[SGrade]

Небольшой провайдер, два аплинка около 150 Мбит/с в сумме, примерно 2000 пользователей. Планируем купить Cisco 2921 на границу сети, заюзать стандартный функционал. Встал вопрос как ограничивать скорость пользователей: безлимитчики с гарантированной полосой, безлимитчики с тарифами "До ..." и т.д. Прошу поделиться опытом.

Про схему с внешним шейпером читал. Софтовые решения просьба не предлагать - есть свои специалисты. Интересует опыт решения подобных задач на Cisco - как они решаются на железках стоимостью до 250 000 рублей по GPL?

Изменено 16 ноября, 2010 пользователем SGrade

[SGrade]

Какое железо кто использует(вал) на таких скоростях? Сколько памяти надо?

[yakuzzza]

Память зависит от того, будете ли вы принимать Fullview от своих апстримов или нет.

Если планируете приобретать 2921 то посмотрите на 2911. Это аналогичные модели, просто в 21 больше возможностей по VoIP, что вам и не надо. Памяти можно максимально набрать 2.5 ГБ, чего вполне хватит на BGP Fullview.

Часто используют для таких задач 720Х серию.

Рейт-лимитить, брать артибуты из Радиуса, все стандартно. Да, не используйте на кошках NAT - этого они не любят, кроме ASR1000 из начального уровня.

Не скажу по ценам, но на ASR 1000 серии стоит обратить внимание. Делайте запрос на оборудование, выбивайте скидки.

[SGrade]

Память зависит от того, будете ли вы принимать Fullview от своих апстримов или нет.

Если планируете приобретать 2921 то посмотрите на 2911. Это аналогичные модели, просто в 21 больше возможностей по VoIP, что вам и не надо. Памяти можно максимально набрать 2.5 ГБ, чего вполне хватит на BGP Fullview.

Часто используют для таких задач 720Х серию.

Рейт-лимитить, брать артибуты из Радиуса, все стандартно. Да, не используйте на кошках NAT - этого они не любят, кроме ASR1000 из начального уровня.

Не скажу по ценам, но на ASR 1000 серии стоит обратить внимание. Делайте запрос на оборудование, выбивайте скидки.

FullView брать будем от обоих аплинков. Не много 2.5 ГБ для этого?

У 2911 боюсь производительности не хватит. По таблице производительности она на 27% слабее, чем 2921 (вложение).

ASR1000 нам пока не по карману, да и есть ли смысл при наших скоростях? В этом форуме народ советует брать софтовые решения при скоростях до 2 Гбит/с. По 720x, видимо, то же самое.

А в чем проблемы с NAT-ом? Емелся печальный опыт?

Изменено 17 ноября, 2010 пользователем SGrade

[_longhorn_]

SGrade

А в чем проблемы с NAT-ом? Емелся печальный опыт?

Проблемы-то нет, просто производительность снижается в несколько раз. А вообще, я бы под Вашу задачу ставил тазик и не парился.

[SGrade]

SGrade

А в чем проблемы с NAT-ом? Емелся печальный опыт?

Проблемы-то нет, просто производительность снижается в несколько раз. А вообще, я бы под Вашу задачу ставил тазик и не парился.

Извиняюсь за глупые вопросы, но что такое тазик :D:D?

[terrible]

Таз - это комп

[ivb1232]

для 150 Мбит NAT хватит 2-х - 4-х ядерного + нормальные сетевки,

Linux или FreBSD - от "религии" зависит.

в $2000 - 4000 впишитесь.

 

Про NAT на Cisco лучше сразу забыть,

напрасная трата денег (и времени).

[SGrade]

Решение перейти на Cisco родилось после годов тренировки с "тазами" - мы так и не добились стабильной работы. Нам нужен стабильный аптайм как минимум несколько месяцев - клиенты сплошь корпоратив, простой в 15 секунд воспринимается, как проблема.

 

Что надо сделать, чтобы на Cisco сделать NAT? В чем проблема? В больших требованиях к памяти, в усиленном пожирании процессора? "Тазики" же делают NAT и компы у нас для этого не сильно мощные используются - до 1000$.

 

Я думал, основные проблемы с шейпером будут. По шейперу нет претензий к Cisco?

[BiWiS]

то, что может натить тазик за 1000$ на циске будет стоить гораздо больших денег.

если тазик собрать в нормальном серверном шасси а не из грязи, настроить, то аптайм в год совсем реален.

[kf72]

то, что может натить тазик за 1000$ на циске будет стоить гораздо больших денег.

если тазик собрать в нормальном серверном шасси а не из грязи, настроить, то аптайм в год совсем реален.

подскажите

сейчас на одном тазике нат, и шейпер

при выносе ната на тазик перед шейпером разгрузит шейпер?

инет -> пк нат -> пк шейпер -> абоненты

пропускная способность такой схемы выше???

[yakuzzza]

то, что может натить тазик за 1000$ на циске будет стоить гораздо больших денег.

если тазик собрать в нормальном серверном шасси а не из грязи, настроить, то аптайм в год совсем реален.

подскажите

сейчас на одном тазике нат, и шейпер

при выносе ната на тазик перед шейпером разгрузит шейпер?

инет -> пк нат -> пк шейпер -> абоненты

пропускная способность такой схемы выше???

Выше, но используя freebsd+ng_nat+ng_car можно добиться приличных результатов.

И не забываем о появлении еще одной точки отказа.

[yakuzzza]

Решение перейти на Cisco родилось после годов тренировки с "тазами" - мы так и не добились стабильной работы. Нам нужен стабильный аптайм как минимум несколько месяцев - клиенты сплошь корпоратив, простой в 15 секунд воспринимается, как проблема.

 

Что надо сделать, чтобы на Cisco сделать NAT? В чем проблема? В больших требованиях к памяти, в усиленном пожирании процессора? "Тазики" же делают NAT и компы у нас для этого не сильно мощные используются - до 1000$.

 

Я думал, основные проблемы с шейпером будут. По шейперу нет претензий к Cisco?

А можно поинтересоваться, в чем именно были проблемы с софтроутерами на PC-серверах? Просто у самого есть опыт использования FreeBSD и особых проблем нет.

Простой для корпоратива в 15 секунд решается технологией CARP+PFSYNC и двумя роутерами, каждый из которых с ИБП. http://www.openbsd.org/faq/pf/carp.html - все в общем-то просто.

 

Проблемы есть везде. На Cisco, на FreeBSD, на Linux, на Juniper. Просто надо адекватно понимать с чем имеете дело и держать вменяемых администраторов не экономя на них, как и на железе.

 

[SGrade]

то, что может натить тазик за 1000$ на циске будет стоить гораздо больших денег.

если тазик собрать в нормальном серверном шасси а не из грязи, настроить, то аптайм в год совсем реален.

Cisco, конечно, стоит денег, но сейчас мы эти деньги и клиентов теряем из-за отказов тазиков. Мы перешли порог, когда отказы "тазиков" создают потерь больше, чем стоимость Cisco. Отказы преимущественно софтовые.

[SGrade]

Решение перейти на Cisco родилось после годов тренировки с "тазами" - мы так и не добились стабильной работы. Нам нужен стабильный аптайм как минимум несколько месяцев - клиенты сплошь корпоратив, простой в 15 секунд воспринимается, как проблема...

А можно поинтересоваться, в чем именно были проблемы с софтроутерами на PC-серверах? Просто у самого есть опыт использования FreeBSD и особых проблем нет.

...

Проблемы есть везде. На Cisco, на FreeBSD, на Linux, на Juniper. Просто надо адекватно понимать с чем имеете дело и держать вменяемых администраторов не экономя на них, как и на железе.

Используем Linux Debian

 

Были разные проблемы с софтроутерами, из последнего:

- непонятные утечки памяти - вроде :) решили

- периодически "глючит" quagga

- по непонятным причинам иногда загрузка процессора вырастает до критической

- затруднен траблшутинг: информации с сетевых интерфейсов и софтовых модулей мало, чтобы её корректно интерпретировать нужно потратить кучу времени и сил

и т.п.

 

Плюс железо. Сложно оценить требуемую сетевую производительность железа для софт-роутеров, есть ли узкие места в железе. Роутеры у нас не только на границе сети используются, а и в локалке - там тоже переходим на Cisco.

 

Админы у нас самые высокооплачиваемые в городе. С железом проблемы есть, но они не столь критичны, чтобы из-за них заморачиваться на переход на Cisco.

Проблемы с софт-роутерами, конечно, решаются, но их причины обычно не типовые, ищутся долго. К моменту решения старых проблем появляются новые и так непрерывно. Хочется пожить какое-то время без непрерывного тушения пожаров.

 

В Cisco свои проблемы, но они, как правило, типовые, много у кого встречаются, можно спросить, чем лечится и лечится ли вообще. Соответственно, вероятность возникновения ситуации, когда у тебя год проблема и ты не можешь её решить, существенно меньше. Если, конечно, не использовать нестандартные схемы, чего мы делать не собираемся.

Изменено 19 ноября, 2010 пользователем SGrade

[Ivan Rostovikov]

Хоть Вы и просили не предлагать софтовые решения, но напрашивается такой вариант.

На бордер - L3 свич. Простой и надежный.

Между ядром и бордером 2 софтовых бридж-шейпера. (с избыточностью, например банально по RSTP)

Эта схема даст необходимую надежность и возможность менять шейперы по мере необходимости.

[SGrade]

Хоть Вы и просили не предлагать софтовые решения, но напрашивается такой вариант.

На бордер - L3 свич. Простой и надежный.

Между ядром и бордером 2 софтовых бридж-шейпера. (с избыточностью, например банально по RSTP)

Эта схема даст необходимую надежность и возможность менять шейперы по мере необходимости.

Спасибо за совет, но мы как раз от этого и пытаемся уйти.

У нас 2 бордер-роутера, на каждом по 2 аплинка, 2 вышестоящих провайдера. Полное резервирование на случай отказа девайса или разрыва линии связи.

Начинаем с замены одного роутера на Cisco, другой пока останется софтовым, по результатам посмотрим.

То, что написано в мануалах на Cisco, известно - интересует именно специфика приложения этих мануалов на практике. Здесь кто-нибудь поделится?

 

[Ivan Rostovikov]

2K шейпов на циско роутере IMHO тут уже надо microflow.

[woddy]

почитал топик.... может все-таки дело в админах? работают тазики в такой конфигурации, хорошо работают. (при объемах менее 1гбита разумеется).

[sid1333]

Два тазика (шейп, НАТ, netflow), с балансировкой нагрузки и резервированием друг друга выросли за 1.5 года с 400 до 900 Мбит.

Аптайм у обоих те же 1.5 года.

 

Может всё таки дело в админах и некачественном железе?

[yakuzzza]

Админы у нас самые высокооплачиваемые в городе

- это не эквивалентно вменяемым админам.

Проведите независимый аудит своей сети - сразу все косяки вылезут. А лучше пару аудитов. Тогда точно все косяки вылезут. Спокойно заплатив согласованную сумму вам приведут список проблем и как с ними бороться.

Здесь на форуме полно специалистов, которые смогут это сделать и внятно объяснить обо всех проблемах.

 

Скажу еще раз - с Cisco проблем будет не больше и не меньше. Как правильно здесь сказали, на каналах меньше гигабита софтовые решения ведут себя в 99% случаев адекватно. Проблемы часто из-за кривизны рук или из-за бага/фичи.

 

PS: аптайм не показатель.

Изменено 19 ноября, 2010 пользователем yakuzzza

[SGrade]

Админы у нас самые высокооплачиваемые в городе

- это не эквивалентно вменяемым админам.

Проведите независимый аудит своей сети - сразу все косяки вылезут...

Подскажите способ. Мы очень далеко от центра, к нам вряд ли кто поедет. Удаленно аудит практикуется? Сколько стоит?

[yakuzzza]

Админы у нас самые высокооплачиваемые в городе

- это не эквивалентно вменяемым админам.

Проведите независимый аудит своей сети - сразу все косяки вылезут...

Подскажите способ. Мы очень далеко от центра, к нам вряд ли кто поедет. Удаленно аудит практикуется? Сколько стоит?

Вообще можно все.

Если не хотите оплачивать транспортные расходы, то рекомендую составить список вопросов, на которые вы хотите получить ответы.

Готовьтесь предоставить вменяемую документацию.

Например, мы только после первого аудита поняли, что должно входить в нормальную документацию и ко второму пришли с нормальной подготовкой и без аврального момента. Но мы промышленная сеть крупного предприятия, а не домосеть. Здесь у нас и требования немного другие. Сами понимаете.

 

Удаленно можно практиковать, но все равно готовьтесь на составление договора о неразглашении, надо доверять аудитору, лучше с юр. лицом. В принципе интеграторы могут пойти на такой шаг.

 

Если есть дополнительные вопросы - можно на почту. Чем смогу помогу и отвечу.

[woddy]

Мы очень далеко от центра, к нам вряд ли кто поедет.

неправильный подход. цену на авиабилеты/жд посмотрите. это дешевле кошек. бабло побеждает зло :)

[SGrade]

Спасибо за совет. Всё-таки попробуем с кошками - там и подход немного отличается, и админы обслуживать будут другие, да и берем мы их по цене вполне адекватной. По результатам сравним. Если у кого ещё есть чем поделиться, милости просим.

Изменено 20 ноября, 2010 пользователем SGrade