Wingman Posted October 15, 2014 · Report post Доброго дня! Хочу попросить у сообщества советов по подбору железного браса :) Хотелось бы в обозримом будущем уйти от x86-брасов в сторону железных - заодно постепенно перейдя на vlan per user и начав раздачу ipv6 по ipoe. Сейчас сидим на ipoe с помощью linux_isg. Проблем, в принципе, с ним нет, но выходит, что нормальный сервер, прокачивающий гигов 5 туда и обратно, стоит ~ четверть ляма, что уже сопоставимо с ценой железного браса, а у нас их несколько, и потребности растут :) Поэтому, наверное, нет смысла и дальше наращивать парк x86, а стоит уже посмотреть на железо. Ну а про серьёзные брасы (J mx, ASR) знаю только в общих чертах и не могу точно сказать, какой из них удовлетворит все наши потребности. А потребности таковы: 1. На первое время -- полная замена Linux ISG - то есть, поддержка его функционала: 1а) Возможность работы с L3-connected subscribers. То есть, L3 аггрегируется где-то там, далеко, а брас знает только, что сеть 10.10.0.0/16 находится за IP-адресом 10.1.1.1, и при попытке форварда трафика с адресов из сети 10.10.0.0/16 - шлёт запрос на радиус (логин=source ip), и авторизует/запрещает сессию. 1б) Соответственно, необходима авторизация по unknown-source-ip, без обязательного dhcp-запроса. 1в) Если радиус не авторизует сессию -- необходим редирект http-трафика на заданную страничку; причем крайне желательно, чтобы этот редирект был достаточно живуч ( на редбеках, например, если какой-нибуть антивирь периодически обновляется - у юзера редиректа не будет из-за ограничения pps на 80 порту - ну по крайней мере, раньше так было ) 1г) минимум 4 десятки без переподписки; возможность сделать port-channel`ы -- две "вниз", две "вверх" 1д) bgp 1е) Полноценный NAT диапазон-в-диапазон, причём серый диапазон - значительно больше, чем белый 1ж) NAT 1-to-1 по ответу радиуса 1з) Session-idle-timeout (разрыв сессии по неактивности), session-timeout ( безусловный разрыв сессии через заданный промежуток; на ipoe переавторизации юзер всё равно не замечает) 2. Далее -- постепенный переход на vlan-per-user, nat, ipv6 2а) поддержка qinq, лучше - q-in-q-in-q ;) 2б) Полноценный NAT диапазон-в-диапазон, 1-в-1 2в) редирект неавторизованных. Вот тут не знаю, как лучше сделать, зависит от умелок браса. Сейчас у нас option82 - если запрос пришел с порта, на котором нет привязанного юзера -- выдаётся Ip из "левой" сети, все запросы из которой редиректятся на страницу авторизации. При подключении абонента монтажник заходит на эту страницу, выбирает тариф, юзер скриптом биндится к порту. Если свитч заменили и юзеров поперетыкали -- опять же, им выдаётся "левый" ип, открывается страничка авторизации, при вводе логина и пароля юзер биндится к порту свитча, на который выдался этот "левый" ип. Можно оставить всё как есть -- но тогда необходимо, как минимум, чтобы при vlan per user (ip unnumbered) в одном и том же влане могли работать разные IP-адреса. Сейчас, при влане на дом, это решается на L3-аггрегации, попросту `Ip address ..primary_net..` + `ip address ..unactive_net.. secondary`, и в одном и том же влане могут работать и основные, и "неактивные" ip-адреса. Не знаю - возможна ли аналогичная работа при ip unnumbered? 2г) mvr/ism_vlan 2д) dhcp relay с option82, с указанием всех слоёв вланов в qinq 2е) либо свой dhcp-сервер, запрашивающий радиус -- но лучше, чтобы было и то и то, для возможности выбора 2ж) ipv6 2з) Не менее 40, а лучше 50к SVI (инстансов vlan-per-user) Ещё из хотелок: - возможность отдельно полисить (или вообще не полисить) трафик на определённые направления; - возможность задавать временные диапазоны полисинга Воот как-то так... Долго писал, но наверняка что-то ещё забыл. Посматриваю на asr1k/asr9k, но не могу толком самостоятельно оценить их возможности и необходимые модули и лицензии. Буду очень благодарен за подсказки, отзывы о своём опыте, о возможностях брасов. Спасибо! :) Кросс-пост близко к теме: организация и обслуживание vlan-per-user ;) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
shicoy Posted October 15, 2014 · Report post Nat 1-to-1 по ответу радиуса никто не может. По остальным пунктам я бы присмотрелся к ericsson ssr Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Wingman Posted October 15, 2014 · Report post По остальным пунктам я бы присмотрелся к ericsson ssr А есть у кого опыт использования? А то после редбека впечатление об эриксоне в целом не очень :) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
shicoy Posted October 15, 2014 · Report post Я тебе в аське все расскажу ;) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Butch3r Posted October 15, 2014 · Report post На 9к из-за ната не подходит Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
s.lobanov Posted October 15, 2014 · Report post Относительно функционала ASR1k всё просто. Берёте CSR1000V и тестируете то, что вас интересует. Там фичи ISG работают как и на железе(лично я не нашёл различий). Производительность pps, bps, кол-во сессий, трансляций и т.п. для железных ASR1k честно описаны на сайте Cisco, тут никаких проблем нет. Начиная с версии XE 3.13, ISG официально работает на CSR1000V, хотя и на старых версиях оно работало. У Juniper, к сожаленью, нет программного аналога MX, доступного широкой публике. Берите делезку на тест, ваши объёмы уже интересны некоторым поставщикам, так что в тест дадут. Ericsson аналогично. Я почти уверен, что никто не сможет дать полноценный ответ на все ваши вопросы(ну кроме самих вендоров). Так, в целом ASR1k вам подходит, разве что какие-нибудь мелочи отличаются от ваших требований Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Wingman Posted October 15, 2014 · Report post На 9к из-за ната не подходит А на 9к нету ната? s.lobanov, спасибо, попробуем Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
s.lobanov Posted October 15, 2014 · Report post А на 9к нету ната? Там есть сервисная плата(http://www.cisco.com/c/en/us/products/collateral/routers/asr-9000-series-aggregation-services-routers/data_sheet_c78-663164.html ), которая по своей сути сервер с линуксом, ну т.е. история примерно как с 7600, когда в 7600 засовывали полценный PIX/ASA и делали NAT на ней, а потом говорили что c76 умеет делать NAT :) ASR1k - универсальная молотилка. Для любителей халявы, лицензии на ней RTU s.lobanov, спасибо, попробуем Потом нам расскажите, мне интересны ответы на некоторые ваши изощрённые требования Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Wingman Posted October 15, 2014 · Report post Потом нам расскажите, мне интересны ответы на некоторые ваши изощрённые требования Договорились :) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
s.lobanov Posted October 15, 2014 · Report post Ну и вообще по поводу a9k - можете забыть с вашими хотелками, начиная с того там нет L3-connected. По фичам брасам он очень слаб, хотя Cisco очень упорно позиционирует сейчас a9k как брас. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
D^2 Posted October 16, 2014 · Report post MX так же не подойдет из-за НАТ и L3 connected ваш выбор или Ericsson SE или ASR1k Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
tunny Posted October 16, 2014 · Report post 1а) Возможность работы с L3-connected subscribers. То есть, L3 аггрегируется где-то там, далеко, а брас знает только, что сеть 10.10.0.0/16 находится за IP-адресом 10.1.1.1 МХ так не умеет, будут склонять к L2 сабскрайбер. ASR можно только через авторизацию по любому пакету. ерикссон может, по dhcp и без. требования для эрикссона описаны)) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alks Posted October 16, 2014 · Report post Все таки лучше вынести NAT на отдельный девайс тогда вам подойдет asr1004 esp40, но в долгосрочной перспективе гораздо интереснее будет asr9k циска asr1k переводит в статус энтерпрайза а из 9к собираются делать брас Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Wingman Posted October 16, 2014 · Report post Все таки лучше вынести NAT на отдельный девайс Я тоже об этом думал, но... Если нат на брасе -- то просто пуляем вверх 2*10g в порт-чанеле ; если нат выносить на x86 -- нужно как-то балансировать между ними - лишний геморрой, лишние телодвижения, не говоря уж о лишней точке отказа Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alks Posted October 16, 2014 · Report post Все таки лучше вынести NAT на отдельный девайс Я тоже об этом думал, но... Если нат на брасе -- то просто пуляем вверх 2*10g в порт-чанеле ; если нат выносить на x86 -- нужно как-то балансировать между ними - лишний геморрой, лишние телодвижения, не говоря уж о лишней точке отказа Я через vrf на asr балансирую вы ценник на ism и лицензии видели? я штук 100 серверов за такие деньги куплю )) Есть еще сервисная плата под MX80, но она очень дохленькая, так что, при всем богатстве выбора, адекватная цена для NAT только на x86 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Wingman Posted October 16, 2014 · Report post вы ценник на ism и лицензии видели? Нет; цены пока не узнавал :) Насколько я понимаю, ism и лицензии - для 9к, а в 1к - нат искаропки? Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Butch3r Posted October 16, 2014 · Report post На сколько я понял - RTU на 1к Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zhenya` Posted October 16, 2014 (edited) · Report post ISM стоит понимать в 9001ый не вставляется, а все что выше там порты из золота с брюликами. в 1k лицухи рту кроме апдейта перфоманса на -X. Edited October 16, 2014 by zhenya` Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
s.lobanov Posted October 16, 2014 · Report post Насколько я понимаю, ism и лицензии - для 9к, а в 1к - нат искаропки? На счёт лицензий на ism на 9k не скажу, но лицензии на обычные фичи на 9k(типа vrf и т.п.) на сегодняшний день RTU(с руганью в лог), но их обещают заэнфорсить в будущих версиях ПО. На ASR1k как подменитили выше не RTU лицензии только на апгрейд производительности на -X коробках, но в вашем случае вы всё равно будете брать ASR1004 или ASR1006, где это не актуально На CSR1000V какая-то муть с лицензии, но вам для тестов на производительность пофиг, вам только фичи нужно оттестить. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alks Posted October 16, 2014 · Report post ISM стоит понимать в 9001ый не вставляется, а все что выше там порты из золота с брюликами. в 1k лицухи рту кроме апдейта перфоманаса на -X. Это да, емнип ism работает только с новыми rsp а ценник там тоже не гуманный, кстати на ciscoexpo в этом году будут читать лекцию про 9к как брас тенденции и прочее, надо будет узнать что там и когда планируется Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
skinner Posted October 16, 2014 · Report post если натить на отдельной железке, то трафик придётся хитро гонять.. если к примеру asr1k будет один и за бордер и за ISG то трафик через коробку два раза гонять придётся, а это непозволительная роскошь. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
alks Posted October 16, 2014 · Report post если натить на отдельной железке, то трафик придётся хитро гонять.. если к примеру asr1k будет один и за бордер и за ISG то трафик через коробку два раза гонять придётся, а это непозволительная роскошь. заведите на аср несколько vrf, и гоните траф оп разным NAT не вижу особых проблем, конечно удобно когда все в одной коробке но цена слишком уж высока Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
zhenya` Posted October 16, 2014 · Report post RSP880 будут показывать и карты ценой в полмлн и выше на цискоконнекте..))) рсп440-СЕ не единственная дорогая вещь (65k$ в гпл)))) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Lynx10 Posted October 16, 2014 · Report post MX так же не подойдет из-за НАТ и L3 connected ваш выбор или Ericsson SE или ASR1k причем L3 connected в перую очередь, так как нат там можна завести на отдельной плате хотя и очень посредственный ... ПС: уже ответили раньше Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
rdntw Posted July 3, 2015 · Report post Коллеги, а подскажите что можно поставить на выносы где трафика от клиентов порядка 100-500мб. сейчас стоит SRX240, но хочется vlan-per-user, IPoE. L2/L3 subscriber - не важно, но желательно чтоб была возможность поднятия сессии по DHCP или любому пакету. + поддержка всяких CoA, accounting. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...