myst Posted December 10, 2019 · Report post Коллеги. Тут подоспела задача терминировать 1G GRE туннелей поверх IPSEC. Сразу подумал в сторону ASR1001 (не Х), но судя по CCW они уже сняты с продажи. А подскажите что сейчас актуального из линеек CISCO под следующие задачи 1) Набортных 1G портов от 4 - 6 штук 2) Набортных 10G от 2х штук (ну на крайняк модулем) - Можно и без 10G если железка не влезает. 3) Поддержка от 200 туннелей GRE 4) Аппаратный IPSEC 1 гигабит. 5) 2х BGP FV 6) QOS на туннелях 7) 1U Глянул в сторону новых ASR920, но уж больно они убогие судя по DS IPv6 traffic is not supported on IPsec tunnels. Multicast Traffic is not supported on IPsec tunnels. IPsec tunnels are not supported on an MPLS cloud. IPsec tunnels are not supported on vrf lite. QoS is not supported for IPsec tunnels. Maximum number of tunnels that are supported is 32. А 1001-X дороги и избыточны под задачу. Only Cisco. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
fractal Posted December 10, 2019 · Report post 4 часа назад, myst сказал: Коллеги. Тут подоспела задача терминировать 1G GRE туннелей поверх IPSEC. Сразу подумал в сторону ASR1001 (не Х), но судя по CCW они уже сняты с продажи. А подскажите что сейчас актуального из линеек CISCO под следующие задачи 1) Набортных 1G портов от 4 - 6 штук 2) Набортных 10G от 2х штук (ну на крайняк модулем) - Можно и без 10G если железка не влезает. 3) Поддержка от 200 туннелей GRE 4) Аппаратный IPSEC 1 гигабит. 5) 2х BGP FV 6) QOS на туннелях 7) 1U Глянул в сторону новых ASR920, но уж больно они убогие судя по DS IPv6 traffic is not supported on IPsec tunnels. Multicast Traffic is not supported on IPsec tunnels. IPsec tunnels are not supported on an MPLS cloud. IPsec tunnels are not supported on vrf lite. QoS is not supported for IPsec tunnels. Maximum number of tunnels that are supported is 32. А 1001-X дороги и избыточны под задачу. Only Cisco. 4451x. С perf + hsec, без 10g,или 4461 hsec, можно ещё и perf Правда они не 1u, ну или asr1001 бу Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
maruk Posted December 10, 2019 · Report post 7 часов назад, myst сказал: А 1001-X дороги если 1001-х дорого, в какую сумму хотите вписаться? 2 часа назад, fractal сказал: 4451x. С perf + hsec, без 10g,или 4461 hsec, можно ещё и perf 4451x и 4461 в аккурат выйдет по цене как 1001-х, бессмысленно Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
myst Posted December 10, 2019 · Report post 3 часа назад, maruk сказал: если 1001-х дорого, в какую сумму хотите вписаться? Да тут дело не в какую сумму, тут дело что вся линейка роутеров сейчас очень странно смотрится у циски. Ещё какие-то 902 914 920 появились, на которые без слез не взглянишь. в IPSEC с нормальной пропускной теперь могут только очень дорогие Х серии. 6 часов назад, fractal сказал: 4451x. С perf + hsec, без 10g,или 4461 hsec, можно ещё и perf Правда они не 1u, ну или asr1001 бу Ну в БУ к сожалению эта контора не играет, я сам бы взял вязанку 1001 и не парился. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
EvgeniySerb Posted December 11, 2019 · Report post Не бу, циско онли, шифрование выше гига и не дорого . У меня для вашей компании плохие новости . Даже в предверии нового года чуда не случится Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
fractal Posted December 11, 2019 · Report post 3 часа назад, myst сказал: Да тут дело не в какую сумму, тут дело что вся линейка роутеров сейчас очень странно смотрится у циски. Ещё какие-то 902 914 920 появились, на которые без слез не взглянишь. в IPSEC с нормальной пропускной теперь могут только очень дорогие Х серии. Ну в БУ к сожалению эта контора не играет, я сам бы взял вязанку 1001 и не парился. ну) политика компании Cisco, как продать устройство 3 раза), либо 1001-x либо 4451/4461, либо на складах в магазинах искать просто 1001, isr11xx - максимум 150 и 250 мбит шифрования Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
myst Posted December 11, 2019 · Report post 1 час назад, EvgeniySerb сказал: Не бу, циско онли, шифрование выше гига и не дорого . У меня для вашей компании плохие новости . Даже в предверии нового года чуда не случится ну в принципе 6 коробок 4451+HSEC в 200к мертвых перзидентов GPL не так уж и страшно. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ShyLion Posted December 11, 2019 · Report post 5 hours ago, myst said: Ещё какие-то 902 914 920 появились, на которые без слез не взглянишь. У нас 903 - ОХРЕНЕНЕН. Просто это не совсем роутер, точнее это не BGP, ISG роутер. Используем его для собирания в бридж-домены траффик из разный виланов, QinQ и т.п. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
myst Posted December 11, 2019 · Report post 15 минут назад, ShyLion сказал: У нас 903 - ОХРЕНЕНЕН. Просто это не совсем роутер, точнее это не BGP, ISG роутер. Используем его для собирания в бридж-домены траффик из разный виланов, QinQ и т.п. бридж домены, куинку... ну тоесть это совсем не роутер. даром что ASR называется. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
ShyLion Posted December 11, 2019 · Report post Just now, myst said: бридж домены, куинку... ну тоесть это совсем не роутер. даром что ASR называется. Ну там в нем дохрена всего, MPLS, VPLS и прочие свистоперделки которые я тупо не осилил. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
reef Posted December 11, 2019 · Report post 3 часа назад, myst сказал: 4451+HSEC в 200к мертвых перзидентов хорошая цена, покупайте! если планируете раскачать 4-6 гиговых интерфейсов как заказано в ТЗ, забюджетируйте еще покупку лицензии BOOST, без этой лицензии как то тоскливо эксплуатировать такую коробку, с полкой в 2 гигабита. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
myst Posted December 11, 2019 · Report post 1 час назад, reef сказал: хорошая цена, покупайте! если планируете раскачать 4-6 гиговых интерфейсов как заказано в ТЗ, забюджетируйте еще покупку лицензии BOOST, без этой лицензии как то тоскливо эксплуатировать такую коробку, с полкой в 2 гигабита. да мне даже 2 гига то не особо надо. там ключевое слово ойписек. не было бы требования циска - взял бы srx650й и не парился. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
reef Posted December 11, 2019 (edited) · Report post производительность ipsec на гигабите у 4451 и 4431 одинаковая судя по даташиту https://www.cisco.com/c/dam/en/us/products/collateral/routers/4000-series-integrated-services-routers-isr/miercom-isr4k-report.pdf берите тогда уж, 4431 и дешевле и 1U Edited December 11, 2019 by reef Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
GrandPr1de Posted December 11, 2019 · Report post 22 часа назад, myst сказал: Глянул в сторону новых ASR920, но уж больно они убогие судя по DS это MBH железо, нехер его на терминацию туннелей тянуть Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
fractal Posted December 11, 2019 · Report post 1 час назад, reef сказал: производительность ipsec на гигабите у 4451 и 4431 одинаковая судя по даташиту https://www.cisco.com/c/dam/en/us/products/collateral/routers/4000-series-integrated-services-routers-isr/miercom-isr4k-report.pdf берите тогда уж, 4431 и дешевле и 1U только с boost и hsec Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
maruk Posted December 11, 2019 · Report post в контексте, могу предложить рассмотреть https://forum.nag.ru/index.php?/topic/153455-prodam-cisco-isr4431-5xfull-view-i-4x1g-propusknaya-sposobnost Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
fractal Posted December 11, 2019 (edited) · Report post 7 часов назад, reef сказал: производительность ipsec на гигабите у 4451 и 4431 одинаковая судя по даташиту https://www.cisco.com/c/dam/en/us/products/collateral/routers/4000-series-integrated-services-routers-isr/miercom-isr4k-report.pdf берите тогда уж, 4431 и дешевле и 1U 900 мбит ipsec https://www.cisco.com/c/en/us/products/routers/4000-series-integrated-services-routers-isr/models-comparison.html Edited December 11, 2019 by fractal Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
reef Posted December 11, 2019 (edited) · Report post 2 часа назад, fractal сказал: 900 мбит ipsec https://www.cisco.com/c/en/us/products/routers/4000-series-integrated-services-routers-isr/models-comparison.html не показатель нефига! это замер на лицензии Performance на гигабитной лицензии Performance на 4431 и 4451 одинаковая загрузка проца на IPSEC! у 4431 просто нет лицензии Performance больше 1гига а у 4451 есть и есть соответственно тест для лицензии Performance для 2 гигов. Нужны замеры на лицензии BOOST, тогда будет честный тест. Edited December 11, 2019 by reef Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
fractal Posted December 12, 2019 · Report post 6 часов назад, reef сказал: не показатель нефига! это замер на лицензии Performance на гигабитной лицензии Performance на 4431 и 4451 одинаковая загрузка проца на IPSEC! у 4431 просто нет лицензии Performance больше 1гига а у 4451 есть и есть соответственно тест для лицензии Performance для 2 гигов. Нужны замеры на лицензии BOOST, тогда будет честный тест. 900 мбит это ее максимум даже с boost, причем это агрегационная скорость, либо симплекс 900, либо дуплекс 450/450. К примеру все модели до 4461 могут выжать полную скорость шифрования с лицензией perf + hsec, но лицензия снимает ограничения платформы. К примеру 4431, perf лицуха дает возможность форвадить на скорости 1 гб между сегментами, если у вас будет качаться с какой нибудь шары в другой подсети на этой же циске файл (с gi0/0/0 порта на gi0/0/1) с трафиком 500 мбит, то на шифрование наружу остается еще 500 мбит, далее все что выше дропается и пишет в лог, мол полная загрузка. Boost снимает ограничения со всех процов и задействует их все, в итоге общая пропускная способность всей платформы становится равна производительности всех onboard портов, но опять же, шифровать более 900 мбит она не будет Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
reef Posted December 12, 2019 (edited) · Report post 6 часов назад, fractal сказал: 900 мбит это ее максимум даже с boost, где это написано на cisco dot com ? это только ваше предположение или у вас есть свои реальные замеры/тесты? вполне логично, если зажать лицензией Performance на 1 гиг, ни крипте никак не будет больше полоса. пока все тесты производительности на крипте которые я увидел у вендора это только с Performance лицензией, нигде нет явного упоминания о том, как раскрывается эта модель с BOOST на IPSec. И вижу по тем же тестам вендора (картинки выше), что загрузка CPU на 900мегабитах IPSEC на 4431 и 4451 одинаковая! это о чем говорит?! Edited December 12, 2019 by reef Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
fractal Posted December 12, 2019 (edited) · Report post 1 час назад, reef сказал: где это написано на cisco dot com ? это только ваше предположение или у вас есть свои реальные замеры/тесты? вполне логично, если зажать лицензией Performance на 1 гиг, ни крипте никак не будет больше полоса. пока все тесты производительности на крипте которые я увидел у вендора это только с Performance лицензией, нигде нет явного упоминания о том, как раскрывается эта модель с BOOST на IPSec. И вижу по тем же тестам вендора (картинки выше), что загрузка CPU на 900мегабитах IPSEC на 4431 и 4451 одинаковая! это о чем говорит?! читайте ordering guide, как пример у нас используется 4331 с boost и hsec, выше 500 при канале 1Gb она не прыгнула, максимум 470 мбит flexvpn, boost и hsec открывают разные возможности, роутер не прыгнет с boost выше hsec, то есть форвадить трафик, натить он может более 2Gb, а шифровать только на скорости по даташиту лицензии hsec на платформе вот пример форвардинга (не vpn) Модель устройства Загрузка CPU с лицензией Performance Загрузка CPU с лицензией Boost ISR4451 2 Гбит/с / 19% CPU 4 Гбит/с / 35% CPU ISR4431 1 Гбит/с/ 18% CPU 4 Гбит/с / 62% CPU ISR4351 400 Мбит/с/ 17% CPU 2 Гбит/с / 45% CPU ISR4331 300 Мбит/с/ 16% CPU 2 Гбит/с / 53% CPU ISR4321 100 Мбит/с/ 8% CPU 2 Гбит/с / 68% CPU ISR4221 75 Мбит/с/ 8% CPU 1.2 Гбит/с / 94% CPU 1 час назад, reef сказал: где это написано на cisco dot com ? это только ваше предположение или у вас есть свои реальные замеры/тесты? вполне логично, если зажать лицензией Performance на 1 гиг, ни крипте никак не будет больше полоса. пока все тесты производительности на крипте которые я увидел у вендора это только с Performance лицензией, нигде нет явного упоминания о том, как раскрывается эта модель с BOOST на IPSec. И вижу по тем же тестам вендора (картинки выше), что загрузка CPU на 900мегабитах IPSEC на 4431 и 4451 одинаковая! это о чем говорит?! нагрузка cpu одинаковая потому что не все cpu используются, boost как раз снимает ограничение на использование ядер cpu определенных под другие цели у 4451 ядер больше, но если применить perf лицензию на 4431 и 4451 разлочится одинаковое количество ядер cpu, а вот применяя boost больше прокачает 4451, так как у него больше ядер, более точно тут https://www.ciscolive.com/c/dam/r/ciscolive/us/docs/2018/pdf/BRKARC-3001.pdf Edited December 12, 2019 by fractal Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
myst Posted December 12, 2019 · Report post Вобщем понятно, предлагаю на выбор либо ISR4451: 2,000-Mbps License - QoS & IPSec 1460 Либо 1001-X Либо не канифолить мозг и купить вязанку БУшки. дальше сами пусть решают. Жаль что обычные 1001 ВСЕ, и 3945 например. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
reef Posted December 12, 2019 · Report post 1 час назад, myst сказал: Жаль что обычные 1001 ВСЕ, и 3945 например. если для роутинга это еще и покатит с натяжкой под ваше ТЗ (хотя по юнитам 3945 сильно не проходит), то для крипты это прошлый век, новые/современные алгоритмы уже не поддерживаются аппаратно. Вариант только ISR44xx или ASR1000-x Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
myst Posted December 12, 2019 · Report post 3 минуты назад, reef сказал: если для роутинга это еще и покатит с натяжкой под ваше ТЗ (хотя по юнитам 3945 сильно не проходит), то для крипты это прошлый век, новые/современные алгоритмы уже не поддерживаются аппаратно. Вариант только ISR44xx или ASR1000-x стоп стоп. а зачем мне современные алгоритмы крипты, AES256 за глаза. и под ТЗ 3945 вполне себе. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
reef Posted December 12, 2019 · Report post ну к примеру AES256-GCM уже аппаратно эти две старые балалайки не поддерживают, вы же собираетесь брать не на год/два я так понимаю Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...