Поиск по сайту

День добрый всем! В данный момент сеть построена на D'Link (L2) Des 3526, 3028, 3200 звездно-кольцевая топология. Все стягивается в центр Eltex MES3124F (L3) (4x10G + 24x1G) далее в маршрутизатор на sles linux. Подключено несколько районов, собственно на каждый район свой vlan и ip c маской /22. Привязки по старинному-дебильному ip-mac binding Серверная машина с конфигурацией Supermicro SERVER SYS-6027R-WRF CPU Intel Socket 2011 Xeon E5-2650 (2.00GHz/20Mb) tray 8core 16 потоков Память - Kingston DIMM 2Х8GB 1333MHz DDR3L ECC Reg CL9 DR x4 1.35V Hynix C Сетевка Intel X520-DA2 (10G) Подключено где-то 5к клиентов. Тестирую перевод данной сети на vlan-per-user + qinq + ip unnumbered Делим сеть на сегменты по 8-12 свичей в кольцах, --> MES3124F --> server В сегменте клиентские vlan 1000-1500 ( типовой конфиг для всех сегментов) на входе в MES навешивается еще один тэг и уходит в маршрутизатор На маршрутизаторе на lo повешен ip 192.168.0.1/24 ( сеть за натом) Как показала практика не обязательно вешать этот ip на lo , можно на любой который не используется в qinq. Об этом далее На сервере создаются интерфейс вида eth0.X.Y, к примеру eth0.6.1002 ( 6 - номер сегмента, 1002 -клиентский vlan) Скрипт для быстрого поднятия большого количества qinq интерфейсов почти допилен. В среднем для того чтобы поднять 10к клиентских vlan требуется где-то 2 минуты на текущем железе. Минус в том, если необходимо ребутнуть сервер или еще что-то в этом духе, то обратные операции по выключению и удалению длятся несколько дольше, но подобные манипуляции с сервером делаются крайне редко, раз-два в год. eth0.X.Y - X впринципе используется только для навешивания внешнего тега, ну и еще для поднятия сабинтерфейсов. К примеру после того как создали кучу сабинтерфейсов eth0.6.1000-eth0.6.1800 достаточно сделать: ifconfig eth0.6 down ifconfig eth0.6 up и все eth0.6.Y подымутся вслед за основным. на lo ip route add unreachable 192.168.0.0/24 ip addr add 192.168.0.1/24 на клиента ip route add 192.168.8.10/32 dev eth0.6.1002 src 192.168.0.1 вариаций много. Прим. статья http://habrahabr.ru/post/108453/ На sles пришлось маленько повоевать с proxy_arp, но вышло. Ну и с файрволом конечно же))) Клиенты получают ип через DHCP-Relay + opt82. Пропатчил ICS, чтобы небыло проблем с перетыкальщиками, которые готовы каждый день комп менять ( лиза ip адреса на день примерно, с патчем ип заново выдается сразу, даже если мак отличается) Прим. Ни в коем случае не использовать вариант с патчем для выдачи ip без relay + opt82. Будет попец и размеры ее будут увеличиваться с каждой минутой как только позвонит первый клиент. Статью к сожалению не могу упомянуть, найду ссылку - добавлю. Все просто супер. Клиенты получают ip , инет есть у всех, retracker.local благодаря proxy_arp работает. Атаки и прочую лабуду на тестовой сети как рукой сняло. Интересно выслушать критику! Советы может быть Cisco, в ближайшем времени, к сожалению нет возможности приобрести Еще интересует не загнется ли сервер, если реально будет поднято и активно 10к клиентов при такой схеме подключения На данный момент примерно 5к. Сервер активно использует всего 2-3 ядра да и то загрузка на 10-30 процентов когда какая-то жесть в сети происходит, остальные по 1-2% загрузка