Как стать автором
Обновить

Комментарии 14

О, хотеть, хотеть альтернативу DM-VPN. Почитаю с удовольствием продолжение.
продолжениие будет.

что касается альтернатив — их есть практически на любой вкус, все упирается в необходимую пропускную способность, бюджет и специфику проекта.

например, для soho, где не нужна конская производительность vpn и фичлист, я бы взял
не эту схему и не dmvpn, а что-то типа meraki mx602.
gvpe
>Еще очень понравился gvpe экзотическими методами инкапсуляции, но он не позволял указать несколько IP (от разных ISP) для remote peer.
О, действительно. Не заметил.

Вообще по моему мнению отказоустойчивость здесь должна обеспечиваться уже протоколом динамической маршрутизации поверх этой full-mesh сети. В случае gvpe это означает, что на каждый uplink заводим по «ноде» (т.е. multihome-точки будут видеться в сети как несколько «нод») и уж через какую из них пойдёт маршрутизация будет определено автоматически.
Если кто не в курсе, то в новой версии Vyatta уже есть DMVPN.
спасибо за информацию.
заказал демку 6.6 SE, посмотрю.
позже отпишусь по результатам.

возможно, для некоторых проектов пригодиться.

Предварительно, меня огорчают 2 момента:
1. оно есть только в платной версии.
цена VSE без учета стоимости железа сравнима с ценой циски.

2. я сильно подозреваю, что туда впилили не полноценный dmvpn, а opennhrp.
что тоже неплохо, но для продашна непригодно.

Ну если в вашей сети ESXi стандарт, то посмотрите на cisco csr1000v и DMVPN со всеми его плюшками у вас в кармане (точнее full cisco routing portfolio solutions). Единственный вопрос лицензирования этого счастья для меня остался не ясен окончательно.
вы сделали мой день в буквальном смысле этого слова, спасибо.
ушел копать.
Посмотрел, спасибо.
Очень интересная разработка, количество головной боли при сборке лаб уменьшится.

К сожалению, сейчас это больше proof of concept, а не реальный cloud маршрутизатор.

>Единственный вопрос лицензирования этого счастья для меня остался не ясен окончательно.
К сожалению, там все очевидно.
Ниже — выдержки из официального QA.

Q. How can I purchase the CSR 1000V?
A. You can purchase the CSR 1000V directly from Cisco or from a partner. The CSR 1000V is licensed based on throughput and feature set, and you can purchase it for a term of 1, 3 or 5 years.
The IOS-XE® Software Release 3.9 of the CSR 1000V offers five throughput options — 10 Mbps, 25 Mbps, 50 Mbps, 100 Mbps and 250 Mbps. Upon activation of a particular option, the CSR 1000V limits its aggregate bi-directional throughput to that option.
For the 10 Mbps, 25 Mbps and 50 Mbps throughput options, you can select any of the feature sets — Standard, Advanced, and Premium — shown below. For the 100 Mbps and 250 Mbps throughput options, you can only select the Standard feature set. Future releases of the CSR 1000V will offer the Advanced and Premium feature sets for 100 Mbps and 250 Mbps and will offer higher throughput options.
• Standard: Includes routing (BGP, EIGRP, OSPF, IPv6, ..), addressing (DHCP, NAT, VLAN), basic security (ACL, AAA), high availability: (HSRP, ..), and management (SSH, SNMP, NetFlow, ..) features
• Advanced: Includes Standard and advanced security (Zone-based Firewall, IPSec, Route-based VPNs — DMVPN, FlexVPN, ..) features
• Premium: Includes Advanced, MPLS (MPLS VPN, VRF), Application Experience (AppNav, QoS, AVC, IP SLA, ..) and IP mobility (LISP) features
After you purchase a license, you will receive a Product Activation Key (PAK). You must provide the PAK to a Cisco License Server along with a unique device identifier (which is generated when the CSR 1000V VM boots up) in order for the server to generate a license file for the CSR 1000V. You then must install and activate the license file in the CSR 1000V.

Q. What is the performance of the CSR 1000V?
A. The CSR 1000V is intended for single-tenant (VPC) networking use in a multi-tenant cloud, where the bandwidth expectations range from 10 Mbps to 1 Gbps.
The IOS-XE® Release 3.9 of the CSR 1000V offers five throughput licenses — 10 Mbps, 25 Mbps, 50 Mbps, 100 Mbps, and 250 Mbps. Upon activation of a particular throughput license, the CSR 1000V limits its aggregate bi-directional throughput to the throughput specified by the license. Future releases of the CSR 1000V will offer higher throughput licenses.

Т.е. если хочется virtual appliance с поддержкой vpn, максимальная суммарная пропускная способность этого решения из-за ограничений лицензирования — 50 mbps.
Что для продакшна категорически недостаточно, а для лаб есть бесплатная триалка.
а где 2ая часть?
О, привет из прошлого %)
Вторая часть этой статьи так и не родилась, к сожалению.

От описанной выше схемы через несколько месяцев отказались ввиду недостаточной стабильности tinc (мультикаст-шторм, гуляющий поверх Fullmesh — это нечто).

Итоговое решение выглядело как hub'n'spoke с 4х равноценными хабами.
а жаль)
спасибо.
Зарегистрируйтесь на Хабре , чтобы оставить комментарий

Публикации

Истории