[Phantom]

Доброго времени суток всем.

 

Собственно,вопрос вот какой есть. Есть сеть,которую надо "проапгрейдить". Существует это все вот как:

 

-Uplink <==> Border(NAT) на PC с линуксом <===> идет в ядро,в качестве которого DGS-3620-24 <==> 6 тазиков с микротиками. И в тот же DGS-3620 включены DGS-3120 для агрегации,в которые включены уже районы и дома.На доступе сборная солянка из 3526,1228 и 1210-28. Шлюзами выступают микротики. IPoE. Абонов ~5000,выдаём "серые IP".Реальники - по желанию и для юр.лиц. Биллинг - UTM5. Интернет трафика около ~3Gb. IPTV нет и думаю,что не планируется. На микротиках только скорости нарезаются для абонентов,более на них никакой нагрузки значимой нет.

 

Назрел теперь вопрос вот какого плана. Сеть растёт по немногу и надо уходить от тазиков с микротиками в сторону чего-то "железного" решения.Ну и соотв-но,в ядро надо тоже что-то другое,ибо задумали переделывать всё на нормальную "звезду". Ну и что бы ещё была автоматизация,а не менять руками скорости у абонов в конце месяца по ночам :( Хотя,понятное дело,что тут ещё и от биллинга зависит. Но,начальство на что-то другое не хочет смотреть (имею ввиду,смену биллинга).

 

P.S Redback не предлагать :) Есть коробка одна и она сдохла.Да и по трафику уже переросли её.

[D^2]

http://shop.nag.ru/catalog/05249.Ericsson/17024.SmartEdge/19095.SE600-BR24-2-used

http://shop.nag.ru/catalog/02092.Cisco/07123.ASR1000/15323.ASR1001-H

если НАТ на BRAS не выносить и абоненты L2 - то можно на Juniper MX еще посмотреть

[EShirokiy]

Авторизация какая?

[pingz]

Много посоветовать не могу, сам на микротиках сижу.

 

Если выбирать, то нужно выбрать то железо, которое будет адекватно работать с билингом UTM5 либо менять билинг.

 

Мы переходим на Juniper mx80 (pppoe) столкнулись с вот такой проблемой http://www.netup.ru/phpbb/viewtopic.php?t=9568

 

NetUP неохотно допиливает свой билинг были проблемы с записью маков абонентов. Допиливали примерно 2 месяца.

 

Если искать Juniper mx80 то скорей всего б\у, на который не нужны лицензии, у меня сейчас на 8к сабскрайберов лицензии. Для ната нужно либо внешний нат либо мик плата которая около 9к$ натит она по разговорам 12 гб\с. Проблема с нетфлоу максимум mx80 может писать в коллектор 9к строк в секунду, чтобы было больше соответственно нужен мик.

 

Про MX104 не знаю, говорят бодрей железка.

 

Мы выбрали натами микротики трафика у нас 1,5 гб\с так же будут писать нетфлоу в коллектор.

[Butch3r]

ASR-1002X

[Phantom]

NAT на бордюре живёт.Абоненты - L2. Авторизации никакой нет.Точнее как, подключили абонента - появилась ARP на микротике,сделали её Static и всё.Если сменил абонент устройство - звонит в ТП и просит "отвязать" старый MAC. Вот как то так...

 

А,хотелось бы сделать в будущем DHCP с opt.82...ну и плюс ко всему,подружить железо с нашей UTM5.

 

 

P.S В ядро смотрели что-то из 65ХХ,но,думается,это "жирно" будет. Или что-то поменьше надо? DGS-3620 конечно справляется со всем,но портов мало уже свободных.

Изменено 23 июня, 2016 пользователем Phantom

[NiTr0]

Точнее как, подключили абонента - появилась ARP на микротике,сделали её Static и всё.Если сменил абонент устройство - звонит в ТП и просит "отвязать" старый MAC. Вот как то так...

угу, школьник Вася поставил мак соседа Пети - и вдвоем прекрасно работают под одной учеткой, разве что когда у Васи очередная порнушка качается, Петя названивает в поддержку, мол, чозанах, где мои тарифные мегабиты...

 

P.S В ядро смотрели что-то из 65ХХ,но,думается,это "жирно" будет. Или что-то поменьше надо? DGS-3620 конечно справляется со всем,но портов мало уже свободных.

не страдайте фигней, делайте л2 ядро и будет счастье, если бюджет ограничен. кошка с ее энергопотреблением - не лучший выбор. тем более, когда в ней нет необходимости (у вас же все равно l2-connected клиенты).

 

ну и да, 6 тазиков с микротиком - у вас что, тазики на пентиумах 4, или общий трафик гигабит 15-20-30? или у микротика все настолько плохо с производительностью?...

[Butch3r]

Это обычные бытовые ПК. У нас также, они нормальной производительностью не отличаются.

[alks]

 

не страдайте фигней, делайте л2 ядро и будет счастье, если бюджет ограничен. кошка с ее энергопотреблением - не лучший выбор. тем более, когда в ней нет необходимости (у вас же все равно l2-connected клиенты).

 

ну и да, 6 тазиков с микротиком - у вас что, тазики на пентиумах 4, или общий трафик гигабит 15-20-30? или у микротика все настолько плохо с производительностью?...

 

У вас в L2 ядре нет проблем со штормами?

[Phantom]

Точнее как, подключили абонента - появилась ARP на микротике,сделали её Static и всё.Если сменил абонент устройство - звонит в ТП и просит "отвязать" старый MAC. Вот как то так...

угу, школьник Вася поставил мак соседа Пети - и вдвоем прекрасно работают под одной учеткой, разве что когда у Васи очередная порнушка качается, Петя названивает в поддержку, мол, чозанах, где мои тарифные мегабиты...

 

P.S В ядро смотрели что-то из 65ХХ,но,думается,это "жирно" будет. Или что-то поменьше надо? DGS-3620 конечно справляется со всем,но портов мало уже свободных.

не страдайте фигней, делайте л2 ядро и будет счастье, если бюджет ограничен. кошка с ее энергопотреблением - не лучший выбор. тем более, когда в ней нет необходимости (у вас же все равно l2-connected клиенты).

 

ну и да, 6 тазиков с микротиком - у вас что, тазики на пентиумах 4, или общий трафик гигабит 15-20-30? или у микротика все настолько плохо с производительностью?...

 

Да бюджет позволяет. Производительность пока позволяет вроде бы тоже... Тазики с i5-3570 на Z77 материнках,каждый прожевывает около 600-700 мегабит.

У микротиков плохо с автоматизацией.Но,и здесь+ вопрос в биллинге. Типа,нажал кнопку сменить тариф и всё автоматом сделалось).

[NiTr0]

Это обычные бытовые ПК. У нас также, они нормальной производительностью не отличаются.

да ну? а сервера что, на волшебных процессорах изготовленных эльфами по внеземным технологиям делаются? те же ядра, те же шины, отличия в кешах преимущественно, ну и многоголовость которая на роутерах особо не нужна...

 

У вас в L2 ядре нет проблем со штормами?

нет, откуда им быть?

 

Тазики с i5-3570 на Z77 материнках,каждый прожевывает около 600-700 мегабит.

они вообще-то должны прожевывать эдак на порядок больше без особых затыков (под линем/бздей, о микротиковской поделке не скажу)... если, ессно, нормальные сетевухи, а не говнореалтеки с говноатеросами вместо сетевух стоят...

[Butch3r]

да ну? а сервера что, на волшебных процессорах изготовленных эльфами по внеземным технологиям делаются? те же ядра, те же шины, отличия в кешах преимущественно, ну и многоголовость которая на роутерах особо не нужна...

Ну как минимум они отличаются сетевыми картами. Я спорить не буду - я в этом не силён. Но у нас также 1 сервак везет где-то 500-600 мбит. За большее мы и не бились. Как я понимаю правильнее мерить в pps, а не в мегабитах. У нас при больше нагрузке начинает переть большое количество интерраптов

 

Сейчас будем мигрировать на ASR1006, а эти тазики пойдут сотрудникам под рабочие компы.

[Phantom]

 

они вообще-то должны прожевывать эдак на порядок больше без особых затыков (под линем/бздей, о микротиковской поделке не скажу)... если, ессно, нормальные сетевухи, а не говнореалтеки с говноатеросами вместо сетевух стоят...

 

Не,такого не держим даже близко. А,в тазиках с микротами стоЯт Intel 82572EI.

[dIMbI4]

Имхо под цг-нат два варианта редбеки или аср. а глюков можно отхватить на любом решении).

[NiTr0]

Ну как минимум они отличаются сетевыми картами

религия не позволяет интеловую серверную карту в десктопный тазик поставить?

 

Как я понимаю правильнее мерить в pps, а не в мегабитах. У нас при больше нагрузке начинает переть большое количество интерраптов

средний размер пакета около 800 байт, так что хоть совой об пень, хоть пнем об сову... ну и да, нормальные карты умеют interrupt moderation

 

А,в тазиках с микротами стоЯт Intel 82572EI.

576 получше будут... как минимум - наличием очередей. хотя в любом случае, 600-700 мбит для такого тазика на нормальной оси - пшик.

[Phantom]

576 получше будут... как минимум - наличием очередей. хотя в любом случае, 600-700 мбит для такого тазика на нормальной оси - пшик.

 

"Пачка" 82576 сетевух есть - не работают они в 6-ой ветке микротов. Так же как и i350T. А ставить 82599 - слишком жирно будет,да и ценник тоже не маленький на них.

А,про нормальную ось - да,согласен всеми руками.

[EShirokiy]

Тазики с i5-3570 на Z77 материнках,каждый прожевывает около 600-700 мегабит.

на таких машинах с нормальными сетевухами должен пропускать через себя в 3-4 раза больше, это точно

сетевухи микротиковские поставьте, они совместимы стопудово)

 

В ядро смотрели что-то из 65ХХ,но,думается,это "жирно" будет. Или что-то поменьше надо? DGS-3620 конечно справляется со всем,но портов мало уже свободных.

65ХХ старые слишком и жрут очень много

поставьте второй такой же свитч или 3420/3120, если портов не хватает, не вижу смысла все на одной железке держать

 

А,хотелось бы сделать в будущем DHCP с opt.82...ну и плюс ко всему,подружить железо с нашей UTM5.

Я бы на вашем месте поменял биллинг, UTM5 скорее мертв, чем жив. Сдается мне, что проект заброшен.

 

В принципе, с таким раскладом можно оставить 2 микротика (или пару тазов accel-ppp) с 10G сетевухами, повесить на них нат с шейпингом, поменять биллинг, сделать vlan на абонента. С бордера убрать BGP.

[NiTr0]

сетевухи микротиковские поставьте, они совместимы стопудово)

там же говноатеросы...

[EShirokiy]

там же говноатеросы...

Тогда 10G-интелы на вырост

[AciDSAS]

"Пачка" 82576 сетевух есть - не работают они в 6-ой ветке микротов. Так же как и i350T. А ставить 82599 - слишком жирно будет,да и ценник тоже не маленький на них.

А,про нормальную ось - да,согласен всеми руками.

 

Отлично работают. Да и с radius авторизацией и CoA проблем нет. Есть несколько X86 микротов в зоне досягаемости, на каждом по 2 fullview и трафика под 2 гига. Загрузка xeon e3-1240v2 копеечная.

[AKim]

угу, школьник Вася поставил мак соседа Пети - и вдвоем прекрасно работают под одной учеткой, разве что когда у Васи очередная порнушка качается, Петя названивает в поддержку, мол, чозанах, где мои тарифные мегабиты...

 

да никому это не нужно. Тоже когда-то думал так. За 5 лет не Васи не Пети.

 

"Пачка" 82576 сетевух есть - не работают они в 6-ой ветке микротов. Так же как и i350T. А ставить 82599 - слишком жирно будет,да и ценник тоже не маленький на них.

 

странно. У меня именно 82576 в 6 ветке

[AciDSAS]

угу, школьник Вася поставил мак соседа Пети - и вдвоем прекрасно работают под одной учеткой, разве что когда у Васи очередная порнушка качается, Петя названивает в поддержку, мол, чозанах, где мои тарифные мегабиты...

 

да никому это не нужно. Тоже когда-то думал так. За 5 лет не Васи не Пети.

 

Тут на самом деле уже дело доступа с этим бороться... "dhcp snooping и компания сопутствующих технологий" :)

[Phantom]

"Пачка" 82576 сетевух есть - не работают они в 6-ой ветке микротов. Так же как и i350T. А ставить 82599 - слишком жирно будет,да и ценник тоже не маленький на них.

А,про нормальную ось - да,согласен всеми руками.

 

Отлично работают. Да и с radius авторизацией и CoA проблем нет. Есть несколько X86 микротов в зоне досягаемости, на каждом по 2 fullview и трафика под 2 гига. Загрузка xeon e3-1240v2 копеечная.

 

У Вас,наверное, PPPoE? Ибо,поддержку CoA в 6-ой ветке запилили то относительно недавно. А,как Вы добились того,чтобы 82576 карточки в микротиках заработали? Может,поделитесь рецептом? :) У нас не получилось работать с ними. При создании VLAN`а просто не было значения L2MTU и соотв. интерфейс не работал.Вот поэтому и отложили эти карты до лучших времен. Конкретно intel "e1g42etblk" в списке поддерж.устройств у микротиков нет.

[NiTr0]

да никому это не нужно.

да-да, не нужно, конечно :) у вас наверное не было сети на тупариках с авторизацией по маку...

 

Тут на самом деле уже дело доступа с этим бороться... "dhcp snooping и компания сопутствующих технологий" :)

ну если доступ намтолько умный - чего бы авторизацию по опции 82 не сделать сразу?

[AciDSAS]

ну если доступ намтолько умный - чего бы авторизацию по опции 82 не сделать сразу?

 

Можно не настолько умный. Protected ports/Port Isolation в большинстве случаев хватит.