[jab]

С этим набором оборудования можно сделать все и всегда - горизонт лет 10. И IPv6. Любой сервис, любая топология, разве вот MPLSа нет, s-flow все обещают (уже давненько) и т.п. незначительные детали.

И еще одно: эти десять лет это оборудование будет работать.

Сервис, доработки сырого ПО - тут да, проблемы есть (у кого их нет?)

Я домашними сетями занимаюсь заметно больше 10 лет. :-) И каждые 3-4 года меняю либо технологию, либо оборудование, либо кабеля, либо все вместе. И басни про 10 лет, IPv6 - это

кому другому расскажите.

 

P.S. И надо понимать-же, что доступ "мультисервисный езернет" - это очень дорого!

Да ну ? А мы продаем или покупаем ?

[_user_]

С этим набором оборудования можно сделать все и всегда - горизонт лет 10.

Сделать можно все на любом железе, тот функционал который делает у вас доступ есть тот же длинк.

А так voice vlan нет, arp spoofing-а нет.

 

И IPv6. Любой сервис, любая топология, разве вот MPLSа нет

Вы передергиваете за меньшие деньги можно так же собрать любую топологию и любой сервис. Опять же без mpls-а

 

 

P.S. И надо понимать-же, что доступ "мультисервисный езернет" - это очень дорого!

HSI+BTV еще без геммора

VOIP + VPN а тут как получиться. От терпения(абонентов) зависит :)

 

Это не "мультисервисный эзернет" в итоге за такие то деньги.

 

 

[learner]

PS: Особенно порадовали рассуждения про "полную сотку"... При средней нагрузке в час пик в 1 мегабит на рыло. :-)

Это средняя нагрузка "у вас".

А у нас другая конкурентная среда, при которой в ЧНН загрузка 100% 1GE аплинка свича на доступе.

И не потому, что мы не можем ограничить или запретить этот трафик...

 

[jab]

Это средняя нагрузка "у вас".

А у нас другая конкурентная среда, при которой в ЧНН загрузка 100% 1GE аплинка свича на доступе.

И не потому, что мы не можем ограничить или запретить этот трафик...

Паразитным трафиком можно забить и 10GE и 100GE.

 

[jab]

 

И самое интересное - мне не надо "С этим набором оборудования можно сделать все и всегда", мне надо делать только то, что у меня

записано в ТЗ к проекту. И здесь самым критичным является access. Его просто невозможно быстро заменить, в отличие от агрегации и ядра.

[learner]

С этим набором оборудования можно сделать все и всегда - горизонт лет 10.

Сделать можно все на любом железе, тот функционал который делает у вас доступ есть тот же длинк.

А так voice vlan нет, arp spoofing-а нет.

 

И IPv6. Любой сервис, любая топология, разве вот MPLSа нет

Вы передергиваете за меньшие деньги можно так же собрать любую топологию и любой сервис. Опять же без mpls-а

 

 

P.S. И надо понимать-же, что доступ "мультисервисный езернет" - это очень дорого!

HSI+BTV еще без геммора

VOIP + VPN а тут как получиться. От терпения(абонентов) зависит :)

 

Это не "мультисервисный эзернет" в итоге за такие то деньги.

Про dlink согласен, только вот с остальной линейкой не вытанцовывается. И с брасом в ядре не по пути - весь P2P через него прогнать?

А езернет-железку на доступе с разбором vlan на услугу еще не придумали.

 

Расскажите тогда, что такое "мультисервисный езернет"?

 

 

Это средняя нагрузка "у вас".

А у нас другая конкурентная среда, при которой в ЧНН загрузка 100% 1GE аплинка свича на доступе.

И не потому, что мы не можем ограничить или запретить этот трафик...

Паразитным трафиком можно забить и 10GE и 100GE.

Можно. Только этим трафиком пользуются люди.

Знаю, знаю, что между европой и китаем обитают только паразиты...

 

P.S. "Ограничить" - легко, попробуйте "дать"!

 

 

И самое интересное - мне не надо "С этим набором оборудования можно сделать все и всегда", мне надо делать только то, что у меня

записано в ТЗ к проекту. И здесь самым критичным является access. Его просто невозможно быстро заменить, в отличие от агрегации и ядра.

А то, что завтра напишут в ТЗ где описано?

Не сделаете вы - сделает конкурент.

 

[jab]

P.S. "Ограничить" - легко, попробуйте "дать"!

Благотворительность - это в соседнем треде. :-) Так сколько у вас на телесинах средняя нагрузка на рыло в чнн ? И самое интересное - откуда ?

[dk_spb]

в той схеме opt.82 на агрегации именно добавляется по номеру влана. куча функционала по защите от dhcp spoofing - это просто dhcp snooping?

Откуда, простите dhcp snooping? на тупом-то доступе? Или хрен с ним с домом, главное чтобы остальные не пострадали?

А если доступ хотя бы минимально не тупой - нет никакой экономии. И у Вас есть выбор где какой функционал вводить!

 

чем не устраивает 1к SVI на агрегации? тем что в D-Link 3627G их всего 255? дак есть другие вендоры.

Тем что 48*24 и Вашего 1к как не бывало.

Да почти не бывает 100% заполнения портов, но если многоквартирный дом на три подъезда/подъездных свича, Вы от каждого отдельный линк потяните к агрегации?

Так что >1k абонентов на свич агрегации - реально.

И еще вопрос: сколько стоит Ваш свич, умеющий 1k SVI и имеющий гиговые порты в сторону домов?

И если Вы вдруг решите клиентам виндовые порты закрыть (хоть временно) хватит у Вас acl на этом свиче?

Да, кстати, вот что Cisco говорит например про 3750: "128 switch virtual interfaces (SVIs) are recommended. Maximum of 1000 are supported (depending on the number of routes and multicast entries)". Или 3750 - это слишком дешево при тупом доступе?

 

не понятно как от l3 агрегации мы перешли плавно к l2 =).

в агрегации L2 должен быть нормальный selective qinq. об этом в другом топике идет речь

Таки покажите мне всю эту прелесть в рекомендованных в статье свичах под L2 агрегацию.

 

там просто надо псчитать стоимость SFP и конверторы к соответствующим свитчам. разница собственно невелика.

Ну да, а еще пару шасси для конвертеров, а еще модулек управления в шасси захотим.

Ну и отдельная радость от удобства поддержки всего этого.

Изменено 14 апреля, 2009 пользователем dk_spb

[jab]

А то, что завтра напишут в ТЗ где описано?

Не сделаете вы - сделает конкурент.

:-))) Да ничего не напишут. ТЗ я сам пишу, сам проект делаю, сам покупаю, сам внедряю, сам обслуживаю. Конкуренция у нас конечно слабая, всего по 10 провайдеров на дом. :-)

Расскажите пожалуйста, что там мои конкуренты еще не сделали ? Разве что 100 мегабитные анлимиты пока не ввели...

[jab]

 

Кстати, почему не рассказываете, как там у AT с сервисом ? Как быстро реагируют на проблемрепорты ? Приезжают ли забирать горелые свичи

по гарантии ?

[sirmax]

И самое интересное - мне не надо "С этим набором оборудования можно сделать все и всегда", мне надо делать только то, что у меня

записано в ТЗ к проекту. И здесь самым критичным является access. Его просто невозможно быстро заменить, в отличие от агрегации и ядра.

по-моему главный контр-аргумент против статьи.

[learner]

Кстати, почему не рассказываете, как там у AT с сервисом ? Как быстро реагируют на проблемрепорты ? Приезжают ли забирать горелые свичи

по гарантии ?

Все так-же (плохо) как и у других. Да, забирают, реагируют. Но мееедленно. Разработчики сидят в новой зеландии!

И вообще - тут есть их продажников, пускай хвалят. Я могу только ругать.

 

[Stak]

чем не устраивает 1к SVI на агрегации? тем что в D-Link 3627G их всего 255? дак есть другие вендоры.

 

Тем что 48*24 и Вашего 1к как не бывало.

Да почти не бывает 100% заполнения портов, но если многоквартирный дом на три подъезда/подъездных свича, Вы от каждого отдельный линк потяните к агрегации?

Так что >1k абонентов на свич агрегации - реально.

И еще вопрос: сколько стоит Ваш свич, умеющий 1k SVI и имеющий гиговые порты в сторону домов?

И если Вы вдруг решите клиентам виндовые порты закрыть (хоть временно) хватит у Вас acl на этом свиче?

Да, кстати, вот что Cisco говорит например про 3750: "128 switch virtual interfaces (SVIs) are recommended. Maximum of 1000 are supported (depending on the number of routes and multicast entries)". Или 3750 - это слишком дешево при тупом доступе?

Nag ещё один вариант не упомянул, в этой теме описанный: http://forum.nag.ru/forum/index.php?showtopic=45488&st=0

Который как раз эту проблему и призван решить.

 

[dk_spb]

Nag ещё один вариант не упомянул, в этой теме описанный: http://forum.nag.ru/forum/index.php?showtopic=45488&st=0

Который как раз эту проблему и призван решить.

Этот вариант не укладывается в тезис статьи "большая экономия на доступ легко компенсируется лёгким удорожанием агрегации".

Недостатки привёденного варианта я вкратце упоминал.

[Stak]

Этот вариант не укладывается в тезис статьи "большая экономия на доступ легко компенсируется лёгким удорожанием агрегации".

Это чем же он не укладывается? Тот самый влан-на-пользователя на Б.У. циске, только намного более масштабируемый. И конфиги на 3 порядка короче)

А на доступ даже дес-1228 годится. А если у вас топология звезда и 1Г на свич - то и с отсутсвием МВР имхо можно жить. Один хрен маловероятно что у вас на одного пользователя более одного потока пойдёт.

[dk_spb]

Это чем же он не укладывается? Тот самый влан-на-пользователя на Б.У. циске, только намного более масштабируемый. И конфиги на 3 порядка короче)

А на доступ даже дес-1228 годится. А если у вас топология звезда и 1Г на свич - то и с отсутсвием МВР имхо можно жить. Один хрен маловероятно что у вас на одного пользователя более одного потока пойдёт.

Я выше спрашивал про количество acl, пока никто не ответил.

В приведенной ссылке предложено считать на один порт б/у Cisco до 65 абонентов.

А вроде как нам еще надо трафик левых dhcp серверов порезать.

 

 

И еще вопрос, что будет если в клиентский порт на свиче доступа воткнуть DES-1005D и на нём еще пару портов закоротить петелькой?

Тупому доступу-то пофиг, а что Cisco сделает?

 

А про DES-1228 на доступе - спасибо не надо. Кроме головной боли и геммороя это Вам ничего не даст.

Вы бы еще DES-1008 с портовыми вланами предложили.

Изменено 14 апреля, 2009 пользователем dk_spb

[learner]

Это чем же он не укладывается? Тот самый влан-на-пользователя на Б.У. циске, только намного более масштабируемый. И конфиги на 3 порядка короче)

А на доступ даже дес-1228 годится. А если у вас топология звезда и 1Г на свич - то и с отсутсвием МВР имхо можно жить. Один хрен маловероятно что у вас на одного пользователя более одного потока пойдёт.

Я выше спрашивал про количество acl, пока никто не ответил.

В приведенной ссылке предложено считать на один порт б/у Cisco до 65 абонентов.

А вроде как нам еще надо трафик левых dhcp серверов порезать.

 

 

И еще вопрос, что будет если в клиентский порт на свиче доступа воткнуть DES-1005D и на нём еще пару портов закоротить петелькой?

Тупому доступу-то пофиг, а что Cisco сделает?

 

А про DES-1228 на доступе - спасибо не надо. Кроме головной боли и геммороя это Вам ничего не даст.

Вы бы еще DES-1008 с портовыми вланами предложили.

На доступе минимально необходимо должно быть:

 

аплинк SFP 1GE

ssh v.2/management acl

вкл/выкл/счетчик/порт/traps SNMP v.3

spanning-tree mode rstp/guard root/на порт

port security max mac address

ip dhcp information option 82

ip dhcp snooping

vlan id 1-2094

фильтрации на доступе быть не обязательно - это "тяжелая" задача с централизованным автоматическим управлением.

остальное опционально.

 

Сколько будет стоить :) такой свич и какой будет модели :) совершенно не важно...

 

[Stak]

Я выше спрашивал про количество acl, пока никто не ответил.

Количество АЦЛ в данной схеме не имеет принципиального значения. Почему- см. ниже.

 

В приведенной ссылке предложено считать на один порт б/у Cisco столько абонентов, сколько у вас влан на комплекте свичей повешенный на один порт свича агрегации. Их может быть как больше, так и меньше 64х.

 

Трафик левых dhcp серверов режется примерно таким аццес-листом, также как и любой другой обмен между юзверями, который вам мешает.

!
vlan access-map FILTER-Unwanted 20
action forward
match ip address VLAN-MAP-ACL-1
!
vlan filter FILTER-Unwanted vlan-list 10-20
vlan internal allocation policy ascending
!
!
ip access-list extended VLAN-MAP-ACL-1
permit udp any eq bootpc any eq bootps
permit udp host 172.16.10.1 eq bootps any eq bootpc
permit udp host 172.16.20.1 eq bootps any eq bootpc
deny udp any eq bootps any eq bootpc
permit ip any any
!

 

Да и вланов у нас не хватит больше чем по 40 юзеров на порт в 3750.

Если мне не изменяет память, в 3750 поддерживается до 1000 svi.

В этой схеме из них используется скажем 24-48-64-96... в зависимости от заложенной переподписки и типа свичей на доступе. Если два по 48 - то 96. Если 3 - 144.

 

И еще вопрос, что будет если в клиентский порт на свиче доступа воткнуть DES-1005D и на нём еще пару портов закоротить петелькой?

Получится хороший бродкаст-генератор. Если доступ совсем тупой - то траффик дойдёт до агрегации, где и порежется в соответствии с установленной политикой. Максимальная полоса, которая будет занята этими бродкастами - 100Мбит. А линк к свичу доступа - 1Г. Если доступ не совсем тупой - то порежется не нём.

 

А про DES-1228 на доступе - спасибо не надо. Кроме головной боли и геммороя это Вам ничего не даст.

Вы бы еще DES-1008 с портовыми вланами предложили.

А я и не предлагаю, это просто один из вариантов. Я бы предложил Б.У. циску 3524XL с примерно аналогичным функционалом. Или 2950G.

А насчёт DES-1008 с портовыми вланами - разве там есть 802.1ку вланы? Если вдруг есть, то и он подойдёт. Если конечно наплевать на регулярные зависания и прочие радости. Тут как бы не конкретное железо обсуждается, а варианты , которые можно реализовать.

[Stak]

На доступе минимально необходимо должно быть:

аплинк SFP 1GE

..................

Что именно нужно на доступе - зависит от выбранной схемы.

[dk_spb]

Трафик левых dhcp серверов режется примерно таким аццес-листом, также как и любой другой обмен между юзверями, который вам мешает.

А кто в данном случае мешает клиенту засылать бродкастом пакеты с src ip правильного dhcp сервера?

 

Максимальная полоса, которая будет занята этими бродкастами - 100Мбит. А линк к свичу доступа - 1Г. Если доступ не совсем тупой - то порежется не нём.

И как быстро у нас склеят ласты тупые свичи доступа в этом влане?

 

 

Тут как бы не конкретное железо обсуждается, а варианты , которые можно реализовать.

А вот тут мы совсем друг друга не поняли.

Я пытаюсь не обсуждать варианты реализации, а разобраться имеет ли смысл копеечная экономия на доступе.

А если доступ хотя бы минимально не тупой - экономия совсем копеечная. Да еще она съедается либо очень значительным ростом цены агрегации, либо (в случае с б/у Cisco) массой пркатических неудобств от конвертеров (да и выигрыша по цене в сумме не будет).

Если Вы согласны с тем, что на доступе экономить (в рамках того, что предложено в статье) не нужно, то согласен, есть много разных вариантов как "танцевать" дальше, и у всех есть как достоинства, так и недостатки.

 

 

 

[Nag]

И самое интересное - мне не надо "С этим набором оборудования можно сделать все и всегда", мне надо делать только то, что у меня

записано в ТЗ к проекту. И здесь самым критичным является access. Его просто невозможно быстро заменить, в отличие от агрегации и ядра.

по-моему главный контр-аргумент против статьи.

Или наоборот. :-)

Сеть живет не один год. И не два.

А чем меньше на доступе функционала - тем проще дружить железки разных вендоров, эпох и типов.

В рассмотренной случае утверждается, что кроме виланов, в общем-то, на доступе ничего не понадобится НИКОГДА.

А на агрегации - можно и апдейтить.

[Stak]

А кто в данном случае мешает клиенту засылать бродкастом пакеты с src ip правильного dhcp сервера?

Полагаю, что ip source guard либо urpf на агрегации помешает.

И как быстро у нас склеят ласты тупые свичи доступа в этом влане?

а вы уверены что они их склеят? Или им на то чтоб форвардить 100 мбит на 2 порта производительности матрицы не хватит?

Да еще она съедается либо очень значительным ростом цены агрегации, либо (в случае с б/у Cisco) массой пркатических неудобств от конвертеров (да и выигрыша по цене в сумме не будет).

Б.у. циска тоже бывает с гбик или сфп дырками. Конвертеры я бы рекомендовать не стал) Хотя тут у циски есть пробел - либо 10 портов гбик или сфп, либо сразу шассийная железка. То что есть на 24 порта неадекватно по цене к сожалению. Вообще лучше всего эта схема смотрится при шеститонниках на агрегации, портов так по 200-300.

 

[jab]

В рассмотренной случае утверждается, что кроме виланов, в общем-то, на доступе ничего не понадобится НИКОГДА.

Да и виланы в общем-то не нужны... Все прекрасно работает на неуправляемых свичах с пинговалками и PPPoE. :-)

[D^2]

Откуда, простите dhcp snooping? на тупом-то доступе? Или хрен с ним с домом, главное чтобы остальные не пострадали?

А если доступ хотя бы минимально не тупой - нет никакой экономии. И у Вас есть выбор где какой функционал вводить!

на тупом доступе не нужен dhcp snooping. он нужен выше. на доступе вообще ограничен любой обмен broadcast траффика.

Тем что 48*24 и Вашего 1к как не бывало.

Да почти не бывает 100% заполнения портов, но если многоквартирный дом на три подъезда/подъездных свича, Вы от каждого отдельный линк потяните к агрегации?

Так что >1k абонентов на свич агрегации - реально.

И еще вопрос: сколько стоит Ваш свич, умеющий 1k SVI и имеющий гиговые порты в сторону домов?

И если Вы вдруг решите клиентам виндовые порты закрыть (хоть временно) хватит у Вас acl на этом свиче?

Да, кстати, вот что Cisco говорит например про 3750: "128 switch virtual interfaces (SVIs) are recommended. Maximum of 1000 are supported (depending on the number of routes and multicast entries)". Или 3750 - это слишком дешево при тупом доступе?

3550, 3560, 3750 - 1к SVI

4900, 6500 - 4k SVI

 

Таки покажите мне всю эту прелесть в рекомендованных в статье свичах под L2 агрегацию.

я не заметил там рекомендаций про l2 агрегацию. скорее всего l2 агрегацию с QinQ тоже вполне можно организовать на тупом аксесе с dot1.q...

 

Б.у. циска тоже бывает с гбик или сфп дырками. Конвертеры я бы рекомендовать не стал) Хотя тут у циски есть пробел - либо 10 портов гбик или сфп, либо сразу шассийная железка. То что есть на 24 порта неадекватно по цене к сожалению. Вообще лучше всего эта схема смотрится при шеститонниках на агрегации, портов так по 200-300.

если шеститонники не влезают по габаритам или эксплуатационным характеристикам AT-x900-24XS смотрится красиво... но без ip unnumbered

Изменено 14 апреля, 2009 пользователем D^2

[dk_spb]

3550, 3560, 3750 - 1к SVI

4900, 6500 - 4k SVI

Дык то максимум, для 3750 рекомендовано 128.

 

я не заметил там рекомендаций про l2 агрегацию. скорее всего l2 агрегацию с QinQ тоже вполне можно организовать на тупом аксесе с dot1.q...

Цитирую из статьи:

1. Интеллектуальный доступ.

....

L2 agregation:

D-Link DGS-3100-24TG ~ 700$

D-Link DGS-3426 ~ 1 700$

Странно что Вы не заметили.

 

Б.у. циска тоже бывает с гбик или сфп дырками. Конвертеры я бы рекомендовать не стал) Хотя тут у циски есть пробел - либо 10 портов гбик или сфп, либо сразу шассийная железка. То что есть на 24 порта неадекватно по цене к сожалению. Вообще лучше всего эта схема смотрится при шеститонниках на агрегации, портов так по 200-300.

если шеститонники не влезают по габаритам или эксплуатационным характеристикам AT-x900-24XS смотрится красиво... но без ip unnumbered

Вот и я об этом. Особенно красиво по цене смотрится AT. Сэкономили на доступе....

Ну а про шеститонники: некоторые провайдеры вообще агрегацию в домовых шкафах делают. Так что еще раз повторюсь: есть разные схемы со своими плюсами и минусами.

Но вот расскажите мне какой смысл копейку-то на доступе сэкономить? Чтобы потом шеститонник и расстрел за шаг вправо-влево?