RemB Posted February 15, 2010 (edited) · Report post Доброго дня. Хочу спросить у Вас совета. На уровне распределения стоят 3560-Е которые собирают трафик с колечек на районах. Все это дело работает на Layer 2, но так продолжаться не может. Надо переводить все это дело на Layer 3. Есть вариант поставить за 3560-E Catalyst 6503 с Sup 2 MSFC2 и соединить их через Etherchannel. На 6503 с Sup 2 планирую поднять рутинг (BGP) и ставить акцесс листы на ней по клиентам. На каждой 6503 планируется порядка 2000 - 3000 клиентов в своих Vlan (штук 10). Но вот какая незадача, информации по Sup 2 MSFC2 очень мало. На этом форуме ничего не нашел. Сразу не понравилось, что этот Sup не умеет PACL и IPv6, но цена данной железки получается совсем крошечной. Хотя по душе мне кажется лучше взять Sup 32, хотя он и дороже в 10 раз получается. Подскажите можно ли нормально на Sup 2 MSFC2 реализовать данный функционал, не будет ли каких подводных камней? Заранее благодарен за ответ! Edited February 15, 2010 by RemB Share this post Link to post Share on other sites
cmhungry Posted February 15, 2010 · Report post Доброго дня.Хочу спросить у Вас совета. На уровне распределения стоят 3560-Е которые собирают трафик с колечек на районах. Все это дело работает на Layer 2, но так продолжаться не может. Надо переводить все это дело на Layer 3. Есть вариант поставить за 3560-E Catalyst 6503 с Sup 2 MSFC2 и соединить их через Etherchannel. На 6503 с Sup 2 планирую поднять рутинг (BGP) и ставить акцесс листы на ней по клиентам. На каждой 6503 планируется порядка 2000 - 3000 клиентов в своих Vlan (штук 10). Но вот какая незадача, информации по Sup 2 MSFC2 очень мало. На этом форуме ничего не нашел. Сразу не понравилось, что этот Sup не умеет PACL и IPv6, но цена данной железки получается совсем крошечной. Хотя по душе мне кажется лучше взять Sup 32, хотя он и дороже в 10 раз получается. Подскажите можно ли нормально на Sup 2 MSFC2 реализовать данный функционал, не будет ли каких подводных камней? Заранее благодарен за ответ! суп2 у меня терминирует 10К клиентов на 140 вланах с домов. И нормально =) суп32 от суп2 отличается лишь фичами и уменьшенной вдвое производительностью, если уж суп32 брать - то суп32-10ге хотя бы, на вырост. Share this post Link to post Share on other sites
Nic Posted February 15, 2010 · Report post sup32 - ниочем. куда там 10г, если вся фабрика на 32... ipv6 - весь мировой трафик пророутит 1 core2duo, и так будет еще 1-2 года. Так что если надо в6 - параллельно кошкам ставите линуксовый гейт и вперед. Кстати, а вы уже нашли себе магистрала с в6? Share this post Link to post Share on other sites
RemB Posted February 16, 2010 (edited) · Report post суп2 у меня терминирует 10К клиентов на 140 вланах с домов. И нормально =) суп32 от суп2 отличается лишь фичами и уменьшенной вдвое производительностью, если уж суп32 брать - то суп32-10ге хотя бы, на вырост. А как боретесь с аномальным трафиком (135 - 138 порты, 445 порт и т.д. и торрент трафик летящий на шлюзовые ip) приходящим на порты line card с sup 2, ведь PACL нет, а следовательно попадетвсе на проц? Не погубит ли его это? Ведь CPU rate limeter фактически отсутствуют. Cisco 4500 это сильно гнобило. Не придется ли туда постоянно кататься из-за недоступности в случае атак? А IPv6 это так на будущее, которое может внезапно прийти. Edited February 16, 2010 by RemB Share this post Link to post Share on other sites
UglyAdmin Posted February 16, 2010 · Report post sup32 - ниочем. куда там 10г, если вся фабрика на 32...Как куда - на агрегацию, конечно: получать по гигабитникам, сливать на 10Г.И смотрите внимательнее, фабрика на sup32-10ge далеко не 32г, это только шина к модулям такая... Share this post Link to post Share on other sites
Nic Posted February 16, 2010 · Report post UglyAdmin, в доке написано, что 32G shared. И на агрегацию есть более дешевое и компактное железо. По теме: с учетом того, что арпы железные, загрузка проца на работу второго супа особо не влияет. По крайней мере на реальной сети в 15к хомяков стояла и не жужжала, только пинг шлюза иногда скакал за 100мс. Share this post Link to post Share on other sites
RemB Posted February 16, 2010 · Report post UglyAdmin, в доке написано, что 32G shared. И на агрегацию есть более дешевое и компактное железо. По теме: с учетом того, что арпы железные, загрузка проца на работу второго супа особо не влияет. По крайней мере на реальной сети в 15к хомяков стояла и не жужжала, только пинг шлюза иногда скакал за 100мс. А подскажите, вы клиентов там же не блочили на ACL? Как она к этому относиться? В начале месяца может доходить до 2000 листиков. Не потащит ли блокировка VACL пакеты на проц?Все таки меня сильно смущает отсутствие port ACL, опасно это как-то. Да и DHCP как relay может ложить хорошо проц, когда клиент IP не может получить. Не сталкиваись с этим? Share this post Link to post Share on other sites
Nic Posted February 16, 2010 · Report post Ну это не у меня кошка была, а у моего аплинка, поэтому особых подробностей не знаю. По факту на ней было: acl для разрешения доступа в инет, pbr для виртуальных ипов на pc-nat, pbr для ипов безлимитчиков на pc-шейпер (много правил, по количеству безлимитчиков), igmp, pim, ibgp. DHCP relay точно не использовался. Share this post Link to post Share on other sites
LionSprings Posted February 16, 2010 · Report post По мне так sup32 вообще ниочем железка для операторов. sup2 помощнее будет, опять же - не хватает шины, можно добить свич-фабрику, 8Гб на слот будет (при платах 65хх). У меня долго тянул 8к хомячков, с ACLями, с dhcp релеингом, BGP, OSPF и netflow. Загрузки проца практически не было (7% - это не загрузка). Правда, мы блочили клиентов через маки, а не через ACL. Через динамические ACL пробовали блочить, вполне нормально отрабатывается, но отказались по другим мотивам. Share this post Link to post Share on other sites
RemB Posted February 16, 2010 · Report post По мне так sup32 вообще ниочем железка для операторов. sup2 помощнее будет.А вы обе железки юзали? Скажите в чем слабость sup32? Неужели 3000 клиентов не охомячит?Отчего же у него столь высокая цена в отличии от sup 2 полнонабитого? Скажите, а на чем катаетесь сейчас? Правда, мы блочили клиентов через маки.Вы имеете в виду arp таблицу? Share this post Link to post Share on other sites
LionSprings Posted February 16, 2010 · Report post Скажите в чем слабость sup32Для меня ключевая - в 128 флоу-памяти против 256 на суп2. Вторая - работа только через шаред бас против работы через свич-фабрику. А умение его делать множество разных красивых финтифлюшечек за очень дополнительные деньги - мной не востребовано. Типа VRF или DHCP снупинг. Сейчас работаю на 720 в ядре и куча суп2 на агрегаторах. Вы имеете в виду arp таблицунет, я имею ввиду mac-address-table Share this post Link to post Share on other sites
RemB Posted February 16, 2010 · Report post А умение его делать множество разных красивых финтифлюшечек за очень дополнительные деньги - мной не востребовано.Неужели из-за этих дополнительных фенечек цена sup 32 - 5000 баксов, а sup2 всего 600?нет, я имею ввиду mac-address-tableА это как? Разве в динамике они не обучаются? Или ее можно как-то отключить? Share this post Link to post Share on other sites
UglyAdmin Posted February 16, 2010 · Report post Sup2 - EoL, кстати... Share this post Link to post Share on other sites
LionSprings Posted February 16, 2010 · Report post Sup2 - EoLЗато их МОРЕ на вторичном рынке. И по такой цене, что можно пачку как зип держать. IOS стабильный (у меня 14 месяцев аптайма было, и то отключил в связи с переносом в другое место). А что там еще такого критичного в этом EoL?А это как?"mac-address-table static $mac vlan $vlan drop\n" Share this post Link to post Share on other sites
