Jump to content
Калькуляторы

Помощь в подборе браса

Доброго дня!

 

Хочу попросить у сообщества советов по подбору железного браса :)

 

 

Хотелось бы в обозримом будущем уйти от x86-брасов в сторону железных - заодно постепенно перейдя на vlan per user и начав раздачу ipv6 по ipoe.

 

Сейчас сидим на ipoe с помощью linux_isg. Проблем, в принципе, с ним нет, но выходит, что нормальный сервер, прокачивающий гигов 5 туда и обратно, стоит ~ четверть ляма, что уже сопоставимо с ценой железного браса, а у нас их несколько, и потребности растут :)

Поэтому, наверное, нет смысла и дальше наращивать парк x86, а стоит уже посмотреть на железо.

 

 

Ну а про серьёзные брасы (J mx, ASR) знаю только в общих чертах и не могу точно сказать, какой из них удовлетворит все наши потребности.

 

 

 

 

 

А потребности таковы:

 

1. На первое время -- полная замена Linux ISG - то есть, поддержка его функционала:

 

1а) Возможность работы с L3-connected subscribers. То есть, L3 аггрегируется где-то там, далеко, а брас знает только, что сеть 10.10.0.0/16 находится за IP-адресом 10.1.1.1, и при попытке форварда трафика с адресов из сети 10.10.0.0/16 - шлёт запрос на радиус (логин=source ip), и авторизует/запрещает сессию.

 

1б) Соответственно, необходима авторизация по unknown-source-ip, без обязательного dhcp-запроса.

 

1в) Если радиус не авторизует сессию -- необходим редирект http-трафика на заданную страничку; причем крайне желательно, чтобы этот редирект был достаточно живуч ( на редбеках, например, если какой-нибуть антивирь периодически обновляется - у юзера редиректа не будет из-за ограничения pps на 80 порту - ну по крайней мере, раньше так было )

 

1г) минимум 4 десятки без переподписки; возможность сделать port-channel`ы -- две "вниз", две "вверх"

 

1д) bgp

 

 

1е) Полноценный NAT диапазон-в-диапазон, причём серый диапазон - значительно больше, чем белый

 

1ж) NAT 1-to-1 по ответу радиуса

 

1з) Session-idle-timeout (разрыв сессии по неактивности), session-timeout ( безусловный разрыв сессии через заданный промежуток; на ipoe переавторизации юзер всё равно не замечает)

 

 

 

 

 

2. Далее -- постепенный переход на vlan-per-user, nat, ipv6

 

2а) поддержка qinq, лучше - q-in-q-in-q ;)

 

2б) Полноценный NAT диапазон-в-диапазон, 1-в-1

 

2в) редирект неавторизованных.

Вот тут не знаю, как лучше сделать, зависит от умелок браса.

Сейчас у нас option82 - если запрос пришел с порта, на котором нет привязанного юзера -- выдаётся Ip из "левой" сети, все запросы из которой редиректятся на страницу авторизации.

При подключении абонента монтажник заходит на эту страницу, выбирает тариф, юзер скриптом биндится к порту.

Если свитч заменили и юзеров поперетыкали -- опять же, им выдаётся "левый" ип, открывается страничка авторизации, при вводе логина и пароля юзер биндится к порту свитча, на который выдался этот "левый" ип.

 

Можно оставить всё как есть -- но тогда необходимо, как минимум, чтобы при vlan per user (ip unnumbered) в одном и том же влане могли работать разные IP-адреса.

Сейчас, при влане на дом, это решается на L3-аггрегации, попросту `Ip address ..primary_net..` + `ip address ..unactive_net.. secondary`, и в одном и том же влане могут работать и основные, и "неактивные" ip-адреса. Не знаю - возможна ли аналогичная работа при ip unnumbered?

 

2г) mvr/ism_vlan

 

2д) dhcp relay с option82, с указанием всех слоёв вланов в qinq

 

2е) либо свой dhcp-сервер, запрашивающий радиус -- но лучше, чтобы было и то и то, для возможности выбора

 

2ж) ipv6

 

2з) Не менее 40, а лучше 50к SVI (инстансов vlan-per-user)

 

Ещё из хотелок:

- возможность отдельно полисить (или вообще не полисить) трафик на определённые направления;

- возможность задавать временные диапазоны полисинга

 

 

Воот как-то так... Долго писал, но наверняка что-то ещё забыл.

Посматриваю на asr1k/asr9k, но не могу толком самостоятельно оценить их возможности и необходимые модули и лицензии.

 

Буду очень благодарен за подсказки, отзывы о своём опыте, о возможностях брасов. Спасибо! :)

 

Кросс-пост близко к теме: организация и обслуживание vlan-per-user ;)

Share this post


Link to post
Share on other sites

По остальным пунктам я бы присмотрелся к ericsson ssr

А есть у кого опыт использования? А то после редбека впечатление об эриксоне в целом не очень :)

Share this post


Link to post
Share on other sites

Относительно функционала ASR1k всё просто. Берёте CSR1000V и тестируете то, что вас интересует. Там фичи ISG работают как и на железе(лично я не нашёл различий). Производительность pps, bps, кол-во сессий, трансляций и т.п. для железных ASR1k честно описаны на сайте Cisco, тут никаких проблем нет. Начиная с версии XE 3.13, ISG официально работает на CSR1000V, хотя и на старых версиях оно работало.

 

У Juniper, к сожаленью, нет программного аналога MX, доступного широкой публике. Берите делезку на тест, ваши объёмы уже интересны некоторым поставщикам, так что в тест дадут. Ericsson аналогично.

 

Я почти уверен, что никто не сможет дать полноценный ответ на все ваши вопросы(ну кроме самих вендоров). Так, в целом ASR1k вам подходит, разве что какие-нибудь мелочи отличаются от ваших требований

Share this post


Link to post
Share on other sites

А на 9к нету ната?

 

Там есть сервисная плата(http://www.cisco.com/c/en/us/products/collateral/routers/asr-9000-series-aggregation-services-routers/data_sheet_c78-663164.html ), которая по своей сути сервер с линуксом, ну т.е. история примерно как с 7600, когда в 7600 засовывали полценный PIX/ASA и делали NAT на ней, а потом говорили что c76 умеет делать NAT :)

 

ASR1k - универсальная молотилка. Для любителей халявы, лицензии на ней RTU

 

s.lobanov, спасибо, попробуем

 

Потом нам расскажите, мне интересны ответы на некоторые ваши изощрённые требования

Share this post


Link to post
Share on other sites

Ну и вообще по поводу a9k - можете забыть с вашими хотелками, начиная с того там нет L3-connected. По фичам брасам он очень слаб, хотя Cisco очень упорно позиционирует сейчас a9k как брас.

Share this post


Link to post
Share on other sites

1а) Возможность работы с L3-connected subscribers. То есть, L3 аггрегируется где-то там, далеко, а брас знает только, что сеть 10.10.0.0/16 находится за IP-адресом 10.1.1.1

МХ так не умеет, будут склонять к L2 сабскрайбер.

ASR можно только через авторизацию по любому пакету.

ерикссон может, по dhcp и без.

 

требования для эрикссона описаны))

Share this post


Link to post
Share on other sites

Все таки лучше вынести NAT на отдельный девайс

тогда вам подойдет asr1004 esp40, но в долгосрочной перспективе гораздо интереснее будет asr9k

циска asr1k переводит в статус энтерпрайза а из 9к собираются делать брас

Share this post


Link to post
Share on other sites

Все таки лучше вынести NAT на отдельный девайс

Я тоже об этом думал, но...

Если нат на брасе -- то просто пуляем вверх 2*10g в порт-чанеле ; если нат выносить на x86 -- нужно как-то балансировать между ними - лишний геморрой, лишние телодвижения, не говоря уж о лишней точке отказа

Share this post


Link to post
Share on other sites

Все таки лучше вынести NAT на отдельный девайс

Я тоже об этом думал, но...

Если нат на брасе -- то просто пуляем вверх 2*10g в порт-чанеле ; если нат выносить на x86 -- нужно как-то балансировать между ними - лишний геморрой, лишние телодвижения, не говоря уж о лишней точке отказа

 

 

Я через vrf на asr балансирую

вы ценник на ism и лицензии видели? я штук 100 серверов за такие деньги куплю ))

 

Есть еще сервисная плата под MX80, но она очень дохленькая, так что, при всем богатстве выбора, адекватная цена для NAT только на x86

Share this post


Link to post
Share on other sites

вы ценник на ism и лицензии видели?

Нет; цены пока не узнавал :)

Насколько я понимаю, ism и лицензии - для 9к, а в 1к - нат искаропки?

Share this post


Link to post
Share on other sites

ISM стоит понимать в 9001ый не вставляется, а все что выше там порты из золота с брюликами. в 1k лицухи рту кроме апдейта перфоманса на -X.

Edited by zhenya`

Share this post


Link to post
Share on other sites

Насколько я понимаю, ism и лицензии - для 9к, а в 1к - нат искаропки?

На счёт лицензий на ism на 9k не скажу, но лицензии на обычные фичи на 9k(типа vrf и т.п.) на сегодняшний день RTU(с руганью в лог), но их обещают заэнфорсить в будущих версиях ПО.

 

На ASR1k как подменитили выше не RTU лицензии только на апгрейд производительности на -X коробках, но в вашем случае вы всё равно будете брать ASR1004 или ASR1006, где это не актуально

 

На CSR1000V какая-то муть с лицензии, но вам для тестов на производительность пофиг, вам только фичи нужно оттестить.

Share this post


Link to post
Share on other sites

ISM стоит понимать в 9001ый не вставляется, а все что выше там порты из золота с брюликами. в 1k лицухи рту кроме апдейта перфоманаса на -X.

 

 

Это да, емнип ism работает только с новыми rsp а ценник там тоже не гуманный,

кстати на ciscoexpo в этом году будут читать лекцию про 9к как брас тенденции и прочее, надо будет узнать что там и когда планируется

Share this post


Link to post
Share on other sites

если натить на отдельной железке, то трафик придётся хитро гонять.. если к примеру asr1k будет один и за бордер и за ISG то трафик через коробку два раза гонять придётся, а это непозволительная роскошь.

Share this post


Link to post
Share on other sites

если натить на отдельной железке, то трафик придётся хитро гонять.. если к примеру asr1k будет один и за бордер и за ISG то трафик через коробку два раза гонять придётся, а это непозволительная роскошь.

 

заведите на аср несколько vrf, и гоните траф оп разным NAT

не вижу особых проблем, конечно удобно когда все в одной коробке но цена слишком уж высока

Share this post


Link to post
Share on other sites

MX так же не подойдет из-за НАТ и L3 connected

ваш выбор или Ericsson SE или ASR1k

причем L3 connected в перую очередь, так как нат там можна завести на отдельной плате хотя и очень посредственный ...

 

ПС: уже ответили раньше

Share this post


Link to post
Share on other sites

Коллеги, а подскажите что можно поставить на выносы где трафика от клиентов порядка 100-500мб.

 

сейчас стоит SRX240, но хочется vlan-per-user, IPoE. L2/L3 subscriber - не важно, но желательно чтоб была возможность поднятия сессии по DHCP или любому пакету.

+ поддержка всяких CoA, accounting.

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.