В этой теме предлагается обсуждать решения A10 Networks для CG-NAT и миграции к IPv6

 

Сайт производителя - http://www.a10networks.com

 

Основные преимущества:

1.Отсутствие лицензий (для железных версий)

2.Маленький размер (1U)

3.Лучшее соотношение цена/функциональность/производительность среди аналогов.

 

Поддержка функционала:

 

Networking

● Integrated Layer 2/Layer 3

● Transparent Mode/Gateway Mode

● Routing – Static Routes, IS-IS (v4/v6), RIPv2/ng, OSPF v2/v3, BGP4+

● VLAN (802.1Q)

● Trunking (802.1AX), LACP

● Access Control Lists (ACLs)

● Traditional IPv4-->IPv4 NAT/NAPT

● IPv6-->IPv6 NAPT

● Jumbo frame support

 

IPv6 Migration/IPv4 Preservation

● Full native IPv6 management and feature support

● SLB-PT (Protocol Translation), SLB-64 (IPv4<->IPv6, IPv6<->IPv4)

● Application Level Gateways (ALGs) for FTP, TFTP, RTSP, PPTP, SIP, ICMP, DNS, ESP

● Carrier Grade NAT (CGN), Large Scale NAT (LSN), NAT444, NAT44, NAT46

● NAT64/DNS64, DS-Lite, 6rd

 

Datasheet на оборудование:

AX3030 - 2x10GE

AX3400 - 4x10GE

AX3530 - 16x10GE

AX6430S - 16x10GE и 4х40GE

 

SoftAX

 

Datasheet

 

Реализация CG-NAT и IPv6 migration в виде образа для большинства популярных систем виртуализации - vmWare, KVM, Hyper-V, XEN

Полная функциональность железной версии AX!

Бесплатная лицензия на полосу 4Gbps и продолжительность 90 дней для любого заказчика НАГ!

 

Запрос на лицензию и ссылку на скачивание дистрибутива посылать на support at nag dot ru

В запросе указать:

1.Название компании

2.Физический адрес(достаточно города)

3.Web сайт

4.Название вашей любимой системы виртуализации(поддерживаются vmWare, KVM, Hyper-V, XEN)

 

В ответ вы получите ссылку на скачивание дистрибутива и инструкции по установке.

 

Дистрибутив в себя включает:

1.Образ виртуальной машины

2.Инструкция по установке и активации лицензии

3.Версия ПО на которую необходимо произвести апгрейд после установки.

4.Документ по быстрой настройке CG-NAT/LSN.

5.Документация по настройке через CLI/WEB.

 

После установки дистрибутива необходимо получить лицензию, для этого в консоли вводите show license и копируете из вывода HostID.

Этот HostID необходимо отправить в ответ, и уже в ответ получаете файл с лицензией, которую можно активировать из CLI или Web интерфейса(подробный процесс активации описан в инструкции).

 

Все дополнительные вопросы можете задавать здесь или по почте - support at nag dot ru

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Для начала можно написать сколько трансляций NAT44 держит каждая коробка, т.к. в мануалах только CPS.

И сколько дуплекса и какими пакетами они держат на максимальном кол-ве трансляций.

 

После этого пошли бы более узкие вопросы, например по СОРМ, как то включение в нетфлов адреса и порта назначения в EIM.

 

Вот уже отзывы пошли

http://forum.nag.ru/forum/index.php?showtopic=85799&view=findpost&p=848635

Изменено пользователем rus-p

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Где прочитать цифры по модели AX3530 ?

Интересует кол-во маршрутов OSPF и BGP.

Так же возможности по трансляциям VLAN.

SPAN сессии ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

на семинаре Дни решений НАГ можно вопросы позадавать представителям а10

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

в НАГе предлагают оборудование A10 в тест, AX3530 есть в России, надо записываться в очередь

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

в НАГе предлагают оборудование A10 в тест, AX3530 есть в России, надо записываться в очередь

Получили AX3530 в тест, пока больше нравится, если есть вопросы можно спросить - держу в руках, могу попробовать разные варианты. Для NAT и правда много плюшек, по идеалогии внутри Cisco. Сейчас стоит на участке сети ~6Гбит/c в одном направлении ~3 в другом, примерно по ровну 0,5Mpps.

Вот так выглядит на треть нагрузки:

 

>show ip nat lsn system-status
CPU Usage:
----------
Control CPU 1 :  26%
Data CPU 1    :   4%
Data CPU 2    :   5%
Data CPU 3    :   4%
Data CPU 4    :   4%
Data CPU 5    :   4%
Data CPU 6    :   4%
Data CPU 7    :   4%
Data CPU 8    :   7%
Data CPU 9    :   4%
Data CPU 10   :   4%
Data CPU 11   :   4%
Data CPU 12   :   4%
Data CPU 13   :   4%
Data CPU 14   :   5%
Data CPU 15   :   4%
Data CPU 16   :   4%
Data CPU 17   :   5%
Data CPU 18   :   4%
Data CPU 19   :   4%
Data CPU 20   :   4%
Data CPU 21   :   5%
Data CPU avg  :   4%

Memory Status:
--------------
Total Memory(KB): 66105078
Used Memory(KB) : 27655814
Free Memory(KB) : 38449264
Memory Usage    : 41.8%

Sessions Status:
----------------
LSN CPS           : 12963
Data Sessions Used: 944731
Data Sessions Free: 63676195
SMP Sessions Used : 538125
SMP Sessions Free : 63504383

NAT Port Usage:
---------------
TCP NAT Ports Used: 515806
TCP NAT Ports Free: 498032930
UDP NAT Ports Used: 16533
UDP NAT Ports Free: 498532203

 

>show session nat44
Traffic Type                       Total
--------------------------------------------
TCP Established                    148338
TCP Half Open                      14003
UDP                                1124712
Non TCP/UDP IP sessions            140
Other                              7
Reverse NAT TCP                    70594
Reverse NAT UDP                    865089
Curr Free Conn                     63685708
Conn Count                         336010661
Conn Freed                         334652860
TCP SYN Half Open                  0
Conn SMP Alloc                     0
Conn SMP Free                      0
Conn SMP Aged                      0
Conn Type 0 Available              128248852
Conn Type 1 Available              63685708
Conn Type 2 Available              31888367
Conn Type 3 Available              15867904
Conn Type 4 Available              7933952
Conn SMP Type 0 Available          126943232
Conn SMP Type 1 Available          63504383
Conn SMP Type 2 Available          31735808
Conn SMP Type 3 Available          15867904
Conn SMP Type 4 Available          7933952

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

т.е. суммарно 9г и 500к пакетов?

сколько трансляций

цена девайса

как натит pptp

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

т.е. суммарно 9г и 500к пакетов?

сколько трансляций

цена девайса

как натит pptp

 

Суммарно 1М пакетов, даже побольше выйдет:

 

>show int stat
Port  InPPS          InBPS          OutPPS         OutBPS         Time
--------------------------------------------------------------------------
7     428222.29      414581761.32   323051.13      183542463.39   19:45:59
8     1.19           93.71          0.00           0.00           19:45:59
9     324314.61      185432647.67   421858.00      415398829.75   19:45:59

 

По предельным значениям для тюнинга, есть вот такое:

 

>show system resource-usage
Resource                         Current    Default    Minimum    Maximum
--------------------------------------------------------------------------
l4-session-count                 67108864   67108864   16777216   268435456
nat-pool-addr-count              20000      2048       512        20480
real-server-count                1024       1024       512        16384
real-port-count                  2048       2048       512        32768
service-group-count              512        512        512        16384
virtual-port-count               1024       1024       256        16384
virtual-server-count             512        512        512        8192
http-template-count              256        256        32         8192
proxy-template-count             256        256        32         8192
conn-reuse-template-count        256        256        32         8192
fast-tcp-template-count          256        256        32         8192
fast-udp-template-count          256        256        32         8192
client-ssl-template-count        256        256        32         16384
server-ssl-template-count        256        256        32         16384
stream-template-count            256        256        32         8192
persist-cookie-template-count    256        256        32         8192
persist-srcip-template-count     256        256        32         8192
class-list-ipv6-addr-count       4096000    4096000    4096000    8192000
fixed-nat-ip-addr-count          512000     512000     512000     512000
fixed-nat-inside-user-count      16000000   16000000   16000000   16000000

 

Выше я приводил вывод с трансляциями/сессиями там видно сколько ещё свободно. Вот так по пулам распределяется (первые 10 адресов):

 

>show ip nat lsn pool-statistics top 10 used
LSN Address Pool Statistics:
----------------------------
Users    ICMP     Freed    Total    UDP      Freed    Total    Rsvd     TCP      Freed    Total    Rsvd
------------------------------------------------------------------------------------------------------------------------------------------------------
1        0        3        3        15       357      372      0        5458     277587   283045   0
3        0        1611     1611     3133     195746   198879   0        817      136116   136933   0
3        1        494      495      275      32907    33182    0        3144     373907   377051   0
3        0        4        4        5        28       33       0        2616     61910    64526    0
2        0        1612     1612     156      11728    11884    0        2151     234890   237041   0
4        0        2        2        7        32       39       0        2228     282617   284845   0
3        0        1        1        6        133      139      0        2121     170431   172552   0
3        0        5        5        8        152      160      0        2093     169651   171744   0
2        0        4        4        8        2542     2550     0        2062     216333   218395   0
3        0        1        1        55       1560     1615     0        1999     54195    56194    0

 

Больше написанного раньше загрузить не смогу, но вот что обещают http://www.a10networks.com/products/axseries_cgn.php (надо щёлкнуть на models).

 

PPTP пока не тестировал, опять же есть кнопки включения/выключения, следующих протоколов:

(config)#ip nat lsn alg ?
 esp   LSN ESP ALG Settings
 ftp   LSN FTP ALG Settings
 pptp  LSN PPTP ALG Settings
 rtsp  LSN RTSP ALG Settings
 sip   LSN SIP ALG Settings
 tftp  LSN TFTP ALG Settings

 

Вот так насчиталось PPTP (сам пока не пробовал):

 

>show ip nat lsn alg pptp statistics
LSN PPTP ALG Statistics:
---------------------------
Calls Established                        21
Mismatched PNS Call ID                   2
GRE Sessions Created                     1080
GRE Sessions Freed                       1074
No Matching GRE Session                  0

 

Вот так FTP считается, на вскидку активный режим работает (по крайней мере на ftp.dlink.ru), но тоже пока не углублялся:

 

>show ip nat lsn alg ftp statistics
LSN FTP ALG Statistics:
---------------------------
PORT Requests From Client                10024
EPRT Requests From Client                57
LPRT Requests From Client                0
PASV Replies From Server                 856
EPSV Replies From Server                 138
LPSV Replies From Server                 0

 

По цене, сумма в договоре больше 5М.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

я не ошибся

 

AX3530 это на секунду 16х10GE и соответствующий перфоманс, по загрузке дата плейна в 4-5% на 10гигах трафика это видно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

я не ошибся

 

AX3530 это на секунду 16х10GE и соответствующий перфоманс, по загрузке дата плейна в 4-5% на 10гигах трафика это видно.

Оба утверждения верны. Не было даже намёка на проблемы с производительностью, для нашей сети, мы этим устройством многократно перекрываем даже самые смелые прогнозы.

 

С туннелями, всё до чего дотянулся, из более-менее типичного для Windows - проблем в работе не возникло.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

цена 5млн руб я не ошибся?

 

в НАГе обещают скоро: Thunder 3030S - решение на 4 порта по 10Гбит/с, и 30 Гбит НАТ трафика (15 Гбит транзита) дешевле 29к, что при текущем курсе в районе 1М

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

На мой взгляд вопрос цены здесь на первом месте, к примеру стоит у меня под NAT пара серверов на ксеонах на базе супермикро ну и srx3600

последний сервер это Xeon E5-2687v2 цена составила 264000руб, по моему соотношению трафик/pps сервера должно хватить отнатить 12Г трафика суммарно

прошлый сервер двухлетней давности с идентичносй стоимостью хватает на 8Г трафика

итого в данный момент за 500к рублей у меня есть два сервера на 20Г моего трафика

 

хотя если брать большие объемы то так навскидку AX3530 выглядит по интереснее чем ISM модуль для asr9k

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

ISM модуль для asr9k

это тот который на реальном трафике дает 10-12Г за 100к + лицензия на CGNAT в GPL? :)))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

да-да он самый, но циска говорила что дать точные данные по производительности не может

вы тестили этот модуль?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

вы тестили этот модуль?

 

нет. у меня есть данные из московского представительства Cisco

кроме того, в одной из презенташек с cisco live написано

CGv6: 20M translations, 1M translations/sec., ~15Gbps throughput / ISM

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

На мой взгляд вопрос цены здесь на первом месте, к примеру стоит у меня под NAT пара серверов на ксеонах на базе супермикро ну и srx3600

последний сервер это Xeon E5-2687v2 цена составила 264000руб, по моему соотношению трафик/pps сервера должно хватить отнатить 12Г трафика суммарно

прошлый сервер двухлетней давности с идентичносй стоимостью хватает на 8Г трафика

итого в данный момент за 500к рублей у меня есть два сервера на 20Г моего трафика

О_О что-то дороговато у вас нат выходит, у нас в несколько раз меньше на 20G ната.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Вопрос в том что может Nat на Linux и чем управляется и что может nat от A10, сравнение яоно не в пользу первого будет

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

это спор из серии "а я поставлю микротик и буду консультироваться бесплатно с сумасшедшими на форумах, чем куплю <...>(подставьте что угодно)", он бессмысленный по своей природе.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

А правильно ли я понимаю, что 256 млн. сессий на коробку считаются для обоих направлений ?

т.е. трансляций всего 128 млн.

Это объясняет поля Reverse UDP/TCP и съеденные 3 млн из 67 млн.

 

Sessions Status:

----------------

LSN CPS : 12963

Data Sessions Used: 944731

Data Sessions Free: 63676195

SMP Sessions Used : 538125

SMP Sessions Free : 63504383

 

>show session nat44

Traffic Type Total

--------------------------------------------

TCP Established 148338

TCP Half Open 14003

UDP 1124712

Non TCP/UDP IP sessions 140

Other 7

Reverse NAT TCP 70594

Reverse NAT UDP 865089

Curr Free Conn 63685708

 

 

>show system resource-usage

Resource Current Default Minimum Maximum

--------------------------------------------------------------------------

l4-session-count 67108864 67108864 16777216 268435456

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

это спор из серии "а я поставлю микротик и буду консультироваться бесплатно с сумасшедшими на форумах, чем куплю <...>(подставьте что угодно)", он бессмысленный по своей природе.

 

 

ну почему так сразу, я использовал под NAT циску джун и сервера на линуксе

циска ASA все нормально но при глюках pptp надо клирить все сессии

джун srx3600 650 все нормально но опять при глюках pptp надо клирить пул, хорошо хоть не все трансляции как на циске

сервера на линуксе - все нормально, sysctl вылизали под себя где-то за неделю, из сложного один физ порт сетевой (10ГЕ) привязываем к одному физ процу

насколько я понял у A10 этим занимается специализированный асик, ну а мы просто руками разбросали. У srx3600 балансировкой между разными SPC также занимается один SPC

принцип тот-же

самому же клиенту собственно без разницы через какой nat ходить в интернет, разницу он не заметит

я бы попробовал A10 но вот цена как я уже писал выше не особо устраивает благо есть альтернатива подешевле

или у а10 кроме автоматической балансировки между процами есть какие-то другие очень вкусные плюшки наличие которых усиливает желание его купить?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

вы использовали классический NAT или CG-NAT?

под CG-NAT имеется ввиду RFC4787,RFC5382,RFC5508, Механизмы Endpoint Independent Mapping/Filtering и draft-nishitani-cgn (RFC6888) а так же логгирование трансляций и/или аллокаций портблоков с помощью Netflow v9/syslog/RADIUS.

какой вариант пакетного фильтра реализует его под Linux/FreeBSD?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

да вопрос кстати очень хороший, у нас класический NAT

1. насчет логгирования c самих серверов снимаем netlow (ipt он систему не грузит) ну и далее отправляем на коллектор где при архивации вырезаем ненужные поля и храним данные

2. rfc4787 вот с этим не понял что вы имеете в виду, проблем с ALG у линукса нет в отличии от той же cisco juniper

3. rfc5382 в чем отличия в NAT && CG-NAT, и там и там таймеры крутите как вам угодно

4. RFC5508 тоже не вижу проблем, хотя мы на других железках лимитируем клиентский icmp

 

 

давайте так, я клиент который скажем импользует vpn, играет, смотрит видео онлайн

мне предлагают на выбор девайс для ната, пусть это будет:

Сisco ASA

Juniper SRX

сервер с linux

A10

сервисная плата ism для ASR9k

можете убедить меня что через A10 у меня инет будет лучше?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти
Подписчики 0