Jump to content

Альтернатива L3 Switch (в плане vlan routing + ip acl)?

amper
 Share

Recommended Posts

amper

amper

Posted
Posted

Предыстория печальная... долго я выбирал недорогой(до 800$) L3 switch (48x100BaseT + 4x1000BaseT), в итоге выбрал netgear fsm7000, как оказалось зря!

 

Может оно и неплохое железо как свич, но совершенно неумеющее работать с IP ACL, даже от 15 правил девайсу начинает сносить крышу (то отказывается назначать портам новые правила вообще, то не выполняет назначенные, а 16ый порт вообще загадка, туда он привязывает только 1 правило всегда), забугорный саппорт уже два месяца присылает отписки, а российский так прямо и сказал "А что вы хотите за такие деньги? Надо понимать из чего их делают...", ну в общем-то оно и понятно, внутри mips проц сдобренный сборной солянкой из GPL linux...

 

Так вот! Задача следующая:

Нужен девайс, или теперь уже я больше склоняюсь к компу, для маршрутизации трафика между vlan'ами (т.е. по 802.1q, по одному или нескольким (возможно агрегированным) портам приходит 802.1q, маршрутизируется и раздается обратно, возможно в тот же порт), полноценные возможности IP ACL, скорость хотя бы 2гбит\сек, желательно 4гбит\сек... ну и максимальная надежность (отсутствие Hdd например)

 

Вот и вопрос - какое софт\железо такое сможет?

Читал про Микротик, на каком железе, да и в принципе, потянет ли он такую нагрузку? Только наверняка, экспериметов больше не хочется...

SergeiK

SergeiK

Posted
Posted

Хм. Мне кажется вы хотите почти бесплатно получить совершенно могучую железяку. А такого не бывает.

 

4 гига просвичить - это надо очень правильно собранный комп и очень правильные к нему руки. И не уверен, что все будет хорошо.

И стоит это, в разовой поставке, намного дороже 800$.

Это помимо того, что где вы видели комп с 48-ю портами?! +Коммутатор. А даже 2 гига как на комп отдадите? В целом - одни засады вас ждут на этом пути!

 

По L3 свичу - по меньшей мере вдвое цену поднимите. Тогда можно предложить у HP 5300xl 1 штуку по спец. промо программе (если еще актуальна), к ней гигабиты медные и получится где-то в 1700-1800$.

У АТ что-то можно поискать, тут есть люди, знающие их линейку, но все ближе к 2К$ в любом случае!

 

Dlink можно найти, конечно, но я уверен, что на 15 правилах на порт он тоже заткнется! Или будет сильно дороже 1К.

omi4

omi4

Posted
Posted

с маршрутизацией Р4 справится, а с прерываниями будут проблемы

Или аппаратно(крайне дорого) или полинг(что без экспериментов никак)

 

Микротик это закрытый код, в твоем случае будет только мешать.

Это тот случай когда железка дешевле чем настройка PC.

ingress

ingress

Posted
Posted

угу, только вот чтобы реализовать VLAN ACL, т.е. фильтровать не только routed но bridged пакеты придётся к компу докупать нормальный L2 свич с вменяемыми кол-вом ACL на порт(ну или сиську Л2 которая умеет vlan acl)

omi4

omi4

Posted
Posted

Свичи в любом случае нужны нормальные. Фильтровать можно и софтом, с этим нет великой проблемы. Проблема и огромная только с обработкой прерываний. При большом количестве мелких пакетов комп рухнет при десяти процентах загрузки канала.

 

Пробовали такое сами, максимум что удалось достичь 70-82Мб(не бита) в сек. при реальном трафике. Спецы по кластерам 110-120 выжимают, но у них трафик правильнее.

 

Все эти эксперименты делались для повышения пропускной способности на РС роутерах с 100мбит картами, удалось достичь 11Мб при 6 картах(до этого было 2-3мбит).

 

Что позволило не связываться с гигом на магистрали.

amper

amper

Posted
  • Author
Posted

SergeiK

Мне не нужен комп с 48 портами, достаточно будет 2-4 гигабитных порта и возможность роутить на скорости (хотя бы близкой) к скорости порта... По правилам - получается примерно 6 правил на порт, всего 15, но на каждом порту, одновременно не больше 6! Это меня и смутило, заявлено то 100ACL с 23 правилами внутри, а тут даже такие мелочи он переварить не может!

 

ingress

зачем vlan acl? хватит ip acl на роутере... на l2 свичах и так между vlan'ами никакой связи не будет!

 

Если рассматривать не комп, а железку (не коммутатор) - что для этих целей подойдет? Хотя вряд ли есть роутеры с гигабитом...

omi4

omi4

Posted
Posted

Железки с гигом есть, только бюджет нужно увеличить раз в 10 как минимум. Или подумать, а точно есть столько трафика.

 

Чтобы забить магистраль в 1Гбит это нужно сколько тысяч пользователей?

omi4

omi4

Posted
Posted

Огранич аппетит, на 100мбит валом всего. А гиг для пионерских сетей еще не доступен. Стек если только между коммутаторами по Гбиту.

 

Об управлении трафиком на таких скоростях думать еще рано.

 

http://www.msk-ix.ru/stat/msk-ix-yearly.png

 

Или хочешь заявить что ты равен четверти М9

cmhungry

cmhungry

Posted
Posted
Предыстория печальная... долго я выбирал недорогой(до 800$) L3 switch (48x100BaseT + 4x1000BaseT), в итоге выбрал netgear fsm7000, как оказалось зря!
За 800 баков такого функционала не получить. А так - 3550/3750 каталисты. Или же длинк 3852, гига два отрутить сможет, если без особой вирусни в сетке. Но он 1000 баков, а не 800.

3852 - это если 48 соток нужны. Если нет - DGS-3612G

amper

amper

Posted
  • Author
Posted

Мне теперь кажется, что Netgear, Dlink, Zyxel это ширпотреб для игрушечных сеток на 40 компов, если и способный выполнять заявленный функционал, то только в типличных условиях...

SergeiK

SergeiK

Posted
Posted
SergeiK

Мне не нужен комп с 48 портами, достаточно будет 2-4 гигабитных порта и возможность роутить на скорости (хотя бы близкой) к скорости порта... По правилам - получается примерно 6 правил на порт, всего 15, но на каждом порту, одновременно не больше 6! Это меня и смутило, заявлено то 100ACL с 23 правилами внутри, а тут даже такие мелочи он переварить не может!

Если рассматривать не комп, а железку (не коммутатор) - что для этих целей подойдет? Хотя вряд ли есть роутеры с гигабитом...

Есть роутеры и с много больше, чем гигабит возможностями.

Но думать вам про их бюджеты рановато :).

 

Из железок, которые делают все относительно хорошо - это каталисты от Cisco - или искать б/у 3550 или сильно з апределами бюджета.

 

Есть еще AT и HP Procurve - железки которые реально работают на приличных скоростях и многое умееют. И делают это одновременно! И про те и про другие на этом форуме много написано, читайте.

Нортели я опускают, так как совсем их не знаю, может кто скажет за них хорошее слово.

Остальное дохнет под нагрузкой и включении половины функционала одновременно. Некоторые производители делают младшие модели, и старшие модели с тем же набором функций, на двое дороже :). Последние еще способны выполнят свои задачи до конца, но до этого как правило не доходят.

Ascent77

Ascent77

Posted
Posted (edited)

2amper

2Гбит/с нормальная нагрузка для современного PC, необходимы:

1. материнская плата с pci-express.

2. процессор core2 duo (например, e6600).

3. интеловские гигабитные карточки.

4. FreeBSD с polling или Linux с NAPI по вкусу.

5. вместо hdd - ide flash.

6. прямые руки

На данный момент самое производительное решение для роутинга в диапазоне до $20000, L3 свитчи более производительны, но функционал много беднее.

 

P.S.

А тем кто говорит, что polling вносит ощутимые задержки, советую почитать теорию и попробовать хот раз настроить этот самый polling.

Edited by Ascent77
amper

amper

Posted
  • Author
Posted

Если смотреть в сторону Cisco, то минимально нужен WS-C3550-24 обязательно с EMI ?! Сколько гарантированного ACLов он выдержит? Какие могут быть грабли?

SergeiK

SergeiK

Posted
Posted
2amper

2Гбит/с нормальная нагрузка для современного PC, необходимы:

1. материнская плата с pci-express.

2. процессор core2 duo (например, e6600).

3. интеловские гигабитные карточки.

4. FreeBSD с polling или Linux с NAPI по вкусу.

5. вместо hdd - ide flash.

6. прямые руки

На данный момент самое производительное решение для роутинга в диапазоне до $20000, L3 свитчи более производительны, но функционал много беднее.

 

P.S.

А тем кто говорит, что polling вносит ощутимые задержки, советую почитать теорию и попробовать хот раз настроить этот самый polling.

Вопрос теперь - сколько будет стоить такой сервер и сколько - человек, которые его может довести до такой производительности и за сколько поддерживать?

Понятно, что если таких серверов будет 5-10 и больше - этот человек свою зарплату отработает, последующая поддержка-то будет минимальная, будет заниматься другими делами.

А если нужен один и такого человека рядом нет - то лучше железку брать.

SergeiK

SergeiK

Posted
Posted

Основные грабли -

NOTE: This product has reached end-of-sale or end-of-life status; it cannot be ordered and may no longer be supported.

 

Что касается числа записей ACL - мне не удалось найти.

По более новым свичам - 3650 - 1000 ACE entries.

В старых 2950 было 300, в 2960 - 512.

Уверен, что примерно на 50 записей можно расчитывать.

 

EMI тебе даст OSPF|EIGRP и ряд другие подобных опций, RIP2 кажется будет в SMI.

omi4

omi4

Posted
Posted
Вопрос теперь - сколько будет стоить такой сервер и сколько - человек, которые его может довести до такой производительности и за сколько поддерживать?

Понятно, что если таких серверов будет 5-10 и больше - этот человек свою зарплату отработает, последующая поддержка-то будет минимальная, будет заниматься другими делами.

А если нужен один и такого человека рядом нет - то лучше железку брать.

А админы что только резет жать умеют? Нормальный админ с такой задачей справится, особенно при описанном железе. Которое простит многое, возьмет дурниной.

bikeRR

bikeRR

Posted
Posted

EMI/SMI походу отличаются только IOS'ом, который для каталистов можно слить с cisco.com совершенно даром. Из ощутимых баков 3550 лично для меня - отсутствие netflow, но здесь оно и не требовалось вроде :)

SergeiK

SergeiK

Posted
Posted

Вопрос теперь - сколько будет стоить такой сервер и сколько - человек, которые его может довести до такой производительности и за сколько поддерживать?

Понятно, что если таких серверов будет 5-10 и больше - этот человек свою зарплату отработает, последующая поддержка-то будет минимальная, будет заниматься другими делами.

А если нужен один и такого человека рядом нет - то лучше железку брать.

А админы что только резет жать умеют? Нормальный админ с такой задачей справится, особенно при описанном железе. Которое простит многое, возьмет дурниной.

Не имея в виду никого конкретно - для некоторых админов и ресет-то найти - задача. Много виндузятников, а винда такой трафик никак непротащит.

А FreeBSD или Линукс поставить, да еще настроить что-то для оптимизации свичинга - это вообще за пределами достижимого. Консоль пугает одним своим видом, а самых слабых отправляет в длительный обморок.

 

Ныне вменяемый сисадмин в Москве становиться роскошью.

omi4

omi4

Posted
Posted (edited)

А невменяемый еще дороже, будет просить запредельное железо. Которое один хрен работать толком не будет, что будет поводом просить еще более свирепую железяку.

 

С Москвы пора ломится в регионы, там сейчас самое то.

Edited by omi4
cmhungry

cmhungry

Posted
Posted

Мне теперь кажется, что Netgear, Dlink, Zyxel это ширпотреб для игрушечных сеток на 40 компов, если и способный выполнять заявленный функционал, то только в типличных условиях...

Неверное мнение =)

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.