Перейти к содержимому
Калькуляторы

Cisco 10000 BRAS/SSG/ISG

существует следующая ситуация:

для одного из проектов где нужен BRAS функционал хотели использовать SSG

в процессе внедрения выяснилось, что в функционале SSG есть неприятный баг(?) - если использовать transparent autologon вкупе с prepaid функционалом то в RADIUS access-request пакете на квоту не присылается имя пользователя

из-за этого невозможно однозначно идентифицировать пользователя, и обеспечивать выдачу квот индивидуальным хост-объектам

прикупить SMART у нас не хотят, поэтому поинтересуюсь тут - кто нибудь успешно запускал подобную конструкцию? сталкивались с подобным?

этот "баг" существует во всех версиях софта, даже в самых последних, что наводит меня на мысль, что это и не баг вовсе а фича. например без TAL с использованием SESM'а в acess-request на квоту имя пользователя есть

 

момент номер два - есть теория, что ISG лишён подобного бага, но вот беда - с ним не приходилось иметь дела. я в принципе понимаю, что это усовершенствованный SSG, но хотелось бы ясности

насколько я понимаю из доков на цискокоме там есть всё что мне нужно - TAL, captive portal, tcp-redirect, prepaid. так ли это? удавалось ли кому то поднять описанную выше схему(TAL + prepaid) на ISG?

 

момент три - феерический - под ISG готовы купить железку(а на смарт денег нет, да)

говорят, под это дело хорошо работают Cisco 10k серии. кто с ними имел дело, подскажите:

умеет ли оно ISG (Transparent autologon, prepraid services, captive portal)?

умеет ли оно SSG (Transparent autologon, prepraid services, captive portal)?

умеет ли оно VPDN(L2TP)?

маршрутизация IGP(OSPF, IS-IS)?

NAT, NAT stickness? сколько тянет?

Netflow, минимум версии 5? лучше 9

 

по RE

какая реальная производительность фабрики у PRE-2? в даташите указано 6.2 mpps и 6.4Gbps на слот, но нет общей цифры

стоит ли вообще связываться с PRE-2, учитывая что они уже end-of-sale/end-of-life, а там и end-of-support не за горами?

что за зверь PXF? я правильно понял из этого документа, что это просто более эффективный коммутационный путь для пакетов подпадающих под определённые классы(пользовательские сессии), а всё что не попало туда - пойдёт обычным маршрутом в RE? разница производительности огромна - для PRE-3 - 9.7mpps в PXF против 400kpps через RE

 

какую комплектацию брать для трафика менее 2 гигабит с натом и менее 10к пользователей? линейные карты - 1000Base-LX

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

на 10k вообще нет НАТа

ваш выбор или Ericsson SE http://shop.nag.ru/catalog/item/05247 или Cisco ASR.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

VPDN также нет.

По производительности: PRE3 тянет 8 тысяч PPPoE сессий и 4 гигабайта сквозняком (т.е. 8 1 GE интерфейсов). При этом 4 интерфейса слушают PPPoE ( по 600 VLAN на каждом), а оставшиеся 4 - это L3 Etherchannel. Загрузка проца - 70%.

PRE2 жует всего 3 пары интерфейсов. При этом ВСЕГО - не более 500 VLAN. CPU при этом - > 85%.

 

Вообще заметил динамику: с ростом скоростей на ТП упираемся быстрее в потолок по интерфейсам, чем по ЦП.

OSPF работает корректно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

VPDN также нет.

По производительности: PRE3 тянет 8 тысяч PPPoE сессий и 4 гигабайта сквозняком (т.е. 8 1 GE интерфейсов). При этом 4 интерфейса слушают PPPoE ( по 600 VLAN на каждом), а оставшиеся 4 - это L3 Etherchannel. Загрузка проца - 70%.

PRE2 жует всего 3 пары интерфейсов. При этом ВСЕГО - не более 500 VLAN. CPU при этом - > 85%.

 

Вообще заметил динамику: с ростом скоростей на ТП упираемся быстрее в потолок по интерфейсам, чем по ЦП.

OSPF работает корректно.

Про 500 VLAN это из личного опыта?

У нас сейчас c10008 с PRE2, 4 карты 1gigethernet-1.

На двух терминируется на сегодня 668 VLAN'ов, вторые две - L3 EtherChannel.

CPU в ЧНН - 35%, PXF - 10-11%. PPPoE сессий чуть менее 5000.

ISG правда нет, но тут по форуму пробегало, что PRE2 без ISG прожует где-то 25k сессий, с ISG точно не скажу, но кажется в районе 10-12к сессий.

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

у нас 10K-PRE3.

4G с сабинтерфейсами на ядро (вход для терминации PPPoE), 4G - выход (L3).

сессий около 2000 (PPPoE ISG с несколькими сервисами на сессию + CoA).

В ЧНН 6% CPU.

 

Полет нормальный.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Про 500 VLAN это из личного опыта?

у них это количество ВЛАНов на каждом порту прописано ;-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

спасибо за отзывы, какую-то информацию принял во внимание

фокус вопроса немного сместился

интересует работает ли в ISG функционал prepaid + TAL + tcp-redirect? у кого-то есть опыт в этом? возможно, это можно реализовать на чём ином кроме циски?

или тут все так плотно сидят на pppoe и о DHCP модели не задумываются?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

что будет использоваться в качестве session initiation и что брас будет слать в радиус чтоб аутентифицировать?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

что будет использоваться в качестве session initiation
пролетающий через интерфейс пакет
что брас будет слать в радиус чтоб аутентифицировать?
ip-адрес клиента

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

KoloBok, а где написано про 3 пары интерфейсов?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

up

неужели никто тут не использует TAL + prepaid? все на PPPoE, да?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Juniper MX80 посмотрите

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Juniper MX80 посмотрите
1. На MX80 в настоящий момент нет НАТа и будет ли - вопрос.

2. MX80 не умеет j-flow (по той же причине, что и НАТа)

3. МХ80 не умеет редирект.

4. В настоящий момент МХ80 не умеет раздельный аккаунтинг по сервисам, только на всю сессию сразу, в 10.4 обещают исправить.

Изменено пользователем dead_moroz

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1. На MX80 в настоящий момент нет НАТа и будет ли - вопрос.

2. MX80 не умеет j-flow (по той же причине, что и НАТа)

НАТа там не будет

j-flow там есть.

 

остальное все верно. пок ане дотягивает до нормального БРАСа этот аппарат =)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1. На MX80 в настоящий момент нет НАТа и будет ли - вопрос.

2. MX80 не умеет j-flow (по той же причине, что и НАТа)

НАТа там не будет

j-flow там есть.

 

остальное все верно. пок ане дотягивает до нормального БРАСа этот аппарат =)

И НАТ и j-flow работают на MS-DPC, разве не так?

Так вот именно MS-DPC под MX80 еще нет и когда будет - не известно.

MS-DPC от старших MX(240, 480, 960) в MX80 не лезет.

Посему на нем нет ни НАТа, ни j-flow.

А как БРАС оно очень ничего, если не надо особых наворотов типа квот и редиректов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

от MX пришлось отказаться именно по причинам, описанным в дискуссии выше

редирект, по заявлению джуниперовского инженера, там есть - через некую, я цитирую, "систему фильтров". костыли в общем

у меня стоит MX240 в продакшене, когда будет возможность - обязательно потестирую там SM

 

а пока решился изначальный вопрос с SSG

оказывается, при использовании TAL надо в первом access-accept пакете от радиуса присылать аттрибут User-Name, который будет использоваться в дальнейшем для запроса квот

как я и подозревал это не баг а фича - такое нужно в сетях с пересекающимися адресными пространствами, иначе имеем двух пользователей с одинаковыми логинами/ip-адресами

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Спасибо про ответ по поводу SSG, недавно мы столкнулись с похожей проблемой пустого имени пользователя, будем пробовать её решить вашим способом.

Для ISG, у нас на 7206VXR прекрасно работает и TAL+prepaid, и tcp-redirect+prepaid, и юзер-нэйм в виде IP-адреса или MAC-а шлёт. И вроде как даже может использовать DHCP Opt 82 для авторизации (не тестировали, т.к. нет желания менять стабильный IOS).

Как намаявшийся и c ISG и с SSG, могу дать совет всё-таки использовать ISG, он в отличие от SSG будет развиваться в дальнейшем, а вот новые иосы SSG уже не поддерживают.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

И НАТ и j-flow работают на MS-DPC, разве не так?

Так вот именно MS-DPC под MX80 еще нет и когда будет - не известно.

MS-DPC от старших MX(240, 480, 960) в MX80 не лезет.

Посему на нем нет ни НАТа, ни j-flow.

А как БРАС оно очень ничего, если не надо особых наворотов типа квот и редиректов.

NAT, jflow - работает действительно только на MS-DPC.

кроме того все новые карты на базе Trio чипсет обладают inline IPFIX (некоторые его так же называют jflow). Дак вот в отличие от модульных коробок (MX240 и выше) IPFIX лицензируется и продается с возможностью 1:1 сбора, а на MX80 пока нет такой лицензии, поэтому заявляется IPFIX только как sampled, хотя по факту 1:1 так же работает...

 

в качестве BRAS - я повторюсь - он пока вообще никакой по сравнению с Ericsson SE, Cisco ASR, Juniper E seiries =)

 

пролетающий через интерфейс пакет
если DHCP discover не подойдет - Ваш выбор только Cisco ASR (Ericsson, Juniper по ARP не умееют инициировать сессию, т.к. все ARP в таком случае должны обрабатываться через control plane (что у cisco собственно и сделано) в ущерб производительности и стабильности).

 

ip-адрес клиента
тут любой Вам подойдет.
Изменено пользователем D^2

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.