7206vxr npe-400 как pptp-концентратор

[nicolnx]

Интересует, какую нагрузку потянет cisco 7206vxr с npe-400 при терминировании pptp+mppe с шейперами.

Поделитесь опытом, может стоит у кого?

[anix]

c npe-g2 и шейперами, больше 1500 - гарантированный ребут :) это без шифрования.

причем частота ребутов зависит от версии железа. есть на сети две разных версии (иос и конфиг однинаковы), одна (более новая) нормально работает, вторая при числе сессий более 1000 нестабильно себя ведет, а иногда и на 200 падет.

Edited May 10, 2009 by anix

[nicolnx]

Нам нужно порядка 2000 с шифрованием. 7301? одна справится?

[Stak]

Нам нужно порядка 2000 с шифрованием. 7301? одна справится?

Нет. 7301 аналог npe-g1... Смотрите на софтовые решения либо готовтесь к стопке 7201)))

[Valaskor]

Нам нужно порядка 2000 с шифрованием. 7301? одна справится?

Траффик какой? А шейпер нужен?

Если да, то боюсь даже 2 штуки 7201 могут не справится.

Edited May 10, 2009 by Valaskor

[smsm]

c npe-g2 и шейперами, больше 1500 - гарантированный ребут :) это без шифрования.

именно с шейперами ?

есть 7201, около 3 тыщ сессий пптп, с 4 рейт-лимитами на пользователи

около 400М трафика, загрузка в пики полная. работает более года, ребутов не было

иос.. 124..xd10

 

 

Нам нужно порядка 2000 с шифрованием. 7301? одна справится?

Траффик какой? А шейпер нужен?

Если да, то боюсь даже 2 штуки 7201 могут не справится.

если трафика 10М то хватит :)

72хх и 73хх не те железки, которые любят шифрование на пптп.

[nicolnx]

а какие железяки его любят?

[Valaskor]

есть 7201, около 3 тыщ сессий пптп, с 4 рейт-лимитами на пользователи

около 400М трафика, загрузка в пики полная. работает более года, ребутов не было

иос.. 124..xd10

да, тут траффик решает. У меня на 7201 примерно 1500 онлайн, проц около 90%, трафф 180 вход + 180 исход. Шейпер есть. Естественно без MPPE, с ним прожует раза в 2 меньше полосу.

топикстартеру советую отказыватся от MPPE - это обрадует даже линукс-тазики.

 

Может быть я конечно ошибусь, но если провести аналогию, ответ на первый пост будет: 30-40 Мбит

Edited May 10, 2009 by Valaskor

[nicolnx]

Спасибо, будем думать дальше - сейчас стопка линуксовых тазиков обслуживает онлайн ~1500 с полосой 100-120М + шейпера

Хотелось бы конечно перейти на аппаратное решение, но, блин, дороговато выходит ;(

[MS]

Спасибо, будем думать дальше - сейчас стопка линуксовых тазиков обслуживает онлайн ~1500 с полосой 100-120М + шейпера

Хотелось бы конечно перейти на аппаратное решение, но, блин, дороговато выходит ;(

Зачем вам аппаратное решение? Цель то какая?

Ибо такую нагрузку легко держит один тазик.

 

[nuclearcat]

Доработайте стопку тазиков, и получите то же самое.

[nicolnx]

один - не держит - слишком хитрые политики шейпинга, да и мппе скучать не дает, даже с accel-pptp. сейчас работают 3, и им хорошо

ну а аппаратное решение - чтобы упростить управление всем этим зоопарком, да и по надежности должно ж быть получше?

[nuclearcat]

аппаратное решение в итоге те же алгоритмы

Только софт можно править и пытаться вытянуть из него больше, а ASIC-и - нет.

[smsm]

.. а если речь идет про авторизацию для инета.. то-есть с локальной сети наружу.

так-ли нужно шифрование ?

[nicolnx]

Нужно, ибо пионеров с Каином хватает, а поставить на доступ железо позволяющее с ними бороться выходит гораздо дороже поддержки MPPE

[Stak]

Нужно, ибо пионеров с Каином хватает, а поставить на доступ железо позволяющее с ними бороться выходит гораздо дороже поддержки MPPE

Объясните кто-нибудь, нафига шифровать в рртр что-то кроме аутентификации? А она по определению шифрованная, в случае CHAP/MS-CHAP/MS-CHAPv2...

Единственная проблема имхо - юзерам нужно снимать дефолтную галочку "требовать шифрование" )

[martin74]

и это самая большая проблема ;)

[Stak]

и это самая большая проблема ;)

Так если оставлять, то раза в 4 больше цисок надо;) Ну или писюков)

[martin74]

мы все таки для клиента работаем... Я согласен с теорией, что розетка "интернет" должна давать интернет. Чтобы туда не воткнули. Согласен, что самое удобное для этого решение - влан на абонента. Но оборудование и финансовые возможности здесь у меня не позволяют строить сеть так. Поэтому мы используем то, что уже есть на компе абонента. Винда ХП и выше умеют PPTP без проблем. Но - у них по умолчанию включено MPPE. Я лучше поставлю на пару писюков на pptp сервере побольше, но максимально упрощу абоненту настройку впн соединения.... Ну религия у меня такая...

[Cold]

Есть NPE 400, хавает в пике около 450 абонентов PPTP... без шифрования. ~35M+shape

IOS mz.122-31.SB15.bin, но в данной прошиве есть какая то накапливающаяся ошибка. Раз в несколько дней в пике ребутится! У кого есть варианты по другим прошивкам, скажите кто на чем сидит ?

Edited May 31, 2009 by Cold

[terrible]

шифрование - зло, его надо губить на стадии зачатия!

т.к.:

 

1) грустно концентраторам - никому ненужные нагрузки из-за никому ненужного шифрования

2) грустно роутерам, которые плохо работают с мппе (например DI-604, абоненты очень любят покупать :) )

[nicolnx]

 

1) грустно концентраторам - никому ненужные нагрузки из-за никому ненужного шифрования

Вы когда-то видели как работает Cain&Abel в режиме arp-spoofing'a?

 

2) грустно роутерам, которые плохо работают с мппе (например DI-604, абоненты очень любят покупать :) )

шифрование опциональное. Если кто-то не хочет его юзать - бога ради. А нормальным роутерам от МРРЕ

ни разу не грустно. Они его или не умеют вовсе и работают без шифрования, или умеют не зависая раз в 10 минут.

Если к 604 длинку это не относится, порекомендуйте абонентам более другой девайс, в чем проблема?

 

[IvanI]

DI-604 уже как год невыпускаются, и с включенным шифрованием на сервере работают (незнаю поддерживают или игнорят).

 

А лучше всего в таких сетях работают асусы 520ГЦ.

[Cold]

у кого на 72xx нормальная ios есть, подскажите версию плз...