[vadius]

Приветствую всех.

Нужен совет.

 

Схема сети такая:

Пользователи -> DES-3526(3200) -> DGS-3100 (DES-3200) -> DGS-3627G (Стек из 3х) -> NAS

 

Клиентов порядка 2000. На данный момент все в одном влане. Нужно сегментировать сеть.

Есть планы сделать влан на свитч доступа, но пока нет возможности, планируем после того как всех клиентов переведем на белые ip.

Сейчас рассматриваю схему traffic segmentation на свитчах доступа, и поднять local proxy arp в ядре.

по типу

Но после тестов и глюков отказались от идеи прокси арпа на 3627.

 

Сейчас есть мысли взять бу циску в ядро, раскидать стек из 3627 на отдельные свитчи, и через LACP завести в циску. Ну и поднять local proxy arp на ней.

Подскажите, у кого-нибудь работает нормально подобная схема с traffic segmentation и proxy arp?

 

Порекомендуйте пожалуйста, что лучше взять из цисок с 24 гигабитными интерфейсами, которая потянет 4-5 тыс арп (в перспективе поднять на ней ip unnumbered на 300-400 вланов со свитчей доступа).

Ранее с цисками дел не имел. Пока присмотрел WS-C3750G-24TS, сгодится на эту роль?

Изменено 31 января, 2013 пользователем vadius

[alkanaft]

имхо изврат. полный. сегментировать вручную это можно лениво переводя по 20-30 свичей в день в одиночку с перерывом на чай каждые полчаса

 

сегментировать в коллизионные домены по 500 маков итого 4 влана на трафик и 4 влана управления и всё это только на доступе, стек разбирать не надо

вдвоём сеть из 500 коммутаторов можно за неделю причесать

[dmvy]

у 3750-24 унылые SDM-профили

#sh sdm prefer 
The current template is "desktop routing" template.
The selected template optimizes the resources in
the switch to support this level of features for
8 routed interfaces and 1024 VLANs. 

 number of unicast mac addresses:                  3K
 number of IPv4 IGMP groups + multicast routes:    1K
 number of IPv4 unicast routes:                    11K
   number of directly-connected IPv4 hosts:        3K
   number of indirect IPv4 routes:                 8K
 number of IPv4 policy based routing aces:         0.5K
 number of IPv4/MAC qos aces:                      0.5K
 number of IPv4/MAC security aces:                 1K

#sh sdm prefer default 
"desktop default" template:
The selected template optimizes the resources in
the switch to support this level of features for
8 routed interfaces and 1024 VLANs. 

 number of unicast mac addresses:                  6K
 number of IPv4 IGMP groups + multicast routes:    1K
 number of IPv4 unicast routes:                    8K
   number of directly-connected IPv4 hosts:        6K
   number of indirect IPv4 routes:                 2K
 number of IPv4 policy based routing aces:         0
 number of IPv4/MAC qos aces:                      0.5K
 number of IPv4/MAC security aces:                 1K

#sh sdm prefer access 
"desktop access IPv4" template:
The selected template optimizes the resources in
the switch to support this level of features for
8 routed interfaces and 1024 VLANs. 

 number of unicast mac addresses:                  4K
 number of IPv4 IGMP groups + multicast routes:    1K
 number of IPv4 unicast routes:                    6K
   number of directly-connected IPv4 hosts:        4K
   number of indirect IPv4 routes:                 2K
 number of IPv4 policy based routing aces:         0.5K
 number of IPv4/MAC qos aces:                      0.5K
 number of IPv4/MAC security aces:                 2K

 

я бы смотрел в сторону 3750-12

#sh sdm prefer default 
"aggregate default" template:
The selected template optimizes the resources in
the switch to support this level of features for
8 routed interfaces and 1024 VLANs. 

 number of unicast mac addresses:                  6K
 number of IPv4 IGMP groups + multicast routes:    1K
 number of IPv4 unicast routes:                    12K
   number of directly-connected IPv4 hosts:        6K
   number of indirect IPv4 routes:                 6K
 number of IPv4 policy based routing aces:         0
 number of IPv4/MAC qos aces:                      1.125k
 number of IPv4/MAC security aces:                 1K

#sh sdm prefer access 
"aggregator access IPv4" template:
The selected template optimizes the resources in
the switch to support this level of features for
8 routed interfaces and 1024 VLANs. 

 number of unicast mac addresses:                  6K
 number of IPv4 IGMP groups + multicast routes:    1K
 number of IPv4 unicast routes:                    12K
   number of directly-connected IPv4 hosts:        6K
   number of indirect IPv4 routes:                 6K
 number of IPv4 policy based routing aces:         0.5K
 number of IPv4/MAC qos aces:                      1.125k
 number of IPv4/MAC security aces:                 4K

#sh sdm prefer rou    
"aggregate routing" template:
The selected template optimizes the resources in
the switch to support this level of features for
8 routed interfaces and 1024 VLANs. 

 number of unicast mac addresses:                  6K
 number of IPv4 IGMP groups + multicast routes:    1K
 number of IPv4 unicast routes:                    20K
   number of directly-connected IPv4 hosts:        6K
   number of indirect IPv4 routes:                 14K
 number of IPv4 policy based routing aces:         0.5K
 number of IPv4/MAC qos aces:                      0.75K
 number of IPv4/MAC security aces:                 1K

 

или пару 3550-12

интереснее было бы собрать шасси 6500 конечно, если бюджет позволяет.

[vadius]

сегментировать в коллизионные домены по 500 маков итого 4 влана на трафик и 4 влана управления и всё это только на доступе, стек разбирать не надо

вдвоём сеть из 500 коммутаторов можно за неделю причесать

Если не затруднит, можете поподробнее объяснить, как реализовать. недопонял.

сегментировать в коллизионные домены

Имелось ввиду наверное широковещательные домены?

[andryas]

Циску, я поставил 4 штуки 3550-12T на 2к абонентов (500 абонов на устройство). Но спокойно спать боюсь, ибо проц очень слаб, и легко убивается флудом даже единственного сетевого устройства. Всё-таки, нужно что-то гораздо мощнее.

[vadius]

у 3750-24 унылые SDM-профили

 

я бы смотрел в сторону 3750-12

 

или пару 3550-12

интереснее было бы собрать шасси 6500 конечно, если бюджет позволяет.

Циску, я поставил 4 штуки 3550-12T на 2к абонентов (500 абонов на устройство). Но спокойно спать боюсь, ибо проц очень слаб, и легко убивается флудом даже единственного сетевого устройства. Всё-таки, нужно что-то гораздо мощнее.

А два 3750-12 хватит на 2000-3000 клиентов, или смотреть уже в сторону шасси 6500?

[andryas]

А два 3750-12 хватит на 2000-3000 клиентов, или смотреть уже в сторону шасси 6500

На свич такого класса я бы не рискнул, тем более, скорей всего, предполагается дальнейший рост. Всё же, думаю, стОит брать шеститонника.

[darkagent]

IP unnumbered у вас на базе dhcp-snooping или connected host polling (arp polling) ? если второе, шеститонник не для вас (6500/7600 не умеют CHP) - для роста тут можно смотреть в сторону 4500/4500E платформы, в том числе и 4900M.

3550 - 3750, в случае пока у вас 2к абонентов, может и хватит, но для них это уже близко к пределу (особенно со всякими ip unnumbered). Самый дешевый вариант - держать несколько 3550 (в том числе и парочку в прозапас, на случай выхода из строя). Но лучше уже начать присматриваться к более современным и производительным платформам, чтобы в одночасье не сгинуть под необходимостью новых фич (например pimv2, mld, и прочий ipv6).

[vadius]

IP unnumbered у вас на базе dhcp-snooping или connected host polling (arp polling) ? если второе, шеститонник не для вас (6500/7600 не умеют CHP) - для роста тут можно смотреть в сторону 4500/4500E платформы, в том числе и 4900M.

3550 - 3750, в случае пока у вас 2к абонентов, может и хватит, но для них это уже близко к пределу (особенно со всякими ip unnumbered). Самый дешевый вариант - держать несколько 3550 (в том числе и парочку в прозапас, на случай выхода из строя). Но лучше уже начать присматриваться к более современным и производительным платформам, чтобы в одночасье не сгинуть под необходимостью новых фич (например pimv2, mld, и прочий ipv6).

IP unnuberred на базе CHP.

Спасибо всем, гляну в сторону 4500, пока почитаю про него.

[azhur]

Спасибо всем, гляну в сторону 4500, пока почитаю про него.

Только наверно не устаревший 4500, а 4500E.

[vadius]

Спасибо всем, гляну в сторону 4500, пока почитаю про него.

Только наверно не устаревший 4500, а 4500E.

На модули 4500е ценники уже зашкаливают, а 4500 слабоват будет?

Или модули от 4500 можно поставить на шасси 4500е?

[darkagent]

Или модули от 4500 можно поставить на шасси 4500е?

Там куча ограничений по использованию "смесей", первое с чем столкнетесь - супервизор. в 4500-E, если мне не изменяет память, только Sup V-10GE (от старых 4500) способен завестись, либо новые (маркируются "-E").

Производительность у Sup V-10GE для вашей ситуации более чем достаточная и запас имеется.

http://www.cisco.com/en/US/prod/collateral/modules/ps2797/ps6033/product_data_sheet0900aecd801c5c66.html

Отличительная особенность - можно использовать microflow policing. Про эту фишку можно почитать тут: http://www.cisco.com/en/US/prod/collateral/switches/ps5718/ps4324/prod_white_paper0900aecd8041691c.html

В свое время microflow policing позволили "мягко" модернизировать сети, когда на сети еще оставалась полудохлая медь, но уже в обиход пошли серые пиринги и массовый p2p файлообмен.

В среднем, этого мозга хватит вашей сети вплоть до 8-10к активных абонентов (или даже значительно больше, смотря сколько функционала задействуете). Если изначально собирать в шасси 4500E, вы сможете вполне спокойно модернизировать ядро в дальнейшем (докупить линейные карты и более производительный суп). Но если в ваших планах нет "переходного периода", имеет смысл посмотреть сразу в сторону 4900M.

- один 4900M может вполне спокойно держать на себе до 30-40к пользователей. http://www.cisco.com/en/US/products/ps9310/index.html

[azhur]

http://www.cisco.com/en/US/prod/collateral/switches/ps5718/ps4324/product_data_sheet0900aecd801792b1.html

Да, общий супервизор у 4500 и 4500Е - только Sup V-10GE, и модули старые в новом корпусе далеко не все заведутся.

Мы себе для ядра взяли два (второй - горячий резерв) WS-C4503-E вот в такой набивке:

Mod Ports Card Type                              Model
---+-----+--------------------------------------+------------------+
1     6  Sup 6L-E 10GE (X2), 1000BaseX (SFP)    WS-X45-SUP6L-E
2    48  10/100/1000BaseT (RJ45)                WS-X4648-RJ45-E
3    24  1000BaseX (SFP)                        WS-X4624-SFP-E

Кит(шасси, бп, СУП, карта с медью)+карта под SFP.

Работает без проблем, правда мы не провайдер, а корпорат.

Выбирали между ним и 4900M.

Чтобы получить на 4900M гигабитные оптические интерфейсы надо покупать 8х10Г халфкарту и твингиг-переходники, что на тот момент было дороже.

ЗЫ Интригаторы нам вообще вот такую вундервафлю пытались впарить: http://www.cisco.com/en/US/products/ps9336/index.html

Оно конечно круто, но дорого и оверкилл для нас.

[darkagent]

Чтобы получить на 4900M гигабитные оптические интерфейсы надо покупать

если pvst не нужен:

X2-10GB-CX4 1шт (~150$) + DGS-3120-24SC + шнурок CX4-CX4 нужной вам длины.

если нужен pvst или прочие заморочки кошки: X2-10GB-SR (или LR) + SFP+10G-SR (SFP+10G-LR) + ME3600X либо аналог.

 

Оба рецепты, как показала практика, вполне оправданы, хотя и добавляют точек отказа.

[alkanaft]

сегментировать в коллизионные домены по 500 маков итого 4 влана на трафик и 4 влана управления и всё это только на доступе, стек разбирать не надо

вдвоём сеть из 500 коммутаторов можно за неделю причесать

Если не затруднит, можете поподробнее объяснить, как реализовать. недопонял.

сегментировать в коллизионные домены

Имелось ввиду наверное широковещательные домены?

под коллизионным доменом понимается ограниченное L2 пространство. по нашему влан, влан в котором есть абоненты с маками. И чем меньше маков в этом домене тем меньше коллизий и широковещательного трафика гуляет по всей сети и тем меньше пользователь из одного района занимает ресурсов у пользователя из другого района (ОС как ни странно при большом объёме например arp трафика имеет свойство загибаться и падать [не, с виндой на десктопе надо постараться чтобы уронить, а вот роутеры с дохлыми процессорами затыкаются в час пик от сетевого шума]). Как определить размер оптимальный домена? есть практика выделять 1 влан на 1 коммутатор агрегации DGS 3627G на узле 2 уровня при подключении к нему звездой 24 коммутаторов точек коллективного доступа (ТКД) des 3200-28 доступа звездой : итого 24 порта * 24 коммутатора = 576 портов, то есть столько же маков. Исходя из того что не все коммутаторы заняты на 100 % и у абонента разрешено не более 5 маков на порт то имеем полтыщи маков что является оптимальным.

 

ну и на каждый сегмент оптимально выделять свой влан управления и влан для абонентского трафика

 

все сегменты с узлов второго уровня агрегируются на коммутаторе ядра (шеститонник -- мечта поэта) на нормальном каталисте (можно и на DGS 3627G, если денег нет) с нормальной таблицей arp, и большой таблицей маршрутизации

[vadius]

Или модули от 4500 можно поставить на шасси 4500е?

Там куча ограничений по использованию "смесей", первое с чем столкнетесь - супервизор. в 4500-E, если мне не изменяет память, только Sup V-10GE (от старых 4500) способен завестись, либо новые (маркируются "-E").

Производительность у Sup V-10GE для вашей ситуации более чем достаточная и запас имеется.

http://www.cisco.com/en/US/prod/collateral/modules/ps2797/ps6033/product_data_sheet0900aecd801c5c66.html

Отличительная особенность - можно использовать microflow policing. Про эту фишку можно почитать тут: http://www.cisco.com/en/US/prod/collateral/switches/ps5718/ps4324/prod_white_paper0900aecd8041691c.html

В свое время microflow policing позволили "мягко" модернизировать сети, когда на сети еще оставалась полудохлая медь, но уже в обиход пошли серые пиринги и массовый p2p файлообмен.

В среднем, этого мозга хватит вашей сети вплоть до 8-10к активных абонентов (или даже значительно больше, смотря сколько функционала задействуете). Если изначально собирать в шасси 4500E, вы сможете вполне спокойно модернизировать ядро в дальнейшем (докупить линейные карты и более производительный суп). Но если в ваших планах нет "переходного периода", имеет смысл посмотреть сразу в сторону 4900M.

- один 4900M может вполне спокойно держать на себе до 30-40к пользователей. http://www.cisco.com/en/US/products/ps9310/index.html

Спасибо за подробные разъяснения.

Появились новые вопросы :)

А если в шасси 4500-E поставить только Sup V-10GE, без дополнительных линейных модулей, будет работать? Есть мысля по 10Gе соединить со стеком DGS-3627G, а на гигабитные порты повесить NAS-ы. А чуть попозже при необходимости докупить линейные модули.

Т.е схема такая:

Пользователи -> DES-3526(3200) -> DGS-3100 (DES-3200) -> DGS-3627G (Стек из 3х) <-10ge-> 4500E <-1ge-> NAS

 

Будут ли какие-нибудь подводные камни при соединении длинка с циской по 10ge?

И еще вопросик, модули 10ge на sup докупаются отдельно?

[u234]

 

А если в шасси 4500-E поставить только Sup V-10GE, без дополнительных линейных модулей, будет работать? Есть мысля по 10Gе соединить со стеком DGS-3627G, а на гигабитные порты повесить NAS-ы. А чуть попозже при необходимости докупить линейные модули.

Т.е схема такая:

Пользователи -> DES-3526(3200) -> DGS-3100 (DES-3200) -> DGS-3627G (Стек из 3х) <-10ge-> 4500E <-1ge-> NAS

 

Будут ли какие-нибудь подводные камни при соединении длинка с циской по 10ge?

И еще вопросик, модули 10ge на sup докупаются отдельно?

 

Судя по даташиту может не получится

 

Active Uplinks w/ Redundant Sups 10GE (any 2 ports,any Sup) or 4 GE (any 4 ports, any Sup)

 

http://shop.nag.ru/uploads/docs/Doc/catalyst4000supervisors.pdf

[darkagent]

Судя по даташиту может не получится

чушь

 

Te1/1 connected trunk full 10G 10GBase-CX4

Te1/2 connected trunk full 10G 10GBase-CX4

Gi1/3 connected trunk full 1000 1000BaseLH

Gi1/4 connected trunk full 1000 1000BaseLH

Gi1/5 connected trunk full 1000 1000BaseLH

Gi1/6 connected trunk full 1000 Unknown GBIC

 

 

#sh inv | inc Sup

NAME: "Linecard(slot 1)", DESCR: "Supervisor V-10GE with 2 10GE X2 ports, and 4

1000BaseX SFP ports"

 

все работает, без проблем.

 

te1/1, te1/2 по cx4 уползают к 3627 и 3120.

[u234]

ну если так - то прекрасно, видимо я не так понял данный пункт в даташите

[dazgluk]

чушь

te1/1, te1/2 по cx4 уползают к 3627 и 3120.

Напугали, побежал искать в Datasheet упоминание у 3120 о 10Gb/s, я так понимаю речь про 3420? :)

[darkagent]

нет, речь про dgs-3120-24sc, у них на жопе 2 x cx4 порта, которые можно использовать как полноценные 10G если ввести команду config stacking_mode disable.

 

DGS-3120-24SC:admin#show ports 25 details

Command: show ports 25 details

 

Port : 25

--------------------

Port Status : Link Up

Description :

HardWare Type : Ten Gigabits Ethernet

MAC Address : 14-D6-4D-BE-D3-D8

Bandwidth : 10000000Kbit

Auto-Negotiation : Enabled

Duplex Mode : Full Duplex

Flow Control : Disabled

MDI : Normal

Address Learning : Enabled

Last Clear of Counter : 143 hours 27 mins ago

BPDU Hardware Filtering Mode: Disabled

Queuing Strategy : FIFO

 

DGS-3120-24SC:admin#show ports 25 media_type

Command: show ports 25 media_type

 

Port Type

------- ------------

25 10GBase-CX4

[dazgluk]

нет, речь про dgs-3120-24sc, у них на жопе 2 x cx4 порта, которые можно использовать как полноценные 10G если ввести команду config stacking_mode disable.

 

DGS-3120-24SC:admin#show ports 25 details

Command: show ports 25 details

 

Port : 25

--------------------

Port Status : Link Up

Description :

HardWare Type : Ten Gigabits Ethernet

MAC Address : 14-D6-4D-BE-D3-D8

Bandwidth : 10000000Kbit

Auto-Negotiation : Enabled

Duplex Mode : Full Duplex

Flow Control : Disabled

MDI : Normal

Address Learning : Enabled

Last Clear of Counter : 143 hours 27 mins ago

BPDU Hardware Filtering Mode: Disabled

Queuing Strategy : FIFO

 

DGS-3120-24SC:admin#show ports 25 media_type

Command: show ports 25 media_type

 

Port Type

------- ------------

25 10GBase-CX4

Забавно, спасибо.

Будем иметь в виду

[darkagent]

внезапно прозрели как экономить ~500$/за девайс в пределах стойки?)

[dazgluk]

внезапно прозрели как экономить ~500$/за девайс в пределах стойки?)

Да не, мы их ставим в основания звезд на чердаках, 10Gb/s до такой свезды пока что перебор, просто приятно что можно будет сделать в дальнейшем

[vadius]

Te1/1 connected trunk full 10G 10GBase-CX4

Te1/2 connected trunk full 10G 10GBase-CX4

Gi1/3 connected trunk full 1000 1000BaseLH

Gi1/4 connected trunk full 1000 1000BaseLH

Gi1/5 connected trunk full 1000 1000BaseLH

Gi1/6 connected trunk full 1000 Unknown GBIC

 

 

#sh inv | inc Sup

NAME: "Linecard(slot 1)", DESCR: "Supervisor V-10GE with 2 10GE X2 ports, and 4

1000BaseX SFP ports"

 

все работает, без проблем.

 

te1/1, te1/2 по cx4 уползают к 3627 и 3120.

 

Ну тогда здорово, спасибо огромное!