Здравствуйте!

На нашем узле работает сервер, выполняющий функции Firewall, VPN концентратора и NAT. Процессор AMD Athlon 64 X2 3800+, FreeBSD, SMP включен. Обслуживается городская сеть на 1000 пользователей. Около 250 одновременных подключений по PPTP. С помощью ipfw делается shaping для каждого пользователя и подсчет трафика в обе стороны (каждые пять минут информация собирается SNMP агентом). Дополнительно ipfw фильтрует нежелательные адреса/порты и устанавливает отдельные shapes для некоторых сервисов. Исходящий поток около 20 Мбит/с, на LAN интерфейсе около 80 Мбит/с. Load averages уже достигает 2.5 - 3.0. Думаю, наращивание мощности машины уже не имеет смысла, поскольку абонентская база постоянно растет. Поэтому ищем аппаратную замену серверу.

Подойдет ли DFL-1600 или DFL-2500 на замену такого сервера с учетом запаса для роста абонентской базы хотя-бы в два-три раза? Шифровать трафик VPN желательно, но не обязательно.

Предложенный ранее в форуме метод снятия статистики по логам нам не подходит.

Можно ли снимать статистику по каждому пользователю, имеющему тоннель VPN, периодически во время работы, а не по окончании сессии? Если да то по SNMP или каким-нибудь другим методом?

Можно ли считать трафик для клиентов с фиксированными IP и не использующих VPN для подключения?

С уважением,
Владимир

Такой сервер они не заменят и вам не подойдут.

Для для Вас нужен NAS ну как вариант BRAS. У нас подобных продуктов -- нет.

Если взять, к примеру, продукт, продвигаемый как BRAS - Cisco 7200, то на лицо даже у самой дешевой и слабенькой модели красивые возможности, лицензия на 8K VPN сессий и производительность 225 Kpps (у нас трафика пока только на 20-50 Kpps). Но я бы лучше еще с годик снимал простенькую статистику с DFL по SNMP (если такая возможность имеется) за $4K, чем с Cisco 7200 по Netflow за $13K, пусть он даже и называется BRAS-ом.

NAT у DFL имеется, сервер PPTP тоже. Насколько я понимаю, "неподходящесть" в нашей ситуации заключается только в ограничении на количество policy и в проблемах снятия статистики.

С policy можно разобраться с помощью динамического их формирования, что мы уже сейчас успешно применяем на сервере.

А вот со статистикой - кроме многократно упомянутого на форуме лога - я нигде ничего не нашел. Если действительно нельзя получить байтики in/out для каждого VPN соединения и для некоторых policy ни по SNMP ни через CLI, то тема, к сожалению для меня, закрывается.

Может я еще что-то упустил, что не позволяет использовать DFL как сервер доступа?

С уважением,
Владимир

1. позиционирование устройсива
2. управление
3. статистика
4. shaping
Всё вышеперечисленное препядствует использовать устройство в качестве операторского.