[Картуччо]

ASR1002-RP1

ASR1000-ESP10

ASR1002-SIP10

4XGE-BUILT-IN

[survivor]

Картуччо

а как вообще живется с asr? говорят железо и софт сырые, глюков много? Много ли отличий в работе от младших братьев (28xx, 38xx, 72xx)? Легко ли найти ios? Нет ли каких-то подводных камней?

[Картуччо]

Живется пока не слишком долго, недавно запустили, но все что работало, так же продолжает работать. За исключением упомянутых рейтлимитов, но это решаемо.

Тотальное превосходство по мощности к 7206, как выше писал.

[sergeyfromkomi]

Присоединяюсь к вопросу.

 

Сейчас также рассматриваю вариант перехода c PPPoE на IPoE.

Возникло 2 главных вопроса:

 

1) Как массово шейпить пользователей на циске? в данный момент стоит 7201, очень малая часть клиентов(большие юр. лица) работают через IPoE, шейпинг с помощью policy-map. Планируем брать asr-1002.

 

2) Как настраивать Vlan на пользователя? Планирую терминировать вланы на распределении с помощью L3 (возможно catalyst3750 с 10G uplink в ядро).

если руками - очень долго получится:прописать vlan на распределении, прописать vlan на доступе, acl для разрешения только одного ip в этом vlan.

1шейпите на доступе. des3200 с этим прекрасно справляются...

2 ставьте влан на дом + src acl на порты

[darkagent]

1шейпите на доступе. des3200 с этим прекрасно справляются...

2 ставьте влан на дом + src acl на порты

что б вас так "шейпили" по жизни. на коммутаторах доступа шейпера не бывает. на доступе бывает только rate-limit, который дропает весь трафик, если загрузка полосы идет сверх лимита. вы даже не представляете насколько это все через задницу выходит в итоге. вас абоненты проклинать будут.

влан на дом + src acl на порты в ipoe попахивает младенческим пионернетом, который надо срочно заживо хоронить, пока из этого не выродился какой-нибудь садомазохистский монстр.

 

Присоединяюсь к вопросу.

1) Как массово шейпить пользователей на циске? в данный момент стоит 7201, очень малая часть клиентов(большие юр. лица) работают через IPoE, шейпинг с помощью policy-map. Планируем брать asr-1002.

если уж берете asr1002, то ответ на ваш вопрос наиподробнейшим образом описан тут: http://www.cisco.com/en/US/docs/ios/ios_xe...xe_3s_book.html

2) Как настраивать Vlan на пользователя? Планирую терминировать вланы на распределении с помощью L3 (возможно catalyst3750 с 10G uplink в ядро).

если руками - очень долго получится:прописать vlan на распределении, прописать vlan на доступе, acl для разрешения только одного ip в этом vlan.

простой вариант по части логики: номер порта совпадает с номером влана, на аплинке q-in-q, в ядре разворачиваем с vlan translation.

3750 не советую при "влан на пользователя" - моментально упретесь в ограничения в 1000 svi. лучше сразу какую нибудь 65ую или 76ую собрать, и на ней как раз можно будет разворачивать q-in-q, если не хотите прокидывать до asr.

 

 

[ingress]

считал здесь старшие бандлы циски и эриксона, если в кратце 4x10GE, 20G full сервисов, со скидкой аср на 20-25к дороже выходит.

аср ещё пилить будут, особенно ISG, и в нём нет поддержки ipv6, и нат кривой.

SE уже много лет как чисто сервисная платформа, ip6 subscriber есть(отдельной лицензией правда), нат 8М трансляций правда пока что не Carrier Grade(т.е. без ната тунелей).

 

3750 не советую при "влан на пользователя" - моментально упретесь в ограничения в 1000 svi. лучше сразу какую нибудь 65ую или 76ую собрать, и на ней как раз можно будет разворачивать q-in-q, если не хотите прокидывать до asr.

7600 умеет бриджевать/терминировать q-in-q только на ES/ES+ картах(соответственно) и SIPах, проще ASR с ESP40/SIP40 тогда поставить, а 7600 к ней аггрегатором.

[ingress]

а каком из интерфейсов находится, скажем, адрес 10.200.0.50, который клиент получил по DHCP?

В примере ip unnumbered на cisco catalyst делают так:

ip route адрес 255.255.255.255 интерфейс

Но этот вариант хорош только для статики...

давно я этот гайд писал под новый год от делать нечего, но до сих пор его цитируют :)

есть вариант использования ip unnumbered со статикой и без указания маршрута, НО в данном случае атака arp spoofing(допустим между двумя широкими CVLAN) возможна, но если на доступе это контролируется то вполне себе решение.

 

надо сказать poll:

 

        interface Vlan555
         des Abonent1
         ip unnumbered Loopback2 poll
         no ip proxy-arp

 

и в таком случае маршрут создавать не надо, железка сама по АРПу создаст adjacency.

 

p.s. очень сильно снижает нагрузку на tcam, потому что не создаются over 9000 маршрутов.

[Lynx10]

считал здесь старшие бандлы циски и эриксона, если в кратце 4x10GE, 20G full сервисов, со скидкой аср на 20-25к дороже выходит.

аср ещё пилить будут, особенно ISG, и в нём нет поддержки ipv6, и нат кривой.

а вот когда допилят - то просто так иос наверно спионерить уже не получится ;) а будет всё по чесному как у джуниперов и иже с ними

[nickD]

Я то же задумываюсь о vlan на пользователя,

QinQ что бы убрать ограничение на количество VLAN это хорошо.

Что делать количеством пользовательских МАС которое появится на магистральных свичах.

Или в магистраль ставить супербупер свичи с 128К MAC на борту или разрешать юзеру только 1 MAC на акцесе, что не есть гуд.

[D^2]

extreme x480 - up to 512k MACs

[darkagent]

На магистраль ставить metro-ethernet агрегаторы, в которых изначально закладывается приличный запас по кол-ву маков.

3627G - 16к маков

3610-26G - 16к маков

3610-26G A2A ревизия - 32к маков

 

Extreme summit - 128-512k маков

 

Cisco me3600x - 16к маков при лицензии advanced metro ip access

Cisco me3800X - от 32к маков, до 256к при Scaled Metro Aggregation Services лицензии

 

и т.д.

при масштабном строительстве ipoe с применением vlan-per-user, железки стоит подбирать уже уровня carrier grade.

[sergeyfromkomi]

что б вас так "шейпили" по жизни. на коммутаторах доступа шейпера не бывает. на доступе бывает только rate-limit, который дропает весь трафик, если загрузка полосы идет сверх лимита. вы даже не представляете насколько это все через задницу выходит в итоге. вас абоненты проклинать будут.

влан на дом + src acl на порты в ipoe попахивает младенческим пионернетом, который надо срочно заживо хоронить, пока из этого не выродился какой-нибудь садомазохистский монстр.

то что там rate-limit - это известно (это коммутатор). но должен признать (как ни странно ) именно у этой линейки 3200, этот функционал отлично работает. Проверена эмпирически.(догадываюсь "Бедные ваши абоненты!!!!)))")

[darkagent]

то что там rate-limit - это известно (это коммутатор). но должен признать (как ни странно ) именно у этой линейки 3200, этот функционал отлично работает. Проверена эмпирически.(догадываюсь "Бедные ваши абоненты!!!!)))")

http://emigrant2immigrant.files.wordpress....0collage203.jpg

[Frau]

мы наоборот вдули всех пользователей в один вилан (чтоб легче админить было), рассегментировали

переписали давилку и фильтры от sce на нетграфе и разделили локалку от инета роутингом. И переходим на ipoe. Успешно.

[andryas]

всех пользователей

Всех троих?

[Frau]

всех пользователей

Всех троих?

вообще их у нас 180 кило

[Картуччо]

всех пользователей

Всех троих?

вообще их у нас 180 кило

2 мужчины, 3 женщины или один толстяк :)

[darkagent]

шутки шутками, но если организация позволила себе SCE, значит она явно переросла клиентскую базу в 10000 абонентов.

хотя вот это сильно смущает:

в один вилан (чтоб легче админить было), рассегментировали

это ж сколько в одном влане маков бегает. учитывая что практически на любом бюджетном коммутаторе доступа можно встретить коллизии хэша... печаль.

и "рассегментировали" тут никак не спасет, до ядра то вся эта порнография все равно как то доходит.

 

[Frau]

шутки шутками, но если организация позволила себе SCE, значит она явно переросла клиентскую базу в 10000 абонентов.

хотя вот это сильно смущает:

в один вилан (чтоб легче админить было), рассегментировали

это ж сколько в одном влане маков бегает. учитывая что практически на любом бюджетном коммутаторе доступа можно встретить коллизии хэша... печаль.

и "рассегментировали" тут никак не спасет, до ядра то вся эта порнография все равно как то доходит.

180000 абонентов

в одном вилане 6-16 к маков за каждым роутером, но сегментацией достигается 600-1000 маков за веткой(портом агрегации) на доступе 3028 с коллизиями тоже есть, после перехода на сегментацию, этот эффект уменьшается. Был вилан на район, но этим очень неудобно управлять.

[darkagent]

180000 абонентов

молодцы

в одном вилане 6-16 к маков за каждым роутером,

ох мать...

но сегментацией достигается 600-1000 маков за веткой(портом агрегации)

ох мать...

на доступе 3028

ох мать...

после перехода на сегментацию, этот эффект уменьшается.

ох мать...

Был вилан на район, но этим очень неудобно управлять.

это называется ленивый зажратый тех.персонал, который если не пинать, и не заставлять работать - рано или поздно (а скорее всего уже), обнаглеет так, что лучше сразу уволнять, чем пытаться переучить и перевоспитать.

 

а по всем пунктам "ох мать..." реально... ох мать...

если у вас в агрегации не какой нибудь мегаацкидорогой бренд аля киско/икстрим/жунипер/форс10/итд, коллизии хэша маков и тут можно словить, особенно если под 600-1000 маков на порт!

[Frau]

на самом деле все не так страшно) на агрегации cisco

Тех.персонал у нас отличный, но это действительно сложно управлять таким зоопарком когда количество активки на доступе приближается к 10к, при всяких расключениях-переключениях можно что-то забыть, а когда везде все типизировано, аварийность после работ минимальна.

[John_obn]

D^2, RedBack SE располагает подобным ISG? Интересует именно, чтобы забирал сервисы с радиуса, считал трафик для каждого сервиса, авторизация по mac, ip, а также чтобы была возможность под одной сессией ISG работать нескольким ip (хотя бы подсеть) подключенным на уровне l2 относительно RedBack (аналог цискогового ip subscriber l2-connected).

[Deac]

всех пользователей

Всех троих?

вообще их у нас 180 кило

2 мужчины, 3 женщины или один толстяк :)

Не, походу семья: "сам, сама и самёнок".

 

А серьёзно - нах DHCP opt х.з.ч. и пр. убожества.

PPPoE - наше всё!

Вот за сколько времени, ни разу не увидел ни одного бронебойного аргумента против VPN.

 

[andryas]

Вот за сколько времени, ни разу не увидел ни одного бронебойного аргумента против VPN.

У Вас отличное чувство юмора!

[Deac]

Шутки в сторону!

 

Про "перетыкальщиков" - отложим.

 

Вот типичная задача:

- Сеть, что-то оптикой, что-то по радио.

- Радио, это когда база воткнута в один порт на коммутаторе, а на базе 10...30 CPE, кот. ничего про DHCP Opt х.з.ч. не знают.

- Как выдавать IP?

 

Но это даже простой случай, более типично - в порт воткнут backhaul PtMP на 3...5 направлений, на каждом из которых по базе с 10...30 клиентами.

Для PPPoE - не проблема, логин/пароль и вперёд, среда не имеет значения, а вот с IPoE - облом.

 

Жду примера, когда PPPoE "не срабатывает", давно жду, пока только сопли с сахаром, про то как бедному хомячку тяжело запомнить пароль.

Изменено 11 февраля, 2011 пользователем Deac