Juniper J4350 + 2x(6xSFP) - но я не уверен, что с таким количеством ACL'ей он не сядет на дупу 6503+Sup32/8GE+6516/GBIC - этот не сядет про экстримы и фаундри не знаю 2010/11/2 Гришин Артем Сергеевич

Здравствуйте, Vladimir.

Вы писали 2 ноября 2010 г., 13:23:36:

Ну это вопрос открытый. Все зависит от цены предлагаемого оборудования, нельзя определенно сказать что к примеру 10К уе еще нормально, 10К1 уе уже много =) будем ориентироваться где-то в 10Куе плюс/минус 20%.

за сколько денег?

2010/11/2 Гришин Артем Сергеевич Здравствуйте, Uanog.

Стоит такая задача: Есть сеть, до 10000 абонентов. В поисках железки, которая подходит по следующим требованиям:

12 СФП портов, минимум 4 медных гигабита.

ip routing. Возможность роутить пакеты по src и/или dst адресу. (пример, все пакеты с айпи 10.0.0.5 роутить/форвардить на 172.16.1.1, все пакеты с айпи 10.0.0.6 роутить/форвардить на 172.16.2.1).

до 10000-15000 acl permit|deny трафик, типа - permit 10.0.0.5 permit 10.0.0.6 deny 10.0.0.7 (возжно либо списком, либо отдельными правилами).

принудительный форвардинг пакетов (замена dst адреса).

шейпер по src/dst адресу, 10000-15000 правил (in/out).

трафик 2-3Гбита полного дуплекса. при всех работающих вышеописанных правилах.

Посоветуйте пару-тройку решений, которые обеспечат данный функционал. Неплохо было бы иметь в перспективе возможность апгрейдить это железо до более высоких показателей.

-- С уважением, Гришин Артем Сергеевич mailto:griarts@gmail.com

-- /doka ~~~~~~~~ http://doka-ua.blogspot.com/ http://omar-ha-em.blogspot.com/

«Возлюби ближнего своего» - это значит прежде всего: «дай ближнему своему покой!». И как раз эта деталь добродетели связана с наибольшими трудностями. (с) Ф.Ницше

*--

С уважением, Гришин Артем Сергеевич mailto:griarts@gmail.com *

-- /doka ~~~~~~~~ http://doka-ua.blogspot.com/ http://omar-ha-em.blogspot.com/ «Возлюби ближнего своего» - это значит прежде всего: «дай ближнему своему покой!». И как раз эта деталь добродетели связана с наибольшими трудностями. (с) Ф.Ницше

On Tue, Nov 02, 2010 at 01:43:48PM +0200, Vladimir Litovka wrote:

Juniper J4350 + 2x(6xSFP) - но я не уверен, что с таким количеством ACL'ей он не сядет на дупу Он не отроутит 3 Гбит/с полного дуплекса. Тем более с таким количеством ACLей и поиском совпадений по префикс-листам. К тому же это Enterprise-железка, никак не операторская.

Можно рассмотреть вариант Juniper MX80-48T (фиксированное шасси с 48 медными 1G портами и 4 10G XFP). С хорошей скидкой получится около 20к у.е. если не покупать лицензию на Full-Scale Routing (по поводу этой лицензии вообще отдельная история, тк. любое упоминание о ней пропало с сайта Juniper, а JTAC утверждает, что заявленный в ней функционал - часть base-os. Но она упорно присутствует в джуниперовском GPL). -- Kind Regards, Alexander Shikoff AMS1-UANIC

Боюсь что с требованиями 1. policy routing 2. шейпера (или хотя бы car) да еще и 2-3 Gbit/s трафика - это роутер, причем нехилый роутер а требования к кол-ву этих самых шейперов начинают шептать у цене вопроса в 100k скорее, причем не гривен ps. если найдется решение для данного вопроса за 10k, лично я сильно сильно удивлюсь On Tue, Nov 02, 2010 at 01:26:56PM +0200, Гришин Артем Сергеевич wrote:

Здравствуйте, Vladimir.

Вы писали 2 ноября 2010 г., 13:23:36:

Ну это вопрос открытый. Все зависит от цены предлагаемого оборудования, нельзя определенно сказать что к примеру 10К уе еще нормально, 10К1 уе уже много =) будем ориентироваться где-то в 10Куе плюс/минус 20%.

за сколько денег? 2010/11/2 Гришин Артем Сергеевич Здравствуйте, Uanog.

Стоит такая задача: Есть сеть, до 10000 абонентов. В поисках железки, которая подходит по следующим требованиям:

12 СФП портов, минимум 4 медных гигабита.

ip routing. Возможность роутить пакеты по src и/или dst адресу. (пример,  все пакеты с айпи 10.0.0.5 роутить/форвардить на 172.16.1.1, все пакеты с айпи 10.0.0.6 роутить/форвардить на 172.16.2.1).

до 10000-15000 acl permit|deny трафик, типа - permit 10.0.0.5 permit 10.0.0.6 deny 10.0.0.7 (возжно либо списком, либо отдельными правилами).

принудительный форвардинг пакетов (замена dst адреса).

шейпер по src/dst адресу, 10000-15000 правил (in/out).

трафик 2-3Гбита полного дуплекса. при всех работающих вышеописанных правилах.

Посоветуйте  пару-тройку решений, которые обеспечат данный функционал. Неплохо  было бы иметь в перспективе возможность апгрейдить это железо до более высоких показателей.

-- С уважением,  Гришин Артем Сергеевич mailto:griarts@gmail.com

--  /doka ~~~~~~~~ http://doka-ua.blogspot.com/ http://omar-ha-em.blogspot.com/

«Возлюби ближнего своего» - это значит прежде всего: «дай ближнему своему покой!». И как раз эта деталь добродетели связана с наибольшими трудностями. (с) Ф.Ницше

--  С уважением,  Гришин Артем Сергеевич  mailto:griarts@gmail.com

-- Best regard, Aleksander Trotsai aka MAGE-RIPE aka MAGE-UANIC My PGP key at ftp://blackhole.adamant.ua/pgp/trotsai.key[.asc] Если между первой и второй проходит больше 5 минут, то первая не засчитывается

Здравствуйте, Volodymyr. Вы писали 4 ноября 2010 г., 7:48:47:

2010/11/2 Гришин Артем Сергеевич :

...

Здравствуйте, Uanog.

Стоит такая задача: Есть сеть, до 10000 абонентов. В поисках железки, которая подходит по следующим требованиям:

12 СФП портов, минимум 4 медных гигабита.

ip routing. Возможность роутить пакеты по src и/или dst адресу. (пример,  все пакеты с айпи 10.0.0.5 роутить/форвардить на 172.16.1.1, все пакеты с айпи 10.0.0.6 роутить/форвардить на 172.16.2.1).

до 10000-15000 acl permit|deny трафик, типа - permit 10.0.0.5 permit 10.0.0.6 deny 10.0.0.7 (возжно либо списком, либо отдельными правилами).

С ACl-ами на TCAM платоформах типа Cisco или Juniper-EX нужно быть весьма осторожным. Не агрегируемуе src/dst матчи, особенно если и src и dst списком, приводят к лавинообразному наростанию использования TCAM entries. Ваши 10-15K ACL entries могут легко перерасти в сильно больше TCAM entries, чем поддерживает платформа.

А как просчитать эти entries?

...

принудительный форвардинг пакетов (замена dst адреса).

шейпер по src/dst адресу, 10000-15000 правил (in/out).

трафик 2-3Гбита полного дуплекса. при всех работающих вышеописанных правилах.

Посоветуйте  пару-тройку решений, которые обеспечат данный функционал. Неплохо  было бы иметь в перспективе возможность апгрейдить это железо до более высоких показателей.

-- С уважением,  Гришин Артем Сергеевич mailto:griarts@gmail.com

-- С уважением, Гришин Артем Сергеевич mailto:griarts@gmail.com

Здравствуйте, Volodymyr. Все это конечно хорошо, но есть много "НО" и "ЕСЛИ", в частности: у меня нет на руках этой железки, чтобы такое сделать ее нужно заиметь. На тест вряд ли у кого-то найдется. Купить эту железку, чтобы оказалось что она мне не подходит, будет очень печально, ибо сумма немалая. Вы писали 5 ноября 2010 г., 8:49:48:

2010/11/4 Гришин Артем Сергеевич :

...

Здравствуйте, Volodymyr. Вы писали 4 ноября 2010 г., 7:48:47:

...

2010/11/2 Гришин Артем Сергеевич :

...

Здравствуйте, Uanog.

Стоит такая задача: Есть сеть, до 10000 абонентов. В поисках железки, которая подходит по следующим требованиям:

12 СФП портов, минимум 4 медных гигабита.

ip routing. Возможность роутить пакеты по src и/или dst адресу. (пример,  все пакеты с айпи 10.0.0.5 роутить/форвардить на 172.16.1.1, все пакеты с айпи 10.0.0.6 роутить/форвардить на 172.16.2.1).

до 10000-15000 acl permit|deny трафик, типа - permit 10.0.0.5 permit 10.0.0.6 deny 10.0.0.7 (возжно либо списком, либо отдельными правилами).

...

С ACl-ами на TCAM платоформах типа Cisco или Juniper-EX нужно быть весьма осторожным. Не агрегируемуе src/dst матчи, особенно если и src и dst списком, приводят к лавинообразному наростанию использования TCAM entries. Ваши 10-15K ACL entries могут легко перерасти в сильно больше TCAM entries, чем поддерживает платформа.

А как просчитать эти entries?

Экспериментально. Если есть готовые ACL-и - грузи их и смотри на TCAM usage. Если их нет:

1. Делаеш ACL вида:

from source-address ssubnet1 destination-address dsubnet1 protocol tcp source-port sport1 destination-port dport1 ........

грузиш его на коробку и смотриш TCAM usage.

2. Добавляеш в ACL дополнительный match по (например) source-address и source-port:

from source-address ssubnet1 ssubnet2 destination-address dsubnet1 protocol tcp source-port sport1 sport2 destination-port dport1 ........

смотриш насколько измениля TCAM usage.

3. Все то же но добавляеш еще один dsubnet.

Делаеш выводы :-)

...

...

...

принудительный форвардинг пакетов (замена dst адреса).

шейпер по src/dst адресу, 10000-15000 правил (in/out).

трафик 2-3Гбита полного дуплекса. при всех работающих вышеописанных правилах.

Посоветуйте  пару-тройку решений, которые обеспечат данный функционал. Неплохо  было бы иметь в перспективе возможность апгрейдить это железо до более высоких показателей.

-- С уважением,  Гришин Артем Сергеевич mailto:griarts@gmail.com

-- С уважением,  Гришин Артем Сергеевич  mailto:griarts@gmail.com

-- С уважением, Гришин Артем Сергеевич mailto:griarts@gmail.com