alibek Опубликовано 5 октября, 2013 · Жалоба Необходим линк 10G. Из доступного железа есть коммутатор L3 QTECH QSW-3900. Собрал схему, как на рисунке. Сконфигурировал примерно так: AGR01 vlan 1001 description UPLINK1 exit vlan 1011 description DOWNLINK1 exit vlan 1012 description DOWNLINK2 exit channel-group 1 exit interface range ethernet 0/1/1 switchport mode access switchport default vlan 1001 exit interface ethernet 0/0/24 switchport mode access switchport default vlan 1012 exit interface range ethernet 0/0/3 to ethernet 0/0/4 channel-group 1 mode on switchport mode access switchport default vlan 1011 exit interface vlan-interface 1001 ip address XX.XX.XX.146 255.255.255.252 exit interface vlan-interface 1011 ip address 10.1.3.45 255.255.255.252 exit interface vlan-interface 1012 ip address 10.1.3.49 255.255.255.252 exit interface loopback-interface 0 ip address 10.1.255.1 255.255.255.255 exit router bgp YYYYY network AA.AA.AA.0 mask 255.255.255.0 network BB.BB.BB.0 mask 255.255.255.0 neighbor XX.XX.XX.145 remote-as ZZZZZ exit ip route 10.0.0.0 255.0.0.0 10.1.3.5 ip route AA.AA.AA.0 255.255.255.0 10.1.3.50 ip route BB.BB.BB.0 255.255.255.0 10.1.3.46 C7201 interface GigabitEthernet0/3 ip address 10.1.3.50 255.255.255.252 exit ip classless ip route 0.0.0.0 0.0.0.0 10.1.3.49 ip route 10.0.0.0 255.254.0.0 10.1.3.253 SE100 context local ip access-list UPLINK_IN seq 9999 permit ip any any exit interface UPLINK ip address 10.1.3.46/29 ip access-group UPLINK_IN in count exit ip route 0.0.0.0/0 10.1.3.45 ip route 10.0.0.0/16 10.1.3.249 ip route 10.1.0.0/16 10.1.3.249 ip route 10.1.128.0/24 10.1.3.249 ip route 10.1.255.3/32 10.1.3.14 port ethernet 2/2 bind interface UPLINK local exit port ethernet 2/2 shutdown exit С AGR01 я пингую все: PE провайдера (XX.XX.XX.145), CE даунлинков (10.1.3.46, 10.1.3.50), внешнюю сеть (8.8.8.8). sh route показывает, что дефолтовым шлюзом является XX.XX.XX.145, этот маршрут приходит по BGP, остальные маршруты прописаны статикой. С SE100 и C7201 я пингую PE (10.1.3.45, 10.1.3.49), пингую CE бордера (XX.XX.XX.146), но PE бордера (XX.XX.XX.145) не пингуется, также не пингуется внешняя сеть (8.8.8.8). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
applx Опубликовано 5 октября, 2013 · Жалоба A kakim rakom ono zarabotaet esli na cisco i se private IP? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
applx Опубликовано 5 октября, 2013 · Жалоба Loopbacki sozdai na cisco i se i pingyi source from loop Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 5 октября, 2013 · Жалоба Мда... Заработался. То есть на C7201 и SE100 создаю лупбэки с публичными адресами (AA.AA.AA.254/24, BB.BB.BB.254/24) и на AGR01 прописываю маршруты: ip route AA.AA.AA.254 255.255.255.255 10.1.3.50 ip route AA.AA.AA.0 255.255.255.0 AA.AA.AA.254 Так? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
applx Опубликовано 5 октября, 2013 · Жалоба po4emy bu ne nastroiti iBGP mejdy SE Cisco i Qtech? I prosto dobaviti network statement vashego loopback. Nafig voznya so static? Ya kak ponyal Qtech y vas toliko kak transit dlya 10G? Togda BGP na nei voobshe ne nyjen. Kakova zada4ya dannogo resheniya? Esli klientu sidyat za SE i Cisco to im nyjnu pulic IP, ny ili 4tob etije devaisu natili. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 5 октября, 2013 · Жалоба Подсетей/маршрутов у меня немного, поэтому у меня статика, а не динамика. BGP по сути не нужен (аплинк один), но у вышестоящего оператора статика не используется, поэтому использую BGP и принимаю дефолтный маршрут (FV не потянет). NAT тоже не используется, у клиентов публичные адреса. У меня задача — принять 2-3 Гбит/с по 10G-интерфейсу. Поэтому QTECH, у него есть интерфейсы 10G, другие железки имеют только гигабитные интерфейсы. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
applx Опубликовано 5 октября, 2013 · Жалоба Kak i gde abonentu terminiryutsa? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 6 октября, 2013 · Жалоба Клиенты по L2 приходят на BRAS и там терминируются. На SE100 PPPoE, на C7201 статикой (/30). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 6 октября, 2013 · Жалоба Вообщем не получился каменный цветок. На QTECH можно только два петлевых интерфейса создать, причем один у меня уже используется. Пришлось транспорт на публичных /30 делать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
applx Опубликовано 7 октября, 2013 · Жалоба Зачем вам два лупбэка на свиче? Причина почему я их вам предложил была только для теста коннективити. Трансит сабнет (/30 или /31) вполне может быть приватнои. Проще пирится по БГП между всеми девайсами и анонсить локальные сабнеты нежели разводить статику. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alexaaa Опубликовано 7 октября, 2013 (изменено) · Жалоба Вообще то если правильней сделать на Qtech поднимаете bgp, а в сторону Cisco и SE-100 поднимаете ospf, но у Qtech мало памяти для bgp, я бы советовал его применить просто как L2 железо, а bgp поднять на SE-100, изучайте bgp и ospf, а лучьше поставить 10G Cisco ASR, у нас сеть построена так 10G ---L3 QTECH QSW-8300----10G(bgp)----BGP BRAS------1G(ospf)----PPPOE Сервера Изменено 7 октября, 2013 пользователем alexaaa Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 7 октября, 2013 · Жалоба Причина почему я их вам предложил была только для теста коннективити. Но связность у меня была и в первом случае. Все железки друг друга пинговали. Проблема была в том, что PE вышестоящего оператора про приватные сети ничего не знал и ответные пакеты не проходили. Трансит сабнет (/30 или /31) вполне может быть приватнои. Не могли бы показать пример? Я не соображу, как это сделать без ната. у Qtech мало памяти для bgp Ну у меня ведь не полноценный BGP, я только дефолтовый маршрут принимаю. С этим QTECH справляется без проблем. Я думал и о том, чтобы прогнать трафик по L2 до BRAS, но у меня фактически два BRAS (SE100 для PPPoE и C7201 для выделенной линии CVLAN со статическими подсетями /30), поэтому чтобы трафик не гонять, лучше его разделять на бордере. а лучьше поставить 10G Cisco ASR Если бы такая была, может быть и лучше. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
config Опубликовано 7 октября, 2013 · Жалоба У меня тут вопрос с намеком. NAT БУДЕТЕ ДЕЛАТЬ ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
applx Опубликовано 7 октября, 2013 (изменено) · Жалоба У вас клиенты получают белый IP, так? Терминируются на Редбаке и Циско, так? Если на Циске и Редбаке есть дефолтный маршрут то клиенты спокойно могут ходить в интернет через КЮтек на котором прописаны статические маршруты до клиентских подсетей. В вашем случае я бы повесил БГП на все девайсы, клиентские сети анонсил с тех железок на которых они терминируются. Пирился бы лупбаками (можно паблик). ОСПФ чисто для пиринга БГП (только лупбаки и транситные сети). На КЮтек просто анонсим ваш супернет апстриму. Как уже говорил если надо чтоб Циска и Редбак видели "мир" на них нужен паблик IP (тотже лупбак - ping x.x.x.x source loopbackXYZ), транзитные подсети при этом могут быть приватными и НАТа не надо, соур то публичного IP. Изменено 7 октября, 2013 пользователем applx Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 7 октября, 2013 · Жалоба NAT БУДЕТЕ ДЕЛАТЬ ? Нет. В вашем случае я бы повесил БГП на все девайсы, клиентские сети анонсил с тех железок на которых они терминируются. Пирился бы лупбаками (можно паблик). ОСПФ чисто для пиринга БГП (только лупбаки и транситные сети). На КЮтек просто анонсим ваш супернет апстриму. Понятно. Попробую так сделать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
config Опубликовано 7 октября, 2013 · Жалоба Спрошу еще раз. :-) Почему в вашей конфигурации должны пинговаться сети провайдера и тем более публичные адреса, с ваших частных адресов ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 7 октября, 2013 · Жалоба Да я уже понял, в чем я вначале ошибся. На публичных линках все работает. Просто белых адресов маловато, хотел сэкономить. В своей сети я иногда смешиваю приватные и публичные сети, вот и не сообразил сразу, что у провайдера так не выйдет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
config Опубликовано 7 октября, 2013 · Жалоба Скажите а вчем смысл 10g если ни 7201 ни SE100 не могут прокачает такой трафик. В тоже время 3900 не место там куда вы его поставили. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 7 октября, 2013 · Жалоба Ну это линк 10G, а канал скромнее — 2-3 гигабита. Когда дойду до 4-5 — поставлю еще один SE100. Ну а когда таким образом дойду до 6-7 гигабит, то задумаюсь о SE600. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
config Опубликовано 7 октября, 2013 · Жалоба Тогда конечно все печально. 3900 там только физику держать в 10g. Нужны вам еще public адреса, хотябы парочку на SE и на 7201. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 7 октября, 2013 · Жалоба Буду смотреть по нагрузке. Во всяком случае полтора гигабита при такой схеме маршрутизируется без проблем (cpu idle больше 90%). MTU ведь одинаковый, перепаковывать пакеты не нужно, откуда нагрузке взяться? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
config Опубликовано 7 октября, 2013 · Жалоба Малотить то будет. Просто бардюр из 3900 никакой. Фич никаких, слаб на таблицу рутинга. Плюс поставить его в раскорячку по процессору не сложно. А он ведь в опасный мир смотрит. :-))) Если бы мне пришлось ставить 3900 в сторону инета, я бы ему не давал real IP. Взял бы у провайдера не /30 а /28 , дал бы 7200 и se 100 по адресу а через 3900 просто прокинул бы vlan-ом. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 7 октября, 2013 · Жалоба Я бы по другому поступил. Причем многие знают как. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alibek Опубликовано 11 октября, 2013 · Жалоба Фич никаких, слаб на таблицу рутинга. Ну фич мне никаких и не надо. А вот CPU там конечно слабое место. Если бы мне пришлось ставить 3900 в сторону инета, я бы ему не давал real IP. Взял бы у провайдера не /30 а /28 , дал бы 7200 и se 100 по адресу а через 3900 просто прокинул бы vlan-ом. Ну идея конечно неплохая, я тоже подумывал о том, чтобы использовать транспорт L2, а не L3. Но во-первых для этого нужно подсеть расширить хотя бы до /29, а провайдер что-то не дает. А во-вторых, тогда получаются два бордера и на каждом нужно будет BGP поднимать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...