Jump to content
Калькуляторы

Опять 25... Терминация vlan-per-user и др. Прошу помощи в проектировании сети

Коллеги, доброго времени суток...

Есть работающая сеть на 9000 он-лайн pptp абонентов. Всего активных договоров в два раза больше. Uplink - 8 Гбит\сек (первый ISP c BGP без FW) + второй резервный ISP с BGP без FW + несколько линков с соседями.

 

Сеть:

L2 (d-link) -> L3 (dlink) -> Cisco 6509 (SUP720-3BXL) -> ISP

 

На Cisco 6509 4 10G порта.

 

Сейчас думаю, как все это с минимальными (разумно минимальными) затратами (не только финансовыми) перевести на IPoE.

Форум Нага + часть схожих ресурсов в рунете уже походу наизусть знаю ;) Поэтому не буду задавать общие вопросы, мнение уже есть (если есть ошибки или недопонимание с моей стороны - поправьте пожалуйста):

 

В общем план стандартный: vlan-per-user, терминация в ядре, выдача ip unnumbered c целью экономии белых IP по DHCP; шейпинг либо в ядре (скорее всего), в крайнем случае можно и на порту (самый минимальный тариф уже 10 МБит\сек); обязательно нужно внедрить DPI (для порядку и для выполнения "уникальных" законов).

 

Терминация в ядре потому что локальных ресурсов уже практически нет, только IPTV (придется MVLAN прикрутить) да и торрент, но при таких тарифах думаю не переживать на эту тему.

 

В общем то вопросов только три:

1) Все ли правильно планирую? Есть ли ошибки в проекте?

2) Потянет ли Cisco 6509 (SUP720-3BXL) 10k-15k VLAN (с перспективой)? Получиться ли управлять по CoA? Биллинг поддерживает.

3) На чем организовать DPI?

 

Голова уже квадратная, на этом этапе ошибаться нельзя ;)

Edited by Желающий

Share this post


Link to post
Share on other sites

А разве 6500 умеет терминировать QinQ?

Шейпить где хотите? Прям на этой же 6500?

Share this post


Link to post
Share on other sites

1. Пока ничего не понятно. Где посмотреть проект? :)) У вас пока что указаны термины, без конкретики. Что за L3 длинки, куда их? Шейпинг в ядре, но при этом хочется DPI? Зачем он тогда в ядре нужен?

2. QinQ? Оно разве умеет приземлять на себя в такой позе? Тут попахивает брасом, в частности SE600, он и CoA будет держать и стоит более менее нормально.

3. SCE 8000. Хотя при наличии браса суть использования теряется. Для пофильтровать веб-адреса оверкил, а за его цену проще аплинк расширить. По сути DPI можно использовать для ограничения скорости, но тогда не нужен брас, а нужно железо которое стерминирует qinq.

Share this post


Link to post
Share on other sites

Сначала отвечу на уточняющие вопросы:

1) L3 Dlink собирают трафик с домов. В схеме vlan-per-user, я так понимаю, исключительно этим и будут заниматься. Сейчас сеть на серых адресах, так L3 их рутит.

2) В том то и дело, что я не знаю - умеет ли 6509 терминировать QinQ

3) Шейпить конечно лучше в ядре, но как я написал в первом посте, для упрощения\удешевления можно и на портах доступа. Какой вариант лучше?

 

Брас ставить после 6509? Заводить на него все VLAN? Тогда 6509 будет тупо агрегировать трафик и все? Уточняю исключительно для понимания схемы.

После браса ставить CSE8000? Я вот тоже чувствую, что два девайса тут не нужны...

 

То есть нужен брас, который будет приземлять VLAN, шейпить и осуществлять DPI? я правильно понял?

 

В этом случае есть альтернативы SE600? или это лучший вариант?

Edited by Желающий

Share this post


Link to post
Share on other sites

2) В том то и дело, что я не знаю - умеет ли 6509 терминировать QinQ

ЕМНИП только 7600 на золотых ES картах умеет терминировать.

 

Если использовать брас - то это уже совсем другая история. Да и укладывается ли покупка браса в ваши условия ("как все это с минимальными затратами реализовать")?

Он и стерминировать сможет, и аккаунтинг, и шейпинг, и ещё много ненужных фич. С количеством сабскрайберов определились, а сколько трафика надо прогнать?

Share this post


Link to post
Share on other sites

2) В том то и дело, что я не знаю - умеет ли 6509 терминировать QinQ

ЕМНИП только 7600 на золотых ES картах умеет терминировать.

Если использовать брас - то это уже совсем другая история. Да и укладывается ли покупка браса в ваши условия ("как все это с минимальными затратами реализовать")?

ну минимальные - это условно ;) вы же понимаете, что при 20000 договорах есть чем платить, но надо тратить осознанно.

 

Он и стерминировать сможет, и аккаунтинг, и шейпинг, и ещё много ненужных фич. С количеством сабскрайберов определились, а сколько трафика надо прогнать?

с трафиком тоже определились... в первом посте я указал... сейчас 8 Гбит\сек. Ну и перспективу учесть надо

Share this post


Link to post
Share on other sites

Централизованный вариант - ASR или SE на терминацию. Децентрализованный - заменить агрегацию на sup32, каждый сумеет затерминить до 4к вланов....потом SCE8000, потом ваш бордер.

Решение рабочее, если сеть физически децентрализованная.

Share this post


Link to post
Share on other sites

Желающий, если жаба не задушит брать SE600 - берите. Там рост будет в пределах шассика.

Умеет всё что хотите, правда есть свои нюансы при настройке (а у кого их нет).

NAT планируется? (если да - то это большой плюс в сторону эрикссона)

А 6509 оставить чисто под бордер.

 

По поводу dpi - он вам только для блокировки сайтов нужен? Если да, то dpi действительно из пушки по воробьям.

 

Дятел, а как иначе на 6509 отключать\подключать неплательщиков? + sce8000 стоит денег то каких..

Share this post


Link to post
Share on other sites

Желающий, если жаба не задушит брать SE600 - берите. Там рост будет в пределах шассика.

Умеет всё что хотите, правда есть свои нюансы при настройке (а у кого их нет).

NAT планируется? (если да - то это большой плюс в сторону эрикссона)

А 6509 оставить чисто под бордер.

 

По поводу dpi - он вам только для блокировки сайтов нужен? Если да, то dpi действительно из пушки по воробьям.

 

В общем то и тему создал, чтобы посоветоваться какой брас: Ericsson (RedBack) SE600, Juniper MX80 или Cisco SCE8000?

 

DPI не основная задача, но рулить трафиком, прижимать качальщиков и экономить на аплинке тоже не последнее дело. Опять же законы эти...

Share this post


Link to post
Share on other sites

Ну SCE не брас. При некотором желании можно накрутить там всякого, и даже подобие сабскрайбер менеджмента (кто-то на наге опыт такой имел), однако брасом в полном понимании это, увы, не станет.

 

Да и как бы вы можете последние 20 тем форума посмотреть, минимум 2-3 найдете точно такие же как у вас :)

Share this post


Link to post
Share on other sites

Желающий, ну тут если сравнивать - то как минимум SE600, Juniper MX240, ASR1000 с десятками.

Из плюсов эрикссона - большой опыт грабель\сакцес стори на форуме нага (в закрытом разделе эриксона); NAT на линейных картах; функционал контекстов (полноценных виртуальных роутеров без потери производительности)

Из минусов - всего 20 гигабит на слот; часть функций может работать глючно

 

По поводу дизайна - L3 в промежутке лучше выкинуть сразу, только смотрите чтобы агрегация могла прожевать большое кол-во маков.

То, что планируете L2-connected - это хорошо, например ASR9K не умеет L3-connected (хотя может и научился в последнем софте).

Так же сразу учитывать стоимость всевозможных лицензий. (у эрикссона это ipv4 сабскрайберы, ipv6 сабскрайберы, cg-nat. остальные лицензии не энфорсятся)

 

А по поводу прижать качальщиков.. Вы посчитайте сколько вы на этой экономии будете только стоимость SCE окупать.

Share this post


Link to post
Share on other sites

Хм.. я за тупую трубу. тащим по QinQ клиентов прямо в брас, то что там будет стоять se600 или mx80 впринципе зависит от потребностей. DPI для блокировки сайтов вам не нужен. снаружи - тут уж как хотите, можете бжп оставить на брасе, можете вынести на что нибуть опять-же типа мх80. елси у вас проблемы с ип адресами- натьте на SE. нет проблем- тогда деньги лучше потратить на пару mx80. SCE8000 вам нафиг не впился при этой задаче.

ну и опять-же столкнетесь со своим видением QinQ у длинка

про глупости типа ограничения скоростей на порту коммутратора доступа прошу вас больше не расказывать=)

сам активно переезжаю на подобную систему, в ядре пока пачка се100, бжп без FV на с4948-10ge на узел стянуто несколько соседних городов. ну и абонентов у меня уже к вашему числу подбирается... заворачиваю на агрегациях на SNR H9303 и Eltex. доступ- все подряд, длинки, нортеля, хуявеи, укселя и линксисы. в перспективах видится покупка SE600 и с4900М. в усложнении схемы просто не вижу никакого смысла.

Share this post


Link to post
Share on other sites

dIMbI4

т.е. у вас QinQ не внутри MPLS/VPLS сети идут? терминируете абонентов прям на SE100?

Share this post


Link to post
Share on other sites

Вариант дятловской схемы тоже имеет место быть, всё зависит от того что нужно на брасе. Если только шейпинг, без аккаунтинга, да и адреса белые у пользователей. То какие проблемы, делаем децентрализованную сеть L3 connected, собирам все на тупой l2 следом sce и бордер.

Управлять пользователями на SCE вообще никаких проблем не составляет, если использовать SM так вообще ерунда, пинаете его из биллинга на каждый чих, вместо CoA. Блокировать тоже там можно, с редиректом (кстати гуманным, в отличие от SE-шного), сразу же режете запрет.инфо (тоже по нормальному, по URL), делаете приоритезацию внутри абонентских тарифов, прижимаете торрент в чнн, всё ништяк :) Да еще и байпас есть, если оно сдохнет, в том числе аппаратный.

Из минусов - netflow v9, отсутсвие аккаунтинга, цена.

 

Нормальный дизайн, его нарисовать достаточно и все просто становится. Никакого QinQ не нужно, текущая сеть с терминацией L3 на длинках может модифицироваться постепенно, сразу менять всю агрегацию на то, что может двойной тег не придется, только по факту очередных l3 проблем динков.

 

В тему против L2 connected идет один момент. Резервировать то брас как? В L3 вопросов нет, поворачиваем маршрут и всё работает, а с L2?

Share this post


Link to post
Share on other sites

dIMbI4

т.е. у вас QinQ не внутри MPLS/VPLS сети идут? терминируете абонентов прям на SE100?

Да, напрямую. без лишних наворотов.

В тему против L2 connected идет один момент. Резервировать то брас как? В L3 вопросов нет, поворачиваем маршрут и всё работает, а с L2?

в теме резервирования да, не все так просто. Ну либо одна крутая не ломающаяся железка, либо N послабже, на которые распределяется по L2 клиентская база. в принципе балансинг по L2 не сильно отличается от PPPoE. как всегда есть куча мелких нюансов решаемых в частном порядке.

по поводу агрегаций, я уж не знаю какое железо агрегации должно стоять чтобы не умело навешать QinQ тега.

Share this post


Link to post
Share on other sites

В тему против L2 connected идет один момент. Резервировать то брас как? В L3 вопросов нет, поворачиваем маршрут и всё работает, а с L2?

 

 

А как резервировать ту железку что Л3 для клиента? :)

Share this post


Link to post
Share on other sites

Железкой на полочке (не дорого)....или ещё и кольцами на агрегации...но это не вопрос темы....

Share this post


Link to post
Share on other sites

Железкой на полочке (не дорого)....или ещё и кольцами на агрегации...но это не вопрос темы....

 

Да я про то, что горячий резерв любой л3 железяки это не просто так в тапок нагадить. И в данном случае пофигу как будет резервироваться брас, если л3 до него точно так же подвержено всей этой проблеме.

 

Насчет резерва всегда все плохо, многие умеют поставить всего х2 и все-равно в итоге на выходе получить бутылочное горлышко в л3-терминаторе.

Share this post


Link to post
Share on other sites

А как резервировать ту железку что Л3 для клиента? :)

 

Присоединяюсь, никакого зоопарка на L3 + резерв конфигов + круглосуточный доступ к железке + одна на полке.

 

Коллеги, самый главный вопрос, на который я пока не нашел ответа, даже на 20 страницах форума:

 

какой брас: Ericsson, Juniper или Cisco?

 

Немножко хочу (в очередной раз) спровоцировать на дискуссию владельце вышеперечисленных девайсов. Какие плюсы и минусы в контексте моей, в общем то стандартной, задачи? Мужики, очень надо... Вопрос даже может не технический (это я могу и с продавцами обсудить), а именно профессиональный... Интересен ваш, бесценный для меня, опыт

Edited by Желающий

Share this post


Link to post
Share on other sites

Раз влан на юзера значит юзер может поставить коммутатор и воткнуть туда и телек и комп.

Чтобы телек без всяких приблуд увидел иптв: http://forum.nag.ru/forum/index.php?showtopic=86065 (отдавать иптв придётся по хттп).

Share this post


Link to post
Share on other sites

с херов ли так, кто запретил на свиче доступа мультикаст влан? да и вобще иптв технология убогая, надо CATV продвигать.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this