[uanog] Re: [uanog] Порекомендуйте оборудование

5 Nov 2010

      Здравствуйте, Volodymyr.

Все это конечно хорошо, но есть много "НО" и "ЕСЛИ", в частности:

у  меня  нет  на  руках  этой  железки,  чтобы  такое сделать ее нужно
заиметь.
На тест вряд ли у кого-то найдется.
Купить  эту  железку,  чтобы  оказалось что она мне не подходит, будет
очень печально, ибо сумма немалая.

Вы писали 5 ноября 2010 г., 8:49:48:
...
2010/11/4 Гришин Артем Сергеевич :
...
Здравствуйте, Volodymyr.
Вы писали 4 ноября 2010 г., 7:48:47:
...
2010/11/2 Гришин Артем Сергеевич :
...
Здравствуйте, Uanog.
Стоит такая задача:
Есть сеть, до 10000 абонентов. В поисках железки, которая подходит
по следующим требованиям:
12 СФП портов, минимум 4 медных гигабита.
ip routing. Возможность роутить пакеты по src и/или dst адресу.
(пример,  все пакеты с айпи 10.0.0.5 роутить/форвардить на 172.16.1.1,
все пакеты с айпи 10.0.0.6 роутить/форвардить на 172.16.2.1).
до 10000-15000 acl permit|deny трафик, типа - permit 10.0.0.5 permit 10.0.0.6
deny 10.0.0.7 (возжно либо списком, либо отдельными правилами).
...
С ACl-ами на TCAM платоформах типа Cisco или Juniper-EX нужно
быть весьма осторожным. Не агрегируемуе src/dst матчи, особенно
если и src и dst списком, приводят к лавинообразному наростанию
использования TCAM entries. Ваши 10-15K ACL entries могут легко
перерасти в сильно больше TCAM entries, чем поддерживает платформа.
А как просчитать эти entries?
...
Экспериментально. Если есть готовые ACL-и - грузи их и
смотри на TCAM usage. Если их нет:
...
1. Делаеш ACL вида:
...
from
   source-address
       ssubnet1
   destination-address
       dsubnet1
   protocol
       tcp
   source-port
       sport1
   destination-port
       dport1
........
...
грузиш его на коробку и смотриш TCAM usage.
...
2. Добавляеш в ACL дополнительный match по (например)
    source-address и source-port:
...
from
   source-address
       ssubnet1
       ssubnet2
   destination-address
       dsubnet1
   protocol
       tcp
   source-port
       sport1
       sport2
   destination-port
       dport1
........
...
смотриш насколько измениля TCAM usage.
...
3. Все то же но добавляеш еще один dsubnet.
...
Делаеш выводы :-)
...
...
...
...
принудительный форвардинг пакетов (замена dst адреса).
шейпер по src/dst адресу, 10000-15000 правил (in/out).
трафик 2-3Гбита полного дуплекса. при всех работающих вышеописанных правилах.
Посоветуйте  пару-тройку решений, которые обеспечат данный функционал.
Неплохо  было бы иметь в перспективе возможность апгрейдить это железо
до более высоких показателей.
--
С уважением,
 Гришин Артем Сергеевич
mailto:griarts@gmail.com
--
С уважением,
 Гришин Артем Сергеевич
 mailto:griarts@gmail.com
-- 
С уважением,
 Гришин Артем Сергеевич
 mailto:griarts@gmail.com