Перейти к содержимому
Калькуляторы

Помощь в подборе браса

Доброго дня!

 

Хочу попросить у сообщества советов по подбору железного браса :)

 

 

Хотелось бы в обозримом будущем уйти от x86-брасов в сторону железных - заодно постепенно перейдя на vlan per user и начав раздачу ipv6 по ipoe.

 

Сейчас сидим на ipoe с помощью linux_isg. Проблем, в принципе, с ним нет, но выходит, что нормальный сервер, прокачивающий гигов 5 туда и обратно, стоит ~ четверть ляма, что уже сопоставимо с ценой железного браса, а у нас их несколько, и потребности растут :)

Поэтому, наверное, нет смысла и дальше наращивать парк x86, а стоит уже посмотреть на железо.

 

 

Ну а про серьёзные брасы (J mx, ASR) знаю только в общих чертах и не могу точно сказать, какой из них удовлетворит все наши потребности.

 

 

 

 

 

А потребности таковы:

 

1. На первое время -- полная замена Linux ISG - то есть, поддержка его функционала:

 

1а) Возможность работы с L3-connected subscribers. То есть, L3 аггрегируется где-то там, далеко, а брас знает только, что сеть 10.10.0.0/16 находится за IP-адресом 10.1.1.1, и при попытке форварда трафика с адресов из сети 10.10.0.0/16 - шлёт запрос на радиус (логин=source ip), и авторизует/запрещает сессию.

 

1б) Соответственно, необходима авторизация по unknown-source-ip, без обязательного dhcp-запроса.

 

1в) Если радиус не авторизует сессию -- необходим редирект http-трафика на заданную страничку; причем крайне желательно, чтобы этот редирект был достаточно живуч ( на редбеках, например, если какой-нибуть антивирь периодически обновляется - у юзера редиректа не будет из-за ограничения pps на 80 порту - ну по крайней мере, раньше так было )

 

1г) минимум 4 десятки без переподписки; возможность сделать port-channel`ы -- две "вниз", две "вверх"

 

1д) bgp

 

 

1е) Полноценный NAT диапазон-в-диапазон, причём серый диапазон - значительно больше, чем белый

 

1ж) NAT 1-to-1 по ответу радиуса

 

1з) Session-idle-timeout (разрыв сессии по неактивности), session-timeout ( безусловный разрыв сессии через заданный промежуток; на ipoe переавторизации юзер всё равно не замечает)

 

 

 

 

 

2. Далее -- постепенный переход на vlan-per-user, nat, ipv6

 

2а) поддержка qinq, лучше - q-in-q-in-q ;)

 

2б) Полноценный NAT диапазон-в-диапазон, 1-в-1

 

2в) редирект неавторизованных.

Вот тут не знаю, как лучше сделать, зависит от умелок браса.

Сейчас у нас option82 - если запрос пришел с порта, на котором нет привязанного юзера -- выдаётся Ip из "левой" сети, все запросы из которой редиректятся на страницу авторизации.

При подключении абонента монтажник заходит на эту страницу, выбирает тариф, юзер скриптом биндится к порту.

Если свитч заменили и юзеров поперетыкали -- опять же, им выдаётся "левый" ип, открывается страничка авторизации, при вводе логина и пароля юзер биндится к порту свитча, на который выдался этот "левый" ип.

 

Можно оставить всё как есть -- но тогда необходимо, как минимум, чтобы при vlan per user (ip unnumbered) в одном и том же влане могли работать разные IP-адреса.

Сейчас, при влане на дом, это решается на L3-аггрегации, попросту `Ip address ..primary_net..` + `ip address ..unactive_net.. secondary`, и в одном и том же влане могут работать и основные, и "неактивные" ip-адреса. Не знаю - возможна ли аналогичная работа при ip unnumbered?

 

2г) mvr/ism_vlan

 

2д) dhcp relay с option82, с указанием всех слоёв вланов в qinq

 

2е) либо свой dhcp-сервер, запрашивающий радиус -- но лучше, чтобы было и то и то, для возможности выбора

 

2ж) ipv6

 

2з) Не менее 40, а лучше 50к SVI (инстансов vlan-per-user)

 

Ещё из хотелок:

- возможность отдельно полисить (или вообще не полисить) трафик на определённые направления;

- возможность задавать временные диапазоны полисинга

 

 

Воот как-то так... Долго писал, но наверняка что-то ещё забыл.

Посматриваю на asr1k/asr9k, но не могу толком самостоятельно оценить их возможности и необходимые модули и лицензии.

 

Буду очень благодарен за подсказки, отзывы о своём опыте, о возможностях брасов. Спасибо! :)

 

Кросс-пост близко к теме: организация и обслуживание vlan-per-user ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Nat 1-to-1 по ответу радиуса никто не может. По остальным пунктам я бы присмотрелся к ericsson ssr

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

По остальным пунктам я бы присмотрелся к ericsson ssr

А есть у кого опыт использования? А то после редбека впечатление об эриксоне в целом не очень :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Я тебе в аське все расскажу ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

На 9к из-за ната не подходит

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Относительно функционала ASR1k всё просто. Берёте CSR1000V и тестируете то, что вас интересует. Там фичи ISG работают как и на железе(лично я не нашёл различий). Производительность pps, bps, кол-во сессий, трансляций и т.п. для железных ASR1k честно описаны на сайте Cisco, тут никаких проблем нет. Начиная с версии XE 3.13, ISG официально работает на CSR1000V, хотя и на старых версиях оно работало.

 

У Juniper, к сожаленью, нет программного аналога MX, доступного широкой публике. Берите делезку на тест, ваши объёмы уже интересны некоторым поставщикам, так что в тест дадут. Ericsson аналогично.

 

Я почти уверен, что никто не сможет дать полноценный ответ на все ваши вопросы(ну кроме самих вендоров). Так, в целом ASR1k вам подходит, разве что какие-нибудь мелочи отличаются от ваших требований

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

На 9к из-за ната не подходит

А на 9к нету ната?

 

s.lobanov, спасибо, попробуем

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А на 9к нету ната?

 

Там есть сервисная плата(http://www.cisco.com/c/en/us/products/collateral/routers/asr-9000-series-aggregation-services-routers/data_sheet_c78-663164.html ), которая по своей сути сервер с линуксом, ну т.е. история примерно как с 7600, когда в 7600 засовывали полценный PIX/ASA и делали NAT на ней, а потом говорили что c76 умеет делать NAT :)

 

ASR1k - универсальная молотилка. Для любителей халявы, лицензии на ней RTU

 

s.lobanov, спасибо, попробуем

 

Потом нам расскажите, мне интересны ответы на некоторые ваши изощрённые требования

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Потом нам расскажите, мне интересны ответы на некоторые ваши изощрённые требования

Договорились :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну и вообще по поводу a9k - можете забыть с вашими хотелками, начиная с того там нет L3-connected. По фичам брасам он очень слаб, хотя Cisco очень упорно позиционирует сейчас a9k как брас.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

MX так же не подойдет из-за НАТ и L3 connected

ваш выбор или Ericsson SE или ASR1k

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1а) Возможность работы с L3-connected subscribers. То есть, L3 аггрегируется где-то там, далеко, а брас знает только, что сеть 10.10.0.0/16 находится за IP-адресом 10.1.1.1

МХ так не умеет, будут склонять к L2 сабскрайбер.

ASR можно только через авторизацию по любому пакету.

ерикссон может, по dhcp и без.

 

требования для эрикссона описаны))

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Все таки лучше вынести NAT на отдельный девайс

тогда вам подойдет asr1004 esp40, но в долгосрочной перспективе гораздо интереснее будет asr9k

циска asr1k переводит в статус энтерпрайза а из 9к собираются делать брас

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Все таки лучше вынести NAT на отдельный девайс

Я тоже об этом думал, но...

Если нат на брасе -- то просто пуляем вверх 2*10g в порт-чанеле ; если нат выносить на x86 -- нужно как-то балансировать между ними - лишний геморрой, лишние телодвижения, не говоря уж о лишней точке отказа

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Все таки лучше вынести NAT на отдельный девайс

Я тоже об этом думал, но...

Если нат на брасе -- то просто пуляем вверх 2*10g в порт-чанеле ; если нат выносить на x86 -- нужно как-то балансировать между ними - лишний геморрой, лишние телодвижения, не говоря уж о лишней точке отказа

 

 

Я через vrf на asr балансирую

вы ценник на ism и лицензии видели? я штук 100 серверов за такие деньги куплю ))

 

Есть еще сервисная плата под MX80, но она очень дохленькая, так что, при всем богатстве выбора, адекватная цена для NAT только на x86

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

вы ценник на ism и лицензии видели?

Нет; цены пока не узнавал :)

Насколько я понимаю, ism и лицензии - для 9к, а в 1к - нат искаропки?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

На сколько я понял - RTU на 1к

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ISM стоит понимать в 9001ый не вставляется, а все что выше там порты из золота с брюликами. в 1k лицухи рту кроме апдейта перфоманса на -X.

Изменено пользователем zhenya`

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Насколько я понимаю, ism и лицензии - для 9к, а в 1к - нат искаропки?

На счёт лицензий на ism на 9k не скажу, но лицензии на обычные фичи на 9k(типа vrf и т.п.) на сегодняшний день RTU(с руганью в лог), но их обещают заэнфорсить в будущих версиях ПО.

 

На ASR1k как подменитили выше не RTU лицензии только на апгрейд производительности на -X коробках, но в вашем случае вы всё равно будете брать ASR1004 или ASR1006, где это не актуально

 

На CSR1000V какая-то муть с лицензии, но вам для тестов на производительность пофиг, вам только фичи нужно оттестить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ISM стоит понимать в 9001ый не вставляется, а все что выше там порты из золота с брюликами. в 1k лицухи рту кроме апдейта перфоманаса на -X.

 

 

Это да, емнип ism работает только с новыми rsp а ценник там тоже не гуманный,

кстати на ciscoexpo в этом году будут читать лекцию про 9к как брас тенденции и прочее, надо будет узнать что там и когда планируется

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

если натить на отдельной железке, то трафик придётся хитро гонять.. если к примеру asr1k будет один и за бордер и за ISG то трафик через коробку два раза гонять придётся, а это непозволительная роскошь.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

если натить на отдельной железке, то трафик придётся хитро гонять.. если к примеру asr1k будет один и за бордер и за ISG то трафик через коробку два раза гонять придётся, а это непозволительная роскошь.

 

заведите на аср несколько vrf, и гоните траф оп разным NAT

не вижу особых проблем, конечно удобно когда все в одной коробке но цена слишком уж высока

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

RSP880 будут показывать и карты ценой в полмлн и выше на цискоконнекте..))) рсп440-СЕ не единственная дорогая вещь (65k$ в гпл))))

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

MX так же не подойдет из-за НАТ и L3 connected

ваш выбор или Ericsson SE или ASR1k

причем L3 connected в перую очередь, так как нат там можна завести на отдельной плате хотя и очень посредственный ...

 

ПС: уже ответили раньше

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Коллеги, а подскажите что можно поставить на выносы где трафика от клиентов порядка 100-500мб.

 

сейчас стоит SRX240, но хочется vlan-per-user, IPoE. L2/L3 subscriber - не важно, но желательно чтоб была возможность поднятия сессии по DHCP или любому пакету.

+ поддержка всяких CoA, accounting.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.