25k pptp sess / 1Mpps

[SkyCaster]

Всезнающий и всемогущий ALL

Какую железку можете посоветовать для терминации 20000-30000 pptp сессий с трафиком порядка ~2-5Гб/с или около 1Mpps - чтоб реально было, плюс ацл, шейперы, нетфло - и не на стенде...?

Есть такое в природе вообще?

[mousus]

имхо на таких нагруженых железках нетфлоу отсутствует по определению и выполняется на отдельной железине 3 уровня, да и acl тоже на другой штуке по идее должен быть. да и pptp вообще технология для удалённого доступа, имхо PPPoE более к месту, вместе с железками вида 10к8 и asr1000

[Stak]

Есть мнение, что если бы такие железки в природе были, то Корбине не пришлось бы переходить на l2tp...

А для pppoe - таки да, есть большие брасы. 10к8, juniper E120/320, далее по вкусу - redback, huawei и др.

ipoe они кстати тоже обычно умеют. Как и l2tp впрочем. А вот с pptp всё плохо...

[photon]

Таких железок нет, потому что PPTP с уязвимым алгоритмом аутентификации и несовместимостью с NAT нормальные люди массово внедрять не будут. Я не понимаю, почему в России провайдеры так любят этот убогий VPN-протокол.

Edited December 1, 2009 by photon

[cmhungry]

Таких железок нет, потому что PPTP с уязвимым алгоритмом аутентификации и несовместимостью с NAT нормальные люди массово внедрять не будут. Я не понимаю, почему в России провайдеры так любят этот убогий VPN-протокол.

потому что дока была по настройке, все поддерживается, сетка может и маршрутизироваться... с юзерской стороны тоже несложно настроить

мда... и я руку приложил к распространению РРТР

[shicoy]

Интересно почему PPTP плохо совместим с NAT? Именно если смотреть с юзерской стороны? Или что, кто-то внутри своей транспортной сети до БРАСа еще и NATить умудряется?

 

L2TP - вот отлично кроме 1го: правда реестра в WinXP, для рядового абонента это стрес

PPPOE - вроде уже писалось... имху плохой тон тянуть L2 от каждого абонента до ядра, да и с секьюрностью у него не меньше проблем чем у PPTP

IPoE - идеальный вариант, но не все сети могут себе позволить

[ingress]

Интересно почему PPTP плохо совместим с NAT? Именно если смотреть с юзерской стороны? Или что, кто-то внутри своей транспортной сети до БРАСа еще и NATить умудряется?

 

L2TP - вот отлично кроме 1го: правда реестра в WinXP, для рядового абонента это стрес

стресс это когда он видит проскакивающее чёрное окно с выполняющимся скриптом правки реестра и cmstp

а потом 15 сек до перезагрузки компа

 

ууххх стресс, бывалые юзеры пугаются :)

[tgz]

потому что дока была по настройке, все поддерживается, сетка может и маршрутизироваться... с юзерской стороны тоже несложно настроить

мда... и я руку приложил к распространению РРТР

Вы, простите, руки после этого мыли? :)

PPTP труп, кто сегодня на нем будет строить сеть - идиот. У кого осталось - выпиливать к хуям, ибо чем дольше затягивать, тем дороже будет потом процесс миграции. А он неизбежен.

[cmhungry]

потому что дока была по настройке, все поддерживается, сетка может и маршрутизироваться... с юзерской стороны тоже несложно настроить

мда... и я руку приложил к распространению РРТР

Вы, простите, руки после этого мыли? :)

PPTP труп, кто сегодня на нем будет строить сеть - идиот. У кого осталось - выпиливать к хуям, ибо чем дольше затягивать, тем дороже будет потом процесс миграции. А он неизбежен.

я потом РРТР на сетке в 4К грызунов отпиливал... так что руки не то что мыли, а кровавыми слезами полировали

[visir]

Таких железок нет, потому что PPTP с уязвимым алгоритмом аутентификации и несовместимостью с NAT нормальные люди массово внедрять не будут. Я не понимаю, почему в России провайдеры так любят этот убогий VPN-протокол.

Дань истории.

Когда-то давно, в виндоус98 встроенным был только PPTP. Все остальное требовало установки дополнительного софта.

Одни до этого сами дошли, другие стырили у них идею. И понеслось...

[vadimus]

Можно вопрос - а зачем терминировать 30000 сессий на одной железке? Не проще поставить 20-30 и терминировать частями, а между ними RIP? Я думаю, нормальная машина с accel-pptpd потянет 1000 сессий, хотя вообще-то теперь уже использовать PPTP для доступа в интернет-это бред, есть же PPPoE (если денег не очень много) и IPoE (если денег много). Ну а дешевле такое решение будет точно. И надежность выше - проще держать запасной настроенный сервер за 3000$ (это я думаю максимум) чем железку за 200000$ (а меньше она навряд ли будет стоить).

[JoeDoe]

Эх! Вспомнился мне старый анекдот про тысячи погибших китайцев при выводе первой ракеты в космос.

Наверное это риторический вопрос, но я не понимаю почему так легко считается CAPEX и абсолютно забывается OPEX?

Сколько электроэнергии эти 30 серверов будут потреблять?! Их ещё и сопровождать надо. Я что то не видел ISSU решений для этого (ISSU - in-service software upgrade). Стоимость же обслуживания одной сессии (даже на CAPEXe) на таком решении окажется сравнима с нормальным операторским оборудованием.

К примеру, Alcatel-Lucent 7750 HS-MDA плата примерно обойдется по $2.5 за подписчика. И проблем с облуживанием и обновлениями на-ходу не будет. Два-три блока питания, два контроллера, NSF, NSR - зачем вам рядом второй такой ящик?! Да и потреблять он будет уж точно меньше (green, так сказать - save your planet!). PPPoE или IPoE, IPv6, Netflow, wire-speed QoS с 8 очередями на каждого подписчика, subscriber routed prefixes, RADIUS/DIAMETER и т.п. - всё это там есть, вот только PPTP нет и не будет. Да вряд ли кто из производителей серьёзных edge рутеров сейчас его делать будет - как то не актуально к Windows 98 возвращаться.

Нет желания всё в одном большом ящике (1/3 rack) держать - можно и распределенно, по 8К подписчиков на "малэнький" ящик решение сделать. Только планета страдать будет "больше" :D

 

П.С. Я говорю только за Alcatel-Lucent, так как знаю как там это делается. Возможны решения и от Cisco с Juniper – но это не ко мне.

Edited December 2, 2009 by JoeDoe

[mousus]

ага, усё верно, только про прозрачную для юзера балансировку нагрузки по брасам на пппое и пптп еще не сказали: в пппое оно какбы делается само)) а вот наши умные пптпшники начинают изобретать и плодить тонны тредов про раунд робин днс, ставить какието балансировщики сторонние и так далее а уж про сэкас с роутерами для конечного пользователя это отдельная история....

[nevzorofff]

Ну и к каким хуям таки мигрировать с PPTP — L2TP или PPPoE?

Edited December 2, 2009 by nevzorofff

[Stak]

IPoE. но это сложнее всего обычно:)

 

[vadimus]

а вот наши умные пптпшники начинают изобретать и плодить тонны тредов про раунд робин днс, ставить какието балансировщики сторонние и так далее а уж про сэкас с роутерами для конечного пользователя это отдельная история....

Это вообще жесть, на длинковских роутерах даже специальные пункты есть - russia PPTP и russia PPPoE ! Чтоб настраивать такие роутеры стало еще веселей!

[nevzorofff]

IPoE. но это сложнее всего обычно:)

Сложнее, дороже и белых адресов надо больше. С NATом наигрались.

[tgz]

IPoE. Адресов надо не намного больше. BRAS если железный, то ему что PPPoE, что IPoE, одинаково. Выбор в том, делать dhcp opt.82 и все в один вилан, или vlan per user на q-in-q с ip unnumbered. Второе красивее и дороже.

[Lanc1]

Идеальной технологии, увы нет. везде нужно искать компромиссы. PPTP, понятно - умер почти.

С IPoE тоже не все так гладко, т. к. отсутствуют механизмы резервирования встроенные, если два или больше брасов и один из них грохается (обещали сделать такую поддержку в след. версии DHCP, но пока нет).

+ с IPoE проблема как уже сказали с NAT (если блок большой публичных адресов не отхватите).

У PPPoE проблема с тем, что L2 нужно пробрасывать до BRAS. Если есть IP/MPLS ядро с ES платами на 7600, то проблем с этим быть не должно (функционал routed pseudowire)).

С PPTP в моем разумении проще всего мигрировать на L2TP, так как тоже используется туннелирование поверх IP сети в режиме, когда клиенты выполняют роль LAC, а BRAS - LNS.

[vadimus]

Лучше всего однозначно IPoE, и лучше тем, что не надо ничего настраивать у пользователя, адресов больше не нужно при использовании ip unnumbered. В случае PPPoE тоже не обязательно все пробрасывать до узла, можно ставить концентратор на район. В общем, это долгий и старый спор, безрезультатный.

[vadimus]

Лучше всего однозначно IPoE, и лучше тем, что не надо ничего настраивать у пользователя, адресов больше не нужно при использовании ip unnumbered. В случае PPPoE тоже не обязательно все пробрасывать до узла, можно ставить концентратор на район. В общем, это долгий и старый спор, безрезультатный.

[Lut]

Для IPoE (+opt.82) надо на каждого пользователя выделить статический IP (т.е. строго определенный ИП, который будет выдаваться по DHCP), соответственно, в случае "белых" адресов надо 1 белый адрес на 1 абонента. PPPoE в этом плане выглядит симпотичнее (:

Есть варианты обохода? Вроде как есть решения связанные со связкой radius+dhcp?

[vadimus]

А что, разве проблема давать один статический белый адрес на абонента? Если средства позволяют приобрести оборудование для такой связки (IPoE (+opt.82)), то можно приобрести и пул реальников!

[JoeDoe]

Идеальной технологии, увы нет. везде нужно искать компромиссы. PPTP, понятно - умер почти.

С IPoE тоже не все так гладко, т. к. отсутствуют механизмы резервирования встроенные, если два или больше брасов и один из них грохается (обещали сделать такую поддержку в след. версии DHCP, но пока нет).

+ с IPoE проблема как уже сказали с NAT (если блок большой публичных адресов не отхватите).

Если у Cisco нет такого - не надо говорить что такого нет вообще. ALU 7710/7450/7750 синхронизирует подписчиков между двумя рутерами, как для IPoE так и для PPPoE, с текущим статусом, QoS профилями каждого и т.п. Свитчи или DSLAMы могут подключаться как через 2 uplinka, так и через кольцо к обеим рутерам. Кстати, в начале 2010 будет и L2-aware NAT, который позволит решить две задачи - мягкую миграцию на IPv6 и проблемы с масштабированием NAT-a на рутерах провайдера.

 

[Magnum72]

Интересно почему PPTP плохо совместим с NAT? Именно если смотреть с юзерской стороны? Или что, кто-то внутри своей транспортной сети до БРАСа еще и NATить умудряется?

 

L2TP - вот отлично кроме 1го: правда реестра в WinXP, для рядового абонента это стрес

PPPOE - вроде уже писалось... имху плохой тон тянуть L2 от каждого абонента до ядра, да и с секьюрностью у него не меньше проблем чем у PPTP

IPoE - идеальный вариант, но не все сети могут себе позволить

Чой-то стрес то? В висте и семерке править рестр не надо, оно само разберется, в хп и 2000 лично у меня делается автоконфигураторорм сетевой карты, пользователь заупскает конфигуратор вписывает ip адрес и все настроено.

Зато неоспоримые приемущества: скорость на нем обычно выше, при проблемах на линии сессия держится секунд 10, можно шнурок передернуть большая половина абонентов ничего не заметит, я не говорю о том что pptp так и остался непринятым стандартом.