ciberkot

логгирование и сейчас головняк. Если НАТ стоит у провайдера, а во преки распостранному ошибочному мнению - провайдеры очень активно использую NAT для своих абонентов, то провайдер просто обязан снимать всю статистику с каждой НАТ трансляции. Поэтому нетфлоу с рутеров тут совсем ни при чем, это должно происходить на НАТ устройстве. Сколько эта фича отжирает процессора? думаю если вы уложитесь в 30% то это будет замечательно, но скорее всего под 50%. ALG нужны всем, не только хардверным решениям. Другой вопрос что следование CGN стандарту позволяет снизить количество приложений, которым ALG жизненно необходим, но всеже для FTP PPP и SIP желательно иметь ALG .

боюсь, что если у вас А10 заменились софтрутерами, которые както там крутят 1-2Г, то изначально необходимости в А10 не было - вы сами неправильно спозиционировали свои потребности. Когда до 20-30Г дорастете тогда можно сравнить будет, а так пустой разговор ни о чем. да неверное, может. Только почему то никто не делает, а если и делает то все равно медленно и криво получается. Ну и как я заметил ранее, если у фирмы достаточно бесплатной рабсилы, то наверное да, самопал на подержаном железе экономически оправдан.

ну ценник А10 для примерно тех же значений (лучше на самом деле ) будет конечно выше раза в 2-3, что не запредельно согласитесь. За это вы получаете готовое решение со всем необходимым функционалом. Мне кажется что операторам iptables плюс зоопарк из нескольких самописных скриптов, будет не достаточно. У них немного другой взгляд на то что требуется от НАТ устройства. Текущие можности железа конечно зашкаливают, и похоже судя по размерам современного ПО, его "скорости" и отказоустойчивости его таки и пишут на бейсике. А10 на одиноковой аппаратной платформе дает фактор 2-3 по производительности по сравнению с анаогами и тем более с самосбором. Самосбор выгоден только фирмам у которых есть достаточно "бесплатной" раб. силы в лице сисадминов.

фортигэйт это все-же файервол с ограниченым НАТ. Для хоум-энтерпрайз подходит, нет возражений. Для провайдера - скорее нет. и это не только производительность, это НАТ функционал, "прозрачность для трафика", логгирование. в хер не уперлось логирование ната, кто куда ходил можно и в другом месте смотреть считаю что на больших объемах логировать нат - самая идиотская идея что такое "прозрачность для трафика"? какая трафику разница как ходить? это ж не прокся вполне себе натит 15 гиг и пронатит ещё столько же еще раз - Фортигэйт это файрвол, который как-то умеет делать НАТ для энтерпрайза, но у него нет и половины того функционала который нужен провайдерам. Логгинг одно из основных требований операторов. Прозрачность означает, что трафик, особенно P2P, не затыкается на НАТе и не требует для каждого приложения свой ALG. Посмотрите RFC для CGN, там все написано.

фортигэйт это все-же файервол с ограниченым НАТ. Для хоум-энтерпрайз подходит, нет возражений. Для провайдера - скорее нет. и это не только производительность, это НАТ функционал, "прозрачность для трафика", логгирование.

я думаю DNS-tunneling. нужно смотреть статистику по среднему размеру пакетов

Для протокола - А10 это и есть СПЕЦИАЛИЗИРОВАНОЕ устройство для NAT. Работает под управлением своей собственной ОС, которое имеет такое же отношение к Linux как скажем IOS или JunOS. Чтобы быть эффективным НАТ, нужно в первую очередь иметь эффективное ПО, потому как большая часть операций происходит на уровне L4-L7, а не на L2-L3, которые можно зашить в специализирование чипы. На том же самом железе, А10 даст раз в 5 большую производительность, чем вы сможете получить на линухе. Даже виртуальная машина под управлением А10 покажет больше.

Хотелось бы поподробнее про Xeon тазик? Что имеется в виду. Вообще то большинство производителей используют процессоры общего назначения для выполнения операций L4-L7,а А10 как раз устройство для обработки такого трафика. Самым важным фактором в этом случае является КАК обрабатывать трафик, т.е. програмное обеспечение, а не железо. А10 это не рутер и не свитч. Хотя у старших моделей А10 присутствуют специальные асики, которые обеспечивают выполнение некоторых опреций в железе. Такие как распределение трафика по процессорам, защита от ддос, лимитирование и приоритизация трафика.

Киберкот, а есть ли возможность логировать dst ip/port с EIM или без EIM ? Пробывали ли вы это в продакшене и насколько падает общая производительность коробки от этого ? Да, конечно есть. Логгирование поддерживает несколько опций, позволяющих включать те или иные поля в лог запись. В том числе и dst ip/port . Производительномть -вопрос хороший, конечно логгирование влияет, в зависимости от выбранного протокола и опций можно говорить о 15-20% падения производительности.

нет, не совсем. не нужно путать "сессию" с "трансляцией". Трансляция это натирование внутренних соур адресс/порт во "публичный" соурс адресс/порт. Сессия это объект состоящий из 5 элементов: протокол, внутренний соурс адресс/порт, натированый соурс адресс/порт, внутренний дестинэйшн адресс/порт, наттированый адресс/порт. Сессия не имеет понятия "направляения", она определяется состовляющими элементами. Есть сессии которые инициированы изнутри сети, а есть сессии которые инициированы снаружи. Но трафик бегаем по ним в обе стороны. Т.е. число 256М обозначает сколько таких объектов система может поддерживать в независимости от напраления. Кстати, одной единственной трансляцией можно создать 256М сессий, просто нужно включить EIM (Endpoint-independet-mapping)

ну это всетаки совсем не *nix-поделка, вы же виртуальные сиско/джуны не называете *nix-поделками, правда? И исправно платите им за их вируальные варианты. А миллион это вы както много насчитали, даже по теперешнему курсу это дороже лист-прайса получается. Поговорите с НАГом они вам реальные цены скажут. Так это перемаркированыый а10 если честно ЭкоНАТ даже рядом не стоял с А10. Только внешняя коробка похожа, а главное софт абсолютно ничего общего с А10 не имеют.