Cisco 3825 10 Mbps leased line met EIGRP

woensdag 17 februari 2010 16:53

Acties:

0 Henk 'm!

Topicstarter

Wij hebben een aanbieding gehad om 2 locaties met twee Cisco 3825 via een 10 Mbps leased line te koppelen.
Nu hebben wij al een 2 Mbps lijn liggen, en de nieuwe 10 Mbps lijn ligt ernaast. Maar de huidige routers die op de 10 Mbps lijn zitten halen maar een data throughput van 3 tot 4 Mbps. Dus dat schiet niet op.
Nu krijg ik de indruk dat dit type router een beetje overkill is voor wat wij er mee willen gaan doen.
Ik heb gekeken op de Cisco website, maar ik kom er niet helemaal uit. Ik krijg niet helemaal helder op de website wat voor data throughput de routers hebben aan de WAN zijde.
Graag zou ik wat hulp kunnen gebruiken.

In feite zijn de eisen vrij simpel:
- data throughput aan de WAN zijde van 10 Mbps
- EIGRP-capable (zijn alle Cisco's dat niet al ?)

En nee, de aanbieder van de lijn gaat niet de routers beheren en leveren.
Ik zit niet in NL, en hier gaat het net even anders. Je krijgt een lijn, en that's it.
Je moet het zelf maar uitzoeken qua routering.

Alvast bedankt !

The best thing about UDP jokes is that I don't care if you get them or not.

woensdag 17 februari 2010 19:33

Acties:

0 Henk 'm!

silvans

Tja als het simpel moet zou je zelfs kunnen overwegen om een Catalyst switch te gebruiken, de l3 modellen kunnen ook eigrp. Zet je leased line in een separaat vlan met een /30 en je bent er.

woensdag 17 februari 2010 19:39

Acties:

0 Henk 'm!

Kabouterplop01

chown -R me base:all

Met een Cisco 1811 redt je het prima! Een 3825 is inderdaad errug zwaar (en duur)
Anyway wat voor type leased line is het? je moet natuurlijk wel rekening houden met het soort interface...

[ Voor 40% gewijzigd door Kabouterplop01 op 17-02-2010 19:40 ]

woensdag 17 februari 2010 19:49

Acties:

0 Henk 'm!

FatalError

Het ligt er maar net aan wat dat ding nog meer gaat doen. Dom routeren kan n 1811 inderdaad prima, maar als je deep packet inspect gaat doen kan het zomaar zijn dat die 1811 bij 10 mbit/s al helemaal over z'n nek gaat.

If it ain't broken, tweak it!

woensdag 17 februari 2010 20:19

Acties:

0 Henk 'm!

Kabouterplop01

chown -R me base:all

FatalError schreef op woensdag 17 februari 2010 @ 19:49:
Het ligt er maar net aan wat dat ding nog meer gaat doen. Dom routeren kan n 1811 inderdaad prima, maar als je deep packet inspect gaat doen kan het zomaar zijn dat die 1811 bij 10 mbit/s al helemaal over z'n nek gaat.

Eensch, maarrrrr voor dpi zou ik er dan een firewall achter hangen.(een router moet routeren ben ik van mening)
offtopic question:
(Doet jouw 1841 dpi? en hoe bevalt dat?

)

[ Voor 6% gewijzigd door Kabouterplop01 op 17-02-2010 20:22 . Reden: offtopic question added ]

woensdag 17 februari 2010 20:27

Acties:

0 Henk 'm!

FatalError

Kabouterplop01 schreef op woensdag 17 februari 2010 @ 20:19:
[...]
Eensch, maarrrrr voor dpi zou ik er dan een firewall achter hangen.(een router moet routeren ben ik van mening)
offtopic question:
(Doet jouw 1841 dpi? en hoe bevalt dat? )

Ben ik met je eens, maar je weet maar nooit..
Mijn 1841 doet geen DPI, dat doe ik hem niet aan met m'n 60 mbit lijn.

If it ain't broken, tweak it!

woensdag 17 februari 2010 20:40

Acties:

0 Henk 'm!

_fm

Wat voor aansluiting krijg je? serieel? ethernet? anders?

woensdag 17 februari 2010 22:06

Acties:

0 Henk 'm!

Bl@ckbird

Cisco

Je kan IPS in IOS draaien of op een losse AIM of NME module.
Het eerste haalt je router onderuit, de tweede oplossing is dedicated hardware en heeft geen invloed op de performance van je router.

Qua features is IOS IPS redelijk beperkt. De featureset van IPS op AIM en NME modules komen overeen met de featureset van de IPS software van de IPS4200 appliances en de AIP modules voor de ASA.
Throughput van deze modules is wel beperkt. ( Ongeveer 45 en 75 Mbps. )

Performance van routers is hier te vinden:
http://www.cisco.com/web/...nce/routerperformance.pdf

Hou er wel rekening mee dat als je veel services aan zet, ( zoals firewalling, IPS, enz. ) dit sterke invloed kan hebben op de routing performance. En in de Portable Product Sheet gebruikt men een kleine packet size van 64 bytes per packet.

Een 3825 is wat overkill voor een 10 Mbps lijntje.
Let ook op de performance van de nieuwe serie routers. (1900, 2900 en de 3900 series)
Prijzen van deze series zijn vergelijkbaar met de oude serie ISR routers ( 1800, 2800 en 3800 ), maar bieden veel betere performance.

Zo wordt voor een 3825 en performance van 350,000 packets per seconde opgegeven.
Met 353,000 packets per seconde zou een 2911 dit ook kunnen doen.

Zo staat een kale 3825 router voor 9.500 Dollar in de algemene, wereldwijde prijslijst van Cisco (GPL)
Een kale 3925 staat voor dat zelfde bedrag hier in.
En een kale 2911 staat voor 2.695 Dollar in de GPL.

Scheelt nogal...

~ Voordelig Zelf Vliegen? ~ Sent using RFC 1149. Note: No animals were harmed during this data transfer. ~

woensdag 17 februari 2010 22:08

Acties:

0 Henk 'm!

ChaserBoZ_

Simpel routeren waarbij je verder weinig nodig hebt (EIGRP dan) mag geen probleem zijn inderdaad. Afhankelijk van het koppelvlak kun je idd met een 18xx aan de slag.

10 mbps zou je zelfs nog met een 87x kunnen doen.

'Maar het heeft altijd zo gewerkt . . . . . . '

donderdag 18 februari 2010 00:38

Acties:

0 Henk 'm!

Remco

Topicstarter

Ik zal morgenochtend op mijn werk eens kijken wat het koppelvlak is.

The best thing about UDP jokes is that I don't care if you get them or not.

donderdag 18 februari 2010 00:57

Acties:

0 Henk 'm!

CyBeR

💩

Ik heb een 1811 op een 50mbit ftto lijn van kpn die dat prima volhoudt. Doet alleen routing en één simpele access list (telnet naar zichzelf blocken vanaf extern).

All my posts are provided as-is. They come with NO WARRANTY at all.

donderdag 18 februari 2010 18:01

Acties:

0 Henk 'm!

Remco

Topicstarter

Zojuist even gekeken, en we hebben dus een ethernet koppelvlak.
Momenteel gebruiken we een 2811, maar die red het dus niet.
Of zou dat kunnen komen door de onwijze hoeveelheid regeltjes die dat ding moet doorlopen ?
De vorige ICT-manager was nogal achterdochtig aangelegd, dus er staan onwijs veel rules in m.b.t. wie wat waarheen wel of niet mag.

Zou de 2811 het wel redden als we de remote site 'trusten' ? Dus zeg maar gewoon open zetten, en de router alleen laten routeren en encrypten ?

[ Voor 17% gewijzigd door Remco op 18-02-2010 18:02 ]

The best thing about UDP jokes is that I don't care if you get them or not.

donderdag 18 februari 2010 18:05

Acties:

0 Henk 'm!

CyBeR

💩

Remco schreef op donderdag 18 februari 2010 @ 18:01:
Zojuist even gekeken, en we hebben dus een ethernet koppelvlak.
Momenteel gebruiken we een 2811, maar die red het dus niet.
Of zou dat kunnen komen door de onwijze hoeveelheid regeltjes die dat ding moet doorlopen ?
De vorige ICT-manager was nogal achterdochtig aangelegd, dus er staan onwijs veel rules in m.b.t. wie wat waarheen wel of niet mag.

Zou de 2811 het wel redden als we de remote site 'trusten' ? Dus zeg maar gewoon open zetten, en de router alleen laten routeren en encrypten ?

Lijkt mij wel. Volgens bovenstaand schema moet een 2811 64Mbps kunnen routen op basis van 64 byte packets. Dat is de baseline-performance zonder acl's en dergelijke. Normaal gebruik je veel grotere packets en kun je dus meer Mbps halen. Maar als elk packet door 2 miljoen acl's getest moet worden gaat dat hard achteruit.

All my posts are provided as-is. They come with NO WARRANTY at all.

donderdag 18 februari 2010 22:04

Acties:

0 Henk 'm!

ChaserBoZ_

Ik heb een 2811 op een fiber van 60 mbps, geen probleem

'Maar het heeft altijd zo gewerkt . . . . . . '

vrijdag 19 februari 2010 10:48

Acties:

0 Henk 'm!

Predator

Suffers from split brain

Welke IOS versie draai je ?
Als je veel ACL's hebt zou je kunnen checked of je router Turbo ACL supporteert:

code:

1	access-list compiled

Volgens de IOS feature navigator wordt het niet gesupporteerd op 28xx routers (raar genoeg wel op de 18xx), maar dit heeft wel een tijd gewerkt bij vroegere IOS 12.4 versie.
Maar blijkbaar is dat er (stiekem) weer uitgehaald.
De eerlijkeid gebied mij wel te zeggen dat ik het maar een paar maand gebruikt heb omdat de ACL's plotseling slecht werkten.

Geen idee wanneer het exact weer uit de featureset gedrop'd is.

Heb je geen Turbo-ACL support, begin eens met die ACL's wat op te kuisen en te optimaliseren.

Kijk ook eens wat de volgende zaken zeggen:

code:

1 2	sh ip cef show interface stats (route cache moet VEEL hoger zijn dan processor).

Te veel proces switching is nefast voor de performance.

Zie ook veel CPU load ?

code:

1	show proc cpu sorted

Zo ja, welke processen ?

Wat staat er nogal allemaal aan ?
ip ips ?
ip inspect ?

en euh:
Je bent toch heel zeker dat het wel aan de router ligt ?
Er zit geen duplex of speed conflict ?
De lijnparameters zijn gechecked door de provider ?

[ Voor 25% gewijzigd door Predator op 19-02-2010 10:55 ]

Everybody lies | BFD rocks ! | PC-specs

donderdag 25 februari 2010 15:29

Acties:

0 Henk 'm!

Remco

Topicstarter

Onze vaste netwerk leverancier is langs geweest en ik heb hem wat vragen gesteld.
Ik weet nu dat we draaien : Cisco 2811 Advanced Security IOS 12.4.3g.
De routers staan open, en er draaien geen ACL's op. Slechts alleen routering vind er plaats.
Ik heb de vraag nogmaals gesteld aan de beste man waarom de 2811 niet op 10Mb kan draaien.
Hij gaf aan dat de router maar tot 3 a 4 Mbit loopt, en dat hij hem kon opschroeven tot ongeveer 6 Mbit.
Verder gaf hij aan dat hij op zo'n lijn minimaal een 3825 wil inzetten vanwege allerlei redenen.
Ik twijfel niet echt aan zijn kennis, hij is gecertificeerd en geeft ook trainingen, dus daar zal het niet aan liggen.
Maar toch krijg ik een naar gevoel bij zijn advies.

Iemand anders vroeg mij waarom wij gewoon niet 1 groot subnet creeren en de routers in bridge mode zetten. Het gaat om 2 locaties met elk 50 users.
Ik vind dat een vreemde oplossing, maar dat kan ook komen omdat ik niet alle kennis daarvan heb.

The best thing about UDP jokes is that I don't care if you get them or not.

donderdag 25 februari 2010 16:43

Acties:

0 Henk 'm!

FatalError

Daar moet toch echt iets niet goed zitten. Mijn 1841 doet al 100 mbit/s met NAT, en dat is al behoorlijk CPU intensief.
Dat bridgen zou ik vergeten, dat vind ik echt geen nette oplossing.

If it ain't broken, tweak it!

donderdag 25 februari 2010 21:13

Acties:

0 Henk 'm!

ChaserBoZ_

FatalError schreef op donderdag 25 februari 2010 @ 16:43:
Daar moet toch echt iets niet goed zitten. Mijn 1841 doet al 100 mbit/s met NAT, en dat is al behoorlijk CPU intensief.
Dat bridgen zou ik vergeten, dat vind ik echt geen nette oplossing.

:^

Met bridgen gaat ook je broadcast verkeer over de lijn, niet altijd wenselijk. Routeren is efficienter.

Met gewoon routen kan een 2811 echt wel zo'n 90 mbps aan.

Enige voordeel wat een 3800 heeft tov een 2811 is de redundante voeding, de 2811 ondersteunt alleen RPS als backup.

Laat je niet gek maken

'Maar het heeft altijd zo gewerkt . . . . . . '

donderdag 25 februari 2010 21:26

Acties:

0 Henk 'm!

Predator

Suffers from split brain

Remco schreef op donderdag 25 februari 2010 @ 15:29:
Onze vaste netwerk leverancier is langs geweest en ik heb hem wat vragen gesteld.
Ik weet nu dat we draaien : Cisco 2811 Advanced Security IOS 12.4.3g.
De routers staan open, en er draaien geen ACL's op. Slechts alleen routering vind er plaats.

Dit is al vrij raar. Waarom zou je de Adv Sec featureset nemen om daarna gewoon routing te doen ?
Ben je zeker dat de IPS + FW (ip inspect) niet geactiveerd is ?

Maar zelfs dan nog mag dat geen probleem zijn.

Ik heb de vraag nogmaals gesteld aan de beste man waarom de 2811 niet op 10Mb kan draaien.
Hij gaf aan dat de router maar tot 3 a 4 Mbit loopt, en dat hij hem kon opschroeven tot ongeveer 6 Mbit.

Dat is Bullshit

Ik heb een 2801 (model lager) staan als backup router voor een connectie van 40Mbit.
Die haalt 40 Mbit met de FW actief en redelijk wat access-list entries.

Nogmaals ben je zeker dat het niet aan je speed/duplex settings ligt of slechte config (shaping parameters) bij de provider apparatuur ?

Verder gaf hij aan dat hij op zo'n lijn minimaal een 3825 wil inzetten vanwege allerlei redenen.
Ik twijfel niet echt aan zijn kennis, hij is gecertificeerd en geeft ook trainingen, dus daar zal het niet aan liggen.
Maar toch krijg ik een naar gevoel bij zijn advies.

2 mogelijkheden:
- De arme man weet toch niet zo goed waar hij mee bezig is ?

- De arme man is zijn commissieloon al aan het tellen voor 2 3825 routers

Voor de lol even gekeken:
Ik heb ook een 3825 staan. Die hoogste CPU usage vandaag was 9%.
Op dat moment was de router 33Mbit data aan het versluizen.

Disclaimers:
- Het is wel een feit dat Cisco zelfs de 2811 promoot als een E1-speed (of multiple E1) service router.
Maar dat is wel met ALLES geactiveerd wat je maar kan (inclusief voice calls).
Reallife performance is véél hoger en dat weet ook iedereen.

- Service providers hebben soms de neiging om zeer sterk te oversizen. Zo heb ik ooit een 7204VXR/NPE400 als voorstel gekregen voor E3 (34 MBit) link

Iemand anders vroeg mij waarom wij gewoon niet 1 groot subnet creeren en de routers in bridge mode zetten. Het gaat om 2 locaties met elk 50 users.
Ik vind dat een vreemde oplossing, maar dat kan ook komen omdat ik niet alle kennis daarvan heb.

Router in bridge mode ?
Dan kan je evengoed zonder die routers draaien. Je krijg toch gewoon een Ethernet access aangeleverd ?
Maar design-wise is dat geen goed idee. Niet doen

ChaserBoZ_ schreef op donderdag 25 februari 2010 @ 21:13:
Enige voordeel wat een 3800 heeft tov een 2811 is de redundante voeding, de 2811 ondersteunt alleen RPS als backup.

Laat je niet gek maken

Dan moet die wel een 3845 nemen. De 3825 heeft geen redundante voeding.

FatalError schreef op donderdag 25 februari 2010 @ 16:43:
Daar moet toch echt iets niet goed zitten. Mijn 1841 doet al 100 mbit/s met NAT, en dat is al behoorlijk CPU intensief.
Dat bridgen zou ik vergeten, dat vind ik echt geen nette oplossing.

Dat is dan wel met 1 TCP streaming van 100Mbit wellicht ?
Dan haal je maximum voordeel uit de fast-switching.
Als je heel voor source/destination streams dan zit je wel vast aan een groter deel CPU switching.

[ Voor 18% gewijzigd door Predator op 25-02-2010 21:42 ]

Everybody lies | BFD rocks ! | PC-specs

donderdag 25 februari 2010 21:57

Acties:

0 Henk 'm!

FatalError

Predator schreef op donderdag 25 februari 2010 @ 21:26:
[...]

Dat is dan wel met 1 TCP streaming van 100Mbit wellicht ?
Dan haal je maximum voordeel uit de fast-switching.
Als je heel voor source/destination streams dan zit je wel vast aan een groter deel CPU switching.

Uiteraard

Maar toch...:P

If it ain't broken, tweak it!

Onderwerpen