Jump to content

Supervisor Engine 2 MSFC2

RemB
 Share

Recommended Posts

RemB

RemB

Posted
Posted (edited)

Доброго дня.

Хочу спросить у Вас совета. На уровне распределения стоят 3560-Е которые собирают трафик с колечек на районах.

Все это дело работает на Layer 2, но так продолжаться не может. Надо переводить все это дело на Layer 3.

Есть вариант поставить за 3560-E Catalyst 6503 с Sup 2 MSFC2 и соединить их через Etherchannel. На 6503 с Sup 2 планирую

поднять рутинг (BGP) и ставить акцесс листы на ней по клиентам. На каждой 6503 планируется порядка 2000 - 3000 клиентов в своих Vlan (штук 10).

Но вот какая незадача, информации по Sup 2 MSFC2 очень мало. На этом форуме ничего не нашел.

Сразу не понравилось, что этот Sup не умеет PACL и IPv6, но цена данной железки получается совсем крошечной.

Хотя по душе мне кажется лучше взять Sup 32, хотя он и дороже в 10 раз получается.

Подскажите можно ли нормально на Sup 2 MSFC2 реализовать данный функционал, не будет ли каких подводных камней?

Заранее благодарен за ответ!

Edited by RemB
cmhungry

cmhungry

Posted
Posted
Доброго дня.

Хочу спросить у Вас совета. На уровне распределения стоят 3560-Е которые собирают трафик с колечек на районах.

Все это дело работает на Layer 2, но так продолжаться не может. Надо переводить все это дело на Layer 3.

Есть вариант поставить за 3560-E Catalyst 6503 с Sup 2 MSFC2 и соединить их через Etherchannel. На 6503 с Sup 2 планирую

поднять рутинг (BGP) и ставить акцесс листы на ней по клиентам. На каждой 6503 планируется порядка 2000 - 3000 клиентов в своих Vlan (штук 10).

Но вот какая незадача, информации по Sup 2 MSFC2 очень мало. На этом форуме ничего не нашел.

Сразу не понравилось, что этот Sup не умеет PACL и IPv6, но цена данной железки получается совсем крошечной.

Хотя по душе мне кажется лучше взять Sup 32, хотя он и дороже в 10 раз получается.

Подскажите можно ли нормально на Sup 2 MSFC2 реализовать данный функционал, не будет ли каких подводных камней?

Заранее благодарен за ответ!

суп2 у меня терминирует 10К клиентов на 140 вланах с домов. И нормально =)

суп32 от суп2 отличается лишь фичами и уменьшенной вдвое производительностью, если уж суп32 брать - то суп32-10ге хотя бы, на вырост.

 

Nic

Nic

Posted
Posted

sup32 - ниочем. куда там 10г, если вся фабрика на 32...

ipv6 - весь мировой трафик пророутит 1 core2duo, и так будет еще 1-2 года. Так что если надо в6 - параллельно кошкам ставите линуксовый гейт и вперед. Кстати, а вы уже нашли себе магистрала с в6?

RemB

RemB

Posted
  • Author
Posted (edited)
суп2 у меня терминирует 10К клиентов на 140 вланах с домов. И нормально =)

суп32 от суп2 отличается лишь фичами и уменьшенной вдвое производительностью, если уж суп32 брать - то суп32-10ге хотя бы, на вырост.

А как боретесь с аномальным трафиком (135 - 138 порты, 445 порт и т.д. и торрент трафик летящий на шлюзовые ip) приходящим на порты line card с sup 2, ведь PACL нет, а следовательно попадет

все на проц? Не погубит ли его это? Ведь CPU rate limeter фактически отсутствуют. Cisco 4500 это сильно гнобило. Не придется ли туда постоянно кататься из-за недоступности в случае атак?

А IPv6 это так на будущее, которое может внезапно прийти.

Edited by RemB
UglyAdmin

UglyAdmin

Posted
Posted
sup32 - ниочем. куда там 10г, если вся фабрика на 32...
Как куда - на агрегацию, конечно: получать по гигабитникам, сливать на 10Г.

И смотрите внимательнее, фабрика на sup32-10ge далеко не 32г, это только шина к модулям такая...

Nic

Nic

Posted
Posted

UglyAdmin, в доке написано, что 32G shared. И на агрегацию есть более дешевое и компактное железо.

По теме: с учетом того, что арпы железные, загрузка проца на работу второго супа особо не влияет. По крайней мере на реальной сети в 15к хомяков стояла и не жужжала, только пинг шлюза иногда скакал за 100мс.

 

RemB

RemB

Posted
  • Author
Posted
UglyAdmin, в доке написано, что 32G shared. И на агрегацию есть более дешевое и компактное железо.

По теме: с учетом того, что арпы железные, загрузка проца на работу второго супа особо не влияет. По крайней мере на реальной сети в 15к хомяков стояла и не жужжала, только пинг шлюза иногда скакал за 100мс.

А подскажите, вы клиентов там же не блочили на ACL? Как она к этому относиться? В начале месяца может доходить до 2000 листиков. Не потащит ли блокировка VACL пакеты на проц?

Все таки меня сильно смущает отсутствие port ACL, опасно это как-то. Да и DHCP как relay может ложить хорошо проц, когда клиент IP не может получить. Не сталкиваись с этим?

 

Nic

Nic

Posted
Posted

Ну это не у меня кошка была, а у моего аплинка, поэтому особых подробностей не знаю. По факту на ней было: acl для разрешения доступа в инет, pbr для виртуальных ипов на pc-nat, pbr для ипов безлимитчиков на pc-шейпер (много правил, по количеству безлимитчиков), igmp, pim, ibgp. DHCP relay точно не использовался.

LionSprings

LionSprings

Posted
Posted

По мне так sup32 вообще ниочем железка для операторов. sup2 помощнее будет, опять же - не хватает шины, можно добить свич-фабрику, 8Гб на слот будет (при платах 65хх). У меня долго тянул 8к хомячков, с ACLями, с dhcp релеингом, BGP, OSPF и netflow. Загрузки проца практически не было (7% - это не загрузка). Правда, мы блочили клиентов через маки, а не через ACL. Через динамические ACL пробовали блочить, вполне нормально отрабатывается, но отказались по другим мотивам.

RemB

RemB

Posted
  • Author
Posted
По мне так sup32 вообще ниочем железка для операторов. sup2 помощнее будет.
А вы обе железки юзали? Скажите в чем слабость sup32? Неужели 3000 клиентов не охомячит?

Отчего же у него столь высокая цена в отличии от sup 2 полнонабитого?

Скажите, а на чем катаетесь сейчас?

Правда, мы блочили клиентов через маки.
Вы имеете в виду arp таблицу?

 

LionSprings

LionSprings

Posted
Posted
Скажите в чем слабость sup32
Для меня ключевая - в 128 флоу-памяти против 256 на суп2. Вторая - работа только через шаред бас против работы через свич-фабрику.

А умение его делать множество разных красивых финтифлюшечек за очень дополнительные деньги - мной не востребовано. Типа VRF или DHCP снупинг.

Сейчас работаю на 720 в ядре и куча суп2 на агрегаторах.

Вы имеете в виду arp таблицу
нет, я имею ввиду mac-address-table

 

RemB

RemB

Posted
  • Author
Posted
А умение его делать множество разных красивых финтифлюшечек за очень дополнительные деньги - мной не востребовано.
Неужели из-за этих дополнительных фенечек цена sup 32 - 5000 баксов, а sup2 всего 600?
нет, я имею ввиду mac-address-table
А это как? Разве в динамике они не обучаются? Или ее можно как-то отключить?
LionSprings

LionSprings

Posted
Posted
Sup2 - EoL
Зато их МОРЕ на вторичном рынке. И по такой цене, что можно пачку как зип держать. IOS стабильный (у меня 14 месяцев аптайма было, и то отключил в связи с переносом в другое место). А что там еще такого критичного в этом EoL?
А это как?
"mac-address-table static $mac vlan $vlan drop\n"

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.