RemB Опубликовано 15 февраля, 2010 (изменено) · Жалоба Доброго дня. Хочу спросить у Вас совета. На уровне распределения стоят 3560-Е которые собирают трафик с колечек на районах. Все это дело работает на Layer 2, но так продолжаться не может. Надо переводить все это дело на Layer 3. Есть вариант поставить за 3560-E Catalyst 6503 с Sup 2 MSFC2 и соединить их через Etherchannel. На 6503 с Sup 2 планирую поднять рутинг (BGP) и ставить акцесс листы на ней по клиентам. На каждой 6503 планируется порядка 2000 - 3000 клиентов в своих Vlan (штук 10). Но вот какая незадача, информации по Sup 2 MSFC2 очень мало. На этом форуме ничего не нашел. Сразу не понравилось, что этот Sup не умеет PACL и IPv6, но цена данной железки получается совсем крошечной. Хотя по душе мне кажется лучше взять Sup 32, хотя он и дороже в 10 раз получается. Подскажите можно ли нормально на Sup 2 MSFC2 реализовать данный функционал, не будет ли каких подводных камней? Заранее благодарен за ответ! Изменено 15 февраля, 2010 пользователем RemB Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
cmhungry Опубликовано 15 февраля, 2010 · Жалоба Доброго дня.Хочу спросить у Вас совета. На уровне распределения стоят 3560-Е которые собирают трафик с колечек на районах. Все это дело работает на Layer 2, но так продолжаться не может. Надо переводить все это дело на Layer 3. Есть вариант поставить за 3560-E Catalyst 6503 с Sup 2 MSFC2 и соединить их через Etherchannel. На 6503 с Sup 2 планирую поднять рутинг (BGP) и ставить акцесс листы на ней по клиентам. На каждой 6503 планируется порядка 2000 - 3000 клиентов в своих Vlan (штук 10). Но вот какая незадача, информации по Sup 2 MSFC2 очень мало. На этом форуме ничего не нашел. Сразу не понравилось, что этот Sup не умеет PACL и IPv6, но цена данной железки получается совсем крошечной. Хотя по душе мне кажется лучше взять Sup 32, хотя он и дороже в 10 раз получается. Подскажите можно ли нормально на Sup 2 MSFC2 реализовать данный функционал, не будет ли каких подводных камней? Заранее благодарен за ответ! суп2 у меня терминирует 10К клиентов на 140 вланах с домов. И нормально =) суп32 от суп2 отличается лишь фичами и уменьшенной вдвое производительностью, если уж суп32 брать - то суп32-10ге хотя бы, на вырост. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nic Опубликовано 15 февраля, 2010 · Жалоба sup32 - ниочем. куда там 10г, если вся фабрика на 32... ipv6 - весь мировой трафик пророутит 1 core2duo, и так будет еще 1-2 года. Так что если надо в6 - параллельно кошкам ставите линуксовый гейт и вперед. Кстати, а вы уже нашли себе магистрала с в6? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
RemB Опубликовано 16 февраля, 2010 (изменено) · Жалоба суп2 у меня терминирует 10К клиентов на 140 вланах с домов. И нормально =) суп32 от суп2 отличается лишь фичами и уменьшенной вдвое производительностью, если уж суп32 брать - то суп32-10ге хотя бы, на вырост. А как боретесь с аномальным трафиком (135 - 138 порты, 445 порт и т.д. и торрент трафик летящий на шлюзовые ip) приходящим на порты line card с sup 2, ведь PACL нет, а следовательно попадетвсе на проц? Не погубит ли его это? Ведь CPU rate limeter фактически отсутствуют. Cisco 4500 это сильно гнобило. Не придется ли туда постоянно кататься из-за недоступности в случае атак? А IPv6 это так на будущее, которое может внезапно прийти. Изменено 16 февраля, 2010 пользователем RemB Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
UglyAdmin Опубликовано 16 февраля, 2010 · Жалоба sup32 - ниочем. куда там 10г, если вся фабрика на 32...Как куда - на агрегацию, конечно: получать по гигабитникам, сливать на 10Г.И смотрите внимательнее, фабрика на sup32-10ge далеко не 32г, это только шина к модулям такая... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nic Опубликовано 16 февраля, 2010 · Жалоба UglyAdmin, в доке написано, что 32G shared. И на агрегацию есть более дешевое и компактное железо. По теме: с учетом того, что арпы железные, загрузка проца на работу второго супа особо не влияет. По крайней мере на реальной сети в 15к хомяков стояла и не жужжала, только пинг шлюза иногда скакал за 100мс. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
RemB Опубликовано 16 февраля, 2010 · Жалоба UglyAdmin, в доке написано, что 32G shared. И на агрегацию есть более дешевое и компактное железо. По теме: с учетом того, что арпы железные, загрузка проца на работу второго супа особо не влияет. По крайней мере на реальной сети в 15к хомяков стояла и не жужжала, только пинг шлюза иногда скакал за 100мс. А подскажите, вы клиентов там же не блочили на ACL? Как она к этому относиться? В начале месяца может доходить до 2000 листиков. Не потащит ли блокировка VACL пакеты на проц?Все таки меня сильно смущает отсутствие port ACL, опасно это как-то. Да и DHCP как relay может ложить хорошо проц, когда клиент IP не может получить. Не сталкиваись с этим? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nic Опубликовано 16 февраля, 2010 · Жалоба Ну это не у меня кошка была, а у моего аплинка, поэтому особых подробностей не знаю. По факту на ней было: acl для разрешения доступа в инет, pbr для виртуальных ипов на pc-nat, pbr для ипов безлимитчиков на pc-шейпер (много правил, по количеству безлимитчиков), igmp, pim, ibgp. DHCP relay точно не использовался. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
LionSprings Опубликовано 16 февраля, 2010 · Жалоба По мне так sup32 вообще ниочем железка для операторов. sup2 помощнее будет, опять же - не хватает шины, можно добить свич-фабрику, 8Гб на слот будет (при платах 65хх). У меня долго тянул 8к хомячков, с ACLями, с dhcp релеингом, BGP, OSPF и netflow. Загрузки проца практически не было (7% - это не загрузка). Правда, мы блочили клиентов через маки, а не через ACL. Через динамические ACL пробовали блочить, вполне нормально отрабатывается, но отказались по другим мотивам. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
RemB Опубликовано 16 февраля, 2010 · Жалоба По мне так sup32 вообще ниочем железка для операторов. sup2 помощнее будет.А вы обе железки юзали? Скажите в чем слабость sup32? Неужели 3000 клиентов не охомячит?Отчего же у него столь высокая цена в отличии от sup 2 полнонабитого? Скажите, а на чем катаетесь сейчас? Правда, мы блочили клиентов через маки.Вы имеете в виду arp таблицу? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
LionSprings Опубликовано 16 февраля, 2010 · Жалоба Скажите в чем слабость sup32Для меня ключевая - в 128 флоу-памяти против 256 на суп2. Вторая - работа только через шаред бас против работы через свич-фабрику. А умение его делать множество разных красивых финтифлюшечек за очень дополнительные деньги - мной не востребовано. Типа VRF или DHCP снупинг. Сейчас работаю на 720 в ядре и куча суп2 на агрегаторах. Вы имеете в виду arp таблицунет, я имею ввиду mac-address-table Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
RemB Опубликовано 16 февраля, 2010 · Жалоба А умение его делать множество разных красивых финтифлюшечек за очень дополнительные деньги - мной не востребовано.Неужели из-за этих дополнительных фенечек цена sup 32 - 5000 баксов, а sup2 всего 600?нет, я имею ввиду mac-address-tableА это как? Разве в динамике они не обучаются? Или ее можно как-то отключить? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
UglyAdmin Опубликовано 16 февраля, 2010 · Жалоба Sup2 - EoL, кстати... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
LionSprings Опубликовано 16 февраля, 2010 · Жалоба Sup2 - EoLЗато их МОРЕ на вторичном рынке. И по такой цене, что можно пачку как зип держать. IOS стабильный (у меня 14 месяцев аптайма было, и то отключил в связи с переносом в другое место). А что там еще такого критичного в этом EoL?А это как?"mac-address-table static $mac vlan $vlan drop\n" Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...