Jump to content

VPN концентратор на 1000 пользователей

Antiks
 Share

Recommended Posts

Antiks

Antiks

Posted
Posted (edited)

Требуется подобрать VPN PPTP концентратор на 1500-2000 пользователей. Кто может поделиться опытом, что поставить?

 

CIsco 7201 - до 8000 одновременных туннелей. Отпадает - очень дорого свыше 10 000 $ зеленых

ссылка

 

Juniper NetScreen-ISG 2000 Advanced - 10 000 одновременных туннелей - 29 890 $ просто нет слов, одни эмоции.........

ссылка

 

ZyWALL 1050 - Количество одновременных VPN-туннелей: 1000 - 2440 $ в принципе более менее бюджетное решение, но смущает количество одновременных пользовательских сессий: 128 000, а их уже более 250 000 :(

ссылка

 

DSA-7110 до 3500 туннелей заявлено. - 3500 $ - этот вариант очень заинтересовал. Кто может рассказать как сей девайс ведет себя в работе?

ссылка

 

Возникает вопрос по 7110. Не слишком ли дешево, чтобы быть правдой?

Edited by Antiks
vadimus

vadimus

Posted
Posted (edited)

Здесь единственно нормальный вариант - грамотно настроенный IBM PC. Я думаю, большинство форумчан это 100% подтвердят. Конкретнее - самый лучший вариант, по моему мнению (если требуется именно pptp vpn), это linux (лучше gentoo) с accel-pptp.

Edited by vadimus
2bit

2bit

Posted
Posted

Интересный вариант. Все таки я бы рискнул БЕСПЛАТНО взял бы на тест, потом уже плясал/

 

Как бюджетный вариант, можно заказать не дорого RouterBoard RB1000 и воткнуть четыре штуки в стойку. Это около 4К тунелей (ато и больше =)) ).

 

Если уже это никак......то Cisco.

Опять же какой трафик предполагается?

Antiks

Antiks

Posted
  • Author
Posted (edited)

Лучше уж писюк настроить, если хочется бюджетного решения.

Уже и так на писюке работает....FreeBSD MPD4.4.1 ;) 4 гига оперативки, два двухядерных XEONa, валится, собака, при количестве сессий более 1000 :( На прерывания до 100% уходит загрузки CPU.

Edited by Antiks
Antiks

Antiks

Posted
  • Author
Posted

На тесты D-Link 7110 само собой возьму , благо недалеко ехать. Но всеж интересует мнение специалистов уже пробовавших этот концентратор в деле

Antiks

Antiks

Posted
  • Author
Posted (edited)
Ну я говорю, нужно поставить gentoo linux и accel-pptp. Кстати, какие сетевушки, может, в них дело???
Сетевые Intel® PRO/1000 EB Ethernet, все равно валит.

PS поллинг включен

 

Edited by Antiks
Antiks

Antiks

Posted
  • Author
Posted
Значит, дело во FreeBSD или в ее настройке. Ксеон какой?

CPU: Intel® Xeon® CPU 5120 @ 1.86GHz (1871.23-MHz 686-class CPU)

FreeBSD/SMP: Multiprocessor System Detected: 4 CPUs

cpu0 (BSP): APIC ID: 0

cpu1 (AP): APIC ID: 1

cpu2 (AP): APIC ID: 6

cpu3 (AP): APIC ID: 7

 

 

SokolovS

SokolovS

Posted
Posted

Да, accel-pptp держит такое количество тунелей даже не напрягась и без увеличения latency. Сказал бы что ли какой трафик в пике, т.е. 600-700 Гб в сутки это не такой уж и большой трафик, порядка 90-100 Мбит.

Antiks

Antiks

Posted
  • Author
Posted

83.15% swi1: net - загрузка процессора, отвечающая за сетевую подсистему. У меня при такой картине как раз и начинаются проблемы с потерей пакетов и задержки увеличиваются многократно. Может, конечно, не в ту сторону копаю...Еще подозрение, что такая картина возникает из-за NATа. Но, судя по опытам других системщиков, за NAT сажали и поболее 1000 клиентов.

Kaban

Kaban

Posted
Posted

Поставьте два pptp сервера и разбалансируйте нагрузкузку (если pptp то с помощью dns, если pppoe то оно само разбалансируется). Получите масштабируемое, более надежное и болеедешевое решение чем брать одну брендовую железяку над которой потом трястись всю жизнь.

Antiks

Antiks

Posted
  • Author
Posted

Поставьте два pptp сервера и разбалансируйте нагрузкузку (если pptp то с помощью dns, если pppoe то оно само разбалансируется). Получите масштабируемое, более надежное и болеедешевое решение чем брать одну брендовую железяку над которой потом трястись всю жизнь.

Спасибо за совет, так уже и сделано и разбаллансировку как раз BIND делает. Тут тоже свои нюансы, надо приучить клиентов, а их не одна тысяча, пользоваться доменным именем при настройке pptp, и на практике оказвается, что мало кто этим ползуется. Судя по dnstop.

IvanI

IvanI

Posted
Posted

Полинг выключить и swi1: net может быть > 100%, за 15 дней до снятия серверов с фиксированных IP обьяву на офсайте/форуме грозную что мол работать будет тока с именем сервера такимто, у меня с последнего IP сервера тормоза переходили до месяца:)

Antiks

Antiks

Posted
  • Author
Posted

Полинг выключить и swi1: net может быть > 100%,

kern.polling на второй машине отключен. такая же картина :( ядро собиралось без опции "options DEVICE_POLLING"

mschedrin

mschedrin

Posted
Posted

Вопрос решился перенастройкой писюка.Тянет как миленький более 1000 VPN клиентов в паре с шейпером. Всем спасибо.

А можно поподробнее что именно было перенастроено в писюке?

Antiks

Antiks

Posted
  • Author
Posted
Вопрос решился перенастройкой писюка.Тянет как миленький более 1000 VPN клиентов в паре с шейпером. Всем спасибо.
А можно поподробнее что именно было перенастроено в писюке?

шейпинг трафика средствами ng_car

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.