Выбираем кошку под NAS

Технические вопросы по UTM 5.0
Аватара пользователя
kaN5300
Сообщения: 480
Зарегистрирован: Пт янв 21, 2005 17:27
Откуда: Ыукзгрщм
Контактная информация:

Выбираем кошку под NAS

Сообщение kaN5300 »

Всем привет! После введения анлимов потребление трафика резко возрасло и мы приняли решение постепенно уходить от режима all-in-one. То что сейчас работает на фре: poptop, natd, ipfw (rfw, dynashape) хотим вынести в отдельный NAS в виде циски. Осталось только определиться с моделью. Полагаюсь на продвинутых цисководов. Итак, задачи:

Число одновременных pptp-туннелей: 600
(примерно 200 из 600 это анлимщики, их придется еще и шейпить)
Ежемесячный объём трафика: 3Tb
Ширина инет-канала: 30 Мбит
К-во юзеров в сети: 5000

Кто что посоветует?

Belchik
Сообщения: 81
Зарегистрирован: Пн ноя 28, 2005 10:55

Сообщение Belchik »

http://www.chris.ru/speak/index.php?showtopic=692

мы идём к такому же решению, но выбор видимо за pc.
на ней poptop, ipfw, nat, netflow

Аватара пользователя
kaN5300
Сообщения: 480
Зарегистрирован: Пт янв 21, 2005 17:27
Откуда: Ыукзгрщм
Контактная информация:

Сообщение kaN5300 »

Спасибо. PC конечно же дешевле, тем более есть Microtic. Но хочется что-то посерьезней. Финансы позволяют тем более.

xerurg
NetUP Team
Сообщения: 121
Зарегистрирован: Пт фев 17, 2006 18:22

Сообщение xerurg »

а натить надо?

prx
Сообщения: 139
Зарегистрирован: Чт дек 01, 2005 18:44

Сообщение prx »

Если нужно на текущий момент без планов на будущее то 3825.

Но при запущенном нате, нетфлоу да еще и pptp сессиях больше 80мбит из нее никак не выжать.

Кстати теория про рост трафика. Год назад у нашей сети канал в интернет был 50мбит. Сейчас 200мбит. Так что думайте.

В качестве более продвинутого решения могу посоветовать 7200-npe-g2 в качестве nas. Либо 7600 в качестве ядра сети+nas.

Кстати если вы в Москве или в подмосковье можем продать вам 3825, она у нас как раз стоит в стойке без дела. Цена естественно ниже чем в магазинах :)

Аватара пользователя
kaN5300
Сообщения: 480
Зарегистрирован: Пт янв 21, 2005 17:27
Откуда: Ыукзгрщм
Контактная информация:

Сообщение kaN5300 »

Натить обязательно (я в первом посте написал про natd).

Вобщем, я немножко подумал и решил, что однозначто дешевле будет такой вариунт: кошка только обслуживает pptp и кидает netflow на ядро. Все pptp клиенты роутятся на следующий узел, в роле которого может быть микротик, или фря. На нем уже будет нат, шейпер, возможно rfw.

Получается, что от кошки нужно только pptp и netflow.

prx
Сообщения: 139
Зарегистрирован: Чт дек 01, 2005 18:44

Сообщение prx »

kaN5300 писал(а):Натить обязательно (я в первом посте написал про natd).

Вобщем, я немножко подумал и решил, что однозначто дешевле будет такой вариунт: кошка только обслуживает pptp и кидает netflow на ядро. Все pptp клиенты роутятся на следующий узел, в роле которого может быть микротик, или фря. На нем уже будет нат, шейпер, возможно rfw.

Получается, что от кошки нужно только pptp и netflow.
Одназначно правильней будет шейпить на кошке. :)
Тогдба rfw будет необходим только для прерывания активных сессий.

Аватара пользователя
kaN5300
Сообщения: 480
Зарегистрирован: Пт янв 21, 2005 17:27
Откуда: Ыукзгрщм
Контактная информация:

Сообщение kaN5300 »

Есть еще такая мысль, поставить сразу две кошки и на них через dns балансировать нагрузку. Шейпер тогда свои правила разошлет сразу на две кошки, ну и rfw аналогично. Я не знаю правда как сессию разорвать через rfw в режиме remote cisco.

Аватара пользователя
kaN5300
Сообщения: 480
Зарегистрирован: Пт янв 21, 2005 17:27
Откуда: Ыукзгрщм
Контактная информация:

Сообщение kaN5300 »

prx, а за сколькоб вы нам согласились продать?

Pei0t
Сообщения: 258
Зарегистрирован: Чт дек 13, 2007 20:48

Сообщение Pei0t »

prx писал(а):Если нужно на текущий момент без планов на будущее то 3825.

Но при запущенном нате, нетфлоу да еще и pptp сессиях больше 80мбит из нее никак не выжать.

Кстати теория про рост трафика. Год назад у нашей сети канал в интернет был 50мбит. Сейчас 200мбит. Так что думайте.

В качестве более продвинутого решения могу посоветовать 7200-npe-g2 в качестве nas. Либо 7600 в качестве ядра сети+nas.
Какие принципиальные отличия 3825 от 3845? Пропускная способность да и только?

prx
Сообщения: 139
Зарегистрирован: Чт дек 01, 2005 18:44

Сообщение prx »

kaN5300 писал(а):Есть еще такая мысль, поставить сразу две кошки и на них через dns балансировать нагрузку. Шейпер тогда свои правила разошлет сразу на две кошки, ну и rfw аналогично. Я не знаю правда как сессию разорвать через rfw в режиме remote cisco.
ставите режим firewall и в качестве фаервола выбираете какой-нибудь скрипт который по rsh коннектится на циску и выполняет нужные действия.

prx
Сообщения: 139
Зарегистрирован: Чт дек 01, 2005 18:44

Сообщение prx »

kaN5300 писал(а):prx, а за сколькоб вы нам согласились продать?
напишите на prx@malnet.ru

Аватара пользователя
Magnum72
Сообщения: 1947
Зарегистрирован: Чт сен 22, 2005 06:54
Контактная информация:

Re: Выбираем кошку под NAS

Сообщение Magnum72 »

kaN5300 писал(а):Всем привет! После введения анлимов потребление трафика резко возрасло и мы приняли решение постепенно уходить от режима all-in-one. То что сейчас работает на фре: poptop, natd, ipfw (rfw, dynashape) хотим вынести в отдельный NAS в виде циски. Осталось только определиться с моделью. Полагаюсь на продвинутых цисководов. Итак, задачи:

Число одновременных pptp-туннелей: 600
(примерно 200 из 600 это анлимщики, их придется еще и шейпить)
Ежемесячный объём трафика: 3Tb
Ширина инет-канала: 30 Мбит
К-во юзеров в сети: 5000

Кто что посоветует?
kaN5300 писал(а):Натить обязательно (я в первом посте написал про natd).

Вобщем, я немножко подумал и решил, что однозначто дешевле будет такой вариунт: кошка только обслуживает pptp и кидает netflow на ядро. Все pptp клиенты роутятся на следующий узел, в роле которого может быть микротик, или фря. На нем уже будет нат, шейпер, возможно rfw.

Получается, что от кошки нужно только pptp и netflow.
На врох сети поставь нормальную железку 7604, она пусть занимается шейпингом и BGP,
в качестве VPN терминатора используй 7301, оня тянет до 3000 туннелей, ее плюс в том что она одноюнитовая, перестанет справлятся поставишь паралельно еще одну итд... ничего страшного в том что их
когда будет больше чем две 7301 перед ними со стороны локалки прийдется поставить чтото типа 6500 или для того чтобы он держал EIGRP между этими цисками, из внутри сети он будет являтся шлюзом

Аватара пользователя
Magnum72
Сообщения: 1947
Зарегистрирован: Чт сен 22, 2005 06:54
Контактная информация:

Сообщение Magnum72 »

kaN5300 писал(а):Есть еще такая мысль, поставить сразу две кошки и на них через dns балансировать нагрузку. Шейпер тогда свои правила разошлет сразу на две кошки, ну и rfw аналогично. Я не знаю правда как сессию разорвать через rfw в режиме remote cisco.
Абсолютно правильная мысль, особенно если учесть что лоад балансинг на цисках работает аналогично но только подтопыривая маки поочереди, как я понял там даже загрузка не учитывается..
rfw у нас сначала пытается снять с одной кошки, если не получилось лезет на вторую, если получилось то не лезет :) рвать ссессю через скрипт который сначала по логину получат ид туннеля, а потом киляет по этому ид туннель

Аватара пользователя
kaN5300
Сообщения: 480
Зарегистрирован: Пт янв 21, 2005 17:27
Откуда: Ыукзгрщм
Контактная информация:

Сообщение kaN5300 »

В корбине, насколько мне известно, крутится больше 10-ти кошек в подобном режиме. + они еще активно своих клиентов на l2tp переводят. Я щас как раз на фре пытаюсь l2tpd поднять. Единственный минус - XP надо патчить реестр, дабы отключить шифрование для l2tp.

Ответить