[s.lobanov]

didandr

28-ую Cisco сконфигурить сотни человек с этого форума смогут, тут не велика проблема, но боюсь не хватит вам её по производительности. 2800 серия на уровне современного SOHO... я бы не ставил её как замену нескольких десятков CPE-шек. им уже давно место на свалке

[20512]

я про 28-ю не настаиваю.

я ее как пример привел.

Скорее всего есть же ведь что-то и по новее и по мощнее.

 

чойта я не верю что сегодня есть сети без НАТа.

НАТ конечно у нас есть.

Но хочется всех юриков выести на какую-нибудь железку. Ее и резервировать проще и понадежнее тазика будет...

[SergeiK]

Конфигурирование VRF на Cisco в двух словах можно найти бесплатно по ключевым словам cisco vrf и еще что-нибудь, по вкусу.

Если инженеры не имели опыта работы с Cisco и для них все в новинку, то лучше сначала базовый курс CCNA (для инженера в теме сетей - неделя), и потом пара примеров и сайт Cisco (на подробное знакомство с ним еще неделя).

Если имели - вот очень краткий пример, как это работает, далее по схеме.

 

Но, если для вас привычнее и роднее "тазики" - виртуальные сервера тоже будут прекрасным решением.

[zander]

Juniper Firefly + routing-instance

[FATHER_FBI]

А что мешает поднять на виртуалке RouterOS и зарулить на него виланы и стерминировать?

У меня так и крутится, RouterOS за 8000MHz процессорной мощности (DHCP/NAT/Shaper) жует порядка 300Мбит трафика.

Изменено 7 ноября, 2014 пользователем FATHER_FBI

[20512]

На линуксе наши могут хоть черта лысого сделать, если хорошо постараться.

Но я считаю, что железяка надежнее...

[s.lobanov]

didandr

надёжнее в каком плане? аппаратном? да нифига. дохнет всё - и cisco и juniper и huawei.

 

сейчас 2 мировых лидера - cisco и juniper сделали виртуальные продукты под x86-сервера под (в том числе) вашизадачи - csr1000v/asa1000v и vsrx, так что это второе дыхание для x86-серверов в контексте коммутации трафика

 

оборудование класса cisco 2800 это такой же сервер-софтроутер, только не x86, а mips. то, что действительно имеет серьёзный аппартаный офлод стоит совершенно других денег

а уж Cisco PIX/ASA(на которых часто делают NAT) это вообще самые обычные сервера по аппаратной части

[FATHER_FBI]

На линуксе наши могут хоть черта лысого сделать, если хорошо постараться.

Но я считаю, что железяка надежнее...

Если ваши зарулят все это на линуксе в каком нибудь контейнере, вот это реально будет не стабильный костыль.

А виртуалочка отлично справится со своими задачами.

[s.lobanov]

didandr

 

Написал статейку как сделать то, что вы хотите на Cisco 7200, здесь

С Вас ящик сока :)

[s.lobanov]

Если имели - вот очень краткий пример, как это работает, далее по схеме.

 

Очень плохой пример под описанную задачу. В нём inside и outside интерфейсы в одном vrf, что означает, что для каждого клиента нужно либо /30 выделять, либо извращаться с ip unnumbered на вышестоящей железке(а если эта железка и есть asbr?), ну и в любом случае придётся делать на каждого клиента отдельный интерфейс под outside

[MMM]

есть живой пример у одного коллеги - железная машина с большим количеством ядер и виртуалки с ClearOS . Клиентам пробрасывается vlan, в который сразу же подключена их локалка. В связи с тем, что полоса у юриков обычно 2-10 мбит, успешно работает много таких виртуалок на одной физической железке.

[SergeiK]

Если имели - вот очень краткий пример, как это работает, далее по схеме.

 

Очень плохой пример под описанную задачу. В нём inside и outside интерфейсы в одном vrf, что означает, что для каждого клиента нужно либо /30 выделять, либо извращаться с ip unnumbered на вышестоящей железке(а если эта железка и есть asbr?), ну и в любом случае придётся делать на каждого клиента отдельный интерфейс под outside

Ну "очень" - очень сильное слово. Обычный стандартный VRF без фокусов.

А рассказывать про VRF route leaking сразу человеку, который еще не понял сути VRF может быть чрезмерно. Это второй шаг, когда возникнет вопрос: "Ок, суть VRF понял, а можно, чтоб было так!?" :).

 

Но, согласен, приведенный вами выше пример для поставленной задачи лучше.

[s.lobanov]

SergeiK

Просто ваш пример не подходит под поставленную задачу (иметь множества виртуальных cpe на одной железке), ну или подходит, но с кучей outbound-интерфейсов, что криво сам по себе

 

А рассказывать про VRF route leaking

Ок. Кого пугает слово global, можно писать ip route vrf Client1 0.0.0.0 0.0.0.0 Gi1/0 192.0.2.1, тем самым замаскировать route leaking

[20512]

didandr

 

Написал статейку как сделать то, что вы хотите на Cisco 7200, здесь

С Вас ящик сока :)

Не вижу препятствий. Как только мои админы освободятся, дам им ссылочку для размышления :)

[alibek]

А чем VPLS то не подошел?

[20512]

надёжнее в каком плане?

Скажем так не столько надежнее в плане софта, сколько в плане администрирования-резервирования.

Железяку поставил рядом вторую в резерв и пускай стоит, сдохло - переткунул и дальше полетело.

Если админ заболел, запил, эмигрировал и т.п. то железку может настроить и кто-то со стороны.

И не придется копать, чего он там такого понакодил....

[s.lobanov]

Если админ заболел, запил, эмигрировал и т.п. то железку может настроить и кто-то со стороны.

И не придется копать, чего он там такого понакодил....

вот тут согласен на 100%

[20512]

А чем VPLS то не подошел?

Отсутствием L3 оборудования на агрегации

[SergeiK]

SergeiK

Просто ваш пример не подходит под поставленную задачу (иметь множества виртуальных cpe на одной железке), ну или подходит, но с кучей outbound-интерфейсов, что криво сам по себе

 

А рассказывать про VRF route leaking

Ок. Кого пугает слово global, можно писать ip route vrf Client1 0.0.0.0 0.0.0.0 Gi1/0 192.0.2.1, тем самым замаскировать route leaking

Суть-то не поменяется, все равно маршрутизация между VRF :). Ну да не важно. У ТС есть над чем подумать.

 

Если ему надо настроить по HOW-TO и забыть - ваша статья достаточно хороша.

Если же от админов будет требоваться серьезное понимание - то по сначало изучать базу от Cisco и, после просветления и понимания логики VRF, - подобную схему сами нарисуют.

Оба пути совместимы и могут исполнятся параллельно.

[s.lobanov]

Если же от админов будет требоваться серьезное понимание

Обычно мусохранск-телекомы этим не занимаются или занимаются только тогда, когда возникают полочки по CPU, петли и прочие проблемы

[20512]

мусохранск-телекомы

эка как ты нас :)