень уж сложно. Представьте ситуацию, при которой у вас есть один большой mstp регион, и вам понадобилось сделать балансировку(выделить отдельный vlan в отдельный instance). Как только вы изменили конфигурацию на одном свиче, он уже выпадает из региона. Нужно будет делать все эту операцию на всех свичах в регионе. + еще есть определенные ситуации, при которых на стыке pvst+mstp у коммутатора может съехать крыша(точно не опишу ситуацию)

  18. Опубликовано · Жалоба на ответ

    только полноценные 10GE будут из двух этих модулей

    что что? вас кто мешком огрел по голове?

    в даташит загляните.

    http://www.cisco.com/en/US/prod/collateral/switches/ps5718/ps6021/ps9310/Data_Sheet_Cat_4900M.html

    half-card значит то что модуль занимает не юнит-слот в ширину, как на 7600/6500, а половину ширины.

    а то о чем вы говорите - это оверсаб, в даташитах такие карты отмечены как (2:1). но и это не значит что я не смогу на них выжать полноценный 10G на порту. я смогу выжать 4 полных дуплекса 10G (4x10G / 80G fullduplex), а уж 4 или 8мью модулями - уже решаешь сам.

     

    Блин, я туплю, можно поробнее?

    на модуле можно выжать 40 fullduplex либо 80 half?

  19. Опубликовано · Изменено пользователем tsolodov · Жалоба на ответ

    на длинках стп выключить

    логично - не знаешь как правильно пользоваться технологиями, не пользуйся ими вообще.

     

    ))

    Да, если что, то я описал способ, который возможно поможет человеку. И это совсем не означет, что это более правильный вариант, "по нормальному" я тоже настраивал, и проблем с этим не испытывал. В данном примере есть свои минусы, а есть и плюсы, после некоторых прецедентов иногда стараюсь не использовать фишки длинка, уж очень глюкавое все, в каждой прошивке открывается новый баг))))

     

    Пример из прошлого:

    один раз в сети образовалось кольцо, сеть плясала, после поиска места закольцовки было установлено, что одни из длинков, который должен был блокировать порт по stp этого не делал.(точнее писал что делал, но маки почему-то пропускал) Помогла перезагрузка. Что на это скажешь?

  20. Опубликовано · Жалоба на ответ

    Короче как я сделал:

    смысл в том, что кольцо L2 терминирует каталист, и блокирует порты он, на длинках стп выключить!+ по всем портам сделать чтобы 1-й влан(не транковый) был на аплинках, иначе bpdu каталиста не пройдет.

    Удачи!

  23. Опубликовано · Жалоба на ответ

    насчет засады на засаде, согласен. необходимости логона на веб портале у меня нет, все и так работает.

    Проблема с QoS. Это да, у меня не получилось расставить DSCP, спасибо за ответ почему))))

     

    Я использую VRF для того, чтобы разным пользователям раздать разный next hop. policy route как вариант, но тогда будут огромные ACL и думаю что будет расходываться много ресурсов у asr из-за этого.

     

    Я тут на форуме поднимал тему по поводу этой проблемы, мне никто ничего путного так и не посоветовал. Чувствую что вы собаку уже на ASR съели))) Не подскажите выход их этой ситуации, чтобы уйти от vrf selection?

     

     

  24. Опубликовано · Изменено пользователем tsolodov · Жалоба на ответ

    Как я понял нельзя релеить пакеты в врф, если интерофейс находится в врф?

    Если так то:

    1)убираем врф с сабинтерфейса

    2)прописываем врф в профиле пользователя

     

     

    10.91.0.101 Cisco-Account-Info += AWORLD-102400-102400

    10.91.0.101 Cisco-Account-Info += AIX

    10.91.0.101 Cisco-Account-Info += ALOCAL

    10.91.0.101 Cisco-AVPair += ip:vrf-id=SNAT

    Ваш способ тянет на dynamic vrf selection.

    Мне такого добра не надо, там рестрикшны еще сильнее сгущаются.

     

    Если правильно понимаю, релить в vrf можно, нельзя чтоб dhcp сервер и интерфейс с клиентами были в разных vrf.

    Еще где-то тут пролетало, что трафик с ESP (vrf subs) нельзя перебросить в RP (vrf Mgmt-intf).

     

    К сожалению, мне пока не до таких мелочей. Не работает конструкция ip unnumbered loopback X, без которой все это становиться не нужным.

    Какие именно рестрикшны вы имеете ввиду?

     

    К сожалению, мне пока не до таких мелочей. Не работает конструкция ip unnumbered loopback X, без которой все это становиться не нужным.

    Блин, это плохо, я еще до таких тестов не дошел, но у нас планируется примерно такая же модель в будущем. Сейчас пилю все для безболезненного переезда на ISG с софтовых шейперов.

     

     

  25. Опубликовано · Изменено пользователем tsolodov · Жалоба на ответ

    Ваши грабли я видел, они несколько иного плана.

     

    Конфиг простой, mgmt-intf внутренний менеджмент коробки, subs мой.

     

    interface GigabitEthernet0/0/0.2

    vrf forwarding subs

    encapsulation dot1Q 301 second-dot1q 998

    ip dhcp relay source-interface GigabitEthernet0

    ip unnumbered Loopback1

    ip helper-address vrf Mgmt-intf x.x.x.x

    service-policy type control TAL

    ip subscriber l2-connected

    initiator dhcp

    !

    Как я понял нельзя релеить пакеты в врф, если интерофейс находится в врф?

    Если так то:

    1)убираем врф с сабинтерфейса

    2)прописываем врф в профиле пользователя

     

     

    10.91.0.101 Cisco-Account-Info += AWORLD-102400-102400

    10.91.0.101 Cisco-Account-Info += AIX

    10.91.0.101 Cisco-Account-Info += ALOCAL

    10.91.0.101 Cisco-AVPair += ip:vrf-id=SNAT