за сколько денег? 2010/11/2 Гришин Артем Сергеевич

Здравствуйте, Uanog.

Стоит такая задача: Есть сеть, до 10000 абонентов. В поисках железки, которая подходит по следующим требованиям:

12 СФП портов, минимум 4 медных гигабита.

ip routing. Возможность роутить пакеты по src и/или dst адресу. (пример, все пакеты с айпи 10.0.0.5 роутить/форвардить на 172.16.1.1, все пакеты с айпи 10.0.0.6 роутить/форвардить на 172.16.2.1).

до 10000-15000 acl permit|deny трафик, типа - permit 10.0.0.5 permit 10.0.0.6 deny 10.0.0.7 (возжно либо списком, либо отдельными правилами).

принудительный форвардинг пакетов (замена dst адреса).

шейпер по src/dst адресу, 10000-15000 правил (in/out).

трафик 2-3Гбита полного дуплекса. при всех работающих вышеописанных правилах.

Посоветуйте пару-тройку решений, которые обеспечат данный функционал. Неплохо было бы иметь в перспективе возможность апгрейдить это железо до более высоких показателей.

-- С уважением, Гришин Артем Сергеевич mailto:griarts@gmail.com

-- /doka ~~~~~~~~ http://doka-ua.blogspot.com/ http://omar-ha-em.blogspot.com/ «Возлюби ближнего своего» - это значит прежде всего: «дай ближнему своему покой!». И как раз эта деталь добродетели связана с наибольшими трудностями. (с) Ф.Ницше

Juniper J4350 + 2x(6xSFP) - но я не уверен, что с таким количеством ACL'ей он не сядет на дупу 6503+Sup32/8GE+6516/GBIC - этот не сядет про экстримы и фаундри не знаю 2010/11/2 Гришин Артем Сергеевич

Здравствуйте, Vladimir.

Вы писали 2 ноября 2010 г., 13:23:36:

Ну это вопрос открытый. Все зависит от цены предлагаемого оборудования, нельзя определенно сказать что к примеру 10К уе еще нормально, 10К1 уе уже много =) будем ориентироваться где-то в 10Куе плюс/минус 20%.

за сколько денег?

2010/11/2 Гришин Артем Сергеевич Здравствуйте, Uanog.

Стоит такая задача: Есть сеть, до 10000 абонентов. В поисках железки, которая подходит по следующим требованиям:

12 СФП портов, минимум 4 медных гигабита.

ip routing. Возможность роутить пакеты по src и/или dst адресу. (пример, все пакеты с айпи 10.0.0.5 роутить/форвардить на 172.16.1.1, все пакеты с айпи 10.0.0.6 роутить/форвардить на 172.16.2.1).

до 10000-15000 acl permit|deny трафик, типа - permit 10.0.0.5 permit 10.0.0.6 deny 10.0.0.7 (возжно либо списком, либо отдельными правилами).

принудительный форвардинг пакетов (замена dst адреса).

шейпер по src/dst адресу, 10000-15000 правил (in/out).

трафик 2-3Гбита полного дуплекса. при всех работающих вышеописанных правилах.

Посоветуйте пару-тройку решений, которые обеспечат данный функционал. Неплохо было бы иметь в перспективе возможность апгрейдить это железо до более высоких показателей.

-- С уважением, Гришин Артем Сергеевич mailto:griarts@gmail.com

-- /doka ~~~~~~~~ http://doka-ua.blogspot.com/ http://omar-ha-em.blogspot.com/

«Возлюби ближнего своего» - это значит прежде всего: «дай ближнему своему покой!». И как раз эта деталь добродетели связана с наибольшими трудностями. (с) Ф.Ницше

*--

С уважением, Гришин Артем Сергеевич mailto:griarts@gmail.com *

-- /doka ~~~~~~~~ http://doka-ua.blogspot.com/ http://omar-ha-em.blogspot.com/ «Возлюби ближнего своего» - это значит прежде всего: «дай ближнему своему покой!». И как раз эта деталь добродетели связана с наибольшими трудностями. (с) Ф.Ницше

забыл вот еще про это - ME-C6524GS-8S (8xGE + 24xGE) - тот же Sup32, но с интегрированными 8 + 24xGESFP 2010/11/2 Vladimir Litovka

Juniper J4350 + 2x(6xSFP) - но я не уверен, что с таким количеством ACL'ей он не сядет на дупу 6503+Sup32/8GE+6516/GBIC - этот не сядет про экстримы и фаундри не знаю

2010/11/2 Гришин Артем Сергеевич

...

Здравствуйте, Vladimir.

Вы писали 2 ноября 2010 г., 13:23:36:

Ну это вопрос открытый. Все зависит от цены предлагаемого оборудования, нельзя определенно сказать что к примеру 10К уе еще нормально, 10К1 уе уже много =) будем ориентироваться где-то в 10Куе плюс/минус 20%.

за сколько денег?

2010/11/2 Гришин Артем Сергеевич Здравствуйте, Uanog.

Стоит такая задача: Есть сеть, до 10000 абонентов. В поисках железки, которая подходит по следующим требованиям:

12 СФП портов, минимум 4 медных гигабита.

ip routing. Возможность роутить пакеты по src и/или dst адресу. (пример, все пакеты с айпи 10.0.0.5 роутить/форвардить на 172.16.1.1, все пакеты с айпи 10.0.0.6 роутить/форвардить на 172.16.2.1).

до 10000-15000 acl permit|deny трафик, типа - permit 10.0.0.5 permit 10.0.0.6 deny 10.0.0.7 (возжно либо списком, либо отдельными правилами).

принудительный форвардинг пакетов (замена dst адреса).

шейпер по src/dst адресу, 10000-15000 правил (in/out).

трафик 2-3Гбита полного дуплекса. при всех работающих вышеописанных правилах.

Посоветуйте пару-тройку решений, которые обеспечат данный функционал. Неплохо было бы иметь в перспективе возможность апгрейдить это железо до более высоких показателей.

-- С уважением, Гришин Артем Сергеевич mailto:griarts@gmail.com

-- /doka ~~~~~~~~ http://doka-ua.blogspot.com/ http://omar-ha-em.blogspot.com/

«Возлюби ближнего своего» - это значит прежде всего: «дай ближнему своему покой!». И как раз эта деталь добродетели связана с наибольшими трудностями. (с) Ф.Ницше

*--

С уважением, Гришин Артем Сергеевич mailto:griarts@gmail.com *

-- /doka ~~~~~~~~ http://doka-ua.blogspot.com/ http://omar-ha-em.blogspot.com/

«Возлюби ближнего своего» - это значит прежде всего: «дай ближнему своему покой!». И как раз эта деталь добродетели связана с наибольшими трудностями. (с) Ф.Ницше

-- /doka ~~~~~~~~ http://doka-ua.blogspot.com/ http://omar-ha-em.blogspot.com/ «Возлюби ближнего своего» - это значит прежде всего: «дай ближнему своему покой!». И как раз эта деталь добродетели связана с наибольшими трудностями. (с) Ф.Ницше

2010/11/2 Alexander Shikoff Он не отроутит 3 Гбит/с полного дуплекса. Тем более с таким количеством

ACLей и поиском совпадений по префикс-листам.

Очень вероятно - да

К тому же это Enterprise-железка, никак не операторская.

в этой стране никогда еще операторы не отказывались от энтерпрайз железки, если она по сходной цене ;-)

Можно рассмотреть вариант Juniper MX80-48T (фиксированное шасси с 48 медными 1G портами и 4 10G XFP).

должна зайти с о-о-очень хорошей скидкой :) на заявленный функционал хорошо фитится ME6524 ($28.5k @ GPL, или 24xTX + медиаконверторы), но надо помнить, что у него бортовые порты - linerate, а 24xSFP - с oversubscription 1:3. Полисинг по такому количеству ACL'ей аппаратно делается с помощью microflow policing. -- /doka ~~~~~~~~ http://doka-ua.blogspot.com/ http://omar-ha-em.blogspot.com/ «Возлюби ближнего своего» - это значит прежде всего: «дай ближнему своему покой!». И как раз эта деталь добродетели связана с наибольшими трудностями. (с) Ф.Ницше

Здравствуйте, Volodymyr. Вы писали 4 ноября 2010 г., 7:48:47:

2010/11/2 Гришин Артем Сергеевич :

...

Здравствуйте, Uanog.

Стоит такая задача: Есть сеть, до 10000 абонентов. В поисках железки, которая подходит по следующим требованиям:

12 СФП портов, минимум 4 медных гигабита.

ip routing. Возможность роутить пакеты по src и/или dst адресу. (пример,  все пакеты с айпи 10.0.0.5 роутить/форвардить на 172.16.1.1, все пакеты с айпи 10.0.0.6 роутить/форвардить на 172.16.2.1).

до 10000-15000 acl permit|deny трафик, типа - permit 10.0.0.5 permit 10.0.0.6 deny 10.0.0.7 (возжно либо списком, либо отдельными правилами).

С ACl-ами на TCAM платоформах типа Cisco или Juniper-EX нужно быть весьма осторожным. Не агрегируемуе src/dst матчи, особенно если и src и dst списком, приводят к лавинообразному наростанию использования TCAM entries. Ваши 10-15K ACL entries могут легко перерасти в сильно больше TCAM entries, чем поддерживает платформа.

А как просчитать эти entries?

...

принудительный форвардинг пакетов (замена dst адреса).

шейпер по src/dst адресу, 10000-15000 правил (in/out).

трафик 2-3Гбита полного дуплекса. при всех работающих вышеописанных правилах.

Посоветуйте  пару-тройку решений, которые обеспечат данный функционал. Неплохо  было бы иметь в перспективе возможность апгрейдить это железо до более высоких показателей.

-- С уважением,  Гришин Артем Сергеевич mailto:griarts@gmail.com

-- С уважением, Гришин Артем Сергеевич mailto:griarts@gmail.com

Здравствуйте, Volodymyr. Все это конечно хорошо, но есть много "НО" и "ЕСЛИ", в частности: у меня нет на руках этой железки, чтобы такое сделать ее нужно заиметь. На тест вряд ли у кого-то найдется. Купить эту железку, чтобы оказалось что она мне не подходит, будет очень печально, ибо сумма немалая. Вы писали 5 ноября 2010 г., 8:49:48:

2010/11/4 Гришин Артем Сергеевич :

...

Здравствуйте, Volodymyr. Вы писали 4 ноября 2010 г., 7:48:47:

...

2010/11/2 Гришин Артем Сергеевич :

...

Здравствуйте, Uanog.

Стоит такая задача: Есть сеть, до 10000 абонентов. В поисках железки, которая подходит по следующим требованиям:

12 СФП портов, минимум 4 медных гигабита.

ip routing. Возможность роутить пакеты по src и/или dst адресу. (пример,  все пакеты с айпи 10.0.0.5 роутить/форвардить на 172.16.1.1, все пакеты с айпи 10.0.0.6 роутить/форвардить на 172.16.2.1).

до 10000-15000 acl permit|deny трафик, типа - permit 10.0.0.5 permit 10.0.0.6 deny 10.0.0.7 (возжно либо списком, либо отдельными правилами).

...

С ACl-ами на TCAM платоформах типа Cisco или Juniper-EX нужно быть весьма осторожным. Не агрегируемуе src/dst матчи, особенно если и src и dst списком, приводят к лавинообразному наростанию использования TCAM entries. Ваши 10-15K ACL entries могут легко перерасти в сильно больше TCAM entries, чем поддерживает платформа.

А как просчитать эти entries?

Экспериментально. Если есть готовые ACL-и - грузи их и смотри на TCAM usage. Если их нет:

1. Делаеш ACL вида:

from source-address ssubnet1 destination-address dsubnet1 protocol tcp source-port sport1 destination-port dport1 ........

грузиш его на коробку и смотриш TCAM usage.

2. Добавляеш в ACL дополнительный match по (например) source-address и source-port:

from source-address ssubnet1 ssubnet2 destination-address dsubnet1 protocol tcp source-port sport1 sport2 destination-port dport1 ........

смотриш насколько измениля TCAM usage.

3. Все то же но добавляеш еще один dsubnet.

Делаеш выводы :-)

...

...

...

принудительный форвардинг пакетов (замена dst адреса).

шейпер по src/dst адресу, 10000-15000 правил (in/out).

трафик 2-3Гбита полного дуплекса. при всех работающих вышеописанных правилах.

Посоветуйте  пару-тройку решений, которые обеспечат данный функционал. Неплохо  было бы иметь в перспективе возможность апгрейдить это железо до более высоких показателей.

-- С уважением,  Гришин Артем Сергеевич mailto:griarts@gmail.com

-- С уважением,  Гришин Артем Сергеевич  mailto:griarts@gmail.com

-- С уважением, Гришин Артем Сергеевич mailto:griarts@gmail.com