Comments 42
Эм… Я так понимаю, что если оба филиала за NAT'ом, то напрямую они всё равно общаться не смогут?!
Если оба филиала находятся за NAT'ом, то трафик между ними автоматически пойдет через хаб, если же только один из них — в DVPN есть поддержка NAT traversal, при котором spoke-узлы установят прямой туннель друг с другом с помощью хаба.
Млин, вот он типичный хаброчеловек! Здесь же не про то, как 20 филиалов при помощи OpenVPN+OSPF соединить пишут. Это решение для крупного бизнеса. Для тех, кто сможет позволить себе всю эту гору фирменного оборудования, несколько небольших внешних подсетей будет каплей в море расходов. Какой нат вобще!
Как ни странно, но это решение также может быть использовано и для SMB. Для подключения 20 филиалов, большинство из которых сидит за NAT'ом, отлично подойдут маршрутизаторы начального уровня серии MSR 900/920.
Оно может быть использовано, но вряд ли подойдет по цене.
Все-таки даже MSR900 обойдется в 15-20 т.р. за эти деньги можно взять 3 (!) NetGear 3800, который будет обладать большей мощностью процессора (680Mhz против 266-333 у HP), поддерживать полосу до 300 Мбс (против 100 у HP) и поддержкой 802.11n. Если установить на него OpenWRT, там появляется динамическая маршрутизация и любой VPN. Самосборная прошивка позволяет иметь преконфигурацию.
Все-таки даже MSR900 обойдется в 15-20 т.р. за эти деньги можно взять 3 (!) NetGear 3800, который будет обладать большей мощностью процессора (680Mhz против 266-333 у HP), поддерживать полосу до 300 Мбс (против 100 у HP) и поддержкой 802.11n. Если установить на него OpenWRT, там появляется динамическая маршрутизация и любой VPN. Самосборная прошивка позволяет иметь преконфигурацию.
Не того уровня железки сравниваете.
Для тех кто строит сеть, пусть даже малую и бюджетную, на НетГирах этот топик можно и не читать.
Для тех кто строит сеть, пусть даже малую и бюджетную, на НетГирах этот топик можно и не читать.
Да, топик о крупном бизнесе и я это сразу подчеркнул.
Я сравнил по ТТХ и цене. Вы вашему работодателю можете попробовать объяснить иначе.
В моем понимании MSR900 — железка начального уровня, но для интеграции в инфраструктуру большого бизнеса.
Я сравнил по ТТХ и цене. Вы вашему работодателю можете попробовать объяснить иначе.
В моем понимании MSR900 — железка начального уровня, но для интеграции в инфраструктуру большого бизнеса.
Я сравнил по ТТХ и цене.
Этого недостаточно.
Кто будет поддерживать кучу хомячкового класса железа на левых прошивках? Кто будет перезагружать их, когда они станут зависать? :)
Мы ставим в маленькие офисы 2911-е циски, которые стоят в разы дороже, чем MSR900, и которые почти в 2 раза медленнее, чем нетгир (если он действительно выжимает 300мб/с), и притом у них нет вайфая, и всего 3 порта. Но есть весьма серьезные причины, по которым выбирается именно такое железо.
Все-таки что такое «малый»? Сколько филиалов? В России или в Москве?)
Я исхожу из того, что это предприятие до 200 человек.
> Но есть весьма серьезные причины
> Кто будет поддерживать
> Кто будет перезагружать их
Если это все «серьезные» причины, то я легко дам ответ. Поддерживать? В данных масштабах это громко сказано. Перезагружать их по питанию будет бухгалтерша лена (по необходимости) и уборщица маша (по случайности). В их удаленном населенном пункте внешний канал единственного провайдера настолько забит в час пик, что соединение само будет рваться и без этого.
В случае крайних проблем железка просто выкидывается и из «центра» приходит такая же или похожая.
Я исхожу из того, что это предприятие до 200 человек.
> Но есть весьма серьезные причины
> Кто будет поддерживать
> Кто будет перезагружать их
Если это все «серьезные» причины, то я легко дам ответ. Поддерживать? В данных масштабах это громко сказано. Перезагружать их по питанию будет бухгалтерша лена (по необходимости) и уборщица маша (по случайности). В их удаленном населенном пункте внешний канал единственного провайдера настолько забит в час пик, что соединение само будет рваться и без этого.
В случае крайних проблем железка просто выкидывается и из «центра» приходит такая же или похожая.
Я исхожу из того, что это предприятие до 200 человек.
Соглашусь. Но у него, наверное, тоже есть какие-то требования к надежности? Пусть не две-три секунды времени сходимости при аварии на канале между офисами, но и не пара часов.
Если это все «серьезные» причины
Нет, надежность — это само собой разумеется, но есть и другие причины: поддержка телефонии в роли шлюза (в том числе работа по потоку Е1), умение автоматически принять на себя регистрацию местных телефонов при падении каналов в центр (с сохранением номеров и разрешений, но без необходимости заранее их прописывать), поддержка кучи связанных с безопасностью фич (от aaa authorization commands до ZBPF по мере надобности), наличие весьма качественной и оперативной поддержки со стороны вендора и еще много пунктов.
Перезагружать их по питанию будет бухгалтерша лена (по необходимости) и уборщица маша (по случайности).
Если по вашим стандартам нахождение рядом с сетевым оборудованием не относящихся к IT людей допустимо, то вопросов нет :)
У меня тоже вопросы, отпали, когда я посмотрел, откуда вы.) Выбирайтесь иногда за Урал и узнаете, что зарплата у админа в центре будет 30-40 т.р., в филиал возьмут приходящего человека за 10-15 т.р., есть за Уралом регионы, где по-русски-то не очень говорят (про диагностику можете забыть), а время сходимости будет в прямом смысле слова зависеть от погоды и сотового оператора.:-)
По телефонии ответить нечего, т.к. не занимаюсь. А самопальную прошивку соберет не самый опытный линуксовый админ. В ней будет 80% энтерпрайзных фитч (и AAA, и аналог ZBPF, было бы кому настроить) и еще столько же собственных. И самое главное из-за возможных рисков (по причине отсутствия как раз этих самых айти стандартов), дешевое и сердитое оборудование предпочтительнее!
При этом я в целом согласен с логикой ваших аргументов, просто ценник московский.:)
По телефонии ответить нечего, т.к. не занимаюсь. А самопальную прошивку соберет не самый опытный линуксовый админ. В ней будет 80% энтерпрайзных фитч (и AAA, и аналог ZBPF, было бы кому настроить) и еще столько же собственных. И самое главное из-за возможных рисков (по причине отсутствия как раз этих самых айти стандартов), дешевое и сердитое оборудование предпочтительнее!
При этом я в целом согласен с логикой ваших аргументов, просто ценник московский.:)
Выбирайтесь иногда за Урал
У нас есть офисы за Уралом. Уверяю вас, региональные технари (опять же, инфраструктурой не управляют) получают больше, чем 30-40к.
А однажды у нас кто-то просрал IT бюджет региона, и пришлось нанимать человека где-то за 10к. За такие деньги только студент согласился работать. Я ему как-то минут 30 по телефону терпеливо объяснял, где в винде настроить IP адрес (если что — о существовании других операционок товарищ не подозревает). Напоминаю: это такой ITшник, а не какой-то бухгалтер. И это было весьма далекое не только замкадье, но и зауралье.
А самопальную прошивку соберет не самый опытный линуксовый админ
Для меня это все равно звучит дико.
«Самопальная прошивка на хомячковом роутере»… При одной этой фразе уже начинать болеть голова и возникает желание застрелиться. А то ли еще будет, когда это чудо встанет в продакшн? :)
Не только для вас, я когда попал в фирму где сплошной самапал и костыли — это ад.
Тут настроенно так, там по другому, тут используем такое решение, там dd-wrt, тут openwrt, там томат, а тут просто linux и конфиги лежат в нестандартном месте.
Хорошо, если — ЭТО будет задументированно (это вообще чудо можно сказать будет), но обычно его нет.
Тут настроенно так, там по другому, тут используем такое решение, там dd-wrt, тут openwrt, там томат, а тут просто linux и конфиги лежат в нестандартном месте.
Хорошо, если — ЭТО будет задументированно (это вообще чудо можно сказать будет), но обычно его нет.
Чем больше вас читаю, тем больше нравится мир, в котором вы живете.)
Я постоянно мониторю рынок в третьем по численности городе России.
Навскиду с городского сайта (среднестатистические объявления):
умение управлять ОС Win, Unix на уровне системного администратора;
•навыки работы с сетевым оборудованием Dlink, Cisco;
•понимание работы citrix
…
Условия:
•работа в крупной (обратите внимание! а мы говорим про мелкий бизнес) оптово-розничной федеральной компании
…
30-35
Администратор web-сервисов от 35 и т.д. и т.д.
Это определенно не предел, зарплаты осень начали расти вместе с инфляцией, но тем не менее я с легкостью накидаю таких примеров.
Я постоянно мониторю рынок в третьем по численности городе России.
Навскиду с городского сайта (среднестатистические объявления):
умение управлять ОС Win, Unix на уровне системного администратора;
•навыки работы с сетевым оборудованием Dlink, Cisco;
•понимание работы citrix
…
Условия:
•работа в крупной (обратите внимание! а мы говорим про мелкий бизнес) оптово-розничной федеральной компании
…
30-35
Администратор web-сервисов от 35 и т.д. и т.д.
Это определенно не предел, зарплаты осень начали расти вместе с инфляцией, но тем не менее я с легкостью накидаю таких примеров.
умение управлять ОС Win, Unix на уровне системного администратора;
•навыки работы с сетевым оборудованием Dlink, Cisco;
•понимание работы citrix
Такая формулировка говорит на самом деле про мелкий бизнес и HRов, неспособных получить/составить нормальные требования.
Видел я как-то вакансию Почты России (чертовски крупный бизнес). Вот там объява была составлена грамотно. Нужен был первоклассный спец по распределенной виртуализации, *NIX, SAN на FC, много чего другого — на пару экранов требований. Питер. Зарплата — 20к рублей. С этой вакансии примерно на всех ITшных ресурсах ржали, ибо указанный там спец менее 100к получать не может в принципе.
Про формулировку верно подмечено, но это обычный уровень айти культуры в России (не в Москве). HR и руководители бывают просто никакие.
Я даже забложил вакансию от торговой сети Монро (обувные магазины, 15 городов, я уж не знаю, какой у них оборот), где искали человека для «оказание профессиональной помощи магазинам при работе в операционной системе 1С».
Нет, здесь не так легко найти место, где можно профессионально расти и где, скажем проплатят обучение или сертификацию.
Я даже забложил вакансию от торговой сети Монро (обувные магазины, 15 городов, я уж не знаю, какой у них оборот), где искали человека для «оказание профессиональной помощи магазинам при работе в операционной системе 1С».
Нет, здесь не так легко найти место, где можно профессионально расти и где, скажем проплатят обучение или сертификацию.
Если уж сравниваете, то хоть как то одекватно. Netgear все же не тот клас устройств, и не для тех задач.
Клас который хоть как то можно нормально интегрировать в офисы начинается с routerboard от microtik, хотя там свои приколы и тараканы в головах.
Например сейчас много удивлений вызывет железка 1100 :)
Клас который хоть как то можно нормально интегрировать в офисы начинается с routerboard от microtik, хотя там свои приколы и тараканы в головах.
Например сейчас много удивлений вызывет железка 1100 :)
У netgear — тогда уж брать продукт FVS318G, как минимум.
Я конечно понимаю что статья скорее маркетинговая но тем не менее было бы интересно узнать чем DVPN отличается от DMVPM.
Почему-то использованная HP копировальная бумага не прорисовала phase 3 — а так вроде то же самое, multipoint gre over IPSec.
Кстати — у DVPN есть аналог per-tunnel qos? Чертовски удобная штука, без нее никуда.
Навскидку:
1. Control Plane (VAM сервер) у DVPN может быть вынесен на отдельное устройство в отличие от DMVPN, где он привязян к хабу.
2. П.1 позволяет DVPN лучше масштабироваться. До 3к туннелей с BGP маршрутизацией на домен у HP 6600 против 1.5k на хаб Cisco ASR1000.
3. Для масштабирования не требуется использовать сложные схемы с балансировщиками нагрузки (см. презентации по DMVPN scalability).
Ну и мелочи вроде отсутствия потребности в дополнительном лицензировании (следовательно, ниже стоимость), шифрование управляющего трафика, настройка и мониторинг с помощью системы управления.
1. Control Plane (VAM сервер) у DVPN может быть вынесен на отдельное устройство в отличие от DMVPN, где он привязян к хабу.
2. П.1 позволяет DVPN лучше масштабироваться. До 3к туннелей с BGP маршрутизацией на домен у HP 6600 против 1.5k на хаб Cisco ASR1000.
3. Для масштабирования не требуется использовать сложные схемы с балансировщиками нагрузки (см. презентации по DMVPN scalability).
Ну и мелочи вроде отсутствия потребности в дополнительном лицензировании (следовательно, ниже стоимость), шифрование управляющего трафика, настройка и мониторинг с помощью системы управления.
1. Control Plane (VAM сервер) у DVPN может быть вынесен на отдельное устройство в отличие от DMVPN, где он привязян к хабу.
Здорово. Правда, не до конца понятно, зачем :)
1.5k на хаб Cisco ASR1000.
Откуда цифра, и какой имеется в виду супервизор? И наверняка если эта цифра где-то и мелькала, то имелся в виду EIGRP, а не куда менее предпочтительный BGP.
До 3к туннелей с BGP маршрутизацией
То есть весьма и весьма медленно.
Я чуть ниже спрашивал — куда принято терминировать BGP сессию.
П.1 позволяет DVPN лучше масштабироваться
DMVPN Phase 3 наверняка еще лучше масштабируется. Причем phase 3 логичен. Если есть по 100 споков в каждом из регионов и несколько хабов в Москве, то логично выделить в каждом регионе по NSRP ответчику.
*по NHRP ответчику само собой.
По масштабированию DMVPN на ASR1k инфа отсюда: www.cisco.com/en/US/docs/ios/ios_xe/3/release/notes/asr1k_rn_3s_restrictions.html#wp1448997
Можно предположить, что более 1.5k споков на один хаб он тянет с трудом.
Благодаря измененной архитектуре DVPN с возможностью выноса control plane на отдельное устройство, и достигаются цифры в 3к споков на домен (+ 10 доменов на VAM-сервер и хаб).
Пока не реализована вторая и третья фаза DVPN с возможностью строить иерархические топологии аналогично с Phase 3 DMVPN, такого показателя масштабируемости должно хватить большинству заказчиков. Ждем следующего года.
Можно предположить, что более 1.5k споков на один хаб он тянет с трудом.
Благодаря измененной архитектуре DVPN с возможностью выноса control plane на отдельное устройство, и достигаются цифры в 3к споков на домен (+ 10 доменов на VAM-сервер и хаб).
Пока не реализована вторая и третья фаза DVPN с возможностью строить иерархические топологии аналогично с Phase 3 DMVPN, такого показателя масштабируемости должно хватить большинству заказчиков. Ждем следующего года.
По масштабированию DMVPN на ASR1k инфа отсюда:
Вообще-то это — вполне типичный caveat, наверняка сто лет как закрытый.
достигаются цифры в 3к споков на домен
Не вижу особых проблем сделать и 5000 (ограничение большинства железок по количеству IPSec туннелей), и в разы больше споков на домен на базе циски. При phase 3 само собой.
В том то и дело, что это не caveat, а limitation.
Чтобы не спорить, предлагаю Вам, как человеку с глубоким опытом работы с Cisco, уточнить у них актуальные значения напрямую.
Чтобы не спорить, предлагаю Вам, как человеку с глубоким опытом работы с Cisco, уточнить у них актуальные значения напрямую.
В том то и дело, что это не caveat, а limitation.
Там сказано «в старой-престарой версии IOS XR, если несколько раз подергать интерфейс — часть споков может отвалиться. Тогда дерни сеть на самом споке, и все будет хорошо».
В более новых версиях ОС ни слова про это ограничение нет.
Все-таки я прочитал достаточно разного рода доков и release notes от циски, чтобы понимать, что они имели в виду :)
В любом случае, реальных цифр по масштабируемости одного хаба для той же платформы ASR1k я нигде не нашел. Из этого можно вычислить или предположить возможности масштабирования всего решения.
Мы же в свою очередь приводим их в документации или по запросу.
Мы же в свою очередь приводим их в документации или по запросу.
реальных цифр по масштабируемости одного хаба для той же платформы ASR1k я нигде не нашел.
www.cisco.com/en/US/docs/solutions/Enterprise/WAN_and_MAN/DMVPN_4_Phase2.html
Правда, странный тест. Сами говорят, что форвардинг и шифрование на ASR хардварные. И на самом деле тысяча NHRP/EIGRP пиров не способна серьезно озадачить control plane данной железки. Да и ESP там не самый мощный…
www.cisco.com/en/US/prod/collateral/routers/ps9343/solution_overview_c22-450825_ns780_Networking_Solution_Solution_Overview.html говорит про 4000 туннелей на хаб.
А на самом деле, при применении рекомендованного SLB масштабируемость у ASRов/7200-х примерно линейная…
Нашел.
www.cisco.com/en/US/prod/collateral/iosswrel/ps6537/ps6586/ps6635/ps6658/prod_presentation0900aecd80313ca3.pdf
Внимание на год публикации.
www.cisco.com/en/US/prod/collateral/iosswrel/ps6537/ps6586/ps6635/ps6658/prod_presentation0900aecd80313ca3.pdf
• Need to deploy a large DMVPN network
Any number 700+; tens of thousands allowed
Внимание на год публикации.
BGP для сетей крупных масштабов (более 50-100 узлов, максимально до 3000 на домен)
Использование BGP подразумевает, что недостаток «для каждого нового филиала, в центре приходится производить настройки отдельного IPsec-туннеля» никуда не делся. У вас ведь пиры сами друг друга не обнаружат, верно? Ну пусть IPSec настраивать не надо, но каждого пира BGP надо добавлять руками.
Да и вообще, паршиво как-то получается с BGP. Если у спока два канала, из которых один резервный — сколько времени оно будет сходиться при падении основного? Да и вообще, соседства принято устанавливать между интерфейсами, или между лупбеками? В общем, тема резервирования подключений споков на самих споках не раскрыта вообще, а у них аварии — куда более частое дело, чем на хабах.
Что OSPF в такой топологии не лучшее решение — согласен. Жаль, у HP нет EIGRP, который в данной топологии идеален.
Касательно использования BGP и DVPN согласен, тут добавятся настройки пиринга с хабом на споках и пиринга со споками на самом хабе. Для хаба, процесс можно оптимизировать с помощью IMC и модуля BIMS, которые позволят автоматически забивать конфиг BGP пиров на хабе для кучи споков и делать аналогичный provisioning на сами споки.
Соседства BGP же строятся между интерфейсами. По времени реконвергенции в случае отказа одного из подключений на споке конечно не все так радужно как с EIGRP, однако и тут есть различные механизмы его сокращения.
Плюс, до какой степени масштабируется DMVPN с маршрутизацией на EIGRP?
Соседства BGP же строятся между интерфейсами. По времени реконвергенции в случае отказа одного из подключений на споке конечно не все так радужно как с EIGRP, однако и тут есть различные механизмы его сокращения.
Плюс, до какой степени масштабируется DMVPN с маршрутизацией на EIGRP?
до какой степени масштабируется DMVPN с маршрутизацией на EIGRP?
Я где-то писали, что на одном 7200 с VSA и NPE-G2 3000 споков живут нормально. В принципе, платформа держит 5000 одновременных подключений и гигабит передачи данных с шифрованием. Нагрузка от NHRP снижается средствами phase 3, нагрузка от EIGRP при правильной настройке (stub на споке и summary в сторону спока на хабе) незначительна и наверняка сравнима с таковой от BGP.
однако и тут есть различные механизмы его сокращения
Таймеры понизить. Еще? :)
BFD
А он точно работает поверх GRE? Точно-точно? У циски например не работает.
На платформе 6600 работает.
По MSR — зависит от модели, нужно подбирать.
По MSR — зависит от модели, нужно подбирать.
На платформе 6600 работает.
Тогда снимаю шляпу. BFD — это здорово.
А нет, ASR тоже поддерживает.
www.cisco.com/en/US/docs/ios/ios_xe/3/release/notes/asr1k_feats_important_notes_34s.html#wp3122329. Но не классический IOS, к сожалению.
www.cisco.com/en/US/docs/ios/ios_xe/3/release/notes/asr1k_feats_important_notes_34s.html#wp3122329. Но не классический IOS, к сожалению.
Sign up to leave a comment.
Технология HP Dynamic VPN. Часть 1