[Serhio Go]

Доброе время суток всем.

 

Медленно и печально (скоро придется это делать быстро и весело) ищется аппарат на бордер взамен существующей C7206 NPE-G2.

Хочется

- отсутствия тормозов и потерь на транзите >2Gbps (1Gbps full-duplex) при наличии не самых навороченных ACL на пути мейнстрима;

- возможности корректного учета netflow этого самого транзита.

Не важно

- фуллвью. В ближайшее время не предвидится, а когда понадобится - вполне могу обойтись фильтрацией </21 + дефолтом.

Смотрю в сторону Cat65xx. Есть пара вопросов, сорри, если чайниковских.

1. Правильно ли я понимаю, что более или менее вменяемая поддержка netflow (256к flows) есть только в Sup720-3BXL или Sup720-10G-3CXL ?

2. Можно ли каким-нибудь способом заставить кошку с более скромным Sup'ом (скажем, Sup32-10GE, производительности которого мне на бордере хватит) загонять в нетфлоу не все, а только трафик на строго определенные адреса / со строго определенных адресов? Допустим, считаем netflow только для определенного перечня своих сетей /24 из всего агрегата, а остальное пусть не считается? Если можно - куда копать?

 

Пытаюсь сохранить существующую модель учета трафика отдельных категорий абонентов при минимизации затрат и переделок сети. Посему стараюсь подобрать альтернативу сдвигу учета на L3-агрегацию. Эти отдельные категории размазаны по сети ровным слоем, а узлов агрегации не так чтоб очень мало.

Изменено 21 января, 2009 пользователем Serhio Go

[Konstantin Klimchev]

Доброе время суток всем.

 

Медленно и печально (скоро придется это делать быстро и весело) ищется аппарат на бордер взамен существующей C7206 NPE-G2.

Хочется

- отсутствия тормозов и потерь на транзите >2Gbps (1Gbps full-duplex) при наличии не самых навороченных ACL на пути мейнстрима;

- возможности корректного учета netflow этого самого транзита.

если полноценный netflow на >2G потоке:

о 7600 и 6500 можно забыть....

или asr или gsr

 

 

Не важно

- фуллвью. В ближайшее время не предвидится, а когда понадобится - вполне могу обойтись фильтрацией </21 + дефолтом.

Смотрю в сторону Cat65xx. Есть пара вопросов, сорри, если чайниковских.

1. Правильно ли я понимаю, что более или менее вменяемая поддержка netflow (256к flows) есть только в Sup720-3BXL или Sup720-10G-3CXL ?

2. Можно ли каким-нибудь способом заставить кошку с более скромным Sup'ом (скажем, Sup32-10GE, производительности которого мне на бордере хватит) загонять в нетфлоу не все, а только трафик на строго определенные адреса / со строго определенных адресов? Допустим, считаем netflow только для определенного перечня своих сетей /24 из всего агрегата, а остальное пусть не считается? Если можно - куда копать?

копать в сторону netflow v9

 

 

Пытаюсь сохранить существующую модель учета трафика отдельных категорий абонентов при минимизации затрат и переделок сети. Посему стараюсь подобрать альтернативу сдвигу учета на L3-агрегацию. Эти отдельные категории размазаны по сети ровным слоем, а узлов агрегации не так чтоб очень мало.

Изменено 22 января, 2009 пользователем Konstantin Klimchev

[UglyAdmin]

1. Правильно ли я понимаю, что более или менее вменяемая поддержка netflow (256к flows) есть только в Sup720-3BXL или Sup720-10G-3CXL ?

Неправильно - 256k flows очень мало. Посмотрите для интереса сколько их сейчас на Вашей NPE-G2. (sh ip cache flow)

2. Можно ли каким-нибудь способом заставить кошку с более скромным Sup'ом (скажем, Sup32-10GE, производительности которого мне на бордере хватит) загонять в нетфлоу не все, а только трафик на строго определенные адреса / со строго определенных адресов? Допустим, считаем netflow только для определенного перечня своих сетей /24 из всего агрегата, а остальное пусть не считается? Если можно - куда копать?

За Sup32-10GE не скажу, но есть "Random Sampled Netflow". Фича новая, поэтому работает не везде и не всегда правильно.

ЗЫ: Sup32-10GE на бордере - это сильно!

[Serhio Go]

1. Правильно ли я понимаю, что более или менее вменяемая поддержка netflow (256к flows) есть только в Sup720-3BXL или Sup720-10G-3CXL ?

Неправильно - 256k flows очень мало. Посмотрите для интереса сколько их сейчас на Вашей NPE-G2. (sh ip cache flow)

Наверное, я не совсем точно выразился. "Более или менее вменяемая" - имелось в виду по сравнению с остальными супами. То, что мне 256к мало, я и так догадываюсь.

Почему и спрашиваю про выборочный учет.

2. Можно ли каким-нибудь способом заставить кошку с более скромным Sup'ом (скажем, Sup32-10GE, производительности которого мне на бордере хватит) загонять в нетфлоу не все, а только трафик на строго определенные адреса / со строго определенных адресов? Допустим, считаем netflow только для определенного перечня своих сетей /24 из всего агрегата, а остальное пусть не считается? Если можно - куда копать?

За Sup32-10GE не скажу, но есть "Random Sampled Netflow". Фича новая, поэтому работает не везде и не всегда правильно.

Так random - оно ж случайная выборка. А мне для биллинга надо :)

Или я не так понял смысл?

ЗЫ: Sup32-10GE на бордере - это сильно!

А что именно смущает? 10G? Так у меня в ядре 4900М, гигабитные порты на котором выйдут, имхо, дешевле, чем на бордере, когда мне придется принимать "сверху" мультилинк.

Или я что-то другое упустил?

Изменено 22 января, 2009 пользователем Serhio Go

[Nic]

Вроде во всех супах 256к фловов. И на 2 гбита апстрима их маловато.

[SergeiK]

Если только на замену 7200, без внутреннего свитчинга, но с хорошим NetFlow - то наверно лучше ASR.

ASR1002 мне кажется очень хорошим решением для начала, разве что сыровата еще может быть. Но и дешевле будет и компактнее будет значительно :), чем 6500.

http://www.cisco.com/en/US/products/ps9343...comparison.html

GPL цены.

ASR1002-5G/K9 ASR1002 w/ESP-5G,AESK9,4GB DRAM 40 000

 

ASR1002-10G/K9 ASR1002 w/ESP-10G,AESK9,4GB DRAM 55 000

Included: ASR1000-ESP10 Cisco ASR1000 Embedded Services Processor, 10G,Crypto 1

Included: SASR1R1-AESK9-22SR Cisco ASR 1000 Series RP1 ADVANCED ENTERPRISE 1

 

 

[UglyAdmin]

Есть ещё ME6524, чуть дороже NPE-G2.

Random Sampled Netflow умеет, или по крайней мере должна.

 

Если Вы не одноног - поставьте рядом ещё одну NPE-G2. На аплинк до гигабита её хватит. :)

[SergeiK]

Железка замечательная, но там же SUP32 со всеми вытекающими.

IPv4 Routes Up to 256,000

NetFlow Entries Up to 128,000

[UglyAdmin]

ИМХО, если отфильтровать /24 из /16 и более крупных сетей, то FV чуть не уполовинится. :(

Анонсы /24 есть даже в сетях /8. Поубивал бы.

 

[Serhio Go]

Есть ещё ME6524, чуть дороже NPE-G2.

Random Sampled Netflow умеет, или по крайней мере должна.

 

Если Вы не одноног - поставьте рядом ещё одну NPE-G2. На аплинк до гигабита её хватит. :)

Нога одна. Причем надолго. Так что фуллвью не нужен (да и отфильтровать лишнее не проблема, если что).

Впрочем, были мысли поставить рядом второй NPE-G2, организовать второй линк с аплинком и устроить на них load-balancing. Но с такими темпами роста трафика - максимум через год опять упремся.

Кстати, вопрос по Random Sampled Netflow. А каким боком оно мне может помочь в вопросах биллингового учета?

Предлагается полученные таким образом цыфири тупо умножать на sampling rate?

Изменено 22 января, 2009 пользователем Serhio Go

[UglyAdmin]

Нога одна. Причем надолго. Так что фуллвью не нужен (да и отфильтровать лишнее не проблема, если что).

Впрочем, были мысли поставить рядом второй NPE-G2, организовать второй линк с аплинком и устроить на них load-balancing. Но с такими темпами роста трафика - максимум через год опять упремся.

Отредизайните лучше, а бордером используйте хоть 3560G.

Организуйте отраженный порт и заверните на сервер, там софт всё отловит и посчитает. Можно даже отдать в виде netflow. :)

Кстати, вопрос по Random Sampled Netflow. А каким боком оно мне может помочь в вопросах биллингового учета?

Предлагается полученные таким образом цыфири тупо умножать на sampling rate?

Предлагается отсемпленые 1:100 или 1:1000 данные дропать как ненужные. :)

А с рэйтом 1:1 забирать в биллинг.

[Serhio Go]

Нога одна. Причем надолго. Так что фуллвью не нужен (да и отфильтровать лишнее не проблема, если что).

Впрочем, были мысли поставить рядом второй NPE-G2, организовать второй линк с аплинком и устроить на них load-balancing. Но с такими темпами роста трафика - максимум через год опять упремся.

Отредизайните лучше, а бордером используйте хоть 3560G.

Организуйте отраженный порт и заверните на сервер, там софт всё отловит и посчитает.

ipcad?

В качестве альтернативы рассматривается и такая идея.

Правда, есть сомнения в том, что шелезяка успеет посчитать. Но тут нужен эксперимент, буду пробовать на следующей неделе. Получится - по такому пути и пойду.

 

Можно даже отдать в виде netflow. :)

:)

 

Кстати, вопрос по Random Sampled Netflow. А каким боком оно мне может помочь в вопросах биллингового учета?

Предлагается полученные таким образом цыфири тупо умножать на sampling rate?

Предлагается отсемпленые 1:100 или 1:1000 данные дропать как ненужные. :)

А с рэйтом 1:1 забирать в биллинг.

А вот тут не понял :(

Допустим, задал я mode random one-out-of 100 . Получается, в netflow TCAM попадает в среднем каждый сотый пакет?

А как тогда быть с теми флоу, которые <100 пакетов? Мимо кассы?

Что неправильно?

 

[UglyAdmin]

Кстати, вопрос по Random Sampled Netflow. А каким боком оно мне может помочь в вопросах биллингового учета?

Предлагается полученные таким образом цыфири тупо умножать на sampling rate?

Предлагается отсемпленые 1:100 или 1:1000 данные дропать как ненужные. :)

А с рэйтом 1:1 забирать в биллинг.

А вот тут не понял :(

Допустим, задал я mode random one-out-of 100 . Получается, в netflow TCAM попадает в среднем каждый сотый пакет?

А как тогда быть с теми флоу, которые <100 пакетов? Мимо кассы?

Что неправильно?

Там же можно выбрать трафик. Вот и выбираете, какой собирать 1:1, а какой - 1:1000.

1:1000 потом фильтруете и выбрасываете :)

 

ipcad?

В качестве альтернативы рассматривается и такая идея.

Правда, есть сомнения в том, что шелезяка успеет посчитать. Но тут нужен эксперимент, буду пробовать на следующей неделе. Получится - по такому пути и пойду.

Тут нужен правильный сервер с правильными сетевыми, чтобы гигабит мог прожевать на одной сетевке.

Их явно больше одной понадобится, так что лучше брать действительно сервер с интегрированными гигабитками.

Вообще я в этом не силён...

[mikevlz]

практика в соседней теме показывает, что лучше брать сервер без сетевых и докупить туда полноценные сетевые с нужным фичесетом.

[Konstantin Klimchev]

Если только на замену 7200, без внутреннего свитчинга, но с хорошим NetFlow - то наверно лучше ASR.

ASR1002 мне кажется очень хорошим решением для начала, разве что сыровата еще может быть. Но и дешевле будет и компактнее будет значительно :), чем 6500.

http://www.cisco.com/en/US/products/ps9343...comparison.html

GPL цены.

ASR1002-5G/K9 ASR1002 w/ESP-5G,AESK9,4GB DRAM 40 000

 

ASR1002-10G/K9 ASR1002 w/ESP-10G,AESK9,4GB DRAM 55 000

Included: ASR1000-ESP10 Cisco ASR1000 Embedded Services Processor, 10G,Crypto 1

Included: SASR1R1-AESK9-22SR Cisco ASR 1000 Series RP1 ADVANCED ENTERPRISE 1

есть juniper j6350. Но это скорее не предложение, а вопрос (самому интересно стало).

Как оно с 1 Гбит'ом через себя в одну сторону + 3-4 Fullview и jflow'ами?

 

[Serhio Go]

Кстати, вопрос по Random Sampled Netflow. А каким боком оно мне может помочь в вопросах биллингового учета?

Предлагается полученные таким образом цыфири тупо умножать на sampling rate?

Предлагается отсемпленые 1:100 или 1:1000 данные дропать как ненужные. :)

А с рэйтом 1:1 забирать в биллинг.

А вот тут не понял :(

Допустим, задал я mode random one-out-of 100 . Получается, в netflow TCAM попадает в среднем каждый сотый пакет?

А как тогда быть с теми флоу, которые <100 пакетов? Мимо кассы?

Что неправильно?

Там же можно выбрать трафик. Вот и выбираете, какой собирать 1:1, а какой - 1:1000.

1:1000 потом фильтруете и выбрасываете :)

Вот именно момент выбора и не уловил. Как это делается? И можно ли тут обойтись без egress?

 

Тут нужен правильный сервер с правильными сетевыми, чтобы гигабит мог прожевать на одной сетевке.

Их явно больше одной понадобится, так что лучше брать действительно сервер с интегрированными гигабитками.

Ну, понятно, что сервер должен быть серьезный...

Изменено 22 января, 2009 пользователем Serhio Go

[cmhungry]

есть juniper j6350. Но это скорее не предложение, а вопрос (самому интересно стало).

Как оно с 1 Гбит'ом через себя в одну сторону + 3-4 Fullview и jflow'ами?

плохо, не осилит ни разу (гиг он плохо через себя пропустит даже без jflow)

ASR1002 ваш выбор, скорее всего

[Konstantin Klimchev]

есть juniper j6350. Но это скорее не предложение, а вопрос (самому интересно стало).

Как оно с 1 Гбит'ом через себя в одну сторону + 3-4 Fullview и jflow'ами?

плохо, не осилит ни разу (гиг он плохо через себя пропустит даже без jflow)

ASR1002 ваш выбор, скорее всего

 

вот по этому есть вопросы:

http://www.iometrix.com/site/pdfs/CA-Iomet...niper-J6350.pdf

понятно что без jflow. но трафик то прогнали....

 

А как оно с Sampled (кстати, а есть оно в j6350?).

 

И вообще - как оно соотносится с 7206 NPE-G2? лучше(производительнее в полтора_два раза)/хуже/также

Изменено 22 января, 2009 пользователем Konstantin Klimchev

[cmhungry]

вот по этому есть вопросы:

http://www.iometrix.com/site/pdfs/CA-Iomet...niper-J6350.pdf

понятно что без jflow. но трафик то прогнали....

 

А как оно с Sampled (кстати, а есть оно в j6350?).

 

И вообще - как оно соотносится с 7206 NPE-G2? лучше(производительнее в полтора_два раза)/хуже/также

примерно так же, как и г2

только дешевле в 2 раза

 

самплед есть, но трафик потом на 1000 умножать будете?

[Konstantin Klimchev]

вот по этому есть вопросы:

http://www.iometrix.com/site/pdfs/CA-Iomet...niper-J6350.pdf

понятно что без jflow. но трафик то прогнали....

 

А как оно с Sampled (кстати, а есть оно в j6350?).

 

И вообще - как оно соотносится с 7206 NPE-G2? лучше(производительнее в полтора_два раза)/хуже/также

примерно так же, как и г2

только дешевле в 2 раза

 

самплед есть, но трафик потом на 1000 умножать будете?

если как и 7206 G2 - тогда не оно :(

мне проще на sampled flow на имеющейся G2 перейти и еще прожевать сотню мбит входящего... Видать, действительно asr1002 мой выбор....

Как бордер уже ничего, как отмечают (c ios 2.2.2).

 

Мне flow не для подсчета трафика (на старой DOCSIS-сети - со своей 7206G2, с новой - с ISG с радиуса), а для качественных вещей. Наследованное: бухи хотят трафик с провайдеров, хотя уже больше года мбиты покупаем... Придется ультиматум им ставить... Да для: " а кто это у меня канал выжрал?...." хотя это уже не актульно, после того как к 300 Мбит подошли - с год такой вопрос себе не задавал, точно...

Изменено 22 января, 2009 пользователем Konstantin Klimchev

[tgz]

NSE-150 есть еще ($30k по GPL). Но тут надо аккуратно.

http://www.cisco.com/en/US/docs/routers/73...es/7304pxf.html

[UglyAdmin]

Мне flow не для подсчета трафика (на старой DOCSIS-сети - со своей 7206G2, с новой - с ISG с радиуса), а для качественных вещей. Наследованное: бухи хотят трафик с провайдеров, хотя уже больше года мбиты покупаем... Придется ультиматум им ставить... Да для: " а кто это у меня канал выжрал?...." хотя это уже не актульно, после того как к 300 Мбит подошли - с год такой вопрос себе не задавал, точно...

Э-э-э, а по SNMP счётчики на интерфейсах собирать не судьба?

Рисовать графики в MRTG, там же и трафик считать...

[Konstantin Klimchev]

Мне flow не для подсчета трафика (на старой DOCSIS-сети - со своей 7206G2, с новой - с ISG с радиуса), а для качественных вещей. Наследованное: бухи хотят трафик с провайдеров, хотя уже больше года мбиты покупаем... Придется ультиматум им ставить... Да для: " а кто это у меня канал выжрал?...." хотя это уже не актульно, после того как к 300 Мбит подошли - с год такой вопрос себе не задавал, точно...

Э-э-э, а по SNMP счётчики на интерфейсах собирать не судьба?

Рисовать графики в MRTG, там же и трафик считать...

Картинки рисуются еще со времен царя гороха. Когда имеешь возможность по фловам считать - переход на счетчики.... Хотя придется... И придется расстаться с "а кто это у меня канал загрузил..."

[tgz]

И придется расстаться с "а кто это у меня канал загрузил..."

Для этого есть sampled netflow.

[chainick]

А топ-токеров недостаточно, чтобы определить, кто канал загрузил?