ex-transfer Опубликовано 27 марта, 2009 · Жалоба Доброго времени суток! Мы небольшая интернет-компания одного города в сибирском регионе. Имеем достаточно много оптики по городу. До недавнего времени были только юрлица. В центре стоит 3845, а от него расходятся L2 коммутаторы по узлам. Банально Влан на абонента. Много ADSL клиентов, по PPPoE. Полгода назад начали активно подключать жилые дома. В основном - это тот же РРРоЕ и редко VPN (PPTP) На данный момент имеем около 1000 пользователей. Трафик собираем по нетфлов, на интерфейсах Rate-Limit. Загрузка процессора начинает подходить к 80% (у нас не такие огромные и толстые каналы как в столице и рядом с ней). Особенно плохо сказывается на загрузке CPU дань безлимитам физлицам. L3-коммутатора в ядре нет. Собственно в связи с этим, и не только (опишу чуть ниже) встала необходимость купить нечто мощнее и на будущее. Сейчас вводим 802.1х для физлиц. Вытекающие проблемы: ограничение IP+mac внутри влана, нарезка скорости для каждого IP из большой подсети независимо (как я ни крутил свою 3845, не нашёл решения), ну и самое главное - это скоростная маршрутизация трафика между вланами. На сегодняшний день стоят проблемы перед выбором новой циски: 1) ограничение скорости при испольщовании 802.1х по-пользовательски (что-то в духе UBRL) 2) возможность PPTP 3) маршрутизация VLAN на 3-м уровне 4) ограничение IP+(возможно) MAC внутри VLAN 6) ограничение скорости на VLAN 7) поддержка Netflow 8) поддержка болшого количества одновременно работающих вланов (наша 2960 ну очень скромна). По бюджету: 1-3 млн.р. Что посоветуете, уважаемые гуру? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
UglyAdmin Опубликовано 27 марта, 2009 · Жалоба Сейчас вводим 802.1х для физлиц. Вы не находите, что это абсолютно не нужно при Банально Влан на абонента. Развивайте этот путь и забейте на всякие костыли типа PPTP, 802.1х, IP-MAC-Port-Binding и т.п. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ugluck Опубликовано 27 марта, 2009 · Жалоба dot1x если и юзать, то на свиче доступа, никак не на ядре Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ex-transfer Опубликовано 27 марта, 2009 · Жалоба Сейчас вводим 802.1х для физлиц.Вы не находите, что это абсолютно не нужно при Банально Влан на абонента.Развивайте этот путь и забейте на всякие костыли типа PPTP, 802.1х, IP-MAC-Port-Binding и т.п. На данный момент невозможно, т.к. весьма много вланов под юрлиц УЖЕ отведено. А их у нас очень много, в отличие от физлиц.Вланы не бесконечны. И в силу структуры нашей сети влан на абонента (для физика) недопустимо. 802.1х перспективная вещь По сабжу есть мысли? и от PPTP нам ну никак не отказаться. т.к. многие клиенты у нас проключены через чужие сети. dot1x если и юзать, то на свиче доступа, никак не на ядрену так на свиче доступа и юзаем. а на ядре нужно скорости резать по-пользовательски. Непонятно только как Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
UglyAdmin Опубликовано 27 марта, 2009 · Жалоба На данный момент невозможно, т.к. весьма много вланов под юрлиц УЖЕ отведено. А их у нас очень много, в отличие от физлиц.Вланы не бесконечны. Вот уже более 30К физиков, и все "вилан на юзера". Что я делаю не так? :)Совершенно необязательно сводить всех юзеров в одну мега-железку. Более того, это зачастую вредно - представьте, что она сдохла... Поставьте рядом ещё одну 3845, а лучше 7201 и сводите их туда. Кончится - поставите ещё одну... Скажу крамольную мысль - многие писюки ставят на терминацию юзерских туннелей, они дешевле цисок при на порядок большей производительности... Можно посмотреть б/у шеститонники от НАГа, но их надо готовить уметь... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Alexandr Ovcharenko Опубликовано 27 марта, 2009 · Жалоба dot1x если и юзать, то на свиче доступа, никак не на ядрену так на свиче доступа и юзаем. а на ядре нужно скорости резать по-пользовательски. Непонятно только как Скорость удобно резать там, где терминируется выход абонента в инет. Классика - на брасе (там где у Вас pptp раздается). Для 802.1х удобнее было бы резать скорость прямо на порту доступа, но тогда юзер получит ущербную внутрисеть :) . Если это не приемлемо - тогда на бордере. Вообще, у Вас целый зоопарк технологий доступа - это неизбежно приведет к зоопарку цисок :) и замороченной схеме рассыпания по этому зоопарку клиентов, чтобы им еще и внутрисеть обеспечить. Одной мега-железякой точно не обойдетесь (ИМХО). Может все же унифицировать технологию доступа? UglyAdmin разумную вещь предлагает... Скажу крамольную мысль - многие писюки ставят на терминацию юзерских туннелей, они дешевле цисок при на порядок большей производительности... Ууугууу :) +1 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ugluck Опубликовано 27 марта, 2009 · Жалоба ... а на ядре нужно скорости резать по-пользовательски. Непонятно только какможет, копнуть тогда в сторону dot1x-атрибутов и попытаться резать тоже прям на свиче? а если на ядре, то стопка 72-х с isg и вперед, заодно никаких граблей с dot1x, только ipSrcGuard Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Stak Опубликовано 27 марта, 2009 · Жалоба то стопка 72-х с isg и вперед, заодно никаких граблей с dot1x, только ipSrcGuard+1Вообще, у Вас целый зоопарк технологий доступа - это неизбежно приведет к зоопарку цисок :) и замороченной схеме рассыпания по этому зоопарку клиентов, чтобы им еще и внутрисеть обеспечить. Одной мега-железякой точно не обойдетесь (ИМХО). Может все же унифицировать технологию доступа?+10 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
awef Опубликовано 27 марта, 2009 · Жалоба как вариант заменить на узлах 2960 на 3750G ну а на ядро 72хх с G1/G2 как упрется в производительность то следующую ставить Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...