[ex-transfer]

Доброго времени суток!

Мы небольшая интернет-компания одного города в сибирском регионе.

Имеем достаточно много оптики по городу. До недавнего времени были только юрлица.

В центре стоит 3845, а от него расходятся L2 коммутаторы по узлам. Банально Влан на абонента. Много ADSL клиентов, по PPPoE.

Полгода назад начали активно подключать жилые дома. В основном - это тот же РРРоЕ и редко VPN (PPTP)

На данный момент имеем около 1000 пользователей. Трафик собираем по нетфлов, на интерфейсах Rate-Limit.

Загрузка процессора начинает подходить к 80% (у нас не такие огромные и толстые каналы как в столице и рядом с ней). Особенно плохо сказывается

на загрузке CPU дань безлимитам физлицам. L3-коммутатора в ядре нет.

Собственно в связи с этим, и не только (опишу чуть ниже) встала необходимость купить нечто мощнее и на будущее.

 

Сейчас вводим 802.1х для физлиц. Вытекающие проблемы: ограничение IP+mac внутри влана, нарезка скорости для каждого IP из большой подсети независимо

(как я ни крутил свою 3845, не нашёл решения), ну и самое главное - это скоростная маршрутизация трафика между вланами.

 

На сегодняшний день стоят проблемы перед выбором новой циски:

1) ограничение скорости при испольщовании 802.1х по-пользовательски (что-то в духе UBRL)

2) возможность PPTP

3) маршрутизация VLAN на 3-м уровне

4) ограничение IP+(возможно) MAC внутри VLAN

6) ограничение скорости на VLAN

7) поддержка Netflow

8) поддержка болшого количества одновременно работающих вланов (наша 2960 ну очень скромна).

 

По бюджету: 1-3 млн.р.

 

Что посоветуете, уважаемые гуру?

[UglyAdmin]

Сейчас вводим 802.1х для физлиц.

Вы не находите, что это абсолютно не нужно при

Банально Влан на абонента.

Развивайте этот путь и забейте на всякие костыли типа PPTP, 802.1х, IP-MAC-Port-Binding и т.п.

[ugluck]

dot1x если и юзать, то на свиче доступа, никак не на ядре

[ex-transfer]

Сейчас вводим 802.1х для физлиц.

Вы не находите, что это абсолютно не нужно при

Банально Влан на абонента.

Развивайте этот путь и забейте на всякие костыли типа PPTP, 802.1х, IP-MAC-Port-Binding и т.п.

На данный момент невозможно, т.к. весьма много вланов под юрлиц УЖЕ отведено. А их у нас очень много, в отличие от физлиц.

Вланы не бесконечны. И в силу структуры нашей сети влан на абонента (для физика) недопустимо. 802.1х перспективная вещь

 

По сабжу есть мысли?

 

 

и от PPTP нам ну никак не отказаться. т.к. многие клиенты у нас проключены через чужие сети.

 

dot1x если и юзать, то на свиче доступа, никак не на ядре

ну так на свиче доступа и юзаем. а на ядре нужно скорости резать по-пользовательски. Непонятно только как

[UglyAdmin]

На данный момент невозможно, т.к. весьма много вланов под юрлиц УЖЕ отведено. А их у нас очень много, в отличие от физлиц.

Вланы не бесконечны.

Вот уже более 30К физиков, и все "вилан на юзера". Что я делаю не так? :)

Совершенно необязательно сводить всех юзеров в одну мега-железку. Более того, это зачастую вредно - представьте, что она сдохла...

Поставьте рядом ещё одну 3845, а лучше 7201 и сводите их туда. Кончится - поставите ещё одну...

Скажу крамольную мысль - многие писюки ставят на терминацию юзерских туннелей, они дешевле цисок при на порядок большей производительности...

 

Можно посмотреть б/у шеститонники от НАГа, но их надо готовить уметь...

 

[Alexandr Ovcharenko]

dot1x если и юзать, то на свиче доступа, никак не на ядре

ну так на свиче доступа и юзаем. а на ядре нужно скорости резать по-пользовательски. Непонятно только как

Скорость удобно резать там, где терминируется выход абонента в инет. Классика - на брасе (там где у Вас pptp раздается). Для 802.1х удобнее было бы резать скорость прямо на порту доступа, но тогда юзер получит ущербную внутрисеть :) . Если это не приемлемо - тогда на бордере.

 

Вообще, у Вас целый зоопарк технологий доступа - это неизбежно приведет к зоопарку цисок :) и замороченной схеме рассыпания по этому зоопарку клиентов, чтобы им еще и внутрисеть обеспечить. Одной мега-железякой точно не обойдетесь (ИМХО). Может все же унифицировать технологию доступа? UglyAdmin разумную вещь предлагает...

 

Скажу крамольную мысль - многие писюки ставят на терминацию юзерских туннелей, они дешевле цисок при на порядок большей производительности...

Ууугууу :) +1

 

[ugluck]

... а на ядре нужно скорости резать по-пользовательски. Непонятно только как

может, копнуть тогда в сторону dot1x-атрибутов и попытаться резать тоже прям на свиче? а если на ядре, то стопка 72-х с isg и вперед, заодно никаких граблей с dot1x, только ipSrcGuard

 

[Stak]

то стопка 72-х с isg и вперед, заодно никаких граблей с dot1x, только ipSrcGuard

+1

Вообще, у Вас целый зоопарк технологий доступа - это неизбежно приведет к зоопарку цисок :) и замороченной схеме рассыпания по этому зоопарку клиентов, чтобы им еще и внутрисеть обеспечить. Одной мега-железякой точно не обойдетесь (ИМХО). Может все же унифицировать технологию доступа?

+10

[awef]

как вариант заменить на узлах 2960 на 3750G

 

ну а на ядро 72хх с G1/G2

как упрется в производительность то следующую ставить