Jump to content
Калькуляторы

Замена ASR 1001

Коллеги.

Тут подоспела задача терминировать 1G GRE туннелей поверх IPSEC.

Сразу подумал в сторону ASR1001 (не Х), но судя по CCW они уже сняты с продажи.

А подскажите что сейчас актуального из линеек CISCO под следующие задачи

1) Набортных 1G портов от 4 - 6 штук

2) Набортных 10G от 2х штук (ну на крайняк модулем) - Можно и без 10G если железка не влезает.

3) Поддержка от 200 туннелей GRE

4) Аппаратный IPSEC 1 гигабит.

5) 2х BGP FV

6) QOS на туннелях

7) 1U 

Глянул в сторону новых ASR920, но уж больно они убогие судя по DS 

IPv6 traffic is not supported on IPsec tunnels.

Multicast Traffic is not supported on IPsec tunnels.

IPsec tunnels are not supported on an MPLS cloud.

IPsec tunnels are not supported on vrf lite.

QoS is not supported for IPsec tunnels.

Maximum number of tunnels that are supported is 32.

А 1001-X дороги и избыточны под задачу.

Only Cisco.

Share this post


Link to post
Share on other sites

4 часа назад, myst сказал:

Коллеги.

Тут подоспела задача терминировать 1G GRE туннелей поверх IPSEC.

Сразу подумал в сторону ASR1001 (не Х), но судя по CCW они уже сняты с продажи.

А подскажите что сейчас актуального из линеек CISCO под следующие задачи

1) Набортных 1G портов от 4 - 6 штук

2) Набортных 10G от 2х штук (ну на крайняк модулем) - Можно и без 10G если железка не влезает.

3) Поддержка от 200 туннелей GRE

4) Аппаратный IPSEC 1 гигабит.

5) 2х BGP FV

6) QOS на туннелях

7) 1U 

Глянул в сторону новых ASR920, но уж больно они убогие судя по DS 


IPv6 traffic is not supported on IPsec tunnels.

Multicast Traffic is not supported on IPsec tunnels.

IPsec tunnels are not supported on an MPLS cloud.

IPsec tunnels are not supported on vrf lite.

QoS is not supported for IPsec tunnels.

Maximum number of tunnels that are supported is 32.

А 1001-X дороги и избыточны под задачу.

Only Cisco.

4451x. С perf + hsec, без 10g,или 4461 hsec, можно ещё и perf

 

Правда они не 1u, ну или asr1001  бу

Share this post


Link to post
Share on other sites

7 часов назад, myst сказал:

А 1001-X дороги

если 1001-х дорого, в какую сумму хотите вписаться?

2 часа назад, fractal сказал:

4451x. С perf + hsec, без 10g,или 4461 hsec, можно ещё и perf

4451x и 4461 в аккурат выйдет по цене как 1001-х, бессмысленно

Share this post


Link to post
Share on other sites

3 часа назад, maruk сказал:

если 1001-х дорого, в какую сумму хотите вписаться?

Да тут дело не в какую сумму, тут дело что вся линейка роутеров сейчас очень странно смотрится у циски. Ещё какие-то 902 914 920 появились, на которые без слез не взглянишь.

в IPSEC с нормальной пропускной теперь могут только очень дорогие Х серии.

 

6 часов назад, fractal сказал:

4451x. С perf + hsec, без 10g,или 4461 hsec, можно ещё и perf

 

Правда они не 1u, ну или asr1001  бу

Ну в БУ к сожалению эта контора не играет, я сам бы взял вязанку 1001 и не парился.

Share this post


Link to post
Share on other sites

Не бу, циско онли, шифрование выше гига  и не дорого . У меня для вашей компании плохие новости . Даже в предверии нового года чуда не случится 

Share this post


Link to post
Share on other sites

3 часа назад, myst сказал:

Да тут дело не в какую сумму, тут дело что вся линейка роутеров сейчас очень странно смотрится у циски. Ещё какие-то 902 914 920 появились, на которые без слез не взглянишь.

в IPSEC с нормальной пропускной теперь могут только очень дорогие Х серии.

 

Ну в БУ к сожалению эта контора не играет, я сам бы взял вязанку 1001 и не парился.

ну) политика компании Cisco, как продать устройство 3 раза), либо 1001-x либо 4451/4461, либо на складах в магазинах искать просто 1001, isr11xx - максимум 150 и 250 мбит шифрования

Share this post


Link to post
Share on other sites

1 час назад, EvgeniySerb сказал:

Не бу, циско онли, шифрование выше гига  и не дорого . У меня для вашей компании плохие новости . Даже в предверии нового года чуда не случится 

ну в принципе 6 коробок 4451+HSEC в 200к мертвых перзидентов GPL не так уж и страшно.

Share this post


Link to post
Share on other sites

5 hours ago, myst said:

Ещё какие-то 902 914 920 появились, на которые без слез не взглянишь.

У нас 903 - ОХРЕНЕНЕН. Просто это не совсем роутер, точнее это не BGP, ISG роутер. Используем его для собирания в бридж-домены траффик из разный виланов, QinQ и т.п.

Share this post


Link to post
Share on other sites

15 минут назад, ShyLion сказал:

У нас 903 - ОХРЕНЕНЕН. Просто это не совсем роутер, точнее это не BGP, ISG роутер. Используем его для собирания в бридж-домены траффик из разный виланов, QinQ и т.п.

бридж домены, куинку... ну тоесть это совсем не роутер. даром что ASR  называется.

Share this post


Link to post
Share on other sites

Just now, myst said:

бридж домены, куинку... ну тоесть это совсем не роутер. даром что ASR  называется.

Ну там в нем дохрена всего, MPLS, VPLS и прочие свистоперделки которые я тупо не осилил.

Share this post


Link to post
Share on other sites

3 часа назад, myst сказал:

4451+HSEC в 200к мертвых перзидентов

хорошая цена, покупайте!

если планируете раскачать 4-6 гиговых интерфейсов как заказано в ТЗ, забюджетируйте  еще покупку лицензии BOOST, без этой лицензии как то тоскливо эксплуатировать такую коробку, с полкой в 2 гигабита.

Share this post


Link to post
Share on other sites

1 час назад, reef сказал:

хорошая цена, покупайте!

если планируете раскачать 4-6 гиговых интерфейсов как заказано в ТЗ, забюджетируйте  еще покупку лицензии BOOST, без этой лицензии как то тоскливо эксплуатировать такую коробку, с полкой в 2 гигабита.

да мне даже 2 гига то не особо надо. там ключевое слово ойписек. не было бы требования циска - взял бы srx650й и не парился.

Share this post


Link to post
Share on other sites

производительность  ipsec  на гигабите у 4451 и 4431 одинаковая судя по даташиту

https://www.cisco.com/c/dam/en/us/products/collateral/routers/4000-series-integrated-services-routers-isr/miercom-isr4k-report.pdf

 

берите тогда уж, 4431 и дешевле и 1U

Edited by reef

Share this post


Link to post
Share on other sites

22 часа назад, myst сказал:

Глянул в сторону новых ASR920, но уж больно они убогие судя по DS 

это MBH железо, нехер его на терминацию туннелей тянуть

 

 

Share this post


Link to post
Share on other sites

1 час назад, reef сказал:

производительность  ipsec  на гигабите у 4451 и 4431 одинаковая судя по даташиту

https://www.cisco.com/c/dam/en/us/products/collateral/routers/4000-series-integrated-services-routers-isr/miercom-isr4k-report.pdf

 

берите тогда уж, 4431 и дешевле и 1U

 

только с boost и hsec

Share this post


Link to post
Share on other sites

в контексте, могу предложить рассмотреть

https://forum.nag.ru/index.php?/topic/153455-prodam-cisco-isr4431-5xfull-view-i-4x1g-propusknaya-sposobnost

Share this post


Link to post
Share on other sites

7 часов назад, reef сказал:

производительность  ipsec  на гигабите у 4451 и 4431 одинаковая судя по даташиту

https://www.cisco.com/c/dam/en/us/products/collateral/routers/4000-series-integrated-services-routers-isr/miercom-isr4k-report.pdf

 

берите тогда уж, 4431 и дешевле и 1U

 

900 мбит ipsec 

 

https://www.cisco.com/c/en/us/products/routers/4000-series-integrated-services-routers-isr/models-comparison.html

Edited by fractal

Share this post


Link to post
Share on other sites

2 часа назад, fractal сказал:

не показатель нефига! это замер на лицензии Performance

на гигабитной лицензии Performance  на 4431 и 4451 одинаковая загрузка проца на IPSEC!

image.thumb.png.40f1c13fa1929bc94525a56a8d8fc971.png

image.thumb.png.7f7ff85c1f9ef2713d315154b192e0b7.png

 

 

у 4431 просто нет лицензии Performance больше 1гига а у 4451 есть и есть соответственно тест для лицензии Performance для 2 гигов.

 

Нужны замеры на лицензии BOOST, тогда будет честный тест.

Edited by reef

Share this post


Link to post
Share on other sites

6 часов назад, reef сказал:

не показатель нефига! это замер на лицензии Performance

на гигабитной лицензии Performance  на 4431 и 4451 одинаковая загрузка проца на IPSEC!

image.thumb.png.40f1c13fa1929bc94525a56a8d8fc971.png

image.thumb.png.7f7ff85c1f9ef2713d315154b192e0b7.png

 

 

у 4431 просто нет лицензии Performance больше 1гига а у 4451 есть и есть соответственно тест для лицензии Performance для 2 гигов.

 

Нужны замеры на лицензии BOOST, тогда будет честный тест.

900 мбит это ее максимум даже с boost, причем это агрегационная скорость, либо симплекс 900, либо дуплекс 450/450. К примеру все модели до 4461 могут выжать полную скорость шифрования с лицензией perf + hsec, но лицензия снимает ограничения платформы. К примеру 4431, perf лицуха дает возможность форвадить на скорости 1 гб между сегментами, если у вас будет качаться с какой нибудь шары в другой подсети на этой же циске файл (с gi0/0/0 порта на gi0/0/1) с трафиком 500 мбит, то на шифрование наружу остается еще 500 мбит, далее все что выше дропается и пишет в лог, мол полная загрузка. Boost снимает ограничения со всех процов и задействует их все, в итоге общая пропускная способность всей платформы становится равна производительности всех onboard портов, но опять же, шифровать более 900 мбит она не будет

Share this post


Link to post
Share on other sites

6 часов назад, fractal сказал:

900 мбит это ее максимум даже с boost,

где это написано на cisco dot com ? это только ваше предположение или у вас есть свои реальные замеры/тесты?

вполне логично, если зажать лицензией Performance на 1 гиг, ни крипте никак не будет больше полоса.

пока все тесты производительности на крипте которые я увидел у вендора это только с Performance  лицензией, нигде нет явного упоминания о том, как раскрывается эта модель с BOOST на IPSec.

И вижу по тем же тестам вендора (картинки выше), что загрузка CPU на 900мегабитах IPSEC на 4431 и 4451 одинаковая! это о чем  говорит?!

 

Edited by reef

Share this post


Link to post
Share on other sites

1 час назад, reef сказал:

где это написано на cisco dot com ? это только ваше предположение или у вас есть свои реальные замеры/тесты?

вполне логично, если зажать лицензией Performance на 1 гиг, ни крипте никак не будет больше полоса.

пока все тесты производительности на крипте которые я увидел у вендора это только с Performance  лицензией, нигде нет явного упоминания о том, как раскрывается эта модель с BOOST на IPSec.

И вижу по тем же тестам вендора (картинки выше), что загрузка CPU на 900мегабитах IPSEC на 4431 и 4451 одинаковая! это о чем  говорит?!

 

 

читайте ordering guide, как пример у нас используется 4331 с boost и hsec, выше 500 при канале 1Gb она не прыгнула, максимум 470 мбит flexvpn, boost и hsec открывают разные возможности, роутер не прыгнет с boost выше hsec, то есть форвадить трафик, натить он может более 2Gb, а шифровать только на скорости по даташиту лицензии hsec на платформе

 

вот пример форвардинга (не vpn)

Модель устройства     Загрузка CPU с лицензией Performance Загрузка CPU с лицензией Boost
ISR4451 2 Гбит/с / 19% CPU 4 Гбит/с / 35% CPU
ISR4431 1 Гбит/с/ 18% CPU 4 Гбит/с / 62% CPU
ISR4351 400 Мбит/с/ 17% CPU 2 Гбит/с / 45% CPU
ISR4331 300 Мбит/с/ 16% CPU 2 Гбит/с / 53% CPU
ISR4321 100 Мбит/с/ 8% CPU 2 Гбит/с / 68% CPU
ISR4221 75 Мбит/с/ 8% CPU 1.2 Гбит/с / 94% CPU

 

1 час назад, reef сказал:

где это написано на cisco dot com ? это только ваше предположение или у вас есть свои реальные замеры/тесты?

вполне логично, если зажать лицензией Performance на 1 гиг, ни крипте никак не будет больше полоса.

пока все тесты производительности на крипте которые я увидел у вендора это только с Performance  лицензией, нигде нет явного упоминания о том, как раскрывается эта модель с BOOST на IPSec.

И вижу по тем же тестам вендора (картинки выше), что загрузка CPU на 900мегабитах IPSEC на 4431 и 4451 одинаковая! это о чем  говорит?!

 

 

нагрузка cpu одинаковая потому что не все cpu используются, boost как раз снимает ограничение на использование ядер cpu определенных под другие цели у 4451 ядер больше, но если применить perf лицензию на 4431 и 4451 разлочится одинаковое количество ядер cpu, а вот применяя boost больше прокачает 4451, так как у него больше ядер, более точно тут https://www.ciscolive.com/c/dam/r/ciscolive/us/docs/2018/pdf/BRKARC-3001.pdf

Edited by fractal

Share this post


Link to post
Share on other sites

Вобщем понятно, предлагаю на выбор либо

ISR4451: 2,000-Mbps License - QoS & IPSec 1460

 

Либо 1001-X

 

Либо не канифолить мозг и купить вязанку БУшки. дальше сами пусть решают.

Жаль что обычные 1001 ВСЕ, и 3945 например.

Share this post


Link to post
Share on other sites

1 час назад, myst сказал:

Жаль что обычные 1001 ВСЕ, и 3945 например.

если для роутинга это еще и покатит с натяжкой под ваше ТЗ (хотя по юнитам 3945 сильно не проходит),

то для крипты это прошлый век, новые/современные алгоритмы уже не поддерживаются аппаратно.

 

Вариант только ISR44xx или ASR1000-x

Share this post


Link to post
Share on other sites

3 минуты назад, reef сказал:

если для роутинга это еще и покатит с натяжкой под ваше ТЗ (хотя по юнитам 3945 сильно не проходит),

то для крипты это прошлый век, новые/современные алгоритмы уже не поддерживаются аппаратно.

 

Вариант только ISR44xx или ASR1000-x

стоп стоп. а зачем мне современные алгоритмы крипты, AES256 за глаза. и под ТЗ 3945 вполне себе.

 

Share this post


Link to post
Share on other sites

ну к примеру AES256-GCM  уже аппаратно эти две старые балалайки не поддерживают, вы же собираетесь брать не на год/два я так понимаю

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.