D^2 Опубликовано 16 июля, 2013 · Жалоба а почему по два SUP указано? Разве их надо 2шт на шасси? резервирование Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pfexec Опубликовано 17 июля, 2013 (изменено) · Жалоба dcef дает нечто другое, чем вы написалилол. и что же оно "нечто" другое дает ? dcef хранит fib на лайнкарте и согласно ему форвардит трафик, поэтому и ненадо _весь_ трафик просовывать через бэкплейн в супервизор. что такого "другого" оно делает вместо этого?ДЦ ДЦ рознь. Если не нужен низкая latancy,FC/FCoE/плотность 10Г - Nexus вообще ничем не лучше 6500.не обязательно произносить столько умных слов чтобы убедиться в бесполезности каталистов для дц. хотя, соглашусь, при определенном сценарии можно с ними жить, но хорошей жизнь не будет, это уж точно. :) Изменено 17 июля, 2013 пользователем pfexec Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
D^2 Опубликовано 17 июля, 2013 · Жалоба лол. и что же оно "нечто" другое дает ? dcef хранит fib на лайнкарте и согласно ему форвардит трафик, поэтому и ненадо _весь_ трафик просовывать через бэкплейн в супервизор. что такого "другого" оно делает вместо этого? в cef режиме если что _весь_ трафик не просовывается в супервизор =) лол? =) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dignity Опубликовано 17 июля, 2013 · Жалоба не обязательно произносить столько умных слов чтобы убедиться в бесполезности каталистов для дц. хотя, соглашусь, при определенном сценарии можно с ними жить, но хорошей жизнь не будет, это уж точно. :) Снимаю 65х котов отовсюду) Если нужна молотилка L2 - неэффективно и отстало. Если нужны интеллектуальные сервисы L3, то 65й кот с 720м сапом еще лет 5-7 будет в строю, не меньше... Вечное оборудование) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kostas Опубликовано 17 июля, 2013 · Жалоба а почему по два SUP указано? Разве их надо 2шт на шасси? резервирование Быть постоянно включенным наверно нет большого смысла. Если только минимизировать время простоя в случае выхода из строя одного из. Или будучи включенным одновременно, дополнительная голова что-то даст кроме этого? не обязательно произносить столько умных слов чтобы убедиться в бесполезности каталистов для дц. хотя, соглашусь, при определенном сценарии можно с ними жить, но хорошей жизнь не будет, это уж точно. :) Снимаю 65х котов отовсюду) Если нужна молотилка L2 - неэффективно и отстало. Если нужны интеллектуальные сервисы L3, то 65й кот с 720м сапом еще лет 5-7 будет в строю, не меньше... Вечное оборудование) Почему не эффективно для L2? Что Вы подразумеваете под L3 интелектуальными сервисами? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
D^2 Опубликовано 17 июля, 2013 · Жалоба Быть постоянно включенным наверно нет большого смысла. Если только минимизировать время простоя в случае выхода из строя одного из. Или будучи включенным одновременно, дополнительная голова что-то даст кроме этого? включенная голова даст активные порты на себе + горячее резервирование в случае аварии Почему не эффективно для L2? Что Вы подразумеваете под L3 интелектуальными сервисами? я думаю имелось в виду не эффективно для L2 в случае 10Г портов. 6500 не радует плотностью 10Г портов и вместо него есть более интересные решения в случае 1Г портов плотность нормальная Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dignity Опубликовано 17 июля, 2013 (изменено) · Жалоба я думаю имелось в виду не эффективно для L2 в случае 10Г портов. 6500 не радует плотностью 10Г портов и вместо него есть более интересные решения в случае 1Г портов плотность нормальная + выше задержки по сравнению с коммутаторами специально для ЦОД - Brocade, Extreme, Force10, Supermicro + переподписки <- ключевой момент, нельзя просто воткнуть и загрузить на 100% во многих случаях 10G порт очень дорогой, конечно + место в стойке, у нас СКС медная вообще не в моде, стараемся ставить Top-Of-Rack коммутаторы с вентиляцией спереди назад или наоборот, на выходе для 65го просто не остается пространства для жизни. Да даже Если его под завязку забить 6748-SFP - он будет стоить как крыло от самолета, в то время как за те же порты L2 1G SFP для ЦОД можно значительно дешевле получить. Интеллектуальные сервисы - MPLS, NetFlow, IP unnumbered, DHCP сервер, ubrl, Policer-ы и т.п. Но! В плане оборудования сети ШПД для физиков 6500 - это оптимальный выбор на вторичном рынке. Идеальное железо, только электричества кушает на 5000 рублев ежемесячно и места занимает дофига... В этом смысле 6503, 6503-E, 6504-E хорошие альтернативы. Изменено 17 июля, 2013 пользователем dignity Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pfexec Опубликовано 22 июля, 2013 · Жалоба в cef режиме если что _весь_ трафик не просовывается в супервизор =)окей, не весь. но фаст процессор на лайнкарте не справится со всем с чем может справится супервизор. у DFC3BXL карты на борту может быть 1 миллион маршрутов в фибе, как и у sup720-3bxl. и оно занимается именно тем о чем я и говорил. о каком "тайном" смысле вы тут говорите хз, если весь фуллвью и тысячи ацл могут держаться на деревянной лайнкарте, то зачем тогда dfc придумали - это не логично. соль в том что 65/76 обычно берут б/у на 2-3 гигабита трафика при этом у 65/76 без sip карт нет вообще каких-то фич для адекватной жизни. по итогу имеем молотилку на гору гигабит и мппс, но без фич. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kostas Опубликовано 3 августа, 2013 · Жалоба По каким критериям выбирать ASA подскажите пожалуйста? Входные данные: - 100мбит/с - NAT (200 пользователей) - IPSec (4 между внешними сетями, 20 удаленные пользователи) - фильтры, защита от DoS, и тп фишки На что еще обратить внимание и на какой железке остановиться? Смотрел в сторону 5510, Еще, я так понимаю, для ASA различается софт и модули в зависимости от необходимого функционала? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SergeiK Опубликовано 3 августа, 2013 · Жалоба Вам б/у? Или новый. 5510 EOS очень скоро. http://www.cisco.com/en/US/products/ps6120/prod_models_comparison.html Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kostas Опубликовано 5 августа, 2013 · Жалоба Вам б/у? Или новый. 5510 EOS очень скоро. http://www.cisco.com/en/US/products/ps6120/prod_models_comparison.html Спасибо. Это будет б/у железка. По табличкам вроде ASA 5510 достаточно будет. Но они как всегда завышены у них. Из доп.модулей под нее что посоветуете? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kostas Опубликовано 9 августа, 2013 · Жалоба Для бордера 3925E достаточно будет лицензии IP Base? Offers features found in IPBase IOS image on ISR 1800,2800 and 3800 +Flexible Netflow + IPV6 parity for IPV4 features present in IPBase. Some of the key feature are AAA BGP, OSPF, EIGRP, ISIS, RIP PBR IGMP, Multicast DHCP HSRP, GLBP NHRP HTTP HQF QoS ACL, NBAR GRE CDP, ARP NTP PPP PPPoA PPPoE RADIUS TACACS SCTP SMDS SNMP STP VLAN DTP IGMP Snooping SPAN WCCP ISDN ADSL over ISDN NAT-Basic X.25, RSVP, NTP, Flexible Netflow etc. Я так понял, что лицензия Security (SECK9 only) нужна в случае необходимости VPN? NAT надеюсь с базовой лицензией будет хорошо работать? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
-Pave1- Опубликовано 13 августа, 2013 (изменено) · Жалоба Для бордера 3925E достаточно будет лицензии IP Base? Offers features found in IPBase IOS image on ISR 1800,2800 and 3800 +Flexible Netflow + IPV6 parity for IPV4 features present in IPBase. Some of the key feature are AAA BGP, OSPF, EIGRP, ISIS, RIP PBR IGMP, Multicast DHCP HSRP, GLBP NHRP HTTP HQF QoS ACL, NBAR GRE CDP, ARP NTP PPP PPPoA PPPoE RADIUS TACACS SCTP SMDS SNMP STP VLAN DTP IGMP Snooping SPAN WCCP ISDN ADSL over ISDN NAT-Basic X.25, RSVP, NTP, Flexible Netflow etc. Я так понял, что лицензия Security (SECK9 only) нужна в случае необходимости VPN? NAT надеюсь с базовой лицензией будет хорошо работать? Если не ошибаюсь - в IP Base нет BGP, SLA Tracking и многого другого. Для BGP и т.д. нужна личензия Data. А вообще есть cisco feature navigator. Изменено 13 августа, 2013 пользователем -Pave1- Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kostas Опубликовано 14 августа, 2013 · Жалоба Точно. Чего-то я совсем про него забыл )) Спасибо. На бордер вот такую штуку предлагают Cisco 7206VXR-NPE-G2 Bundle По цене получается ниже чем 3925E. В чем косяк может быть? Подойдет ли она вообще для поставленных задач? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SergeiK Опубликовано 14 августа, 2013 · Жалоба Хорошая железка была 10 лет назад. Сейчас EoS. Нет встроенного криптомодуля, то есть весь IP SEC, если нужен, процом. Как молотилка трафика вполне, 300-700 М, от характера трафика, протащит. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
secandr Опубликовано 14 августа, 2013 (изменено) · Жалоба kostas 7200 - это софтовый роутер. Производительность сильно зависит от фич. При определённом раскладе можно и при 100 мбитах в полку по cpu упереться... А если только роутинг, то и под гигабит может пролезть. Изменено 14 августа, 2013 пользователем secandr Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dignity Опубликовано 14 августа, 2013 · Жалоба Возьмите brocade ces или cer. Очень удачный рутер. Сами пользуем. Потенциал до 40 гигов на скорости портов. Оу. Ната тут нет. Не заметил... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kostas Опубликовано 14 августа, 2013 (изменено) · Жалоба То есть, 3925E будет лучше, под такие задачи? - NAT порядка 150-200 пользователей - IPSec Site2Site 2-4шт по 20-30мбит - VPN для внешних сотрудников порядка до 20шт (какой кстати VPN у Cisco используется для таких задач? Что-то там их много всяких. Использовали EasyVPN - плевались) - BGP External 1 full - BGP Internal 1 full (между двумя бордерами) - OSPF (до 100 маршрутов) - ACL - Трафик 100мбит/с (желательно запас до 150) - IPS (написал, но с чем едят еще не разбирался) - NetFlow - Поддержка IPv6 на будущее Вроде все. Изменено 14 августа, 2013 пользователем kostas Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
-Pave1- Опубликовано 15 августа, 2013 (изменено) · Жалоба То есть, 3925E будет лучше, под такие задачи? - NAT порядка 150-200 пользователей - IPSec Site2Site 2-4шт по 20-30мбит - VPN для внешних сотрудников порядка до 20шт (какой кстати VPN у Cisco используется для таких задач? Что-то там их много всяких. Использовали EasyVPN - плевались) - BGP External 1 full - BGP Internal 1 full (между двумя бордерами) - OSPF (до 100 маршрутов) - ACL - Трафик 100мбит/с (желательно запас до 150) - IPS (написал, но с чем едят еще не разбирался) - NetFlow - Поддержка IPv6 на будущее Вроде все. 1. k9 ты официально без запроса в ФСБ хрен купишь... А скачать "правильный" образ с фичами для x9xx серий не выйдет - там фичи лицензиями активируются. 2. BGP бордер и нат/терминацию юзеров вешать бессмысленно и очень не правильно на одну железку. Тем более в софтовых ios рутерах NAT оч сильно ресурсы ест. Проще и рпвильнее за те же деньги взять ASA5510 и более простой рутер. На ASA же сможешь и VPN поднять с требуемой производительностью.. Изменено 15 августа, 2013 пользователем -Pave1- Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SergeiK Опубликовано 15 августа, 2013 · Жалоба То есть, 3925E будет лучше, под такие задачи? - NAT порядка 150-200 пользователей - IPSec Site2Site 2-4шт по 20-30мбит - VPN для внешних сотрудников порядка до 20шт (какой кстати VPN у Cisco используется для таких задач? Что-то там их много всяких. Использовали EasyVPN - плевались) - BGP External 1 full - BGP Internal 1 full (между двумя бордерами) - OSPF (до 100 маршрутов) - ACL - Трафик 100мбит/с (желательно запас до 150) - IPS (написал, но с чем едят еще не разбирался) - NetFlow - Поддержка IPv6 на будущее Вроде все. Для 100М и 2900 старшей хватит, мне кажется. Хотя, вы же показывали даташит от cisco, где были все цифры :). Те цифры более чем реальные (в плане, что очень часто получается больше). Про шифрацию вам уже подсказали, подробности у поставщиков. Кстати, 20М IPSEC протащит и 7200, проца хватит. Но вы же хотели ASA ставить, её на VPN-ы надо. Понятие правильный VPN - сложное. Что надо-то? SSL VPN - штука занятная. Cisco VPN клиент - его ставить надо, но тоже работает стабильно. Можно и L2TP + IPSEC. Да, можно все вместе, и от единой авторизации. Но понимание, что и зачем обязательно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kostas Опубликовано 19 августа, 2013 · Жалоба 1. Нужен туннель Site2Site - это IPSec. На сколько я понял, на ASA есть ограничения по IPSec туннелям по количеству интерфейсов. 2. Remote Access VPN - вот тут в основном вопрос. Какие решения сейчас модно использовать от циски? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dignity Опубликовано 19 августа, 2013 · Жалоба На сколько я понял, на ASA есть ограничения по IPSec туннелям по количеству интерфейсов. Всегда есть ограничения по количеству интерфейсов. На тазиках только нет ограничений. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SergeiK Опубликовано 19 августа, 2013 · Жалоба 1. Нужен туннель Site2Site - это IPSec. На сколько я понял, на ASA есть ограничения по IPSec туннелям по количеству интерфейсов. 2. Remote Access VPN - вот тут в основном вопрос. Какие решения сейчас модно использовать от циски? Модно то, что удобно вам. Я же написал: SSL VPN, L2TP, через Cisco VPN клиента - это все ремоут аксес. Давно с этим работал, может что-то еще придумали. SSL VPN удобен тем, что не требует специальных настроек: заходишь на страницу по https, авторизуешься там, загружается плагин, которые надо поставить в первый раз, после чего поднимается шифрованное соединение. Работает везде, где работает https. Требует дополнительных лицензий. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kostas Опубликовано 22 августа, 2013 · Жалоба SSL VPN удобен тем, что не требует специальных настроек: заходишь на страницу по https, авторизуешься там, загружается плагин, которые надо поставить в первый раз, после чего поднимается шифрованное соединение. Работает везде, где работает https. Требует дополнительных лицензий. Плагин под конкретный браузер? Поднимается тунель в который заворачивается весь трафик? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kostas Опубликовано 23 августа, 2013 · Жалоба Еще вариант на замену 3925+ASA = Juniper SRX240 Как думаете? С лицензиями все намного проще. Заявленая производительность даже больше чем надо. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...