RemB Опубликовано 15 февраля, 2010 (изменено) Доброго дня. Хочу спросить у Вас совета. На уровне распределения стоят 3560-Е которые собирают трафик с колечек на районах. Все это дело работает на Layer 2, но так продолжаться не может. Надо переводить все это дело на Layer 3. Есть вариант поставить за 3560-E Catalyst 6503 с Sup 2 MSFC2 и соединить их через Etherchannel. На 6503 с Sup 2 планирую поднять рутинг (BGP) и ставить акцесс листы на ней по клиентам. На каждой 6503 планируется порядка 2000 - 3000 клиентов в своих Vlan (штук 10). Но вот какая незадача, информации по Sup 2 MSFC2 очень мало. На этом форуме ничего не нашел. Сразу не понравилось, что этот Sup не умеет PACL и IPv6, но цена данной железки получается совсем крошечной. Хотя по душе мне кажется лучше взять Sup 32, хотя он и дороже в 10 раз получается. Подскажите можно ли нормально на Sup 2 MSFC2 реализовать данный функционал, не будет ли каких подводных камней? Заранее благодарен за ответ! Изменено 15 февраля, 2010 пользователем RemB Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
cmhungry Опубликовано 15 февраля, 2010 Доброго дня.Хочу спросить у Вас совета. На уровне распределения стоят 3560-Е которые собирают трафик с колечек на районах. Все это дело работает на Layer 2, но так продолжаться не может. Надо переводить все это дело на Layer 3. Есть вариант поставить за 3560-E Catalyst 6503 с Sup 2 MSFC2 и соединить их через Etherchannel. На 6503 с Sup 2 планирую поднять рутинг (BGP) и ставить акцесс листы на ней по клиентам. На каждой 6503 планируется порядка 2000 - 3000 клиентов в своих Vlan (штук 10). Но вот какая незадача, информации по Sup 2 MSFC2 очень мало. На этом форуме ничего не нашел. Сразу не понравилось, что этот Sup не умеет PACL и IPv6, но цена данной железки получается совсем крошечной. Хотя по душе мне кажется лучше взять Sup 32, хотя он и дороже в 10 раз получается. Подскажите можно ли нормально на Sup 2 MSFC2 реализовать данный функционал, не будет ли каких подводных камней? Заранее благодарен за ответ! суп2 у меня терминирует 10К клиентов на 140 вланах с домов. И нормально =) суп32 от суп2 отличается лишь фичами и уменьшенной вдвое производительностью, если уж суп32 брать - то суп32-10ге хотя бы, на вырост. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nic Опубликовано 15 февраля, 2010 sup32 - ниочем. куда там 10г, если вся фабрика на 32... ipv6 - весь мировой трафик пророутит 1 core2duo, и так будет еще 1-2 года. Так что если надо в6 - параллельно кошкам ставите линуксовый гейт и вперед. Кстати, а вы уже нашли себе магистрала с в6? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
RemB Опубликовано 16 февраля, 2010 (изменено) суп2 у меня терминирует 10К клиентов на 140 вланах с домов. И нормально =) суп32 от суп2 отличается лишь фичами и уменьшенной вдвое производительностью, если уж суп32 брать - то суп32-10ге хотя бы, на вырост. А как боретесь с аномальным трафиком (135 - 138 порты, 445 порт и т.д. и торрент трафик летящий на шлюзовые ip) приходящим на порты line card с sup 2, ведь PACL нет, а следовательно попадетвсе на проц? Не погубит ли его это? Ведь CPU rate limeter фактически отсутствуют. Cisco 4500 это сильно гнобило. Не придется ли туда постоянно кататься из-за недоступности в случае атак? А IPv6 это так на будущее, которое может внезапно прийти. Изменено 16 февраля, 2010 пользователем RemB Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
UglyAdmin Опубликовано 16 февраля, 2010 sup32 - ниочем. куда там 10г, если вся фабрика на 32...Как куда - на агрегацию, конечно: получать по гигабитникам, сливать на 10Г.И смотрите внимательнее, фабрика на sup32-10ge далеко не 32г, это только шина к модулям такая... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nic Опубликовано 16 февраля, 2010 UglyAdmin, в доке написано, что 32G shared. И на агрегацию есть более дешевое и компактное железо. По теме: с учетом того, что арпы железные, загрузка проца на работу второго супа особо не влияет. По крайней мере на реальной сети в 15к хомяков стояла и не жужжала, только пинг шлюза иногда скакал за 100мс. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
RemB Опубликовано 16 февраля, 2010 UglyAdmin, в доке написано, что 32G shared. И на агрегацию есть более дешевое и компактное железо. По теме: с учетом того, что арпы железные, загрузка проца на работу второго супа особо не влияет. По крайней мере на реальной сети в 15к хомяков стояла и не жужжала, только пинг шлюза иногда скакал за 100мс. А подскажите, вы клиентов там же не блочили на ACL? Как она к этому относиться? В начале месяца может доходить до 2000 листиков. Не потащит ли блокировка VACL пакеты на проц?Все таки меня сильно смущает отсутствие port ACL, опасно это как-то. Да и DHCP как relay может ложить хорошо проц, когда клиент IP не может получить. Не сталкиваись с этим? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nic Опубликовано 16 февраля, 2010 Ну это не у меня кошка была, а у моего аплинка, поэтому особых подробностей не знаю. По факту на ней было: acl для разрешения доступа в инет, pbr для виртуальных ипов на pc-nat, pbr для ипов безлимитчиков на pc-шейпер (много правил, по количеству безлимитчиков), igmp, pim, ibgp. DHCP relay точно не использовался. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
LionSprings Опубликовано 16 февраля, 2010 По мне так sup32 вообще ниочем железка для операторов. sup2 помощнее будет, опять же - не хватает шины, можно добить свич-фабрику, 8Гб на слот будет (при платах 65хх). У меня долго тянул 8к хомячков, с ACLями, с dhcp релеингом, BGP, OSPF и netflow. Загрузки проца практически не было (7% - это не загрузка). Правда, мы блочили клиентов через маки, а не через ACL. Через динамические ACL пробовали блочить, вполне нормально отрабатывается, но отказались по другим мотивам. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
RemB Опубликовано 16 февраля, 2010 По мне так sup32 вообще ниочем железка для операторов. sup2 помощнее будет.А вы обе железки юзали? Скажите в чем слабость sup32? Неужели 3000 клиентов не охомячит?Отчего же у него столь высокая цена в отличии от sup 2 полнонабитого? Скажите, а на чем катаетесь сейчас? Правда, мы блочили клиентов через маки.Вы имеете в виду arp таблицу? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
LionSprings Опубликовано 16 февраля, 2010 Скажите в чем слабость sup32Для меня ключевая - в 128 флоу-памяти против 256 на суп2. Вторая - работа только через шаред бас против работы через свич-фабрику. А умение его делать множество разных красивых финтифлюшечек за очень дополнительные деньги - мной не востребовано. Типа VRF или DHCP снупинг. Сейчас работаю на 720 в ядре и куча суп2 на агрегаторах. Вы имеете в виду arp таблицунет, я имею ввиду mac-address-table Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
RemB Опубликовано 16 февраля, 2010 А умение его делать множество разных красивых финтифлюшечек за очень дополнительные деньги - мной не востребовано.Неужели из-за этих дополнительных фенечек цена sup 32 - 5000 баксов, а sup2 всего 600?нет, я имею ввиду mac-address-tableА это как? Разве в динамике они не обучаются? Или ее можно как-то отключить? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
UglyAdmin Опубликовано 16 февраля, 2010 Sup2 - EoL, кстати... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
LionSprings Опубликовано 16 февраля, 2010 Sup2 - EoLЗато их МОРЕ на вторичном рынке. И по такой цене, что можно пачку как зип держать. IOS стабильный (у меня 14 месяцев аптайма было, и то отключил в связи с переносом в другое место). А что там еще такого критичного в этом EoL?А это как?"mac-address-table static $mac vlan $vlan drop\n" Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
