Jump to content
Калькуляторы

Cisco 10000 BRAS/SSG/ISG

существует следующая ситуация:

для одного из проектов где нужен BRAS функционал хотели использовать SSG

в процессе внедрения выяснилось, что в функционале SSG есть неприятный баг(?) - если использовать transparent autologon вкупе с prepaid функционалом то в RADIUS access-request пакете на квоту не присылается имя пользователя

из-за этого невозможно однозначно идентифицировать пользователя, и обеспечивать выдачу квот индивидуальным хост-объектам

прикупить SMART у нас не хотят, поэтому поинтересуюсь тут - кто нибудь успешно запускал подобную конструкцию? сталкивались с подобным?

этот "баг" существует во всех версиях софта, даже в самых последних, что наводит меня на мысль, что это и не баг вовсе а фича. например без TAL с использованием SESM'а в acess-request на квоту имя пользователя есть

 

момент номер два - есть теория, что ISG лишён подобного бага, но вот беда - с ним не приходилось иметь дела. я в принципе понимаю, что это усовершенствованный SSG, но хотелось бы ясности

насколько я понимаю из доков на цискокоме там есть всё что мне нужно - TAL, captive portal, tcp-redirect, prepaid. так ли это? удавалось ли кому то поднять описанную выше схему(TAL + prepaid) на ISG?

 

момент три - феерический - под ISG готовы купить железку(а на смарт денег нет, да)

говорят, под это дело хорошо работают Cisco 10k серии. кто с ними имел дело, подскажите:

умеет ли оно ISG (Transparent autologon, prepraid services, captive portal)?

умеет ли оно SSG (Transparent autologon, prepraid services, captive portal)?

умеет ли оно VPDN(L2TP)?

маршрутизация IGP(OSPF, IS-IS)?

NAT, NAT stickness? сколько тянет?

Netflow, минимум версии 5? лучше 9

 

по RE

какая реальная производительность фабрики у PRE-2? в даташите указано 6.2 mpps и 6.4Gbps на слот, но нет общей цифры

стоит ли вообще связываться с PRE-2, учитывая что они уже end-of-sale/end-of-life, а там и end-of-support не за горами?

что за зверь PXF? я правильно понял из этого документа, что это просто более эффективный коммутационный путь для пакетов подпадающих под определённые классы(пользовательские сессии), а всё что не попало туда - пойдёт обычным маршрутом в RE? разница производительности огромна - для PRE-3 - 9.7mpps в PXF против 400kpps через RE

 

какую комплектацию брать для трафика менее 2 гигабит с натом и менее 10к пользователей? линейные карты - 1000Base-LX

Share this post


Link to post
Share on other sites

VPDN также нет.

По производительности: PRE3 тянет 8 тысяч PPPoE сессий и 4 гигабайта сквозняком (т.е. 8 1 GE интерфейсов). При этом 4 интерфейса слушают PPPoE ( по 600 VLAN на каждом), а оставшиеся 4 - это L3 Etherchannel. Загрузка проца - 70%.

PRE2 жует всего 3 пары интерфейсов. При этом ВСЕГО - не более 500 VLAN. CPU при этом - > 85%.

 

Вообще заметил динамику: с ростом скоростей на ТП упираемся быстрее в потолок по интерфейсам, чем по ЦП.

OSPF работает корректно.

Share this post


Link to post
Share on other sites
VPDN также нет.

По производительности: PRE3 тянет 8 тысяч PPPoE сессий и 4 гигабайта сквозняком (т.е. 8 1 GE интерфейсов). При этом 4 интерфейса слушают PPPoE ( по 600 VLAN на каждом), а оставшиеся 4 - это L3 Etherchannel. Загрузка проца - 70%.

PRE2 жует всего 3 пары интерфейсов. При этом ВСЕГО - не более 500 VLAN. CPU при этом - > 85%.

 

Вообще заметил динамику: с ростом скоростей на ТП упираемся быстрее в потолок по интерфейсам, чем по ЦП.

OSPF работает корректно.

Про 500 VLAN это из личного опыта?

У нас сейчас c10008 с PRE2, 4 карты 1gigethernet-1.

На двух терминируется на сегодня 668 VLAN'ов, вторые две - L3 EtherChannel.

CPU в ЧНН - 35%, PXF - 10-11%. PPPoE сессий чуть менее 5000.

ISG правда нет, но тут по форуму пробегало, что PRE2 без ISG прожует где-то 25k сессий, с ISG точно не скажу, но кажется в районе 10-12к сессий.

 

 

Share this post


Link to post
Share on other sites

у нас 10K-PRE3.

4G с сабинтерфейсами на ядро (вход для терминации PPPoE), 4G - выход (L3).

сессий около 2000 (PPPoE ISG с несколькими сервисами на сессию + CoA).

В ЧНН 6% CPU.

 

Полет нормальный.

Share this post


Link to post
Share on other sites

Про 500 VLAN это из личного опыта?

у них это количество ВЛАНов на каждом порту прописано ;-)

Share this post


Link to post
Share on other sites

спасибо за отзывы, какую-то информацию принял во внимание

фокус вопроса немного сместился

интересует работает ли в ISG функционал prepaid + TAL + tcp-redirect? у кого-то есть опыт в этом? возможно, это можно реализовать на чём ином кроме циски?

или тут все так плотно сидят на pppoe и о DHCP модели не задумываются?

Share this post


Link to post
Share on other sites

что будет использоваться в качестве session initiation и что брас будет слать в радиус чтоб аутентифицировать?

Share this post


Link to post
Share on other sites
что будет использоваться в качестве session initiation
пролетающий через интерфейс пакет
что брас будет слать в радиус чтоб аутентифицировать?
ip-адрес клиента

Share this post


Link to post
Share on other sites
KoloBok, а где написано про 3 пары интерфейсов?

Share this post


Link to post
Share on other sites

up

неужели никто тут не использует TAL + prepaid? все на PPPoE, да?

Share this post


Link to post
Share on other sites

Juniper MX80 посмотрите

Share this post


Link to post
Share on other sites
Juniper MX80 посмотрите
1. На MX80 в настоящий момент нет НАТа и будет ли - вопрос.

2. MX80 не умеет j-flow (по той же причине, что и НАТа)

3. МХ80 не умеет редирект.

4. В настоящий момент МХ80 не умеет раздельный аккаунтинг по сервисам, только на всю сессию сразу, в 10.4 обещают исправить.

Edited by dead_moroz

Share this post


Link to post
Share on other sites
1. На MX80 в настоящий момент нет НАТа и будет ли - вопрос.

2. MX80 не умеет j-flow (по той же причине, что и НАТа)

НАТа там не будет

j-flow там есть.

 

остальное все верно. пок ане дотягивает до нормального БРАСа этот аппарат =)

Share this post


Link to post
Share on other sites
1. На MX80 в настоящий момент нет НАТа и будет ли - вопрос.

2. MX80 не умеет j-flow (по той же причине, что и НАТа)

НАТа там не будет

j-flow там есть.

 

остальное все верно. пок ане дотягивает до нормального БРАСа этот аппарат =)

И НАТ и j-flow работают на MS-DPC, разве не так?

Так вот именно MS-DPC под MX80 еще нет и когда будет - не известно.

MS-DPC от старших MX(240, 480, 960) в MX80 не лезет.

Посему на нем нет ни НАТа, ни j-flow.

А как БРАС оно очень ничего, если не надо особых наворотов типа квот и редиректов.

Share this post


Link to post
Share on other sites

от MX пришлось отказаться именно по причинам, описанным в дискуссии выше

редирект, по заявлению джуниперовского инженера, там есть - через некую, я цитирую, "систему фильтров". костыли в общем

у меня стоит MX240 в продакшене, когда будет возможность - обязательно потестирую там SM

 

а пока решился изначальный вопрос с SSG

оказывается, при использовании TAL надо в первом access-accept пакете от радиуса присылать аттрибут User-Name, который будет использоваться в дальнейшем для запроса квот

как я и подозревал это не баг а фича - такое нужно в сетях с пересекающимися адресными пространствами, иначе имеем двух пользователей с одинаковыми логинами/ip-адресами

Share this post


Link to post
Share on other sites

Спасибо про ответ по поводу SSG, недавно мы столкнулись с похожей проблемой пустого имени пользователя, будем пробовать её решить вашим способом.

Для ISG, у нас на 7206VXR прекрасно работает и TAL+prepaid, и tcp-redirect+prepaid, и юзер-нэйм в виде IP-адреса или MAC-а шлёт. И вроде как даже может использовать DHCP Opt 82 для авторизации (не тестировали, т.к. нет желания менять стабильный IOS).

Как намаявшийся и c ISG и с SSG, могу дать совет всё-таки использовать ISG, он в отличие от SSG будет развиваться в дальнейшем, а вот новые иосы SSG уже не поддерживают.

Share this post


Link to post
Share on other sites
И НАТ и j-flow работают на MS-DPC, разве не так?

Так вот именно MS-DPC под MX80 еще нет и когда будет - не известно.

MS-DPC от старших MX(240, 480, 960) в MX80 не лезет.

Посему на нем нет ни НАТа, ни j-flow.

А как БРАС оно очень ничего, если не надо особых наворотов типа квот и редиректов.

NAT, jflow - работает действительно только на MS-DPC.

кроме того все новые карты на базе Trio чипсет обладают inline IPFIX (некоторые его так же называют jflow). Дак вот в отличие от модульных коробок (MX240 и выше) IPFIX лицензируется и продается с возможностью 1:1 сбора, а на MX80 пока нет такой лицензии, поэтому заявляется IPFIX только как sampled, хотя по факту 1:1 так же работает...

 

в качестве BRAS - я повторюсь - он пока вообще никакой по сравнению с Ericsson SE, Cisco ASR, Juniper E seiries =)

 

пролетающий через интерфейс пакет
если DHCP discover не подойдет - Ваш выбор только Cisco ASR (Ericsson, Juniper по ARP не умееют инициировать сессию, т.к. все ARP в таком случае должны обрабатываться через control plane (что у cisco собственно и сделано) в ущерб производительности и стабильности).

 

ip-адрес клиента
тут любой Вам подойдет.
Edited by D^2

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this