Jump to content

vlan > 4k

grfmaniak
 Share

Recommended Posts

grfmaniak

grfmaniak

Posted
Posted

4к L3-интерфейсов с возможностью задавать acl на каждом из них позволяет как минимум sup720? Т.е. чтобы терминировать 12к vlan на юзера, нужно ставить три c6500 с sup720 или все же можно обойтись меньшей кровью?

GFORGX

GFORGX

Posted
Posted

4к L3-интерфейсов с возможностью задавать acl на каждом из них позволяет как минимум sup720? Т.е. чтобы терминировать 12к vlan на юзера, нужно ставить три c6500 с sup720 или все же можно обойтись меньшей кровью?

Использовать L3 на агрегации?

nnm

nnm

Posted
Posted

Или использовать железку предназначенную для массовой терминации абонентских интерфейсов (BRAS): Cisco ASR 1000, Juniper E-series, RedBack SE и т.п.

grfmaniak

grfmaniak

Posted
  • Author
Posted
Использовать L3 на агрегации?

Агрегации нет, все линки сходятся звездой в один узел.

 

Или использовать железку предназначенную для массовой терминации абонентских интерфейсов (BRAS): Cisco ASR 1000, Juniper E-series, RedBack SE и т.п.

Нужна скоростная локалка. Стоит ли брать ASR чтобы забить ее межабонентским трафиком? Ведь его можно весь на коммутаторе разрулить.

UglyAdmin

UglyAdmin

Posted
Posted
Нужна скоростная локалка. Стоит ли брать ASR чтобы забить ее межабонентским трафиком? Ведь его можно весь на коммутаторе разрулить.
Забудьте об этом, если все виланы пришли в центр.

Или придётся делать гигабит на дом, 10Г на район.

grfmaniak

grfmaniak

Posted
  • Author
Posted
Забудьте об этом, если все виланы пришли в центр.

Или придётся делать гигабит на дом, 10Г на район.

Гигабит на дом это не проблема, там можно все эти гигабиты свести в один узел. Речь о том, обязателен ли sup720 в каждом этом каталисте?

UglyAdmin

UglyAdmin

Posted
Posted
Гигабит на дом это не проблема, там можно все эти гигабиты свести в один узел. Речь о том, обязателен ли sup720 в каждом этом каталисте?
Это будет агрегация или уже ядро?

Вообще терминировать юзерские виланы на каталистах, даже 6500 - плохая мысль, каталисты не предназначены для этого. Тупые молотилки это.

Скорости не нарезать, количество PBR ограниченно, информацию об оказанных услугах не снять.

Вам точно локалка нужна? Она сейчас вообще кому-нибудь нужна?

UglyAdmin

UglyAdmin

Posted
Posted

Кстати, для любого количества юзерских виланов нужно всего 2 ACL: "доступ разрешен" и "доступ запрещен".

Для защиты от подмены IP лучше использовать URPF и IPSourceGuard, а не персональные ACL.

grfmaniak

grfmaniak

Posted
  • Author
Posted
Кстати, для любого количества юзерских виланов нужно всего 2 ACL: "доступ разрешен" и "доступ запрещен".

Для защиты от подмены IP лучше использовать URPF и IPSourceGuard, а не персональные ACL.

Для защиты от подмены IP используется dhcp+opt82. ACL нужны для управления доступом к тем или иным сетям/хостам.

 

Гигабит на дом это не проблема, там можно все эти гигабиты свести в один узел. Речь о том, обязателен ли sup720 в каждом этом каталисте?
Это будет агрегация или уже ядро?

Вообще терминировать юзерские виланы на каталистах, даже 6500 - плохая мысль, каталисты не предназначены для этого. Тупые молотилки это.

Скорости не нарезать, количество PBR ограниченно, информацию об оказанных услугах не снять.

Ничего этого от него и не требуется. Требуется собрать кучу гиговых линков, терминировать vlanы, прописать маршруты по ip unnumbered+dhcp/opt82 и тупо молотить локальный трафик

 

Вам точно локалка нужна? Она сейчас вообще кому-нибудь нужна?

Юзеры обожают DC, сетевые игры и т.д.

Valaskor

Valaskor

Posted
Posted

Тоже подбираю свитчик для L3-сбора 4k абонентских вланов. (Т.е. для той самой L3-агрегации)

На примете:

Cisco 4900M, Extreme X460, ZTE 5928

Если с первой все более-менее ясно, тока цену надо бы поменьше, а вот по двум другим еще не совсем ясно, как дела обстоят с технологиями экономии IPv4 и поддержки IPv6 (то что она там есть - понятно).

 

P.S. Что вы придираетесь к этой локалке, ну не станет ее, тот же трафик прибавится к интернету. Тарифы то уже десятки мбит (а у некоторых и сотни). В такой обстановке вкладываться в ASR и подобное не вижу смысла, мегабит их производительности и сейчас не дешев, а что вы будете думать по этому поводу через пару лет? Ведь не на год же ее покупать.

UglyAdmin

UglyAdmin

Posted
Posted
Для защиты от подмены IP используется dhcp+opt82. ACL нужны для управления доступом к тем или иным сетям/хостам.
Вы это персонально что-ли назначать собираетесь? При формализованном доступе в рамках групповых тарифов всё равно ACL'ей требуется не больше, чем количество тарифов*2.

Если, конечно, используется "вилан на юзера", как Вы сказали в первом сообщении.

И циска не рекомендует более 2К L3-виланов для 6500.

 

Юзеры обожают DC, сетевые игры и т.д.
Это не те юзеры, которые нужны. Правильные юзеры должны бабки платить каждый месяц, а не бесплатно тусоваться на контровом серваке и в DC'шном чате.

Поэтому тарифов дешевле 400 рублей в месяц обычно не бывает независимо от ширины предоставляемого за эти деньги интернета.

С точки зрения экономики провайдинга, локалка - это бесплатный довесок к основной услуге, и предоставлять его на скорости порта - себе дороже.

grfmaniak

grfmaniak

Posted
  • Author
Posted
Вы это персонально что-ли назначать собираетесь? При формализованном доступе в рамках групповых тарифов всё равно ACL'ей требуется не больше, чем количество тарифов*2. Если, конечно, используется "вилан на юзера", как Вы сказали в первом сообщении.

В зависимости от тарифа и назначается acl, автоматом. Персонально. Потому что vlan на юзера.

 

И циска не рекомендует более 2К L3-виланов для 6500.

Прекрасно работает 4к на 6509 sup720. Просто понадобилось больше 4к для следующего проекта, вот и ищу решение.

 

Это не те юзеры, которые нужны. Правильные юзеры должны бабки платить каждый месяц, а не бесплатно тусоваться на контровом серваке и в DC'шном чате.

Поэтому тарифов дешевле 400 рублей в месяц обычно не бывает независимо от ширины предоставляемого за эти деньги интернета.

С точки зрения экономики провайдинга, локалка - это бесплатный довесок к основной услуге, и предоставлять его на скорости порта - себе дороже.

Бесплатно в локалке никто не тусуется. Выбрал тариф с абонплатой - получи локалку, iptv и прочие пряники. Выбрал без абонплаты - вот тебе инет, с остальным обломись. Потому что acl персонально на каждого в зависимости от тарифа, автоматом + vlan на юзера + полностью управляемая сеть.

 

 

zadrovets

zadrovets

Posted
Posted
4к L3-интерфейсов с возможностью задавать acl на каждом из них позволяет как минимум sup720? Т.е. чтобы терминировать 12к vlan на юзера, нужно ставить три c6500 с sup720 или все же можно обойтись меньшей кровью?
вобщем при твоих зачах другого ответа нет.

может стоит пересмотреть логику немного, например можно сделать не влан на пользователя,

а влан на порт коммутатора доступа, так чтобы на всех коммутаторах были одинаковые вланы на одинаковых портах.

т.о. вланов будет не больше чем 24хКолво свичей на доме.

начиная от sup32 опшен сможешь навесить на VID+порт6500 а последнее есть дом, при отсутствии агрегации.

UglyAdmin

UglyAdmin

Posted
Posted
Вы это персонально что-ли назначать собираетесь? При формализованном доступе в рамках групповых тарифов всё равно ACL'ей требуется не больше, чем количество тарифов*2. Если, конечно, используется "вилан на юзера", как Вы сказали в первом сообщении.
В зависимости от тарифа и назначается acl, автоматом. Персонально. Потому что vlan на юзера.

Персонально-то зачем?

Да, на каждый интерфейс надо повесить ACL, но кто сказал что это должны быть уникальные ACL?

Вполне достаточно "тарифХ_доступ_разрешен" и "тарифХ_доступ_запрещен", раз защита от подмены решается другими средствами.

 

Кстати, совсем экстремальный вариант: б/у 3550 вполне терминирует 1000 виланов. xD

grfmaniak

grfmaniak

Posted
  • Author
Posted
Персонально-то зачем?

Да, на каждый интерфейс надо повесить ACL, но кто сказал что это должны быть уникальные ACL?

Вполне достаточно "тарифХ_доступ_разрешен" и "тарифХ_доступ_запрещен", раз защита от подмены решается другими средствами.

В этом плане acl конечно не уникальные, их всего штук 6 :) Я имел в виду уникальные интерфейсы с acl, а не 4к уникальных acl :)

Stak

Stak

Posted
Posted
может стоит пересмотреть логику немного, например можно сделать не влан на пользователя,

а влан на порт коммутатора доступа, так чтобы на всех коммутаторах были одинаковые вланы на одинаковых портах.

т.о. вланов будет не больше чем 24хКолво свичей на доме.

начиная от sup32 опшен сможешь навесить на VID+порт6500 а последнее есть дом, при отсутствии агрегации.

Тоже вариант.

Я что то подобное тут предлагал:

http://forum.nag.ru/forum/index.php?showtopic=45488&hl=

 

 

UglyAdmin

UglyAdmin

Posted
Posted

В этом плане acl конечно не уникальные, их всего штук 6 :) Я имел в виду уникальные интерфейсы с acl, а не 4к уникальных acl :)

Тогда проблем с tcam не будет, там важны размеры и количество ACL, а не на скольких интерфейсах они висят.

grfmaniak

grfmaniak

Posted
  • Author
Posted
Тогда проблем с tcam не будет, там важны размеры и количество ACL, а не на скольких интерфейсах они висят.

Тогда возвращаемся к вопросу - обязателен ли именно sup720 в этих коммутаторах при такой схеме? :)

 

Дятел

Дятел

Posted
Posted
На SUP-2 чего-то важного не хватает, то ли Option 82, то ли ещё чего - не помню сейчас.

Sup32 используйте, если пропускной хватит. :)

Option 82
grfmaniak

grfmaniak

Posted
  • Author
Posted
Я что то подобное тут предлагал:

http://forum.nag.ru/forum/index.php?showtopic=45488&hl=

Схема интересная, только в ней-то как раз надо вешать на интерфейс замудренные acl, чтобы управлять доступом к локалке юзеров, которые в одном vlan на дом получатся. Тут как раз уже грозят уникальные acl в больших количествах.

Stak

Stak

Posted
Posted

Для контроля трафика там предполагалось использовать VACL (можно один на всех, можно для каждого влан свой),

Для полисинга локалки - UBRL, в самом простом варианте - для всех с одинаковыми параметрами полисинга.

 

zadrovets

zadrovets

Posted
Posted
Я что то подобное тут предлагал:

http://forum.nag.ru/forum/index.php?showtopic=45488&hl=

Схема интересная, только в ней-то как раз надо вешать на интерфейс замудренные acl, чтобы управлять доступом к локалке юзеров, которые в одном vlan на дом получатся. Тут как раз уже грозят уникальные acl в больших количествах.

смотря что нужно.

если просто отключить, то по оншену выдать адрес маршрутизируемый только на страничку lowmoney

дхцп к радиусу прикрутить для этого.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.