Cisco 7507 + UTM5 и как это все включить в сеть.

Все остальное

Cisco 7507 + UTM5 и как это все включить в сеть.

Сообщение Андрей » 06 фев 2009, 07:35

Приветствую всех.
Как Вы уже знаете у меня есть эта самая биллинговая система UTM5.
Сейчас сеть собрана следующим образом:
на серевере с биллинговой системой поднят nat и pptp-сервер. В сети около 200 пользователей, что несомненно будет сильно грузить сервер. Всвязи с этим я решил использовать маршрутизатор CISCO 7507, но что на нем можно поднять для решения данной проблемы - толком понять не могу. Или поднять только NAT или RADIUS-сервер. Да и отсюда другой вопрос - как заставить машину считать трафик с циски и как шейпировать трафик.

Текущая схема сети:

Internet --- UTM5 + VPN + PPTP-server --- Пользователи

ЗЫ. на обоих устройствах есть по 2 сетевых интерфейса.
.ı|ı..ı|ı.
Андрей
местный житель
 
Сообщения: 1028
Зарегистрирован: 14 янв 2009, 13:37
Откуда: Оренбургская область

Re: Cisco 7507 + UTM5 и как это все включить в сеть.

Сообщение root » 06 фев 2009, 09:39

1. сам по себе Radius ничего не грузит, он ест не много.
2. NAT на cisco не очень хорошая идея, особенно на 200 человек. Сколько у тя мегабит (вход/выход) в пиках ? Какой IOS стоит ?
3. трафик с циски можно снимать по netflow
4. и вообще лучше разделить сервер биллинга отдельно, сервер доступа отдельно. не дело это все на одной машине держать.
С уважением, root

Изображение
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
root
Site Admin
 
Сообщения: 1894
Зарегистрирован: 11 июн 2008, 13:05
Откуда: Moscow, Russia

Re: Cisco 7507 + UTM5 и как это все включить в сеть.

Сообщение Андрей » 06 фев 2009, 10:31

Канал пока 3 Мбит/с, в месяц проходит примерно 300 гигов.
А почему нат на циске не выгодно? И как мне тогда можно выгодно использовать циску? :roll:

Версию ios -не знаю. :(
.ı|ı..ı|ı.
Андрей
местный житель
 
Сообщения: 1028
Зарегистрирован: 14 янв 2009, 13:37
Откуда: Оренбургская область

Re: Cisco 7507 + UTM5 и как это все включить в сеть.

Сообщение root » 06 фев 2009, 13:16

Андрей писал(а):А почему нат на циске не выгодно?

я говорил не про выгоду, а про идею :)
плохая идея потому что NAT на циске сильно грузит её камень, особенно это зависит от кол-ва пакетов и типа трафика.
обычно до 8-ми мегабит держит, а дальше начинаются проблемы.

Андрей писал(а):Канал пока 3 Мбит/с

ааа, если дело обстоит так, то тогда NAT можно действительно на циске поднять.
на 200-ти человек всего 3 мбита... мдя... жестоко.

Андрей писал(а):Версию ios -не знаю.

можно узнать по команде:
Код: Выделить всё
show version
С уважением, root

Изображение
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
root
Site Admin
 
Сообщения: 1894
Зарегистрирован: 11 июн 2008, 13:05
Откуда: Moscow, Russia

Re: Cisco 7507 + UTM5 и как это все включить в сеть.

Сообщение Андрей » 06 фев 2009, 14:01

ааа, если дело обстоит так, то тогда NAT можно действительно на циске поднять.
на 200-ти человек всего 3 мбита... мдя... жестоко.


А куда деваться.

Ну да ладно. в общих чертах я понял что мне надо:
Сервер доступа, сервер биллинга, и циска настроенная на нат.

Теперь вопросы вытекающие из всего этого:
1. как и чем мне шейпировать трафик? (изменять скорость в зависимости от тарифного плана сейчас стоит mpd5)
2. какое ПО посоветуете на сервере доступа?
.ı|ı..ı|ı.
Андрей
местный житель
 
Сообщения: 1028
Зарегистрирован: 14 янв 2009, 13:37
Откуда: Оренбургская область

Re: Cisco 7507 + UTM5 и как это все включить в сеть.

Сообщение root » 06 фев 2009, 16:06

Андрей писал(а):1. как и чем мне шейпировать трафик?

ipfw + pipe
ipfw + ng_car
а что разве в UTM`е не функции шейпирования ?

Андрей писал(а):2. какое ПО посоветуете на сервере доступа?

ну так у тя же уже стоит mpd5, т.е. подключение и получение доступа уже обеспечено
или уточни, ПО для какой задачи ?

лично я бы заменил PPTP на PPPoE
PPPoE можно поднять на том же mpd5 или на встроенном pppoed
С уважением, root

Изображение
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
root
Site Admin
 
Сообщения: 1894
Зарегистрирован: 11 июн 2008, 13:05
Откуда: Moscow, Russia

Re: Cisco 7507 + UTM5 и как это все включить в сеть.

Сообщение Андрей » 06 фев 2009, 20:57

а что разве в UTM`е не функции шейпирования ?

стандартная нет, а вот если установить dynashape, стоимостью несколько тысяч рублей, то можно шейпировать.

ну так у тя же уже стоит mpd5, т.е. подключение и получение доступа уже обеспечено
или уточни, ПО для какой задачи ?

Именно для шейпирования ПО мне надо, только яя не могу понять куда мне ставить mpd5, на сервер доступа или на сервер биллинга. Мне так кажется, что на сервер доступа.
И ПО мне для сервера доступа не понятно какое ставить RADIUS или FreeRADIUS, или что-то еще?

А в чем преимущество PPPoE перед PPTP?
.ı|ı..ı|ı.
Андрей
местный житель
 
Сообщения: 1028
Зарегистрирован: 14 янв 2009, 13:37
Откуда: Оренбургская область

Re: Cisco 7507 + UTM5 и как это все включить в сеть.

Сообщение root » 08 фев 2009, 12:40

Андрей писал(а):я не могу понять куда мне ставить mpd5

как это куда :) на сервер доступа конечно, он же будет подключать абонентов

Андрей писал(а):И ПО мне для сервера доступа не понятно какое ставить

сервер доступа выполняет функции подключения и ограничения пользователя, соответственно ПО нужно под эти задачи.

Андрей писал(а):не понятно какое ставить RADIUS или FreeRADIUS, или что-то еще?

Radius это протокол, FreeRadius это программа реализующая этот протокол.
я бы радиус сервер ставил или на отдельную машину или на сервер биллинга.
на сервере доступа ему делать нечего, т.к. серверов доступа может быть несколько.
сервер доступа будет обращаться к Radius`у удаленно.

Андрей писал(а):А в чем преимущество PPPoE перед PPTP?

у каждого способа есть преимущества и недостатки.
каждый выбирает тот протокол который, по его мнению, более удобен.
я бы не говорил в терминах "преимущество", нуна понимать в чем их отличия.
мне нравится PPPoE потому, что для установки соединения IP-адреса не нужны, соответственно в ситуации с PPTP, когда криворукий юзер вместо своего IP поставил себе в настройки IP сервера, то доступ к услуге у других юзеров отваливается, т.к. подключиться они уже не могут, т.к. начался конфликт IP адресов.
Т.к. в PPPoE IP адреса не требуются, то даже если юзер наковырял не тот IP себе в настройках, доступ к услуге у остальных остается.
Да, конечно юзер может поднять у себя и PPPoE сервер, но это менее вероятно, т.к. нуна ковырять настройки. Такое бывает, но очень редко в отличии от "подсаживания" на IP адрес сервера.
Так же у юзера нет возможности флудить на IP сервера, т.к. там вообще нет IP на сетевухе, которая смотрит в локалку :)
Поэтому я для себя выбрал PPPoE, а не PPTP.
Но PPPoE более чувствителен к проблемам в локалке, например при потерях или загруженности магистрали до сервера.
Так что тебе нужно понять отличия между ними и самому выбирать что использовать исходя из твоей ситуации и сети.
С уважением, root

Изображение
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
root
Site Admin
 
Сообщения: 1894
Зарегистрирован: 11 июн 2008, 13:05
Откуда: Moscow, Russia

Re: Cisco 7507 + UTM5 и как это все включить в сеть.

Сообщение Андрей » 08 фев 2009, 14:39

Раз речь зашла о разделении одного сервера на сервер биллинга и сервер доступа (что приблизительно равно перестройке всей ЛВС) то можно перейти на PPPoE. Только в биллинге мне придется прописывать маки, что тоже довольно геморно, да и отслеживать будет проблемно, и статистику снимать не пойму как. Но это полпроблемы.

Основная проблема состоит в том, что мне всетаки ставить на сервер доступа. Только ли mpd5, или придется ковыряться еще с чем-то.
Вот текущий набор программ, установленный на моем сервере биллинга + сервере доступа (разумеется в одном лице):
apache+mod_ssl-1.3.37+2.8.28 The Apache 1.3 webserver with SSL/TLS functionality
autoconf-2.59_2 Automatically configure source code on many Un*x platforms
autoconf-2.61_2 Automatically configure source code on many Un*x platforms
bigreqsproto-1.0.2 BigReqs extension headers
cairo-1.6.4_2,1 Vector graphics library with cross-device output support
expat-2.0.0_1 XML 1.0 parser written in C
flow-tools-0.68_1 Suite of tools and library to work with netflow data
fontconfig-2.5.0,1 An XML-based font configuration API for X Windows
freeradius-1.1.7 A free RADIUS server implementation
freetype2-2.3.7 A free and portable TrueType font rendering engine
gawk-3.1.1_1 The GNU version of Awk
gd-2.0.35,1 A graphics library for fast creation of images
gdbm-1.8.3_2 The GNU database manager
gettext-0.14.5_2 GNU gettext package
glib-2.12.4 Some useful routines of C programming (current stable versi
gmake-3.81_1 GNU version of 'make' utility
help2man-1.36.4_1 Automatically generating simple manual pages from program o
inputproto-1.4.2.1 Input extension headers
ipcad-3.7_1 IP accounting daemon with Cisco-like RSH and NetFlow export
jpeg-6b_7 IJG's jpeg compression utilities
kbproto-1.0.3 KB extension headers
libX11-1.1.3_1,1 X11 library
libXau-1.0.3_2 Authentication Protocol library for X11
libXdmcp-1.0.2_1 X Display Manager Control Protocol library
libXft-2.1.13 A client-sided font API for X applications
libXrender-0.9.4_1 X Render extension library
libart_lgpl-2.3.20,1 Library for high-performance 2D graphics
libiconv-1.9.2_2 A character set conversion library
libltdl-1.5.22 System independent dlopen wrapper
libpdel-0.5.3_4 Packet Design multi-purpose C library for embedded applicat
libtool-1.5.22_2 Generic shared library support script
libxml2-2.6.26 XML parser library for GNOME
linux_base-fc-4_9 Base set of packages needed in Linux mode (for i386/amd64)
m4-1.4.4 GNU m4
mc-light-4.1.40.p9_6 A lightweight Midnight Commander clone
mm-1.4.2 Shared memory allocation library for pre-forked process mod
mpd-5.1_1 Multi-link PPP daemon based on netgraph(4)
mrtg-2.16.2,1 The multi-router traffic grapher
mysql-client-5.0.27 Multithreaded SQL database (client)
mysql-server-5.0.27 Multithreaded SQL database (server)
net-snmp-5.4.1.2_2 An extendable SNMP implementation
ng_car-0.6 Netgraph committed access rate node
p5-Crypt-CBC-2.29 Perl5 interface to Cipher Block Chaining with DES and IDEA
p5-Crypt-DES-2.05 Perl5 interface to DES block cipher
p5-Digest-HMAC-1.01 Perl5 interface to HMAC Message-Digest Algorithms
p5-Digest-SHA1-2.11 Perl interface to the SHA-1 Algorithm
p5-Net-SNMP-5.2.0 A perl module for SNMP... Net::SNMP
p5-Pod-Parser-1.35_2 Modules to work with POD (Plain Old Documentation)
p5-SNMP-Util-1.8_1 Perl modules to perform SNMP set,get,walk,next,walk_hash et
p5-SNMP_Session-1.11 A perl5 module providing rudimentary access to SNMPv1 and v
p5-gettext-1.05_1 Message handling functions
pecl-PDO-1.0.3 PHP Data Objects Interface
perl-5.8.8 Practical Extraction and Report Language
php5-5.1.6_3 PHP Scripting Language (Apache Module and CLI)
php5-ctype-5.1.6_3 The ctype shared extension for php
php5-dom-5.1.6_3 The dom shared extension for php
php5-extensions-1.0 A "meta-port" to install PHP extensions
php5-iconv-5.1.6_3 The iconv shared extension for php
php5-pcre-5.1.6_3 The pcre shared extension for php
php5-posix-5.1.6_3 The posix shared extension for php
php5-session-5.1.6_3 The session shared extension for php
php5-simplexml-5.1.6_3 The simplexml shared extension for php
php5-sqlite-5.1.6_3 The sqlite shared extension for php
php5-tokenizer-5.1.6_3 The tokenizer shared extension for php
php5-xml-5.1.6_3 The xml shared extension for php
php5-xmlreader-5.1.6_3 The xmlreader shared extension for php
php5-xmlwriter-5.1.6_3 The xmlwriter shared extension for php
php5-zlib-5.1.6_3 The zlib shared extension for php
pixman-0.10.0_2 Low-level pixel manipulation library
pkg-config-0.21 A utility to retrieve information about installed libraries
png-1.2.31 Library for manipulating PNG images
python24-2.4.3_3 An interpreted object-oriented programming language
renderproto-0.9.3 RenderProto protocol headers
sudo-1.6.8.12_1 Allow others to run commands as root
trafshow-5.2.3,1 Full screen visualization of network traffic
utm-5.2.1-004-bsd6 Universal Billing System for ISP
xcmiscproto-1.1.2 XCMisc extension headers
xextproto-7.0.2 XExt extension headers
xf86bigfontproto-1.1.2 XFree86-Bigfont extension headers
xproto-7.0.10_1 X11 protocol headers
xtrans-1.0.4 Abstract network code for X


что из этого необходимо переносить на сервер доступа?
.ı|ı..ı|ı.
Андрей
местный житель
 
Сообщения: 1028
Зарегистрирован: 14 янв 2009, 13:37
Откуда: Оренбургская область

Re: Cisco 7507 + UTM5 и как это все включить в сеть.

Сообщение root » 09 фев 2009, 10:54

Андрей писал(а):Только в биллинге мне придется прописывать маки, что тоже довольно геморно, да и отслеживать будет проблемно

не совсем понимаю почему ты связываешь PPPoE и прописывание маков в биллинге, ну да тебе виднее.

Андрей писал(а):и статистику снимать не пойму как.

если нат на циске, то как я уже говорил - снимай по netflow или какой нить считалкой трафика на сервере доступа (ipacctd, trafd)

Андрей писал(а):Только ли mpd5, или придется ковыряться еще с чем-то.

все зависит от того что и как будет работать.
если тупо подключить клиента, то ставь тока:
Код: Выделить всё
/usr/ports/net/mpd5

если будешь рисовать графики загрузки, например интерфейсов сервера, то нуна будет:
Код: Выделить всё
/usr/ports/net-mgmt/net-snmp

если будут perl скрипты, которые обращаются к БД на сервере биллинга, то:
Код: Выделить всё
/usr/ports/databases/mysql50-client/

Код: Выделить всё
/usr/ports/databases/p5-DBD-mysql50/

и т.д.
С уважением, root

Изображение
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
root
Site Admin
 
Сообщения: 1894
Зарегистрирован: 11 июн 2008, 13:05
Откуда: Moscow, Russia

След.

Вернуться в Разное (networks)

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 18

cron