03.11.06, Alexandre Snarskii
On Fri, Nov 03, 2006 at 05:13:21PM +0200, Dmitry Cherkasov wrote:
03.11.06, Alexandre Snarskii
написал(а): On Fri, Nov 03, 2006 at 01:17:01PM +0200, Dmitry Cherkasov wrote:
03.11.06, Andrew Stesin
написал(а): 03.11.06, Dmitry Cherkasov
написал(а): > для клиентских подключений goto PPPoE как тебе свежая мысль? ;) свежесть бывает только первая, а здесь явно не тот случай ;-) на экономии адресов ценность PPPoE начинается и заканчивается. Имхо.
почему же. оно а) работает и б) общеизвестно, стандартизовано, всеми-всеми производителями поддержано. это тоже очень ценные оба свойства.
угу. а дальше начинаем: - MTU (проблемы с большими пакетами)
ip tcp adjust-mss уже отменили ? :)
не пробовал, честно скажу
Попробуй, понравится ;)
уже написал, не судьба пока ;-)
- CPU (PPPoE рутер типа 7301 и ниже загружается по самое по инкапсуляцией/декапсуляцией, т.е. нужно что-то с ASIC-реализацией, а это дороже)
encaps/decas давно вывели на cef-layer, то есть проц оно загружает не то, чтобы уж очень сильно.
если пускать потоковое ТВ, тоже не сильно скажется?
А ТВ вообще нужно раздавать mvr'ом на edge switches :)
возможно. не самый лучший пример.
- Netflow accounting не знаю, как у кого, а мы в своем лабе не смогли добиться вменяемости на ряде иосов
А нефиг пытаться использовать эту технологию :) Счетчики траффика прекрасно приходят в radius stop/interim packet'ах.
Не прекрасно. Теряется пакетов много.
Не замечал :) Честно говоря, сложно потерять пакеты на интерфейсном счетчике...
На интерфейсном счетчике, наверное, не теряется. А до аккаунтингового сервера пакет не доходит. Наблюдается на диалапе, наблюдали и при макетировании PPPoE. О причинах можно подискутировать, только UDP -- он и в Африке UDP.
Плюс, если надо делить на мир и Украину (ну да, ну да, скоро это уйдет, но пока есть), то радиус не подходит.
RTFM ISG. Я об этом уже писал.
RTFM ISG уже сделан, спасибо докладам Вовы Литовки на семинарах ;-) Только пока дороговато. Масштаб нужен на уровне тысяч -- десятков тысяч пользователей. Для надежности их еще желательно парочку в параллель поставить.
Да, есть недостаток, что оно работает только на 7301/7200/10k, но, 7301 по GPL стоит 18k$. То есть - на 2k пользователей затраты получаются порядка 9$ (прописью - девять долларов США, двести сорок рублей и тридцать одна копейка РФ, сорок пять гривен и сорок пять копеек Украины) на пользователя. Если потребуется купить broadband license на 16k users, то она по GPL стоит $5K, то есть (с учетом стоимости самой 7301) мы получаем $1.4375 на пользователя... Прописью - один доллар и сорок четыре цента США. А с учетом того, что скидку менее 20% от GPL сейчас не получает только совсем ленивый - они получаются еще дешевле :)
Так и планируется, на самом деле. Просто момент еще не настал ;-)
- с лицензиями там тоже что-то, AFAIR -- для большого количества (свыше 1К для 7301, например) докупать надо
GW033-312#show idb
Maximum number of Software IDBs 20050. In use 825.
То есть до 20050 на обычном ios'е оно должно потянуть :)
я сам не проверял, в cisco-nsp как-то обсуждали
"Я, конечно, Пастернака не читал, но осуждаю..." :)
Устроить что-ли пользователям аварию, чтобы всех приняла одна 7301... :)
Поэтому, имхо лучшим решением есть ethernet + DHCP + DHCP accounting + DHCP-authorized ARP (почти что DHCP, DHCP и еще раз DHCP ;-)
ja-ja, naturlish :) Клиенты уже разучились выставлять чужие mac-addres'а ? :)
фильтр на нужный мак на порту подключения и пусть выставляют сколько угодно. в принципе, можно использовать опцию 82 DHCP для привязки к порту, но эффективно (т.е. так, чтоб можно было и авторизаваться по ней) это работает только на взрослых цисках.
Стоимость поддержки таких фильтров ты себе представляешь ? Я - представляю...
Не, для себя, своей собаки, и еще десятка соседей по дому - это будет работать, даже более-менее хорошо работать. Но в продакшене - неприменимо.
Один раз мак прописывается при подключении, в будущем возможна правка при смене CPE (что происходит не часто). В чем проблема? Речь об ADSL. -- Dmitry Cherkasov =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message