Comments 42
Эм… Я так понимаю, что если оба филиала за NAT'ом, то напрямую они всё равно общаться не смогут?!
+1
Если оба филиала находятся за NAT'ом, то трафик между ними автоматически пойдет через хаб, если же только один из них — в DVPN есть поддержка NAT traversal, при котором spoke-узлы установят прямой туннель друг с другом с помощью хаба.
0
Млин, вот он типичный хаброчеловек! Здесь же не про то, как 20 филиалов при помощи OpenVPN+OSPF соединить пишут. Это решение для крупного бизнеса. Для тех, кто сможет позволить себе всю эту гору фирменного оборудования, несколько небольших внешних подсетей будет каплей в море расходов. Какой нат вобще!
0
Как ни странно, но это решение также может быть использовано и для SMB. Для подключения 20 филиалов, большинство из которых сидит за NAT'ом, отлично подойдут маршрутизаторы начального уровня серии MSR 900/920.
0
Оно может быть использовано, но вряд ли подойдет по цене.
Все-таки даже MSR900 обойдется в 15-20 т.р. за эти деньги можно взять 3 (!) NetGear 3800, который будет обладать большей мощностью процессора (680Mhz против 266-333 у HP), поддерживать полосу до 300 Мбс (против 100 у HP) и поддержкой 802.11n. Если установить на него OpenWRT, там появляется динамическая маршрутизация и любой VPN. Самосборная прошивка позволяет иметь преконфигурацию.
Все-таки даже MSR900 обойдется в 15-20 т.р. за эти деньги можно взять 3 (!) NetGear 3800, который будет обладать большей мощностью процессора (680Mhz против 266-333 у HP), поддерживать полосу до 300 Мбс (против 100 у HP) и поддержкой 802.11n. Если установить на него OpenWRT, там появляется динамическая маршрутизация и любой VPN. Самосборная прошивка позволяет иметь преконфигурацию.
0
Не того уровня железки сравниваете.
Для тех кто строит сеть, пусть даже малую и бюджетную, на НетГирах этот топик можно и не читать.
Для тех кто строит сеть, пусть даже малую и бюджетную, на НетГирах этот топик можно и не читать.
0
Да, топик о крупном бизнесе и я это сразу подчеркнул.
Я сравнил по ТТХ и цене. Вы вашему работодателю можете попробовать объяснить иначе.
В моем понимании MSR900 — железка начального уровня, но для интеграции в инфраструктуру большого бизнеса.
Я сравнил по ТТХ и цене. Вы вашему работодателю можете попробовать объяснить иначе.
В моем понимании MSR900 — железка начального уровня, но для интеграции в инфраструктуру большого бизнеса.
0
Я сравнил по ТТХ и цене.
Этого недостаточно.
Кто будет поддерживать кучу хомячкового класса железа на левых прошивках? Кто будет перезагружать их, когда они станут зависать? :)
Мы ставим в маленькие офисы 2911-е циски, которые стоят в разы дороже, чем MSR900, и которые почти в 2 раза медленнее, чем нетгир (если он действительно выжимает 300мб/с), и притом у них нет вайфая, и всего 3 порта. Но есть весьма серьезные причины, по которым выбирается именно такое железо.
0
Все-таки что такое «малый»? Сколько филиалов? В России или в Москве?)
Я исхожу из того, что это предприятие до 200 человек.
> Но есть весьма серьезные причины
> Кто будет поддерживать
> Кто будет перезагружать их
Если это все «серьезные» причины, то я легко дам ответ. Поддерживать? В данных масштабах это громко сказано. Перезагружать их по питанию будет бухгалтерша лена (по необходимости) и уборщица маша (по случайности). В их удаленном населенном пункте внешний канал единственного провайдера настолько забит в час пик, что соединение само будет рваться и без этого.
В случае крайних проблем железка просто выкидывается и из «центра» приходит такая же или похожая.
Я исхожу из того, что это предприятие до 200 человек.
> Но есть весьма серьезные причины
> Кто будет поддерживать
> Кто будет перезагружать их
Если это все «серьезные» причины, то я легко дам ответ. Поддерживать? В данных масштабах это громко сказано. Перезагружать их по питанию будет бухгалтерша лена (по необходимости) и уборщица маша (по случайности). В их удаленном населенном пункте внешний канал единственного провайдера настолько забит в час пик, что соединение само будет рваться и без этого.
В случае крайних проблем железка просто выкидывается и из «центра» приходит такая же или похожая.
0
Я исхожу из того, что это предприятие до 200 человек.
Соглашусь. Но у него, наверное, тоже есть какие-то требования к надежности? Пусть не две-три секунды времени сходимости при аварии на канале между офисами, но и не пара часов.
Если это все «серьезные» причины
Нет, надежность — это само собой разумеется, но есть и другие причины: поддержка телефонии в роли шлюза (в том числе работа по потоку Е1), умение автоматически принять на себя регистрацию местных телефонов при падении каналов в центр (с сохранением номеров и разрешений, но без необходимости заранее их прописывать), поддержка кучи связанных с безопасностью фич (от aaa authorization commands до ZBPF по мере надобности), наличие весьма качественной и оперативной поддержки со стороны вендора и еще много пунктов.
Перезагружать их по питанию будет бухгалтерша лена (по необходимости) и уборщица маша (по случайности).
Если по вашим стандартам нахождение рядом с сетевым оборудованием не относящихся к IT людей допустимо, то вопросов нет :)
0
У меня тоже вопросы, отпали, когда я посмотрел, откуда вы.) Выбирайтесь иногда за Урал и узнаете, что зарплата у админа в центре будет 30-40 т.р., в филиал возьмут приходящего человека за 10-15 т.р., есть за Уралом регионы, где по-русски-то не очень говорят (про диагностику можете забыть), а время сходимости будет в прямом смысле слова зависеть от погоды и сотового оператора.:-)
По телефонии ответить нечего, т.к. не занимаюсь. А самопальную прошивку соберет не самый опытный линуксовый админ. В ней будет 80% энтерпрайзных фитч (и AAA, и аналог ZBPF, было бы кому настроить) и еще столько же собственных. И самое главное из-за возможных рисков (по причине отсутствия как раз этих самых айти стандартов), дешевое и сердитое оборудование предпочтительнее!
При этом я в целом согласен с логикой ваших аргументов, просто ценник московский.:)
По телефонии ответить нечего, т.к. не занимаюсь. А самопальную прошивку соберет не самый опытный линуксовый админ. В ней будет 80% энтерпрайзных фитч (и AAA, и аналог ZBPF, было бы кому настроить) и еще столько же собственных. И самое главное из-за возможных рисков (по причине отсутствия как раз этих самых айти стандартов), дешевое и сердитое оборудование предпочтительнее!
При этом я в целом согласен с логикой ваших аргументов, просто ценник московский.:)
0
Выбирайтесь иногда за Урал
У нас есть офисы за Уралом. Уверяю вас, региональные технари (опять же, инфраструктурой не управляют) получают больше, чем 30-40к.
А однажды у нас кто-то просрал IT бюджет региона, и пришлось нанимать человека где-то за 10к. За такие деньги только студент согласился работать. Я ему как-то минут 30 по телефону терпеливо объяснял, где в винде настроить IP адрес (если что — о существовании других операционок товарищ не подозревает). Напоминаю: это такой ITшник, а не какой-то бухгалтер. И это было весьма далекое не только замкадье, но и зауралье.
А самопальную прошивку соберет не самый опытный линуксовый админ
Для меня это все равно звучит дико.
«Самопальная прошивка на хомячковом роутере»… При одной этой фразе уже начинать болеть голова и возникает желание застрелиться. А то ли еще будет, когда это чудо встанет в продакшн? :)
0
Не только для вас, я когда попал в фирму где сплошной самапал и костыли — это ад.
Тут настроенно так, там по другому, тут используем такое решение, там dd-wrt, тут openwrt, там томат, а тут просто linux и конфиги лежат в нестандартном месте.
Хорошо, если — ЭТО будет задументированно (это вообще чудо можно сказать будет), но обычно его нет.
Тут настроенно так, там по другому, тут используем такое решение, там dd-wrt, тут openwrt, там томат, а тут просто linux и конфиги лежат в нестандартном месте.
Хорошо, если — ЭТО будет задументированно (это вообще чудо можно сказать будет), но обычно его нет.
0
Чем больше вас читаю, тем больше нравится мир, в котором вы живете.)
Я постоянно мониторю рынок в третьем по численности городе России.
Навскиду с городского сайта (среднестатистические объявления):
умение управлять ОС Win, Unix на уровне системного администратора;
•навыки работы с сетевым оборудованием Dlink, Cisco;
•понимание работы citrix
…
Условия:
•работа в крупной (обратите внимание! а мы говорим про мелкий бизнес) оптово-розничной федеральной компании
…
30-35
Администратор web-сервисов от 35 и т.д. и т.д.
Это определенно не предел, зарплаты осень начали расти вместе с инфляцией, но тем не менее я с легкостью накидаю таких примеров.
Я постоянно мониторю рынок в третьем по численности городе России.
Навскиду с городского сайта (среднестатистические объявления):
умение управлять ОС Win, Unix на уровне системного администратора;
•навыки работы с сетевым оборудованием Dlink, Cisco;
•понимание работы citrix
…
Условия:
•работа в крупной (обратите внимание! а мы говорим про мелкий бизнес) оптово-розничной федеральной компании
…
30-35
Администратор web-сервисов от 35 и т.д. и т.д.
Это определенно не предел, зарплаты осень начали расти вместе с инфляцией, но тем не менее я с легкостью накидаю таких примеров.
0
умение управлять ОС Win, Unix на уровне системного администратора;
•навыки работы с сетевым оборудованием Dlink, Cisco;
•понимание работы citrix
Такая формулировка говорит на самом деле про мелкий бизнес и HRов, неспособных получить/составить нормальные требования.
Видел я как-то вакансию Почты России (чертовски крупный бизнес). Вот там объява была составлена грамотно. Нужен был первоклассный спец по распределенной виртуализации, *NIX, SAN на FC, много чего другого — на пару экранов требований. Питер. Зарплата — 20к рублей. С этой вакансии примерно на всех ITшных ресурсах ржали, ибо указанный там спец менее 100к получать не может в принципе.
0
Про формулировку верно подмечено, но это обычный уровень айти культуры в России (не в Москве). HR и руководители бывают просто никакие.
Я даже забложил вакансию от торговой сети Монро (обувные магазины, 15 городов, я уж не знаю, какой у них оборот), где искали человека для «оказание профессиональной помощи магазинам при работе в операционной системе 1С».
Нет, здесь не так легко найти место, где можно профессионально расти и где, скажем проплатят обучение или сертификацию.
Я даже забложил вакансию от торговой сети Монро (обувные магазины, 15 городов, я уж не знаю, какой у них оборот), где искали человека для «оказание профессиональной помощи магазинам при работе в операционной системе 1С».
Нет, здесь не так легко найти место, где можно профессионально расти и где, скажем проплатят обучение или сертификацию.
0
Если уж сравниваете, то хоть как то одекватно. Netgear все же не тот клас устройств, и не для тех задач.
Клас который хоть как то можно нормально интегрировать в офисы начинается с routerboard от microtik, хотя там свои приколы и тараканы в головах.
Например сейчас много удивлений вызывет железка 1100 :)
Клас который хоть как то можно нормально интегрировать в офисы начинается с routerboard от microtik, хотя там свои приколы и тараканы в головах.
Например сейчас много удивлений вызывет железка 1100 :)
0
У netgear — тогда уж брать продукт FVS318G, как минимум.
0
Я конечно понимаю что статья скорее маркетинговая но тем не менее было бы интересно узнать чем DVPN отличается от DMVPM.
0
Почему-то использованная HP копировальная бумага не прорисовала phase 3 — а так вроде то же самое, multipoint gre over IPSec.
0
Кстати — у DVPN есть аналог per-tunnel qos? Чертовски удобная штука, без нее никуда.
0
Навскидку:
1. Control Plane (VAM сервер) у DVPN может быть вынесен на отдельное устройство в отличие от DMVPN, где он привязян к хабу.
2. П.1 позволяет DVPN лучше масштабироваться. До 3к туннелей с BGP маршрутизацией на домен у HP 6600 против 1.5k на хаб Cisco ASR1000.
3. Для масштабирования не требуется использовать сложные схемы с балансировщиками нагрузки (см. презентации по DMVPN scalability).
Ну и мелочи вроде отсутствия потребности в дополнительном лицензировании (следовательно, ниже стоимость), шифрование управляющего трафика, настройка и мониторинг с помощью системы управления.
1. Control Plane (VAM сервер) у DVPN может быть вынесен на отдельное устройство в отличие от DMVPN, где он привязян к хабу.
2. П.1 позволяет DVPN лучше масштабироваться. До 3к туннелей с BGP маршрутизацией на домен у HP 6600 против 1.5k на хаб Cisco ASR1000.
3. Для масштабирования не требуется использовать сложные схемы с балансировщиками нагрузки (см. презентации по DMVPN scalability).
Ну и мелочи вроде отсутствия потребности в дополнительном лицензировании (следовательно, ниже стоимость), шифрование управляющего трафика, настройка и мониторинг с помощью системы управления.
0
1. Control Plane (VAM сервер) у DVPN может быть вынесен на отдельное устройство в отличие от DMVPN, где он привязян к хабу.
Здорово. Правда, не до конца понятно, зачем :)
1.5k на хаб Cisco ASR1000.
Откуда цифра, и какой имеется в виду супервизор? И наверняка если эта цифра где-то и мелькала, то имелся в виду EIGRP, а не куда менее предпочтительный BGP.
До 3к туннелей с BGP маршрутизацией
То есть весьма и весьма медленно.
Я чуть ниже спрашивал — куда принято терминировать BGP сессию.
П.1 позволяет DVPN лучше масштабироваться
DMVPN Phase 3 наверняка еще лучше масштабируется. Причем phase 3 логичен. Если есть по 100 споков в каждом из регионов и несколько хабов в Москве, то логично выделить в каждом регионе по NSRP ответчику.
0
*по NHRP ответчику само собой.
0
По масштабированию DMVPN на ASR1k инфа отсюда: www.cisco.com/en/US/docs/ios/ios_xe/3/release/notes/asr1k_rn_3s_restrictions.html#wp1448997
Можно предположить, что более 1.5k споков на один хаб он тянет с трудом.
Благодаря измененной архитектуре DVPN с возможностью выноса control plane на отдельное устройство, и достигаются цифры в 3к споков на домен (+ 10 доменов на VAM-сервер и хаб).
Пока не реализована вторая и третья фаза DVPN с возможностью строить иерархические топологии аналогично с Phase 3 DMVPN, такого показателя масштабируемости должно хватить большинству заказчиков. Ждем следующего года.
Можно предположить, что более 1.5k споков на один хаб он тянет с трудом.
Благодаря измененной архитектуре DVPN с возможностью выноса control plane на отдельное устройство, и достигаются цифры в 3к споков на домен (+ 10 доменов на VAM-сервер и хаб).
Пока не реализована вторая и третья фаза DVPN с возможностью строить иерархические топологии аналогично с Phase 3 DMVPN, такого показателя масштабируемости должно хватить большинству заказчиков. Ждем следующего года.
0
По масштабированию DMVPN на ASR1k инфа отсюда:
Вообще-то это — вполне типичный caveat, наверняка сто лет как закрытый.
достигаются цифры в 3к споков на домен
Не вижу особых проблем сделать и 5000 (ограничение большинства железок по количеству IPSec туннелей), и в разы больше споков на домен на базе циски. При phase 3 само собой.
0
В том то и дело, что это не caveat, а limitation.
Чтобы не спорить, предлагаю Вам, как человеку с глубоким опытом работы с Cisco, уточнить у них актуальные значения напрямую.
Чтобы не спорить, предлагаю Вам, как человеку с глубоким опытом работы с Cisco, уточнить у них актуальные значения напрямую.
0
В том то и дело, что это не caveat, а limitation.
Там сказано «в старой-престарой версии IOS XR, если несколько раз подергать интерфейс — часть споков может отвалиться. Тогда дерни сеть на самом споке, и все будет хорошо».
В более новых версиях ОС ни слова про это ограничение нет.
Все-таки я прочитал достаточно разного рода доков и release notes от циски, чтобы понимать, что они имели в виду :)
0
В любом случае, реальных цифр по масштабируемости одного хаба для той же платформы ASR1k я нигде не нашел. Из этого можно вычислить или предположить возможности масштабирования всего решения.
Мы же в свою очередь приводим их в документации или по запросу.
Мы же в свою очередь приводим их в документации или по запросу.
0
реальных цифр по масштабируемости одного хаба для той же платформы ASR1k я нигде не нашел.
www.cisco.com/en/US/docs/solutions/Enterprise/WAN_and_MAN/DMVPN_4_Phase2.html
Правда, странный тест. Сами говорят, что форвардинг и шифрование на ASR хардварные. И на самом деле тысяча NHRP/EIGRP пиров не способна серьезно озадачить control plane данной железки. Да и ESP там не самый мощный…
www.cisco.com/en/US/prod/collateral/routers/ps9343/solution_overview_c22-450825_ns780_Networking_Solution_Solution_Overview.html говорит про 4000 туннелей на хаб.
А на самом деле, при применении рекомендованного SLB масштабируемость у ASRов/7200-х примерно линейная…
0
Нашел.
www.cisco.com/en/US/prod/collateral/iosswrel/ps6537/ps6586/ps6635/ps6658/prod_presentation0900aecd80313ca3.pdf
Внимание на год публикации.
www.cisco.com/en/US/prod/collateral/iosswrel/ps6537/ps6586/ps6635/ps6658/prod_presentation0900aecd80313ca3.pdf
• Need to deploy a large DMVPN network
Any number 700+; tens of thousands allowed
Внимание на год публикации.
0
BGP для сетей крупных масштабов (более 50-100 узлов, максимально до 3000 на домен)
Использование BGP подразумевает, что недостаток «для каждого нового филиала, в центре приходится производить настройки отдельного IPsec-туннеля» никуда не делся. У вас ведь пиры сами друг друга не обнаружат, верно? Ну пусть IPSec настраивать не надо, но каждого пира BGP надо добавлять руками.
Да и вообще, паршиво как-то получается с BGP. Если у спока два канала, из которых один резервный — сколько времени оно будет сходиться при падении основного? Да и вообще, соседства принято устанавливать между интерфейсами, или между лупбеками? В общем, тема резервирования подключений споков на самих споках не раскрыта вообще, а у них аварии — куда более частое дело, чем на хабах.
Что OSPF в такой топологии не лучшее решение — согласен. Жаль, у HP нет EIGRP, который в данной топологии идеален.
0
Касательно использования BGP и DVPN согласен, тут добавятся настройки пиринга с хабом на споках и пиринга со споками на самом хабе. Для хаба, процесс можно оптимизировать с помощью IMC и модуля BIMS, которые позволят автоматически забивать конфиг BGP пиров на хабе для кучи споков и делать аналогичный provisioning на сами споки.
Соседства BGP же строятся между интерфейсами. По времени реконвергенции в случае отказа одного из подключений на споке конечно не все так радужно как с EIGRP, однако и тут есть различные механизмы его сокращения.
Плюс, до какой степени масштабируется DMVPN с маршрутизацией на EIGRP?
Соседства BGP же строятся между интерфейсами. По времени реконвергенции в случае отказа одного из подключений на споке конечно не все так радужно как с EIGRP, однако и тут есть различные механизмы его сокращения.
Плюс, до какой степени масштабируется DMVPN с маршрутизацией на EIGRP?
0
до какой степени масштабируется DMVPN с маршрутизацией на EIGRP?
Я где-то писали, что на одном 7200 с VSA и NPE-G2 3000 споков живут нормально. В принципе, платформа держит 5000 одновременных подключений и гигабит передачи данных с шифрованием. Нагрузка от NHRP снижается средствами phase 3, нагрузка от EIGRP при правильной настройке (stub на споке и summary в сторону спока на хабе) незначительна и наверняка сравнима с таковой от BGP.
однако и тут есть различные механизмы его сокращения
Таймеры понизить. Еще? :)
0
BFD
0
А он точно работает поверх GRE? Точно-точно? У циски например не работает.
0
На платформе 6600 работает.
По MSR — зависит от модели, нужно подбирать.
По MSR — зависит от модели, нужно подбирать.
0
На платформе 6600 работает.
Тогда снимаю шляпу. BFD — это здорово.
0
А нет, ASR тоже поддерживает.
www.cisco.com/en/US/docs/ios/ios_xe/3/release/notes/asr1k_feats_important_notes_34s.html#wp3122329. Но не классический IOS, к сожалению.
www.cisco.com/en/US/docs/ios/ios_xe/3/release/notes/asr1k_feats_important_notes_34s.html#wp3122329. Но не классический IOS, к сожалению.
0
Sign up to leave a comment.
Технология HP Dynamic VPN. Часть 1