Картуччо Опубликовано 10 февраля, 2011 · Жалоба ASR1002-RP1 ASR1000-ESP10 ASR1002-SIP10 4XGE-BUILT-IN Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
survivor Опубликовано 10 февраля, 2011 · Жалоба Картуччо а как вообще живется с asr? говорят железо и софт сырые, глюков много? Много ли отличий в работе от младших братьев (28xx, 38xx, 72xx)? Легко ли найти ios? Нет ли каких-то подводных камней? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Картуччо Опубликовано 10 февраля, 2011 · Жалоба Живется пока не слишком долго, недавно запустили, но все что работало, так же продолжает работать. За исключением упомянутых рейтлимитов, но это решаемо. Тотальное превосходство по мощности к 7206, как выше писал. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sergeyfromkomi Опубликовано 10 февраля, 2011 · Жалоба Присоединяюсь к вопросу. Сейчас также рассматриваю вариант перехода c PPPoE на IPoE. Возникло 2 главных вопроса: 1) Как массово шейпить пользователей на циске? в данный момент стоит 7201, очень малая часть клиентов(большие юр. лица) работают через IPoE, шейпинг с помощью policy-map. Планируем брать asr-1002. 2) Как настраивать Vlan на пользователя? Планирую терминировать вланы на распределении с помощью L3 (возможно catalyst3750 с 10G uplink в ядро). если руками - очень долго получится:прописать vlan на распределении, прописать vlan на доступе, acl для разрешения только одного ip в этом vlan. 1шейпите на доступе. des3200 с этим прекрасно справляются...2 ставьте влан на дом + src acl на порты Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
darkagent Опубликовано 10 февраля, 2011 · Жалоба 1шейпите на доступе. des3200 с этим прекрасно справляются...2 ставьте влан на дом + src acl на порты что б вас так "шейпили" по жизни. на коммутаторах доступа шейпера не бывает. на доступе бывает только rate-limit, который дропает весь трафик, если загрузка полосы идет сверх лимита. вы даже не представляете насколько это все через задницу выходит в итоге. вас абоненты проклинать будут. влан на дом + src acl на порты в ipoe попахивает младенческим пионернетом, который надо срочно заживо хоронить, пока из этого не выродился какой-нибудь садомазохистский монстр. Присоединяюсь к вопросу. 1) Как массово шейпить пользователей на циске? в данный момент стоит 7201, очень малая часть клиентов(большие юр. лица) работают через IPoE, шейпинг с помощью policy-map. Планируем брать asr-1002. если уж берете asr1002, то ответ на ваш вопрос наиподробнейшим образом описан тут: http://www.cisco.com/en/US/docs/ios/ios_xe...xe_3s_book.html2) Как настраивать Vlan на пользователя? Планирую терминировать вланы на распределении с помощью L3 (возможно catalyst3750 с 10G uplink в ядро). если руками - очень долго получится:прописать vlan на распределении, прописать vlan на доступе, acl для разрешения только одного ip в этом vlan. простой вариант по части логики: номер порта совпадает с номером влана, на аплинке q-in-q, в ядре разворачиваем с vlan translation. 3750 не советую при "влан на пользователя" - моментально упретесь в ограничения в 1000 svi. лучше сразу какую нибудь 65ую или 76ую собрать, и на ней как раз можно будет разворачивать q-in-q, если не хотите прокидывать до asr. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ingress Опубликовано 10 февраля, 2011 · Жалоба считал здесь старшие бандлы циски и эриксона, если в кратце 4x10GE, 20G full сервисов, со скидкой аср на 20-25к дороже выходит. аср ещё пилить будут, особенно ISG, и в нём нет поддержки ipv6, и нат кривой. SE уже много лет как чисто сервисная платформа, ip6 subscriber есть(отдельной лицензией правда), нат 8М трансляций правда пока что не Carrier Grade(т.е. без ната тунелей). 3750 не советую при "влан на пользователя" - моментально упретесь в ограничения в 1000 svi. лучше сразу какую нибудь 65ую или 76ую собрать, и на ней как раз можно будет разворачивать q-in-q, если не хотите прокидывать до asr. 7600 умеет бриджевать/терминировать q-in-q только на ES/ES+ картах(соответственно) и SIPах, проще ASR с ESP40/SIP40 тогда поставить, а 7600 к ней аггрегатором. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ingress Опубликовано 10 февраля, 2011 · Жалоба а каком из интерфейсов находится, скажем, адрес 10.200.0.50, который клиент получил по DHCP?В примере ip unnumbered на cisco catalyst делают так: ip route адрес 255.255.255.255 интерфейс Но этот вариант хорош только для статики... давно я этот гайд писал под новый год от делать нечего, но до сих пор его цитируют :) есть вариант использования ip unnumbered со статикой и без указания маршрута, НО в данном случае атака arp spoofing(допустим между двумя широкими CVLAN) возможна, но если на доступе это контролируется то вполне себе решение. надо сказать poll: interface Vlan555 des Abonent1 ip unnumbered Loopback2 poll no ip proxy-arp и в таком случае маршрут создавать не надо, железка сама по АРПу создаст adjacency. p.s. очень сильно снижает нагрузку на tcam, потому что не создаются over 9000 маршрутов. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Lynx10 Опубликовано 10 февраля, 2011 · Жалоба считал здесь старшие бандлы циски и эриксона, если в кратце 4x10GE, 20G full сервисов, со скидкой аср на 20-25к дороже выходит.аср ещё пилить будут, особенно ISG, и в нём нет поддержки ipv6, и нат кривой. а вот когда допилят - то просто так иос наверно спионерить уже не получится ;) а будет всё по чесному как у джуниперов и иже с ними Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nickD Опубликовано 11 февраля, 2011 · Жалоба Я то же задумываюсь о vlan на пользователя, QinQ что бы убрать ограничение на количество VLAN это хорошо. Что делать количеством пользовательских МАС которое появится на магистральных свичах. Или в магистраль ставить супербупер свичи с 128К MAC на борту или разрешать юзеру только 1 MAC на акцесе, что не есть гуд. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
D^2 Опубликовано 11 февраля, 2011 · Жалоба extreme x480 - up to 512k MACs Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
darkagent Опубликовано 11 февраля, 2011 · Жалоба На магистраль ставить metro-ethernet агрегаторы, в которых изначально закладывается приличный запас по кол-ву маков. 3627G - 16к маков 3610-26G - 16к маков 3610-26G A2A ревизия - 32к маков Extreme summit - 128-512k маков Cisco me3600x - 16к маков при лицензии advanced metro ip access Cisco me3800X - от 32к маков, до 256к при Scaled Metro Aggregation Services лицензии и т.д. при масштабном строительстве ipoe с применением vlan-per-user, железки стоит подбирать уже уровня carrier grade. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sergeyfromkomi Опубликовано 11 февраля, 2011 · Жалоба что б вас так "шейпили" по жизни. на коммутаторах доступа шейпера не бывает. на доступе бывает только rate-limit, который дропает весь трафик, если загрузка полосы идет сверх лимита. вы даже не представляете насколько это все через задницу выходит в итоге. вас абоненты проклинать будут. влан на дом + src acl на порты в ipoe попахивает младенческим пионернетом, который надо срочно заживо хоронить, пока из этого не выродился какой-нибудь садомазохистский монстр. то что там rate-limit - это известно (это коммутатор). но должен признать (как ни странно ) именно у этой линейки 3200, этот функционал отлично работает. Проверена эмпирически.(догадываюсь "Бедные ваши абоненты!!!!)))") Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
darkagent Опубликовано 11 февраля, 2011 · Жалоба то что там rate-limit - это известно (это коммутатор). но должен признать (как ни странно ) именно у этой линейки 3200, этот функционал отлично работает. Проверена эмпирически.(догадываюсь "Бедные ваши абоненты!!!!)))") http://emigrant2immigrant.files.wordpress....0collage203.jpg Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Frau Опубликовано 11 февраля, 2011 · Жалоба мы наоборот вдули всех пользователей в один вилан (чтоб легче админить было), рассегментировали переписали давилку и фильтры от sce на нетграфе и разделили локалку от инета роутингом. И переходим на ipoe. Успешно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
andryas Опубликовано 11 февраля, 2011 · Жалоба всех пользователей Всех троих? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Frau Опубликовано 11 февраля, 2011 · Жалоба всех пользователейВсех троих? вообще их у нас 180 кило Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Картуччо Опубликовано 11 февраля, 2011 · Жалоба всех пользователейВсех троих? вообще их у нас 180 кило 2 мужчины, 3 женщины или один толстяк :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
darkagent Опубликовано 11 февраля, 2011 · Жалоба шутки шутками, но если организация позволила себе SCE, значит она явно переросла клиентскую базу в 10000 абонентов. хотя вот это сильно смущает: в один вилан (чтоб легче админить было), рассегментировалиэто ж сколько в одном влане маков бегает. учитывая что практически на любом бюджетном коммутаторе доступа можно встретить коллизии хэша... печаль. и "рассегментировали" тут никак не спасет, до ядра то вся эта порнография все равно как то доходит. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Frau Опубликовано 11 февраля, 2011 · Жалоба шутки шутками, но если организация позволила себе SCE, значит она явно переросла клиентскую базу в 10000 абонентов. хотя вот это сильно смущает: в один вилан (чтоб легче админить было), рассегментировалиэто ж сколько в одном влане маков бегает. учитывая что практически на любом бюджетном коммутаторе доступа можно встретить коллизии хэша... печаль. и "рассегментировали" тут никак не спасет, до ядра то вся эта порнография все равно как то доходит. 180000 абонентов в одном вилане 6-16 к маков за каждым роутером, но сегментацией достигается 600-1000 маков за веткой(портом агрегации) на доступе 3028 с коллизиями тоже есть, после перехода на сегментацию, этот эффект уменьшается. Был вилан на район, но этим очень неудобно управлять. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
darkagent Опубликовано 11 февраля, 2011 · Жалоба 180000 абонентовмолодцыв одном вилане 6-16 к маков за каждым роутером,ох мать...но сегментацией достигается 600-1000 маков за веткой(портом агрегации)ох мать...на доступе 3028ох мать...после перехода на сегментацию, этот эффект уменьшается.ох мать...Был вилан на район, но этим очень неудобно управлять.это называется ленивый зажратый тех.персонал, который если не пинать, и не заставлять работать - рано или поздно (а скорее всего уже), обнаглеет так, что лучше сразу уволнять, чем пытаться переучить и перевоспитать. а по всем пунктам "ох мать..." реально... ох мать... если у вас в агрегации не какой нибудь мегаацкидорогой бренд аля киско/икстрим/жунипер/форс10/итд, коллизии хэша маков и тут можно словить, особенно если под 600-1000 маков на порт! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Frau Опубликовано 11 февраля, 2011 · Жалоба на самом деле все не так страшно) на агрегации cisco Тех.персонал у нас отличный, но это действительно сложно управлять таким зоопарком когда количество активки на доступе приближается к 10к, при всяких расключениях-переключениях можно что-то забыть, а когда везде все типизировано, аварийность после работ минимальна. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
John_obn Опубликовано 11 февраля, 2011 · Жалоба D^2, RedBack SE располагает подобным ISG? Интересует именно, чтобы забирал сервисы с радиуса, считал трафик для каждого сервиса, авторизация по mac, ip, а также чтобы была возможность под одной сессией ISG работать нескольким ip (хотя бы подсеть) подключенным на уровне l2 относительно RedBack (аналог цискогового ip subscriber l2-connected). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Deac Опубликовано 11 февраля, 2011 · Жалоба всех пользователейВсех троих? вообще их у нас 180 кило 2 мужчины, 3 женщины или один толстяк :) Не, походу семья: "сам, сама и самёнок". А серьёзно - нах DHCP opt х.з.ч. и пр. убожества. PPPoE - наше всё! Вот за сколько времени, ни разу не увидел ни одного бронебойного аргумента против VPN. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
andryas Опубликовано 11 февраля, 2011 · Жалоба Вот за сколько времени, ни разу не увидел ни одного бронебойного аргумента против VPN. У Вас отличное чувство юмора! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Deac Опубликовано 11 февраля, 2011 (изменено) · Жалоба Шутки в сторону! Про "перетыкальщиков" - отложим. Вот типичная задача: - Сеть, что-то оптикой, что-то по радио. - Радио, это когда база воткнута в один порт на коммутаторе, а на базе 10...30 CPE, кот. ничего про DHCP Opt х.з.ч. не знают. - Как выдавать IP? Но это даже простой случай, более типично - в порт воткнут backhaul PtMP на 3...5 направлений, на каждом из которых по базе с 10...30 клиентами. Для PPPoE - не проблема, логин/пароль и вперёд, среда не имеет значения, а вот с IPoE - облом. Жду примера, когда PPPoE "не срабатывает", давно жду, пока только сопли с сахаром, про то как бедному хомячку тяжело запомнить пароль. Изменено 11 февраля, 2011 пользователем Deac Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...