Jump to content
Калькуляторы

Supervisor Engine 2 MSFC2 Есть ли шанс?

Доброго дня.

Хочу спросить у Вас совета. На уровне распределения стоят 3560-Е которые собирают трафик с колечек на районах.

Все это дело работает на Layer 2, но так продолжаться не может. Надо переводить все это дело на Layer 3.

Есть вариант поставить за 3560-E Catalyst 6503 с Sup 2 MSFC2 и соединить их через Etherchannel. На 6503 с Sup 2 планирую

поднять рутинг (BGP) и ставить акцесс листы на ней по клиентам. На каждой 6503 планируется порядка 2000 - 3000 клиентов в своих Vlan (штук 10).

Но вот какая незадача, информации по Sup 2 MSFC2 очень мало. На этом форуме ничего не нашел.

Сразу не понравилось, что этот Sup не умеет PACL и IPv6, но цена данной железки получается совсем крошечной.

Хотя по душе мне кажется лучше взять Sup 32, хотя он и дороже в 10 раз получается.

Подскажите можно ли нормально на Sup 2 MSFC2 реализовать данный функционал, не будет ли каких подводных камней?

Заранее благодарен за ответ!

Edited by RemB

Share this post


Link to post
Share on other sites
Доброго дня.

Хочу спросить у Вас совета. На уровне распределения стоят 3560-Е которые собирают трафик с колечек на районах.

Все это дело работает на Layer 2, но так продолжаться не может. Надо переводить все это дело на Layer 3.

Есть вариант поставить за 3560-E Catalyst 6503 с Sup 2 MSFC2 и соединить их через Etherchannel. На 6503 с Sup 2 планирую

поднять рутинг (BGP) и ставить акцесс листы на ней по клиентам. На каждой 6503 планируется порядка 2000 - 3000 клиентов в своих Vlan (штук 10).

Но вот какая незадача, информации по Sup 2 MSFC2 очень мало. На этом форуме ничего не нашел.

Сразу не понравилось, что этот Sup не умеет PACL и IPv6, но цена данной железки получается совсем крошечной.

Хотя по душе мне кажется лучше взять Sup 32, хотя он и дороже в 10 раз получается.

Подскажите можно ли нормально на Sup 2 MSFC2 реализовать данный функционал, не будет ли каких подводных камней?

Заранее благодарен за ответ!

суп2 у меня терминирует 10К клиентов на 140 вланах с домов. И нормально =)

суп32 от суп2 отличается лишь фичами и уменьшенной вдвое производительностью, если уж суп32 брать - то суп32-10ге хотя бы, на вырост.

 

Share this post


Link to post
Share on other sites

sup32 - ниочем. куда там 10г, если вся фабрика на 32...

ipv6 - весь мировой трафик пророутит 1 core2duo, и так будет еще 1-2 года. Так что если надо в6 - параллельно кошкам ставите линуксовый гейт и вперед. Кстати, а вы уже нашли себе магистрала с в6?

Share this post


Link to post
Share on other sites
суп2 у меня терминирует 10К клиентов на 140 вланах с домов. И нормально =)

суп32 от суп2 отличается лишь фичами и уменьшенной вдвое производительностью, если уж суп32 брать - то суп32-10ге хотя бы, на вырост.

А как боретесь с аномальным трафиком (135 - 138 порты, 445 порт и т.д. и торрент трафик летящий на шлюзовые ip) приходящим на порты line card с sup 2, ведь PACL нет, а следовательно попадет

все на проц? Не погубит ли его это? Ведь CPU rate limeter фактически отсутствуют. Cisco 4500 это сильно гнобило. Не придется ли туда постоянно кататься из-за недоступности в случае атак?

А IPv6 это так на будущее, которое может внезапно прийти.

Edited by RemB

Share this post


Link to post
Share on other sites
sup32 - ниочем. куда там 10г, если вся фабрика на 32...
Как куда - на агрегацию, конечно: получать по гигабитникам, сливать на 10Г.

И смотрите внимательнее, фабрика на sup32-10ge далеко не 32г, это только шина к модулям такая...

Share this post


Link to post
Share on other sites

UglyAdmin, в доке написано, что 32G shared. И на агрегацию есть более дешевое и компактное железо.

По теме: с учетом того, что арпы железные, загрузка проца на работу второго супа особо не влияет. По крайней мере на реальной сети в 15к хомяков стояла и не жужжала, только пинг шлюза иногда скакал за 100мс.

 

Share this post


Link to post
Share on other sites
UglyAdmin, в доке написано, что 32G shared. И на агрегацию есть более дешевое и компактное железо.

По теме: с учетом того, что арпы железные, загрузка проца на работу второго супа особо не влияет. По крайней мере на реальной сети в 15к хомяков стояла и не жужжала, только пинг шлюза иногда скакал за 100мс.

А подскажите, вы клиентов там же не блочили на ACL? Как она к этому относиться? В начале месяца может доходить до 2000 листиков. Не потащит ли блокировка VACL пакеты на проц?

Все таки меня сильно смущает отсутствие port ACL, опасно это как-то. Да и DHCP как relay может ложить хорошо проц, когда клиент IP не может получить. Не сталкиваись с этим?

 

Share this post


Link to post
Share on other sites

Ну это не у меня кошка была, а у моего аплинка, поэтому особых подробностей не знаю. По факту на ней было: acl для разрешения доступа в инет, pbr для виртуальных ипов на pc-nat, pbr для ипов безлимитчиков на pc-шейпер (много правил, по количеству безлимитчиков), igmp, pim, ibgp. DHCP relay точно не использовался.

Share this post


Link to post
Share on other sites

По мне так sup32 вообще ниочем железка для операторов. sup2 помощнее будет, опять же - не хватает шины, можно добить свич-фабрику, 8Гб на слот будет (при платах 65хх). У меня долго тянул 8к хомячков, с ACLями, с dhcp релеингом, BGP, OSPF и netflow. Загрузки проца практически не было (7% - это не загрузка). Правда, мы блочили клиентов через маки, а не через ACL. Через динамические ACL пробовали блочить, вполне нормально отрабатывается, но отказались по другим мотивам.

Share this post


Link to post
Share on other sites
По мне так sup32 вообще ниочем железка для операторов. sup2 помощнее будет.
А вы обе железки юзали? Скажите в чем слабость sup32? Неужели 3000 клиентов не охомячит?

Отчего же у него столь высокая цена в отличии от sup 2 полнонабитого?

Скажите, а на чем катаетесь сейчас?

Правда, мы блочили клиентов через маки.
Вы имеете в виду arp таблицу?

 

Share this post


Link to post
Share on other sites
Скажите в чем слабость sup32
Для меня ключевая - в 128 флоу-памяти против 256 на суп2. Вторая - работа только через шаред бас против работы через свич-фабрику.

А умение его делать множество разных красивых финтифлюшечек за очень дополнительные деньги - мной не востребовано. Типа VRF или DHCP снупинг.

Сейчас работаю на 720 в ядре и куча суп2 на агрегаторах.

Вы имеете в виду arp таблицу
нет, я имею ввиду mac-address-table

 

Share this post


Link to post
Share on other sites
А умение его делать множество разных красивых финтифлюшечек за очень дополнительные деньги - мной не востребовано.
Неужели из-за этих дополнительных фенечек цена sup 32 - 5000 баксов, а sup2 всего 600?
нет, я имею ввиду mac-address-table
А это как? Разве в динамике они не обучаются? Или ее можно как-то отключить?

Share this post


Link to post
Share on other sites
Sup2 - EoL
Зато их МОРЕ на вторичном рынке. И по такой цене, что можно пачку как зип держать. IOS стабильный (у меня 14 месяцев аптайма было, и то отключил в связи с переносом в другое место). А что там еще такого критичного в этом EoL?
А это как?
"mac-address-table static $mac vlan $vlan drop\n"

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this