mightyscv Опубликовано 23 ноября, 2010 · Жалоба существует следующая ситуация: для одного из проектов где нужен BRAS функционал хотели использовать SSG в процессе внедрения выяснилось, что в функционале SSG есть неприятный баг(?) - если использовать transparent autologon вкупе с prepaid функционалом то в RADIUS access-request пакете на квоту не присылается имя пользователя из-за этого невозможно однозначно идентифицировать пользователя, и обеспечивать выдачу квот индивидуальным хост-объектам прикупить SMART у нас не хотят, поэтому поинтересуюсь тут - кто нибудь успешно запускал подобную конструкцию? сталкивались с подобным? этот "баг" существует во всех версиях софта, даже в самых последних, что наводит меня на мысль, что это и не баг вовсе а фича. например без TAL с использованием SESM'а в acess-request на квоту имя пользователя есть момент номер два - есть теория, что ISG лишён подобного бага, но вот беда - с ним не приходилось иметь дела. я в принципе понимаю, что это усовершенствованный SSG, но хотелось бы ясности насколько я понимаю из доков на цискокоме там есть всё что мне нужно - TAL, captive portal, tcp-redirect, prepaid. так ли это? удавалось ли кому то поднять описанную выше схему(TAL + prepaid) на ISG? момент три - феерический - под ISG готовы купить железку(а на смарт денег нет, да) говорят, под это дело хорошо работают Cisco 10k серии. кто с ними имел дело, подскажите: умеет ли оно ISG (Transparent autologon, prepraid services, captive portal)? умеет ли оно SSG (Transparent autologon, prepraid services, captive portal)? умеет ли оно VPDN(L2TP)? маршрутизация IGP(OSPF, IS-IS)? NAT, NAT stickness? сколько тянет? Netflow, минимум версии 5? лучше 9 по RE какая реальная производительность фабрики у PRE-2? в даташите указано 6.2 mpps и 6.4Gbps на слот, но нет общей цифры стоит ли вообще связываться с PRE-2, учитывая что они уже end-of-sale/end-of-life, а там и end-of-support не за горами? что за зверь PXF? я правильно понял из этого документа, что это просто более эффективный коммутационный путь для пакетов подпадающих под определённые классы(пользовательские сессии), а всё что не попало туда - пойдёт обычным маршрутом в RE? разница производительности огромна - для PRE-3 - 9.7mpps в PXF против 400kpps через RE какую комплектацию брать для трафика менее 2 гигабит с натом и менее 10к пользователей? линейные карты - 1000Base-LX Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
D^2 Опубликовано 24 ноября, 2010 · Жалоба на 10k вообще нет НАТа ваш выбор или Ericsson SE http://shop.nag.ru/catalog/item/05247 или Cisco ASR. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
KoloBok Опубликовано 24 ноября, 2010 · Жалоба VPDN также нет. По производительности: PRE3 тянет 8 тысяч PPPoE сессий и 4 гигабайта сквозняком (т.е. 8 1 GE интерфейсов). При этом 4 интерфейса слушают PPPoE ( по 600 VLAN на каждом), а оставшиеся 4 - это L3 Etherchannel. Загрузка проца - 70%. PRE2 жует всего 3 пары интерфейсов. При этом ВСЕГО - не более 500 VLAN. CPU при этом - > 85%. Вообще заметил динамику: с ростом скоростей на ТП упираемся быстрее в потолок по интерфейсам, чем по ЦП. OSPF работает корректно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
StSphinx Опубликовано 25 ноября, 2010 · Жалоба VPDN также нет.По производительности: PRE3 тянет 8 тысяч PPPoE сессий и 4 гигабайта сквозняком (т.е. 8 1 GE интерфейсов). При этом 4 интерфейса слушают PPPoE ( по 600 VLAN на каждом), а оставшиеся 4 - это L3 Etherchannel. Загрузка проца - 70%. PRE2 жует всего 3 пары интерфейсов. При этом ВСЕГО - не более 500 VLAN. CPU при этом - > 85%. Вообще заметил динамику: с ростом скоростей на ТП упираемся быстрее в потолок по интерфейсам, чем по ЦП. OSPF работает корректно. Про 500 VLAN это из личного опыта? У нас сейчас c10008 с PRE2, 4 карты 1gigethernet-1. На двух терминируется на сегодня 668 VLAN'ов, вторые две - L3 EtherChannel. CPU в ЧНН - 35%, PXF - 10-11%. PPPoE сессий чуть менее 5000. ISG правда нет, но тут по форуму пробегало, что PRE2 без ISG прожует где-то 25k сессий, с ISG точно не скажу, но кажется в районе 10-12к сессий. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SERAPHIM Опубликовано 25 ноября, 2010 · Жалоба у нас 10K-PRE3. 4G с сабинтерфейсами на ядро (вход для терминации PPPoE), 4G - выход (L3). сессий около 2000 (PPPoE ISG с несколькими сервисами на сессию + CoA). В ЧНН 6% CPU. Полет нормальный. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
D^2 Опубликовано 25 ноября, 2010 · Жалоба Про 500 VLAN это из личного опыта? у них это количество ВЛАНов на каждом порту прописано ;-) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mightyscv Опубликовано 26 ноября, 2010 · Жалоба спасибо за отзывы, какую-то информацию принял во внимание фокус вопроса немного сместился интересует работает ли в ISG функционал prepaid + TAL + tcp-redirect? у кого-то есть опыт в этом? возможно, это можно реализовать на чём ином кроме циски? или тут все так плотно сидят на pppoe и о DHCP модели не задумываются? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
D^2 Опубликовано 26 ноября, 2010 · Жалоба что будет использоваться в качестве session initiation и что брас будет слать в радиус чтоб аутентифицировать? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mightyscv Опубликовано 26 ноября, 2010 · Жалоба что будет использоваться в качестве session initiationпролетающий через интерфейс пакетчто брас будет слать в радиус чтоб аутентифицировать?ip-адрес клиента Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VitMain Опубликовано 26 ноября, 2010 · Жалоба KoloBok, а где написано про 3 пары интерфейсов? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mightyscv Опубликовано 6 декабря, 2010 · Жалоба up неужели никто тут не использует TAL + prepaid? все на PPPoE, да? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
MaxP Опубликовано 8 декабря, 2010 · Жалоба Juniper MX80 посмотрите Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dead_moroz Опубликовано 9 декабря, 2010 (изменено) · Жалоба Juniper MX80 посмотрите1. На MX80 в настоящий момент нет НАТа и будет ли - вопрос.2. MX80 не умеет j-flow (по той же причине, что и НАТа) 3. МХ80 не умеет редирект. 4. В настоящий момент МХ80 не умеет раздельный аккаунтинг по сервисам, только на всю сессию сразу, в 10.4 обещают исправить. Изменено 9 декабря, 2010 пользователем dead_moroz Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
D^2 Опубликовано 9 декабря, 2010 · Жалоба 1. На MX80 в настоящий момент нет НАТа и будет ли - вопрос.2. MX80 не умеет j-flow (по той же причине, что и НАТа) НАТа там не будетj-flow там есть. остальное все верно. пок ане дотягивает до нормального БРАСа этот аппарат =) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dead_moroz Опубликовано 9 декабря, 2010 · Жалоба 1. На MX80 в настоящий момент нет НАТа и будет ли - вопрос.2. MX80 не умеет j-flow (по той же причине, что и НАТа) НАТа там не будетj-flow там есть. остальное все верно. пок ане дотягивает до нормального БРАСа этот аппарат =) И НАТ и j-flow работают на MS-DPC, разве не так?Так вот именно MS-DPC под MX80 еще нет и когда будет - не известно. MS-DPC от старших MX(240, 480, 960) в MX80 не лезет. Посему на нем нет ни НАТа, ни j-flow. А как БРАС оно очень ничего, если не надо особых наворотов типа квот и редиректов. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mightyscv Опубликовано 11 декабря, 2010 · Жалоба от MX пришлось отказаться именно по причинам, описанным в дискуссии выше редирект, по заявлению джуниперовского инженера, там есть - через некую, я цитирую, "систему фильтров". костыли в общем у меня стоит MX240 в продакшене, когда будет возможность - обязательно потестирую там SM а пока решился изначальный вопрос с SSG оказывается, при использовании TAL надо в первом access-accept пакете от радиуса присылать аттрибут User-Name, который будет использоваться в дальнейшем для запроса квот как я и подозревал это не баг а фича - такое нужно в сетях с пересекающимися адресными пространствами, иначе имеем двух пользователей с одинаковыми логинами/ip-адресами Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Dehu4ka Опубликовано 15 декабря, 2010 · Жалоба Спасибо про ответ по поводу SSG, недавно мы столкнулись с похожей проблемой пустого имени пользователя, будем пробовать её решить вашим способом. Для ISG, у нас на 7206VXR прекрасно работает и TAL+prepaid, и tcp-redirect+prepaid, и юзер-нэйм в виде IP-адреса или MAC-а шлёт. И вроде как даже может использовать DHCP Opt 82 для авторизации (не тестировали, т.к. нет желания менять стабильный IOS). Как намаявшийся и c ISG и с SSG, могу дать совет всё-таки использовать ISG, он в отличие от SSG будет развиваться в дальнейшем, а вот новые иосы SSG уже не поддерживают. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
D^2 Опубликовано 18 декабря, 2010 (изменено) · Жалоба И НАТ и j-flow работают на MS-DPC, разве не так?Так вот именно MS-DPC под MX80 еще нет и когда будет - не известно. MS-DPC от старших MX(240, 480, 960) в MX80 не лезет. Посему на нем нет ни НАТа, ни j-flow. А как БРАС оно очень ничего, если не надо особых наворотов типа квот и редиректов. NAT, jflow - работает действительно только на MS-DPC.кроме того все новые карты на базе Trio чипсет обладают inline IPFIX (некоторые его так же называют jflow). Дак вот в отличие от модульных коробок (MX240 и выше) IPFIX лицензируется и продается с возможностью 1:1 сбора, а на MX80 пока нет такой лицензии, поэтому заявляется IPFIX только как sampled, хотя по факту 1:1 так же работает... в качестве BRAS - я повторюсь - он пока вообще никакой по сравнению с Ericsson SE, Cisco ASR, Juniper E seiries =) пролетающий через интерфейс пакетесли DHCP discover не подойдет - Ваш выбор только Cisco ASR (Ericsson, Juniper по ARP не умееют инициировать сессию, т.к. все ARP в таком случае должны обрабатываться через control plane (что у cisco собственно и сделано) в ущерб производительности и стабильности). ip-адрес клиентатут любой Вам подойдет. Изменено 18 декабря, 2010 пользователем D^2 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...