URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 79772
[ Назад ]

Исходное сообщение
"Ядро сети - на чем строить?"

Отправлено weldpua2008 , 11-Апр-08 13:53 
Привет Всем
На чем построить ядро сети?
Пользователей должно держать одновременно работающих 1000.
Уметь НАТ + 1FullView для моих 512ИП.
VPN-сервер отдельно уже есть.
Возможно это несколько железок...

Содержание

Сообщения в этом обсуждении
"Ядро сети - на чем строить?"
Отправлено weldpua2008 , 11-Апр-08 14:00 
Хотел спросить:
Можноли реализовать:
|NAT|--|VPN-server|---|client|

"Ядро сети - на чем строить?"
Отправлено weldpua2008 , 11-Апр-08 14:18 
>Хотел спросить:
>Можноли реализовать:
>|NAT|--|VPN-server|---|client|

Забыл написать - в ядро будет заходить До 100Мбит основной и до 70Мбит резерв


"Ядро сети - на чем строить?"
Отправлено heap , 12-Апр-08 22:36 
>>Хотел спросить:
>>Можноли реализовать:
>>|NAT|--|VPN-server|---|client|
>
>Забыл написать - в ядро будет заходить До 100Мбит основной и до
>70Мбит резерв

На чем строить в плане ОС? Или железа?
В плане ОС красиво вышло бы на FreeBSD7 + mpd5. Только вот в зависимости от соотношения память/процессор система может позволить поднять и 1000 и 2000 и больше туннелей, а захлебнуться на объемах трафика. Особенно при неграмотно построенном фаерволе.


"Ядро сети - на чем строить?"
Отправлено weldpua2008 , 13-Апр-08 01:45 
>[оверквотинг удален]
>>>|NAT|--|VPN-server|---|client|
>>
>>Забыл написать - в ядро будет заходить До 100Мбит основной и до
>>70Мбит резерв
>
>На чем строить в плане ОС? Или железа?
>В плане ОС красиво вышло бы на FreeBSD7 + mpd5. Только вот
>в зависимости от соотношения память/процессор система может позволить поднять и 1000
>и 2000 и больше туннелей, а захлебнуться на объемах трафика. Особенно
>при неграмотно построенном фаерволе.

В плане железа.

Действительно будет FreeBSD + mpd4/mpd5 - на доступ для ВПН (небольшого количества).

Но так как есть ограничения именно ОС+компа, хочется строить на железе.

Хочу сливать нетфлоу с железок, а комп использовать для расчетов.


"Ядро сети - на чем строить?"
Отправлено heap , 13-Апр-08 14:46 
>В плане железа.
>
>Действительно будет FreeBSD + mpd4/mpd5 - на доступ для ВПН (небольшого количества).
>
>
>Но так как есть ограничения именно ОС+компа, хочется строить на железе.
>
>Хочу сливать нетфлоу с железок, а комп использовать для расчетов.

Хмм. В голову особенно железок не приходит. Конечно, если есть деньги, то и cisco можно, только вот засада - все эти железки сильно проседают с NATом. А тем более те, которые смогут провернуть 1000 туннелей и еще натить будут - такие ИМХО, даже у D-Link или других недорогих стоить будут недешево.

Если же огромных объемов денег нет - то ИМХО в зависимости от того, что есть брать или на новеньких Xeon'ах по 3ГГц, либо на аналогичных Core2. Ставить туда 4Гб РАМы и запускать на семерке mpd5. Причем с помощью ng_netflow и netflow будет отлично литься.


"Ядро сети - на чем строить?"
Отправлено weldpua2008 , 14-Апр-08 14:48 
>[оверквотинг удален]
>Хмм. В голову особенно железок не приходит. Конечно, если есть деньги, то
>и cisco можно, только вот засада - все эти железки сильно
>проседают с NATом. А тем более те, которые смогут провернуть 1000
>туннелей и еще натить будут - такие ИМХО, даже у D-Link
>или других недорогих стоить будут недешево.
>
>Если же огромных объемов денег нет - то ИМХО в зависимости от
>того, что есть брать или на новеньких Xeon'ах по 3ГГц, либо
>на аналогичных Core2. Ставить туда 4Гб РАМы и запускать на семерке
>mpd5. Причем с помощью ng_netflow и netflow будет отлично литься.

Хм...
Вот чего Я примерно хочу:

                         ____Сервера в том числе и ВПН___
Инет1                   /                                \
Инет2---  Железка доступа в Инет для всей сети ------|ядро сети| ---- сеть---
Инет3


"Ядро сети - на чем строить?"
Отправлено weldpua2008 , 16-Апр-08 10:09 
>[оверквотинг удален]
>Хмм. В голову особенно железок не приходит. Конечно, если есть деньги, то
>и cisco можно, только вот засада - все эти железки сильно
>проседают с NATом. А тем более те, которые смогут провернуть 1000
>туннелей и еще натить будут - такие ИМХО, даже у D-Link
>или других недорогих стоить будут недешево.
>
>Если же огромных объемов денег нет - то ИМХО в зависимости от
>того, что есть брать или на новеньких Xeon'ах по 3ГГц, либо
>на аналогичных Core2. Ставить туда 4Гб РАМы и запускать на семерке
>mpd5. Причем с помощью ng_netflow и netflow будет отлично литься.

А что ставить как ядро между сегментами? В мерце сети?
Мне Dlink'овцы предлагают DES-72XX ~7000$ и он по умолчанию не может FullView...


"Ядро сети - на чем строить?"
Отправлено heap , 16-Апр-08 16:14 
>[оверквотинг удален]
>>или других недорогих стоить будут недешево.
>>
>>Если же огромных объемов денег нет - то ИМХО в зависимости от
>>того, что есть брать или на новеньких Xeon'ах по 3ГГц, либо
>>на аналогичных Core2. Ставить туда 4Гб РАМы и запускать на семерке
>>mpd5. Причем с помощью ng_netflow и netflow будет отлично литься.
>
>А что ставить как ядро между сегментами? В мерце сети?
>Мне Dlink'овцы предлагают DES-72XX ~7000$ и он по умолчанию не может FullView...
>

Не слабая такая сетка, если в центр на модульный свичик денег не жалеют.
А FullView то зачем? Он еще и роутером в инет что ли будет? Или речь не о BGP?


"Ядро сети - на чем строить?"
Отправлено weldpua2008 , 16-Апр-08 21:24 
>[оверквотинг удален]
>>>mpd5. Причем с помощью ng_netflow и netflow будет отлично литься.
>>
>>А что ставить как ядро между сегментами? В мерце сети?
>>Мне Dlink'овцы предлагают DES-72XX ~7000$ и он по умолчанию не может FullView...
>>
>
>Не слабая такая сетка, если в центр на модульный свичик денег не
>жалеют.
>А FullView то зачем? Он еще и роутером в инет что ли
>будет? Или речь не о BGP?

Да о BGP...
Дык Я ж не говорю то это правильно...
Я думаю правильнее ели есть несколько железок...
одна для комутации сегментов, другая для выхода в нет+BGP и т.д..


"Ядро сети - на чем строить?"
Отправлено heap , 16-Апр-08 22:06 
>Да о BGP...
>Дык Я ж не говорю то это правильно...
>Я думаю правильнее ели есть несколько железок...
>одна для комутации сегментов, другая для выхода в нет+BGP и т.д..

Тут надо оговорить следующее. Естественно, ИМХО. Задачи коммутации и маршрутизации нужно разделять. По крайней мере если речь идет об интернете, а не о трафике внутри локальной сети. Во-первых, так проще управлять трафиком и ограничивать пользователей. А, во-вторых, не стоит забивать гвозди пассатижами. Одна хорошо мне знакомая контора как-то решила пойти по пути наименьшего сопротивления, и вместо нормального роутера (в их случае нормальной была бы  Cisco) купили какое-то китайское поделие - так сказать свич/роутер с BGP. В итоге все вылилось довольно не красиво. Намаялись с ней вдоволь и все равно купили циску.

Насчет модульного свича в центр сети - тут, на мой взгляд, все зависит от размера сети и от наличия денег. Если сеть будет не очень большая - то возможно лучше поставить пару-тройку стекируемых свичиков аля D-Link, или лучше Zyxel.

Про сервер доступа я сначала бы снова подумал хорошенько. Как правило все специализированные железки, а уж тем более Cisco имеют на борту специализированный сетевой процессор (например, Cisco NPE-G1, NPE-G2) или какой-нибудь Risc (те же arm-архитектуры от Intel). В плане быстро провернуть много трафика они хороши (например, CEF Cisco), а вот стоит нагрузить центральный процессор (NAT, Process switching) и роутер умирает, несмотря на то, что обещаны золотые горы производительности. Поэтому если нет желания держать зоопарк роутеров, между которыми как-то будет балансится нагрузка - может проще соорудить тазик на FreeBSD/Linux с 2-4 ядерный Core2/Xeon?


"Ядро сети - на чем строить?"
Отправлено weldpua2008 , 17-Апр-08 00:01 
>>Да о BGP...
>>Дык Я ж не говорю то это правильно...
>>Я думаю правильнее ели есть несколько железок...
>>одна для комутации сегментов, другая для выхода в нет+BGP и т.д..
>
>Тут надо оговорить следующее. Естественно, ИМХО. Задачи коммутации и маршрутизации нужно разделять.
>По крайней мере если речь идет об интернете, а не о
>трафике внутри локальной сети. Во-первых, так проще управлять трафиком и ограничивать
>пользователей. А, во-вторых, не стоит забивать гвозди пассатижами.

Ура Вы смогли озвучить то что Я хочу :). Спасибо.
Я хочу поставить роутер для выхода в инет с поддержкой BGP(1 FullView).
Только вот не пойму как правильно сделать. Ставится один роутер на 2-а канала. потом от него патчкодом идет в упровляемый свич провод от которого подключены сервера.
Вторыми сетевыми картами включены в локальную сеть, или же как то по другому?...

>Насчет модульного свича в центр сети - тут, на мой взгляд, все
>зависит от размера сети и от наличия денег. Если сеть будет
>не очень большая - то возможно лучше поставить пару-тройку стекируемых свичиков
>аля D-Link, или лучше Zyxel.

Я думал думал - так и поступлю...куплю пару стекируемых свичей для центра сети.


>Про сервер доступа я сначала бы снова подумал хорошенько. Как правило все
>специализированные железки, а уж тем более Cisco имеют на борту специализированный
>сетевой процессор (например, Cisco NPE-G1, NPE-G2) или какой-нибудь Risc (те же
>arm-архитектуры от Intel). В плане быстро провернуть много трафика они хороши
>(например, CEF Cisco), а вот стоит нагрузить центральный процессор (NAT, Process
>switching) и роутер умирает, несмотря на то, что обещаны золотые горы
>производительности. Поэтому если нет желания держать зоопарк роутеров, между которыми как-то
>будет балансится нагрузка - может проще соорудить тазик на FreeBSD/Linux с
>2-4 ядерный Core2/Xeon?

Хм...А если разделить NAT и VPN и BGP?
Просто еслит буедт единый сервер NAT+VPN и BGP, то при падении него или перезагрузке все серваки с реальными ИП идут на йух...
Что Я сже сейчас наблюдаю, когда главный сервак с НАТОМ и Маршрутизацией ребучу(обновление или еще что-то)...


"Ядро сети - на чем строить?"
Отправлено heap , 18-Апр-08 11:24 
>Ура Вы смогли озвучить то что Я хочу :). Спасибо.
>Я хочу поставить роутер для выхода в инет с поддержкой BGP(1 FullView).
>
>Только вот не пойму как правильно сделать. Ставится один роутер на 2-а
>канала. потом от него патчкодом идет в упровляемый свич провод от
>которого подключены сервера.
>Вторыми сетевыми картами включены в локальную сеть, или же как то по
>другому?...

Я так понимаю имеется своя AS и подсети белых IP? Чисто роутер с функциями роутера для выхода в интернет может быть и аппаратным. Только вот в голову ничего кроме Cisco не лезет - не приходилось мне в таких целях использовать другого железа.

>Хм...А если разделить NAT и VPN и BGP?
>Просто еслит буедт единый сервер NAT+VPN и BGP, то при падении него
>или перезагрузке все серваки с реальными ИП идут на йух...
>Что Я сже сейчас наблюдаю, когда главный сервак с НАТОМ и Маршрутизацией
>ребучу(обновление или еще что-то)...

Разделить роутер с BGP и роутер VPN+NAT очень даже имеет смысл. А вот разделять VPN и NAT - не вижу никакого смысла. Задача этого роутера как раз и состоит в том, чтобы дать клиенту тунель, а потом прогнать его трафик в интернет и выигрыша (серьезного) от того, что трансляция пакетов будет на отдельной железке никакого нет. Зато если в локальной сети будет несколько маршрутизируемых между собой подсетей - то это лучше повесить на отдельный роутер. Ну или на тот свичик L3, который будет в центре.


"Ядро сети - на чем строить?"
Отправлено weldpua2008 , 19-Апр-08 06:04 
>Разделить роутер с BGP и роутер VPN+NAT очень даже имеет смысл.

А что тогда посоветуешь?...под BGP взять...
Расчетно должно держать до 300Мбит проходящего траффика, дальше уже другую железку наверное надо бует покупать - под полтора гигабита.

Задача только роутить + BGP.


"Ядро сети - на чем строить?"
Отправлено Monty , 29-Июн-09 10:53 
>>Разделить роутер с BGP и роутер VPN+NAT очень даже имеет смысл.
>
>А что тогда посоветуешь?...под BGP взять...
>Расчетно должно держать до 300Мбит проходящего траффика, дальше уже другую железку наверное
>надо бует покупать - под полтора гигабита.
>
>Задача только роутить + BGP.

Я бы Вам посоветовал Cisco 7206VXR NPE-G2. Если использовать как молотилку трафика, то с 500Мбит/с потоком справится без проблем.

У нас на границе стоит такая, приходят 3 магистральных провайдера с FullView BGP. На железку возложены задачи маршрутизации внешнего трафика и резервирование каналов.

Для терминации VPN-пользователей используется FreeBSD+mpd5 (в онлайне чуть более 1000 пользователей), честно говоря, железка уже загибается в пиках - пора менять процессоры.

Ну, и все эта кухня соеденина гигабитным L3 коммутатором Cisco Catalyst 3750 в который приходит клиентский трафик с других распределительных узлов сети. Тут распределяются приоритеты, фильтруется трафика и т.д.