Привет Всем
На чем построить ядро сети?
Пользователей должно держать одновременно работающих 1000.
Уметь НАТ + 1FullView для моих 512ИП.
VPN-сервер отдельно уже есть.
Возможно это несколько железок...
Хотел спросить:
Можноли реализовать:
|NAT|--|VPN-server|---|client|
>Хотел спросить:
>Можноли реализовать:
>|NAT|--|VPN-server|---|client|Забыл написать - в ядро будет заходить До 100Мбит основной и до 70Мбит резерв
>>Хотел спросить:
>>Можноли реализовать:
>>|NAT|--|VPN-server|---|client|
>
>Забыл написать - в ядро будет заходить До 100Мбит основной и до
>70Мбит резервНа чем строить в плане ОС? Или железа?
В плане ОС красиво вышло бы на FreeBSD7 + mpd5. Только вот в зависимости от соотношения память/процессор система может позволить поднять и 1000 и 2000 и больше туннелей, а захлебнуться на объемах трафика. Особенно при неграмотно построенном фаерволе.
>[оверквотинг удален]
>>>|NAT|--|VPN-server|---|client|
>>
>>Забыл написать - в ядро будет заходить До 100Мбит основной и до
>>70Мбит резерв
>
>На чем строить в плане ОС? Или железа?
>В плане ОС красиво вышло бы на FreeBSD7 + mpd5. Только вот
>в зависимости от соотношения память/процессор система может позволить поднять и 1000
>и 2000 и больше туннелей, а захлебнуться на объемах трафика. Особенно
>при неграмотно построенном фаерволе.В плане железа.
Действительно будет FreeBSD + mpd4/mpd5 - на доступ для ВПН (небольшого количества).
Но так как есть ограничения именно ОС+компа, хочется строить на железе.
Хочу сливать нетфлоу с железок, а комп использовать для расчетов.
>В плане железа.
>
>Действительно будет FreeBSD + mpd4/mpd5 - на доступ для ВПН (небольшого количества).
>
>
>Но так как есть ограничения именно ОС+компа, хочется строить на железе.
>
>Хочу сливать нетфлоу с железок, а комп использовать для расчетов.Хмм. В голову особенно железок не приходит. Конечно, если есть деньги, то и cisco можно, только вот засада - все эти железки сильно проседают с NATом. А тем более те, которые смогут провернуть 1000 туннелей и еще натить будут - такие ИМХО, даже у D-Link или других недорогих стоить будут недешево.
Если же огромных объемов денег нет - то ИМХО в зависимости от того, что есть брать или на новеньких Xeon'ах по 3ГГц, либо на аналогичных Core2. Ставить туда 4Гб РАМы и запускать на семерке mpd5. Причем с помощью ng_netflow и netflow будет отлично литься.
>[оверквотинг удален]
>Хмм. В голову особенно железок не приходит. Конечно, если есть деньги, то
>и cisco можно, только вот засада - все эти железки сильно
>проседают с NATом. А тем более те, которые смогут провернуть 1000
>туннелей и еще натить будут - такие ИМХО, даже у D-Link
>или других недорогих стоить будут недешево.
>
>Если же огромных объемов денег нет - то ИМХО в зависимости от
>того, что есть брать или на новеньких Xeon'ах по 3ГГц, либо
>на аналогичных Core2. Ставить туда 4Гб РАМы и запускать на семерке
>mpd5. Причем с помощью ng_netflow и netflow будет отлично литься.Хм...
Вот чего Я примерно хочу:____Сервера в том числе и ВПН___
Инет1 / \
Инет2--- Железка доступа в Инет для всей сети ------|ядро сети| ---- сеть---
Инет3
>[оверквотинг удален]
>Хмм. В голову особенно железок не приходит. Конечно, если есть деньги, то
>и cisco можно, только вот засада - все эти железки сильно
>проседают с NATом. А тем более те, которые смогут провернуть 1000
>туннелей и еще натить будут - такие ИМХО, даже у D-Link
>или других недорогих стоить будут недешево.
>
>Если же огромных объемов денег нет - то ИМХО в зависимости от
>того, что есть брать или на новеньких Xeon'ах по 3ГГц, либо
>на аналогичных Core2. Ставить туда 4Гб РАМы и запускать на семерке
>mpd5. Причем с помощью ng_netflow и netflow будет отлично литься.А что ставить как ядро между сегментами? В мерце сети?
Мне Dlink'овцы предлагают DES-72XX ~7000$ и он по умолчанию не может FullView...
>[оверквотинг удален]
>>или других недорогих стоить будут недешево.
>>
>>Если же огромных объемов денег нет - то ИМХО в зависимости от
>>того, что есть брать или на новеньких Xeon'ах по 3ГГц, либо
>>на аналогичных Core2. Ставить туда 4Гб РАМы и запускать на семерке
>>mpd5. Причем с помощью ng_netflow и netflow будет отлично литься.
>
>А что ставить как ядро между сегментами? В мерце сети?
>Мне Dlink'овцы предлагают DES-72XX ~7000$ и он по умолчанию не может FullView...
>Не слабая такая сетка, если в центр на модульный свичик денег не жалеют.
А FullView то зачем? Он еще и роутером в инет что ли будет? Или речь не о BGP?
>[оверквотинг удален]
>>>mpd5. Причем с помощью ng_netflow и netflow будет отлично литься.
>>
>>А что ставить как ядро между сегментами? В мерце сети?
>>Мне Dlink'овцы предлагают DES-72XX ~7000$ и он по умолчанию не может FullView...
>>
>
>Не слабая такая сетка, если в центр на модульный свичик денег не
>жалеют.
>А FullView то зачем? Он еще и роутером в инет что ли
>будет? Или речь не о BGP?Да о BGP...
Дык Я ж не говорю то это правильно...
Я думаю правильнее ели есть несколько железок...
одна для комутации сегментов, другая для выхода в нет+BGP и т.д..
>Да о BGP...
>Дык Я ж не говорю то это правильно...
>Я думаю правильнее ели есть несколько железок...
>одна для комутации сегментов, другая для выхода в нет+BGP и т.д..Тут надо оговорить следующее. Естественно, ИМХО. Задачи коммутации и маршрутизации нужно разделять. По крайней мере если речь идет об интернете, а не о трафике внутри локальной сети. Во-первых, так проще управлять трафиком и ограничивать пользователей. А, во-вторых, не стоит забивать гвозди пассатижами. Одна хорошо мне знакомая контора как-то решила пойти по пути наименьшего сопротивления, и вместо нормального роутера (в их случае нормальной была бы Cisco) купили какое-то китайское поделие - так сказать свич/роутер с BGP. В итоге все вылилось довольно не красиво. Намаялись с ней вдоволь и все равно купили циску.
Насчет модульного свича в центр сети - тут, на мой взгляд, все зависит от размера сети и от наличия денег. Если сеть будет не очень большая - то возможно лучше поставить пару-тройку стекируемых свичиков аля D-Link, или лучше Zyxel.
Про сервер доступа я сначала бы снова подумал хорошенько. Как правило все специализированные железки, а уж тем более Cisco имеют на борту специализированный сетевой процессор (например, Cisco NPE-G1, NPE-G2) или какой-нибудь Risc (те же arm-архитектуры от Intel). В плане быстро провернуть много трафика они хороши (например, CEF Cisco), а вот стоит нагрузить центральный процессор (NAT, Process switching) и роутер умирает, несмотря на то, что обещаны золотые горы производительности. Поэтому если нет желания держать зоопарк роутеров, между которыми как-то будет балансится нагрузка - может проще соорудить тазик на FreeBSD/Linux с 2-4 ядерный Core2/Xeon?
>>Да о BGP...
>>Дык Я ж не говорю то это правильно...
>>Я думаю правильнее ели есть несколько железок...
>>одна для комутации сегментов, другая для выхода в нет+BGP и т.д..
>
>Тут надо оговорить следующее. Естественно, ИМХО. Задачи коммутации и маршрутизации нужно разделять.
>По крайней мере если речь идет об интернете, а не о
>трафике внутри локальной сети. Во-первых, так проще управлять трафиком и ограничивать
>пользователей. А, во-вторых, не стоит забивать гвозди пассатижами.Ура Вы смогли озвучить то что Я хочу :). Спасибо.
Я хочу поставить роутер для выхода в инет с поддержкой BGP(1 FullView).
Только вот не пойму как правильно сделать. Ставится один роутер на 2-а канала. потом от него патчкодом идет в упровляемый свич провод от которого подключены сервера.
Вторыми сетевыми картами включены в локальную сеть, или же как то по другому?...>Насчет модульного свича в центр сети - тут, на мой взгляд, все
>зависит от размера сети и от наличия денег. Если сеть будет
>не очень большая - то возможно лучше поставить пару-тройку стекируемых свичиков
>аля D-Link, или лучше Zyxel.Я думал думал - так и поступлю...куплю пару стекируемых свичей для центра сети.
>Про сервер доступа я сначала бы снова подумал хорошенько. Как правило все
>специализированные железки, а уж тем более Cisco имеют на борту специализированный
>сетевой процессор (например, Cisco NPE-G1, NPE-G2) или какой-нибудь Risc (те же
>arm-архитектуры от Intel). В плане быстро провернуть много трафика они хороши
>(например, CEF Cisco), а вот стоит нагрузить центральный процессор (NAT, Process
>switching) и роутер умирает, несмотря на то, что обещаны золотые горы
>производительности. Поэтому если нет желания держать зоопарк роутеров, между которыми как-то
>будет балансится нагрузка - может проще соорудить тазик на FreeBSD/Linux с
>2-4 ядерный Core2/Xeon?Хм...А если разделить NAT и VPN и BGP?
Просто еслит буедт единый сервер NAT+VPN и BGP, то при падении него или перезагрузке все серваки с реальными ИП идут на йух...
Что Я сже сейчас наблюдаю, когда главный сервак с НАТОМ и Маршрутизацией ребучу(обновление или еще что-то)...
>Ура Вы смогли озвучить то что Я хочу :). Спасибо.
>Я хочу поставить роутер для выхода в инет с поддержкой BGP(1 FullView).
>
>Только вот не пойму как правильно сделать. Ставится один роутер на 2-а
>канала. потом от него патчкодом идет в упровляемый свич провод от
>которого подключены сервера.
>Вторыми сетевыми картами включены в локальную сеть, или же как то по
>другому?...Я так понимаю имеется своя AS и подсети белых IP? Чисто роутер с функциями роутера для выхода в интернет может быть и аппаратным. Только вот в голову ничего кроме Cisco не лезет - не приходилось мне в таких целях использовать другого железа.
>Хм...А если разделить NAT и VPN и BGP?
>Просто еслит буедт единый сервер NAT+VPN и BGP, то при падении него
>или перезагрузке все серваки с реальными ИП идут на йух...
>Что Я сже сейчас наблюдаю, когда главный сервак с НАТОМ и Маршрутизацией
>ребучу(обновление или еще что-то)...Разделить роутер с BGP и роутер VPN+NAT очень даже имеет смысл. А вот разделять VPN и NAT - не вижу никакого смысла. Задача этого роутера как раз и состоит в том, чтобы дать клиенту тунель, а потом прогнать его трафик в интернет и выигрыша (серьезного) от того, что трансляция пакетов будет на отдельной железке никакого нет. Зато если в локальной сети будет несколько маршрутизируемых между собой подсетей - то это лучше повесить на отдельный роутер. Ну или на тот свичик L3, который будет в центре.
>Разделить роутер с BGP и роутер VPN+NAT очень даже имеет смысл.А что тогда посоветуешь?...под BGP взять...
Расчетно должно держать до 300Мбит проходящего траффика, дальше уже другую железку наверное надо бует покупать - под полтора гигабита.Задача только роутить + BGP.
>>Разделить роутер с BGP и роутер VPN+NAT очень даже имеет смысл.
>
>А что тогда посоветуешь?...под BGP взять...
>Расчетно должно держать до 300Мбит проходящего траффика, дальше уже другую железку наверное
>надо бует покупать - под полтора гигабита.
>
>Задача только роутить + BGP.Я бы Вам посоветовал Cisco 7206VXR NPE-G2. Если использовать как молотилку трафика, то с 500Мбит/с потоком справится без проблем.
У нас на границе стоит такая, приходят 3 магистральных провайдера с FullView BGP. На железку возложены задачи маршрутизации внешнего трафика и резервирование каналов.
Для терминации VPN-пользователей используется FreeBSD+mpd5 (в онлайне чуть более 1000 пользователей), честно говоря, железка уже загибается в пиках - пора менять процессоры.
Ну, и все эта кухня соеденина гигабитным L3 коммутатором Cisco Catalyst 3750 в который приходит клиентский трафик с других распределительных узлов сети. Тут распределяются приоритеты, фильтруется трафика и т.д.