[D^2]

а почему по два SUP указано? Разве их надо 2шт на шасси?

резервирование

[pfexec]

dcef дает нечто другое, чем вы написали

лол. и что же оно "нечто" другое дает ? dcef хранит fib на лайнкарте и согласно ему форвардит трафик, поэтому и ненадо _весь_ трафик просовывать через бэкплейн в супервизор. что такого "другого" оно делает вместо этого?

ДЦ ДЦ рознь. Если не нужен низкая latancy,FC/FCoE/плотность 10Г - Nexus вообще ничем не лучше 6500.

не обязательно произносить столько умных слов чтобы убедиться в бесполезности каталистов для дц. хотя, соглашусь, при определенном сценарии можно с ними жить, но хорошей жизнь не будет, это уж точно. :)

Изменено 17 июля, 2013 пользователем pfexec

[D^2]

лол. и что же оно "нечто" другое дает ? dcef хранит fib на лайнкарте и согласно ему форвардит трафик, поэтому и ненадо _весь_ трафик просовывать через бэкплейн в супервизор. что такого "другого" оно делает вместо этого?

в cef режиме если что _весь_ трафик не просовывается в супервизор =)

лол? =)

[dignity]

не обязательно произносить столько умных слов чтобы убедиться в бесполезности каталистов для дц. хотя, соглашусь, при определенном сценарии можно с ними жить, но хорошей жизнь не будет, это уж точно. :)

Снимаю 65х котов отовсюду) Если нужна молотилка L2 - неэффективно и отстало. Если нужны интеллектуальные сервисы L3, то 65й кот с 720м сапом еще лет 5-7 будет в строю, не меньше... Вечное оборудование)

[kostas]

а почему по два SUP указано? Разве их надо 2шт на шасси?

резервирование

Быть постоянно включенным наверно нет большого смысла. Если только минимизировать время простоя в случае выхода из строя одного из. Или будучи включенным одновременно, дополнительная голова что-то даст кроме этого?

 

не обязательно произносить столько умных слов чтобы убедиться в бесполезности каталистов для дц. хотя, соглашусь, при определенном сценарии можно с ними жить, но хорошей жизнь не будет, это уж точно. :)

Снимаю 65х котов отовсюду) Если нужна молотилка L2 - неэффективно и отстало. Если нужны интеллектуальные сервисы L3, то 65й кот с 720м сапом еще лет 5-7 будет в строю, не меньше... Вечное оборудование)

Почему не эффективно для L2?

Что Вы подразумеваете под L3 интелектуальными сервисами?

[D^2]

Быть постоянно включенным наверно нет большого смысла. Если только минимизировать время простоя в случае выхода из строя одного из. Или будучи включенным одновременно, дополнительная голова что-то даст кроме этого?

включенная голова даст активные порты на себе + горячее резервирование в случае аварии

Почему не эффективно для L2?

Что Вы подразумеваете под L3 интелектуальными сервисами?

я думаю имелось в виду не эффективно для L2 в случае 10Г портов. 6500 не радует плотностью 10Г портов и вместо него есть более интересные решения

в случае 1Г портов плотность нормальная

[dignity]

я думаю имелось в виду не эффективно для L2 в случае 10Г портов. 6500 не радует плотностью 10Г портов и вместо него есть более интересные решения

в случае 1Г портов плотность нормальная

+ выше задержки по сравнению с коммутаторами специально для ЦОД - Brocade, Extreme, Force10, Supermicro

+ переподписки <- ключевой момент, нельзя просто воткнуть и загрузить на 100% во многих случаях

10G порт очень дорогой, конечно

+ место в стойке, у нас СКС медная вообще не в моде, стараемся ставить Top-Of-Rack коммутаторы с вентиляцией спереди назад или наоборот, на выходе для 65го просто не остается пространства для жизни. Да даже Если его под завязку забить 6748-SFP - он будет стоить как крыло от самолета, в то время как за те же порты L2 1G SFP для ЦОД можно значительно дешевле получить.

 

Интеллектуальные сервисы - MPLS, NetFlow, IP unnumbered, DHCP сервер, ubrl, Policer-ы и т.п. Но! В плане оборудования сети ШПД для физиков 6500 - это оптимальный выбор на вторичном рынке. Идеальное железо, только электричества кушает на 5000 рублев ежемесячно и места занимает дофига... В этом смысле 6503, 6503-E, 6504-E хорошие альтернативы.

Изменено 17 июля, 2013 пользователем dignity

[pfexec]

в cef режиме если что _весь_ трафик не просовывается в супервизор =)

окей, не весь. но фаст процессор на лайнкарте не справится со всем с чем может справится супервизор. у DFC3BXL карты на борту может быть 1 миллион маршрутов в фибе, как и у sup720-3bxl. и оно занимается именно тем о чем я и говорил. о каком "тайном" смысле вы тут говорите хз, если весь фуллвью и тысячи ацл могут держаться на деревянной лайнкарте, то зачем тогда dfc придумали - это не логично.

 

соль в том что 65/76 обычно берут б/у на 2-3 гигабита трафика при этом у 65/76 без sip карт нет вообще каких-то фич для адекватной жизни. по итогу имеем молотилку на гору гигабит и мппс, но без фич.

[kostas]

По каким критериям выбирать ASA подскажите пожалуйста?

 

Входные данные:

 

- 100мбит/с

- NAT (200 пользователей)

- IPSec (4 между внешними сетями, 20 удаленные пользователи)

- фильтры, защита от DoS, и тп фишки

 

На что еще обратить внимание и на какой железке остановиться? Смотрел в сторону 5510,

 

Еще, я так понимаю, для ASA различается софт и модули в зависимости от необходимого функционала?

[SergeiK]

Вам б/у? Или новый. 5510 EOS очень скоро.

http://www.cisco.com/en/US/products/ps6120/prod_models_comparison.html

[kostas]

Вам б/у? Или новый. 5510 EOS очень скоро.

http://www.cisco.com/en/US/products/ps6120/prod_models_comparison.html

Спасибо. Это будет б/у железка. По табличкам вроде ASA 5510 достаточно будет. Но они как всегда завышены у них.

Из доп.модулей под нее что посоветуете?

[kostas]

Для бордера 3925E достаточно будет лицензии IP Base?

 

Offers features found in IPBase IOS image on ISR 1800,2800 and 3800 +

Flexible Netflow + IPV6 parity for IPV4 features present in IPBase.

Some of the key feature are AAA BGP, OSPF, EIGRP, ISIS, RIP PBR IGMP,

Multicast DHCP HSRP, GLBP NHRP HTTP HQF QoS ACL, NBAR GRE CDP, ARP NTP

PPP PPPoA PPPoE RADIUS TACACS SCTP SMDS SNMP STP VLAN DTP IGMP

Snooping SPAN WCCP ISDN ADSL over ISDN NAT-Basic X.25, RSVP, NTP,

Flexible Netflow etc.

 

Я так понял, что лицензия Security (SECK9 only) нужна в случае необходимости VPN?

 

NAT надеюсь с базовой лицензией будет хорошо работать?

[-Pave1-]

Для бордера 3925E достаточно будет лицензии IP Base?

 

Offers features found in IPBase IOS image on ISR 1800,2800 and 3800 +

Flexible Netflow + IPV6 parity for IPV4 features present in IPBase.

Some of the key feature are AAA BGP, OSPF, EIGRP, ISIS, RIP PBR IGMP,

Multicast DHCP HSRP, GLBP NHRP HTTP HQF QoS ACL, NBAR GRE CDP, ARP NTP

PPP PPPoA PPPoE RADIUS TACACS SCTP SMDS SNMP STP VLAN DTP IGMP

Snooping SPAN WCCP ISDN ADSL over ISDN NAT-Basic X.25, RSVP, NTP,

Flexible Netflow etc.

 

Я так понял, что лицензия Security (SECK9 only) нужна в случае необходимости VPN?

 

NAT надеюсь с базовой лицензией будет хорошо работать?

Если не ошибаюсь - в IP Base нет BGP, SLA Tracking и многого другого.

Для BGP и т.д. нужна личензия Data.

 

А вообще есть cisco feature navigator.

Изменено 13 августа, 2013 пользователем -Pave1-

[kostas]

Точно. Чего-то я совсем про него забыл )) Спасибо.

 

На бордер вот такую штуку предлагают Cisco 7206VXR-NPE-G2 Bundle

 

По цене получается ниже чем 3925E. В чем косяк может быть? Подойдет ли она вообще для поставленных задач?

[SergeiK]

Хорошая железка была 10 лет назад. Сейчас EoS. Нет встроенного криптомодуля, то есть весь IP SEC, если нужен, процом.

Как молотилка трафика вполне, 300-700 М, от характера трафика, протащит.

[secandr]

kostas 7200 - это софтовый роутер. Производительность сильно зависит от фич. При определённом раскладе можно и при 100 мбитах в полку по cpu упереться... А если только роутинг, то и под гигабит может пролезть.

Изменено 14 августа, 2013 пользователем secandr

[dignity]

Возьмите brocade ces или cer. Очень удачный рутер. Сами пользуем. Потенциал до 40 гигов на скорости портов.

 

Оу. Ната тут нет. Не заметил...

[kostas]

То есть, 3925E будет лучше, под такие задачи?

 

- NAT порядка 150-200 пользователей

- IPSec Site2Site 2-4шт по 20-30мбит

- VPN для внешних сотрудников порядка до 20шт (какой кстати VPN у Cisco используется для таких задач? Что-то там их много всяких. Использовали EasyVPN - плевались)

- BGP External 1 full

- BGP Internal 1 full (между двумя бордерами)

- OSPF (до 100 маршрутов)

- ACL

- Трафик 100мбит/с (желательно запас до 150)

- IPS (написал, но с чем едят еще не разбирался)

- NetFlow

- Поддержка IPv6 на будущее

 

Вроде все.

Изменено 14 августа, 2013 пользователем kostas

[-Pave1-]

То есть, 3925E будет лучше, под такие задачи?

 

- NAT порядка 150-200 пользователей

- IPSec Site2Site 2-4шт по 20-30мбит

- VPN для внешних сотрудников порядка до 20шт (какой кстати VPN у Cisco используется для таких задач? Что-то там их много всяких. Использовали EasyVPN - плевались)

- BGP External 1 full

- BGP Internal 1 full (между двумя бордерами)

- OSPF (до 100 маршрутов)

- ACL

- Трафик 100мбит/с (желательно запас до 150)

- IPS (написал, но с чем едят еще не разбирался)

- NetFlow

- Поддержка IPv6 на будущее

 

Вроде все.

1. k9 ты официально без запроса в ФСБ хрен купишь... А скачать "правильный" образ с фичами для x9xx серий не выйдет - там фичи лицензиями активируются.

2. BGP бордер и нат/терминацию юзеров вешать бессмысленно и очень не правильно на одну железку. Тем более в софтовых ios рутерах NAT оч сильно ресурсы ест. Проще и рпвильнее за те же деньги взять ASA5510 и более простой рутер. На ASA же сможешь и VPN поднять с требуемой производительностью..

Изменено 15 августа, 2013 пользователем -Pave1-

[SergeiK]

То есть, 3925E будет лучше, под такие задачи?

 

- NAT порядка 150-200 пользователей

- IPSec Site2Site 2-4шт по 20-30мбит

- VPN для внешних сотрудников порядка до 20шт (какой кстати VPN у Cisco используется для таких задач? Что-то там их много всяких. Использовали EasyVPN - плевались)

- BGP External 1 full

- BGP Internal 1 full (между двумя бордерами)

- OSPF (до 100 маршрутов)

- ACL

- Трафик 100мбит/с (желательно запас до 150)

- IPS (написал, но с чем едят еще не разбирался)

- NetFlow

- Поддержка IPv6 на будущее

 

Вроде все.

 

Для 100М и 2900 старшей хватит, мне кажется. Хотя, вы же показывали даташит от cisco, где были все цифры :). Те цифры более чем реальные (в плане, что очень часто получается больше).

Про шифрацию вам уже подсказали, подробности у поставщиков. Кстати, 20М IPSEC протащит и 7200, проца хватит.

Но вы же хотели ASA ставить, её на VPN-ы надо.

 

Понятие правильный VPN - сложное. Что надо-то?

SSL VPN - штука занятная. Cisco VPN клиент - его ставить надо, но тоже работает стабильно. Можно и L2TP + IPSEC.

Да, можно все вместе, и от единой авторизации. Но понимание, что и зачем обязательно.

[kostas]

1. Нужен туннель Site2Site - это IPSec. На сколько я понял, на ASA есть ограничения по IPSec туннелям по количеству интерфейсов.

2. Remote Access VPN - вот тут в основном вопрос. Какие решения сейчас модно использовать от циски?

[dignity]

На сколько я понял, на ASA есть ограничения по IPSec туннелям по количеству интерфейсов.

Всегда есть ограничения по количеству интерфейсов. На тазиках только нет ограничений.

[SergeiK]

1. Нужен туннель Site2Site - это IPSec. На сколько я понял, на ASA есть ограничения по IPSec туннелям по количеству интерфейсов.

2. Remote Access VPN - вот тут в основном вопрос. Какие решения сейчас модно использовать от циски?

Модно то, что удобно вам.

Я же написал: SSL VPN, L2TP, через Cisco VPN клиента - это все ремоут аксес. Давно с этим работал, может что-то еще придумали.

SSL VPN удобен тем, что не требует специальных настроек: заходишь на страницу по https, авторизуешься там, загружается плагин, которые надо поставить в первый раз, после чего поднимается шифрованное соединение. Работает везде, где работает https. Требует дополнительных лицензий.

[kostas]

SSL VPN удобен тем, что не требует специальных настроек: заходишь на страницу по https, авторизуешься там, загружается плагин, которые надо поставить в первый раз, после чего поднимается шифрованное соединение. Работает везде, где работает https. Требует дополнительных лицензий.

Плагин под конкретный браузер?

Поднимается тунель в который заворачивается весь трафик?

[kostas]

Еще вариант на замену 3925+ASA = Juniper SRX240

 

Как думаете? С лицензиями все намного проще. Заявленая производительность даже больше чем надо.