[uanog] Re: /31

03.11.06, Alexandre Snarskii написал(а):

On Fri, Nov 03, 2006 at 01:17:01PM +0200, Dmitry Cherkasov wrote:

...

03.11.06, Andrew Stesin написал(а):

...

03.11.06, Dmitry Cherkasov написал(а):

...

...

для клиентских подключений goto PPPoE как тебе свежая мысль? ;) свежесть бывает только первая, а здесь явно не тот случай ;-) на экономии адресов ценность PPPoE начинается и заканчивается. Имхо.

почему же. оно а) работает и б) общеизвестно, стандартизовано, всеми-всеми производителями поддержано. это тоже очень ценные оба свойства.

угу. а дальше начинаем: - MTU (проблемы с большими пакетами)

ip tcp adjust-mss уже отменили ? :)

не пробовал, честно скажу

...

- CPU (PPPoE рутер типа 7301 и ниже загружается по самое по инкапсуляцией/декапсуляцией, т.е. нужно что-то с ASIC-реализацией, а это дороже)

encaps/decas давно вывели на cef-layer, то есть проц оно загружает не то, чтобы уж очень сильно.

если пускать потоковое ТВ, тоже не сильно скажется?

...

- Netflow accounting не знаю, как у кого, а мы в своем лабе не смогли добиться вменяемости на ряде иосов

А нефиг пытаться использовать эту технологию :) Счетчики траффика прекрасно приходят в radius stop/interim packet'ах.

Не прекрасно. Теряется пакетов много. Плюс, если надо делить на мир и Украину (ну да, ну да, скоро это уйдет, но пока есть), то радиус не подходит.

...

- с лицензиями там тоже что-то, AFAIR -- для большого количества (свыше 1К для 7301, например) докупать надо

GW033-312#show idb

Maximum number of Software IDBs 20050. In use 825.

То есть до 20050 на обычном ios'е оно должно потянуть :)

я сам не проверял, в cisco-nsp как-то обсуждали

...

- с VRF много не покрутишь, а иногда надо.

Что значит "много не покрутишь" ? Кто-то мешает выдавать "ip vrf forwarding <NAME>" на этапе аутенификации ? :) (да, там есть одна тонкость, но - я ее за десять минут понял, не думаю, что у кого-то на это уйдет много больше времени).

может быть.

...

Поэтому, имхо лучшим решением есть ethernet + DHCP + DHCP accounting + DHCP-authorized ARP (почти что DHCP, DHCP и еще раз DHCP ;-)

ja-ja, naturlish :) Клиенты уже разучились выставлять чужие mac-addres'а ? :)

фильтр на нужный мак на порту подключения и пусть выставляют сколько угодно. в принципе, можно использовать опцию 82 DHCP для привязки к порту, но эффективно (т.е. так, чтоб можно было и авторизаваться по ней) это работает только на взрослых цисках. -- Dmitry Cherkasov =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message