Замена ASR 1001

[myst]

Коллеги.

Тут подоспела задача терминировать 1G GRE туннелей поверх IPSEC.

Сразу подумал в сторону ASR1001 (не Х), но судя по CCW они уже сняты с продажи.

А подскажите что сейчас актуального из линеек CISCO под следующие задачи

1) Набортных 1G портов от 4 - 6 штук

2) Набортных 10G от 2х штук (ну на крайняк модулем) - Можно и без 10G если железка не влезает.

3) Поддержка от 200 туннелей GRE

4) Аппаратный IPSEC 1 гигабит.

5) 2х BGP FV

6) QOS на туннелях

7) 1U 

Глянул в сторону новых ASR920, но уж больно они убогие судя по DS 

IPv6 traffic is not supported on IPsec tunnels.

Multicast Traffic is not supported on IPsec tunnels.

IPsec tunnels are not supported on an MPLS cloud.

IPsec tunnels are not supported on vrf lite.

QoS is not supported for IPsec tunnels.

Maximum number of tunnels that are supported is 32.

А 1001-X дороги и избыточны под задачу.

Only Cisco.

[fractal]

4 часа назад, myst сказал:

Коллеги.

Тут подоспела задача терминировать 1G GRE туннелей поверх IPSEC.

Сразу подумал в сторону ASR1001 (не Х), но судя по CCW они уже сняты с продажи.

А подскажите что сейчас актуального из линеек CISCO под следующие задачи

1) Набортных 1G портов от 4 - 6 штук

2) Набортных 10G от 2х штук (ну на крайняк модулем) - Можно и без 10G если железка не влезает.

3) Поддержка от 200 туннелей GRE

4) Аппаратный IPSEC 1 гигабит.

5) 2х BGP FV

6) QOS на туннелях

7) 1U 

Глянул в сторону новых ASR920, но уж больно они убогие судя по DS 

IPv6 traffic is not supported on IPsec tunnels.

Multicast Traffic is not supported on IPsec tunnels.

IPsec tunnels are not supported on an MPLS cloud.

IPsec tunnels are not supported on vrf lite.

QoS is not supported for IPsec tunnels.

Maximum number of tunnels that are supported is 32.

А 1001-X дороги и избыточны под задачу.

Only Cisco.

4451x. С perf + hsec, без 10g,или 4461 hsec, можно ещё и perf

 

Правда они не 1u, ну или asr1001  бу

[maruk]

7 часов назад, myst сказал:

А 1001-X дороги

если 1001-х дорого, в какую сумму хотите вписаться?

2 часа назад, fractal сказал:

4451x. С perf + hsec, без 10g,или 4461 hsec, можно ещё и perf

4451x и 4461 в аккурат выйдет по цене как 1001-х, бессмысленно

[myst]

3 часа назад, maruk сказал:

если 1001-х дорого, в какую сумму хотите вписаться?

Да тут дело не в какую сумму, тут дело что вся линейка роутеров сейчас очень странно смотрится у циски. Ещё какие-то 902 914 920 появились, на которые без слез не взглянишь.

в IPSEC с нормальной пропускной теперь могут только очень дорогие Х серии.

 

6 часов назад, fractal сказал:

4451x. С perf + hsec, без 10g,или 4461 hsec, можно ещё и perf

 

Правда они не 1u, ну или asr1001  бу

Ну в БУ к сожалению эта контора не играет, я сам бы взял вязанку 1001 и не парился.

[EvgeniySerb]

Не бу, циско онли, шифрование выше гига  и не дорого . У меня для вашей компании плохие новости . Даже в предверии нового года чуда не случится 

[fractal]

3 часа назад, myst сказал:

Да тут дело не в какую сумму, тут дело что вся линейка роутеров сейчас очень странно смотрится у циски. Ещё какие-то 902 914 920 появились, на которые без слез не взглянишь.

в IPSEC с нормальной пропускной теперь могут только очень дорогие Х серии.

 

Ну в БУ к сожалению эта контора не играет, я сам бы взял вязанку 1001 и не парился.

ну) политика компании Cisco, как продать устройство 3 раза), либо 1001-x либо 4451/4461, либо на складах в магазинах искать просто 1001, isr11xx - максимум 150 и 250 мбит шифрования

[myst]

1 час назад, EvgeniySerb сказал:

Не бу, циско онли, шифрование выше гига  и не дорого . У меня для вашей компании плохие новости . Даже в предверии нового года чуда не случится 

ну в принципе 6 коробок 4451+HSEC в 200к мертвых перзидентов GPL не так уж и страшно.

[ShyLion]

5 hours ago, myst said:

Ещё какие-то 902 914 920 появились, на которые без слез не взглянишь.

У нас 903 - ОХРЕНЕНЕН. Просто это не совсем роутер, точнее это не BGP, ISG роутер. Используем его для собирания в бридж-домены траффик из разный виланов, QinQ и т.п.

[myst]

15 минут назад, ShyLion сказал:

У нас 903 - ОХРЕНЕНЕН. Просто это не совсем роутер, точнее это не BGP, ISG роутер. Используем его для собирания в бридж-домены траффик из разный виланов, QinQ и т.п.

бридж домены, куинку... ну тоесть это совсем не роутер. даром что ASR  называется.

[ShyLion]

Just now, myst said:

бридж домены, куинку... ну тоесть это совсем не роутер. даром что ASR  называется.

Ну там в нем дохрена всего, MPLS, VPLS и прочие свистоперделки которые я тупо не осилил.

[reef]

3 часа назад, myst сказал:

4451+HSEC в 200к мертвых перзидентов

хорошая цена, покупайте!

если планируете раскачать 4-6 гиговых интерфейсов как заказано в ТЗ, забюджетируйте  еще покупку лицензии BOOST, без этой лицензии как то тоскливо эксплуатировать такую коробку, с полкой в 2 гигабита.

[myst]

1 час назад, reef сказал:

хорошая цена, покупайте!

если планируете раскачать 4-6 гиговых интерфейсов как заказано в ТЗ, забюджетируйте  еще покупку лицензии BOOST, без этой лицензии как то тоскливо эксплуатировать такую коробку, с полкой в 2 гигабита.

да мне даже 2 гига то не особо надо. там ключевое слово ойписек. не было бы требования циска - взял бы srx650й и не парился.

[reef]

производительность  ipsec  на гигабите у 4451 и 4431 одинаковая судя по даташиту

https://www.cisco.com/c/dam/en/us/products/collateral/routers/4000-series-integrated-services-routers-isr/miercom-isr4k-report.pdf

 

берите тогда уж, 4431 и дешевле и 1U

Edited December 11, 2019 by reef

[GrandPr1de]

22 часа назад, myst сказал:

Глянул в сторону новых ASR920, но уж больно они убогие судя по DS 

это MBH железо, нехер его на терминацию туннелей тянуть

 

 

[fractal]

1 час назад, reef сказал:

производительность  ipsec  на гигабите у 4451 и 4431 одинаковая судя по даташиту

https://www.cisco.com/c/dam/en/us/products/collateral/routers/4000-series-integrated-services-routers-isr/miercom-isr4k-report.pdf

 

берите тогда уж, 4431 и дешевле и 1U

 

только с boost и hsec

[maruk]

в контексте, могу предложить рассмотреть

https://forum.nag.ru/index.php?/topic/153455-prodam-cisco-isr4431-5xfull-view-i-4x1g-propusknaya-sposobnost

[fractal]

7 часов назад, reef сказал:

производительность  ipsec  на гигабите у 4451 и 4431 одинаковая судя по даташиту

https://www.cisco.com/c/dam/en/us/products/collateral/routers/4000-series-integrated-services-routers-isr/miercom-isr4k-report.pdf

 

берите тогда уж, 4431 и дешевле и 1U

 

900 мбит ipsec 

 

https://www.cisco.com/c/en/us/products/routers/4000-series-integrated-services-routers-isr/models-comparison.html

Edited December 11, 2019 by fractal

[reef]

2 часа назад, fractal сказал:

900 мбит ipsec 

 

https://www.cisco.com/c/en/us/products/routers/4000-series-integrated-services-routers-isr/models-comparison.html

 

не показатель нефига! это замер на лицензии Performance

на гигабитной лицензии Performance  на 4431 и 4451 одинаковая загрузка проца на IPSEC!

 

 

у 4431 просто нет лицензии Performance больше 1гига а у 4451 есть и есть соответственно тест для лицензии Performance для 2 гигов.

 

Нужны замеры на лицензии BOOST, тогда будет честный тест.

Edited December 11, 2019 by reef

[fractal]

6 часов назад, reef сказал:

не показатель нефига! это замер на лицензии Performance

на гигабитной лицензии Performance  на 4431 и 4451 одинаковая загрузка проца на IPSEC!

 

 

у 4431 просто нет лицензии Performance больше 1гига а у 4451 есть и есть соответственно тест для лицензии Performance для 2 гигов.

 

Нужны замеры на лицензии BOOST, тогда будет честный тест.

900 мбит это ее максимум даже с boost, причем это агрегационная скорость, либо симплекс 900, либо дуплекс 450/450. К примеру все модели до 4461 могут выжать полную скорость шифрования с лицензией perf + hsec, но лицензия снимает ограничения платформы. К примеру 4431, perf лицуха дает возможность форвадить на скорости 1 гб между сегментами, если у вас будет качаться с какой нибудь шары в другой подсети на этой же циске файл (с gi0/0/0 порта на gi0/0/1) с трафиком 500 мбит, то на шифрование наружу остается еще 500 мбит, далее все что выше дропается и пишет в лог, мол полная загрузка. Boost снимает ограничения со всех процов и задействует их все, в итоге общая пропускная способность всей платформы становится равна производительности всех onboard портов, но опять же, шифровать более 900 мбит она не будет

[reef]

6 часов назад, fractal сказал:

900 мбит это ее максимум даже с boost,

где это написано на cisco dot com ? это только ваше предположение или у вас есть свои реальные замеры/тесты?

вполне логично, если зажать лицензией Performance на 1 гиг, ни крипте никак не будет больше полоса.

пока все тесты производительности на крипте которые я увидел у вендора это только с Performance  лицензией, нигде нет явного упоминания о том, как раскрывается эта модель с BOOST на IPSec.

И вижу по тем же тестам вендора (картинки выше), что загрузка CPU на 900мегабитах IPSEC на 4431 и 4451 одинаковая! это о чем  говорит?!

 

Edited December 12, 2019 by reef

[fractal]

1 час назад, reef сказал:

где это написано на cisco dot com ? это только ваше предположение или у вас есть свои реальные замеры/тесты?

вполне логично, если зажать лицензией Performance на 1 гиг, ни крипте никак не будет больше полоса.

пока все тесты производительности на крипте которые я увидел у вендора это только с Performance  лицензией, нигде нет явного упоминания о том, как раскрывается эта модель с BOOST на IPSec.

И вижу по тем же тестам вендора (картинки выше), что загрузка CPU на 900мегабитах IPSEC на 4431 и 4451 одинаковая! это о чем  говорит?!

 

 

читайте ordering guide, как пример у нас используется 4331 с boost и hsec, выше 500 при канале 1Gb она не прыгнула, максимум 470 мбит flexvpn, boost и hsec открывают разные возможности, роутер не прыгнет с boost выше hsec, то есть форвадить трафик, натить он может более 2Gb, а шифровать только на скорости по даташиту лицензии hsec на платформе

 

вот пример форвардинга (не vpn)

Модель устройства	Загрузка CPU с лицензией Performance	Загрузка CPU с лицензией Boost
ISR4451	2 Гбит/с / 19% CPU	4 Гбит/с / 35% CPU
ISR4431	1 Гбит/с/ 18% CPU	4 Гбит/с / 62% CPU
ISR4351	400 Мбит/с/ 17% CPU	2 Гбит/с / 45% CPU
ISR4331	300 Мбит/с/ 16% CPU	2 Гбит/с / 53% CPU
ISR4321	100 Мбит/с/ 8% CPU	2 Гбит/с / 68% CPU
ISR4221	75 Мбит/с/ 8% CPU	1.2 Гбит/с / 94% CPU

 

1 час назад, reef сказал:

где это написано на cisco dot com ? это только ваше предположение или у вас есть свои реальные замеры/тесты?

вполне логично, если зажать лицензией Performance на 1 гиг, ни крипте никак не будет больше полоса.

пока все тесты производительности на крипте которые я увидел у вендора это только с Performance  лицензией, нигде нет явного упоминания о том, как раскрывается эта модель с BOOST на IPSec.

И вижу по тем же тестам вендора (картинки выше), что загрузка CPU на 900мегабитах IPSEC на 4431 и 4451 одинаковая! это о чем  говорит?!

 

 

нагрузка cpu одинаковая потому что не все cpu используются, boost как раз снимает ограничение на использование ядер cpu определенных под другие цели у 4451 ядер больше, но если применить perf лицензию на 4431 и 4451 разлочится одинаковое количество ядер cpu, а вот применяя boost больше прокачает 4451, так как у него больше ядер, более точно тут https://www.ciscolive.com/c/dam/r/ciscolive/us/docs/2018/pdf/BRKARC-3001.pdf

Edited December 12, 2019 by fractal

[myst]

Вобщем понятно, предлагаю на выбор либо

ISR4451: 2,000-Mbps License - QoS & IPSec 1460

 

Либо 1001-X

 

Либо не канифолить мозг и купить вязанку БУшки. дальше сами пусть решают.

Жаль что обычные 1001 ВСЕ, и 3945 например.

[reef]

1 час назад, myst сказал:

Жаль что обычные 1001 ВСЕ, и 3945 например.

если для роутинга это еще и покатит с натяжкой под ваше ТЗ (хотя по юнитам 3945 сильно не проходит),

то для крипты это прошлый век, новые/современные алгоритмы уже не поддерживаются аппаратно.

 

Вариант только ISR44xx или ASR1000-x

[myst]

3 минуты назад, reef сказал:

если для роутинга это еще и покатит с натяжкой под ваше ТЗ (хотя по юнитам 3945 сильно не проходит),

то для крипты это прошлый век, новые/современные алгоритмы уже не поддерживаются аппаратно.

 

Вариант только ISR44xx или ASR1000-x

стоп стоп. а зачем мне современные алгоритмы крипты, AES256 за глаза. и под ТЗ 3945 вполне себе.

 

[reef]

ну к примеру AES256-GCM  уже аппаратно эти две старые балалайки не поддерживают, вы же собираетесь брать не на год/два я так понимаю