Jump to content
Калькуляторы

Ограничение полосы для пользователей на Cisco Чем шейпить/ полисить/ ещё что-то делать, какие команды, какое железо?

Небольшой провайдер, два аплинка около 150 Мбит/с в сумме, примерно 2000 пользователей. Планируем купить Cisco 2921 на границу сети, заюзать стандартный функционал. Встал вопрос как ограничивать скорость пользователей: безлимитчики с гарантированной полосой, безлимитчики с тарифами "До ..." и т.д. Прошу поделиться опытом.

Про схему с внешним шейпером читал. Софтовые решения просьба не предлагать - есть свои специалисты. Интересует опыт решения подобных задач на Cisco - как они решаются на железках стоимостью до 250 000 рублей по GPL?

Edited by SGrade

Share this post


Link to post
Share on other sites

Какое железо кто использует(вал) на таких скоростях? Сколько памяти надо?

Share this post


Link to post
Share on other sites

Память зависит от того, будете ли вы принимать Fullview от своих апстримов или нет.

Если планируете приобретать 2921 то посмотрите на 2911. Это аналогичные модели, просто в 21 больше возможностей по VoIP, что вам и не надо. Памяти можно максимально набрать 2.5 ГБ, чего вполне хватит на BGP Fullview.

Часто используют для таких задач 720Х серию.

Рейт-лимитить, брать артибуты из Радиуса, все стандартно. Да, не используйте на кошках NAT - этого они не любят, кроме ASR1000 из начального уровня.

Не скажу по ценам, но на ASR 1000 серии стоит обратить внимание. Делайте запрос на оборудование, выбивайте скидки.

Share this post


Link to post
Share on other sites
Память зависит от того, будете ли вы принимать Fullview от своих апстримов или нет.

Если планируете приобретать 2921 то посмотрите на 2911. Это аналогичные модели, просто в 21 больше возможностей по VoIP, что вам и не надо. Памяти можно максимально набрать 2.5 ГБ, чего вполне хватит на BGP Fullview.

Часто используют для таких задач 720Х серию.

Рейт-лимитить, брать артибуты из Радиуса, все стандартно. Да, не используйте на кошках NAT - этого они не любят, кроме ASR1000 из начального уровня.

Не скажу по ценам, но на ASR 1000 серии стоит обратить внимание. Делайте запрос на оборудование, выбивайте скидки.

FullView брать будем от обоих аплинков. Не много 2.5 ГБ для этого?

У 2911 боюсь производительности не хватит. По таблице производительности она на 27% слабее, чем 2921 (вложение).

ASR1000 нам пока не по карману, да и есть ли смысл при наших скоростях? В этом форуме народ советует брать софтовые решения при скоростях до 2 Гбит/с. По 720x, видимо, то же самое.

А в чем проблемы с NAT-ом? Емелся печальный опыт?

Edited by SGrade

Share this post


Link to post
Share on other sites

SGrade

А в чем проблемы с NAT-ом? Емелся печальный опыт?
Проблемы-то нет, просто производительность снижается в несколько раз. А вообще, я бы под Вашу задачу ставил тазик и не парился.

Share this post


Link to post
Share on other sites
SGrade
А в чем проблемы с NAT-ом? Емелся печальный опыт?
Проблемы-то нет, просто производительность снижается в несколько раз. А вообще, я бы под Вашу задачу ставил тазик и не парился.

Извиняюсь за глупые вопросы, но что такое тазик :D:D?

Share this post


Link to post
Share on other sites

для 150 Мбит NAT хватит 2-х - 4-х ядерного + нормальные сетевки,

Linux или FreBSD - от "религии" зависит.

в $2000 - 4000 впишитесь.

 

Про NAT на Cisco лучше сразу забыть,

напрасная трата денег (и времени).

Share this post


Link to post
Share on other sites

Решение перейти на Cisco родилось после годов тренировки с "тазами" - мы так и не добились стабильной работы. Нам нужен стабильный аптайм как минимум несколько месяцев - клиенты сплошь корпоратив, простой в 15 секунд воспринимается, как проблема.

 

Что надо сделать, чтобы на Cisco сделать NAT? В чем проблема? В больших требованиях к памяти, в усиленном пожирании процессора? "Тазики" же делают NAT и компы у нас для этого не сильно мощные используются - до 1000$.

 

Я думал, основные проблемы с шейпером будут. По шейперу нет претензий к Cisco?

Share this post


Link to post
Share on other sites

то, что может натить тазик за 1000$ на циске будет стоить гораздо больших денег.

если тазик собрать в нормальном серверном шасси а не из грязи, настроить, то аптайм в год совсем реален.

Share this post


Link to post
Share on other sites
то, что может натить тазик за 1000$ на циске будет стоить гораздо больших денег.

если тазик собрать в нормальном серверном шасси а не из грязи, настроить, то аптайм в год совсем реален.

подскажите

сейчас на одном тазике нат, и шейпер

при выносе ната на тазик перед шейпером разгрузит шейпер?

инет -> пк нат -> пк шейпер -> абоненты

пропускная способность такой схемы выше???

Share this post


Link to post
Share on other sites
то, что может натить тазик за 1000$ на циске будет стоить гораздо больших денег.

если тазик собрать в нормальном серверном шасси а не из грязи, настроить, то аптайм в год совсем реален.

подскажите

сейчас на одном тазике нат, и шейпер

при выносе ната на тазик перед шейпером разгрузит шейпер?

инет -> пк нат -> пк шейпер -> абоненты

пропускная способность такой схемы выше???

Выше, но используя freebsd+ng_nat+ng_car можно добиться приличных результатов.

И не забываем о появлении еще одной точки отказа.

Share this post


Link to post
Share on other sites
Решение перейти на Cisco родилось после годов тренировки с "тазами" - мы так и не добились стабильной работы. Нам нужен стабильный аптайм как минимум несколько месяцев - клиенты сплошь корпоратив, простой в 15 секунд воспринимается, как проблема.

 

Что надо сделать, чтобы на Cisco сделать NAT? В чем проблема? В больших требованиях к памяти, в усиленном пожирании процессора? "Тазики" же делают NAT и компы у нас для этого не сильно мощные используются - до 1000$.

 

Я думал, основные проблемы с шейпером будут. По шейперу нет претензий к Cisco?

А можно поинтересоваться, в чем именно были проблемы с софтроутерами на PC-серверах? Просто у самого есть опыт использования FreeBSD и особых проблем нет.

Простой для корпоратива в 15 секунд решается технологией CARP+PFSYNC и двумя роутерами, каждый из которых с ИБП. http://www.openbsd.org/faq/pf/carp.html - все в общем-то просто.

 

Проблемы есть везде. На Cisco, на FreeBSD, на Linux, на Juniper. Просто надо адекватно понимать с чем имеете дело и держать вменяемых администраторов не экономя на них, как и на железе.

 

Share this post


Link to post
Share on other sites
то, что может натить тазик за 1000$ на циске будет стоить гораздо больших денег.

если тазик собрать в нормальном серверном шасси а не из грязи, настроить, то аптайм в год совсем реален.

Cisco, конечно, стоит денег, но сейчас мы эти деньги и клиентов теряем из-за отказов тазиков. Мы перешли порог, когда отказы "тазиков" создают потерь больше, чем стоимость Cisco. Отказы преимущественно софтовые.

Share this post


Link to post
Share on other sites
Решение перейти на Cisco родилось после годов тренировки с "тазами" - мы так и не добились стабильной работы. Нам нужен стабильный аптайм как минимум несколько месяцев - клиенты сплошь корпоратив, простой в 15 секунд воспринимается, как проблема...
А можно поинтересоваться, в чем именно были проблемы с софтроутерами на PC-серверах? Просто у самого есть опыт использования FreeBSD и особых проблем нет.

...

Проблемы есть везде. На Cisco, на FreeBSD, на Linux, на Juniper. Просто надо адекватно понимать с чем имеете дело и держать вменяемых администраторов не экономя на них, как и на железе.

Используем Linux Debian

 

Были разные проблемы с софтроутерами, из последнего:

- непонятные утечки памяти - вроде :) решили

- периодически "глючит" quagga

- по непонятным причинам иногда загрузка процессора вырастает до критической

- затруднен траблшутинг: информации с сетевых интерфейсов и софтовых модулей мало, чтобы её корректно интерпретировать нужно потратить кучу времени и сил

и т.п.

 

Плюс железо. Сложно оценить требуемую сетевую производительность железа для софт-роутеров, есть ли узкие места в железе. Роутеры у нас не только на границе сети используются, а и в локалке - там тоже переходим на Cisco.

 

Админы у нас самые высокооплачиваемые в городе. С железом проблемы есть, но они не столь критичны, чтобы из-за них заморачиваться на переход на Cisco.

Проблемы с софт-роутерами, конечно, решаются, но их причины обычно не типовые, ищутся долго. К моменту решения старых проблем появляются новые и так непрерывно. Хочется пожить какое-то время без непрерывного тушения пожаров.

 

В Cisco свои проблемы, но они, как правило, типовые, много у кого встречаются, можно спросить, чем лечится и лечится ли вообще. Соответственно, вероятность возникновения ситуации, когда у тебя год проблема и ты не можешь её решить, существенно меньше. Если, конечно, не использовать нестандартные схемы, чего мы делать не собираемся.

Edited by SGrade

Share this post


Link to post
Share on other sites

Хоть Вы и просили не предлагать софтовые решения, но напрашивается такой вариант.

На бордер - L3 свич. Простой и надежный.

Между ядром и бордером 2 софтовых бридж-шейпера. (с избыточностью, например банально по RSTP)

Эта схема даст необходимую надежность и возможность менять шейперы по мере необходимости.

Share this post


Link to post
Share on other sites
Хоть Вы и просили не предлагать софтовые решения, но напрашивается такой вариант.

На бордер - L3 свич. Простой и надежный.

Между ядром и бордером 2 софтовых бридж-шейпера. (с избыточностью, например банально по RSTP)

Эта схема даст необходимую надежность и возможность менять шейперы по мере необходимости.

Спасибо за совет, но мы как раз от этого и пытаемся уйти.

У нас 2 бордер-роутера, на каждом по 2 аплинка, 2 вышестоящих провайдера. Полное резервирование на случай отказа девайса или разрыва линии связи.

Начинаем с замены одного роутера на Cisco, другой пока останется софтовым, по результатам посмотрим.

То, что написано в мануалах на Cisco, известно - интересует именно специфика приложения этих мануалов на практике. Здесь кто-нибудь поделится?

 

Share this post


Link to post
Share on other sites

почитал топик.... может все-таки дело в админах? работают тазики в такой конфигурации, хорошо работают. (при объемах менее 1гбита разумеется).

Share this post


Link to post
Share on other sites

Два тазика (шейп, НАТ, netflow), с балансировкой нагрузки и резервированием друг друга выросли за 1.5 года с 400 до 900 Мбит.

Аптайм у обоих те же 1.5 года.

 

Может всё таки дело в админах и некачественном железе?

Share this post


Link to post
Share on other sites
Админы у нас самые высокооплачиваемые в городе
- это не эквивалентно вменяемым админам.

Проведите независимый аудит своей сети - сразу все косяки вылезут. А лучше пару аудитов. Тогда точно все косяки вылезут. Спокойно заплатив согласованную сумму вам приведут список проблем и как с ними бороться.

Здесь на форуме полно специалистов, которые смогут это сделать и внятно объяснить обо всех проблемах.

 

Скажу еще раз - с Cisco проблем будет не больше и не меньше. Как правильно здесь сказали, на каналах меньше гигабита софтовые решения ведут себя в 99% случаев адекватно. Проблемы часто из-за кривизны рук или из-за бага/фичи.

 

PS: аптайм не показатель.

Edited by yakuzzza

Share this post


Link to post
Share on other sites
Админы у нас самые высокооплачиваемые в городе
- это не эквивалентно вменяемым админам.

Проведите независимый аудит своей сети - сразу все косяки вылезут...

Подскажите способ. Мы очень далеко от центра, к нам вряд ли кто поедет. Удаленно аудит практикуется? Сколько стоит?

Share this post


Link to post
Share on other sites
Админы у нас самые высокооплачиваемые в городе
- это не эквивалентно вменяемым админам.

Проведите независимый аудит своей сети - сразу все косяки вылезут...

Подскажите способ. Мы очень далеко от центра, к нам вряд ли кто поедет. Удаленно аудит практикуется? Сколько стоит?

Вообще можно все.

Если не хотите оплачивать транспортные расходы, то рекомендую составить список вопросов, на которые вы хотите получить ответы.

Готовьтесь предоставить вменяемую документацию.

Например, мы только после первого аудита поняли, что должно входить в нормальную документацию и ко второму пришли с нормальной подготовкой и без аврального момента. Но мы промышленная сеть крупного предприятия, а не домосеть. Здесь у нас и требования немного другие. Сами понимаете.

 

Удаленно можно практиковать, но все равно готовьтесь на составление договора о неразглашении, надо доверять аудитору, лучше с юр. лицом. В принципе интеграторы могут пойти на такой шаг.

 

Если есть дополнительные вопросы - можно на почту. Чем смогу помогу и отвечу.

Share this post


Link to post
Share on other sites

Мы очень далеко от центра, к нам вряд ли кто поедет.

неправильный подход. цену на авиабилеты/жд посмотрите. это дешевле кошек. бабло побеждает зло :)

Share this post


Link to post
Share on other sites

Спасибо за совет. Всё-таки попробуем с кошками - там и подход немного отличается, и админы обслуживать будут другие, да и берем мы их по цене вполне адекватной. По результатам сравним. Если у кого ещё есть чем поделиться, милости просим.

Edited by SGrade

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this