Перейти к содержимому
Калькуляторы

BRAS soft для Linux (шейпер, файрволл, CG-NAT) Еще один софт для нарезки скорости клиентам

 

А для того, чтобы исключить серый IP из SNAT - лучше всего разбить сеть на префиксы и добавлять только те, в которых все адреса нужно натить.

Как вариант, можно сделать ACL и фильтровать в каждом профиле, но так по-моему криво :)

я не правильно выразился. Я имел ввиду исключения для DST IP сетей. К примеру если DST IP к примеру в определенный список сетей - то их не натить, и пакет уйдет согласно next-hop

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

я не правильно выразился. Я имел ввиду исключения для DST IP сетей. К примеру если DST IP к примеру в определенный список сетей - то их не натить, и пакет уйдет согласно next-hop

Тогда все проще :) делаете проверку ACL и разрешайте пакет до того, как будет SNAT. В обратную сторону нат не будет применятся, так как DST адрес будет внутренним и все будет бегать как надо ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Еще вопрос, приоритизация в каком-либо виде трафика возможна сейчас/в планах?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Единственное "но" - без суппорта на новую версию нужно снова покупать лицензию (естественно, не касается багфикс-релизов). С суппортом обновление бесплатное

Новая версия это 16 17 18 и т.д.?

Стоимость суппорта?

для резидентов России у нас скидка - 30%, у партнеров цена может быть получше.

А для не богатых белорусов сколько скидка? и где ваших партнеров найти?

Изменено пользователем banec

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Еще вопрос, приоритизация в каком-либо виде трафика возможна сейчас/в планах?

Пока не планировали. А какая именно приоритезация нужна? В пределах сессии или глобально? Мы сейчас обрабатываем пакет сразу как он приходит - пропускаем его или дропаем. Если не надо добавлять пакеты в очередь, то принять решение пропустить пакет или дропнуть на основе приоритета вполне можно. Вопрос только как лучше написать такой функционал и как сделать, чтобы было удобно с ним работать ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Новая версия это 16 17 18 и т.д.?

Стоимость суппорта?

Да, новые версии считаем по мажорной версии. По суппорту - 1295 евро в год.

 

А для не богатых белорусов сколько скидка? и где ваших партнеров найти?

В Белоруссии пока у нас партнеров нет, но скидки те же, что и для России.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

. А какая именно приоритезация нужна? В пределах сессии или глобально?

нам бы интересно глобально на основе DPI

т.е. пропустить вперед например ютуб, видео или какие подсети, а торрент или остальной траф прижать

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

нам бы интересно глобально на основе DPI

т.е. пропустить вперед например ютуб, видео или какие подсети, а торрент или остальной траф прижать

Если подходить к этой задаче, как к DPI, то наш софт не особо подходит : наш DPI - state-less, соответственно разделять потоки не умеет.

для правильной приоритезации нужны именно потоки, как в conntrack например. Так что для ваших требований нужны скорее iptables+conntrack+l7-filter или SCE

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Выпущена alpha1 версии 16.8. В CG-NAT сделано много изменений :

 


  •  
  • Улучшена система блокировок
  • Поддержка нескольких Nat-пулов для каждой сессии (раньше поддерживался только один)
  • Возможность блэклистинга публичных портов (не выдаются клиентам)
  • Публичные порты 0-1024 не используются в NAT
  • Поддержка дополнительных слотов для сессии
     

 

Ключи от 16.2 будут совместимы и с 16.8, заменять лицензии не нужно!

 

Качать тут : http://www.uplink-spe.com/downloads/alpha_builds/uplink-spe_16.8alpha1_centos7-3.10.0-327.22.2.el7.x86_64.tar.gz

Поскольку в Ubuntu ядро 4.4 пока еще не стабильно, работаем пока что с Centos.

 

Настройка NAT такая же как и в 16.2 - так что старая документация актуальна и для 16.8.

Настройка блэклистинга и дополнительных слотов будет в следующей альфе, тогда же и подготовим отдельную документацию для новой версии.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Разработка продукта идет как-то?

С одной стороны понимаю, это такая штука что частые обновления не нужны, а с другой тишина заставляет задуматься. Проект жив или нет?

Ну и по теме:

Я так понял все вланы с коммутатора я загоняю на сервер который сейчас делает у меня NAT.

Вланов что-то около 400. Маков суммарно 9000. Трафик 6 Гиг.

Сервак сможет это все переварить? Я никогда на сервер столько мак-адресов не пригонял.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Разработка продукта идет как-то?

С одной стороны понимаю, это такая штука что частые обновления не нужны, а с другой тишина заставляет задуматься. Проект жив или нет?

Ну и по теме:

Я так понял все вланы с коммутатора я загоняю на сервер который сейчас делает у меня NAT.

Вланов что-то около 400. Маков суммарно 9000. Трафик 6 Гиг.

Сервак сможет это все переварить? Я никогда на сервер столько мак-адресов не пригонял.

Да, конечно! Новые версии пока не выпускаем, так как нужно обновить все API сразу и на пол пути релиза не выйдет :/

Для уточнения - трафик общий 6 Гиг или 6Гиг в каждую сторону (т.е. 12 в сумме)?

Во втором случае топовый I7 будет очень близок к своим возможностям, и лучше такой трафик вместе с NATом все же разделить на два сервера. Дольше хватит, да и надежнее (всегда можно без перебоев их обновить/заменить).

Как ни странно, но shared кэш I7 работает эффективнее, чем большее количество ядер и per-core кэш в E5. Да и цена на E5 сильно грустнее.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Добрый день!

Не нашел на сайте формы обратной связи, поэтому пишу сюда.

1. Умеет ли ваш модуль binat или NAT 1 в 1 для 4к адресов

2. Можно ли удлинить период тестирования хотя бы до 36 часов... за 24 часа как-то не понять где и что мрет

3. как доказать что я резидент России?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Добрый день!

Не нашел на сайте формы обратной связи, поэтому пишу сюда.

1. Умеет ли ваш модуль binat или NAT 1 в 1 для 4к адресов

2. Можно ли удлинить период тестирования хотя бы до 36 часов... за 24 часа как-то не понять где и что мрет

3. как доказать что я резидент России?

Здравствуйте!

1. да, ограничений нет

2. к сожалению, пока нет

3. Достаточно, если контактный е-майл будет с домена компании и это не почтовый хостинг :)

 

Наверняка у вас требования не только в NAT 1:1, так что дайте знать если будут какие-либо вопросы, постараюсь помочь!

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Добрый день.

 

Есть несколько вопросов:

1) Когда ждать https в DPI? Поддерживает ли DPI маски типа *.vasya.petya.com которые сейчас популярны в реестре. Редирект на страницу статистики предусмотрен?

2) Может есть опыт у Вас или у сообщества, имеется в текущей конфигурации NAT сервер, делает только нат, шейперы, открывает закрывает доступ. Конфиг мать X9DRW-7/iTPF, CPU E5-2680v2@2.80GHz два (всего 20 ядер), память 32G, сеть на 82599ES 10Gx2. Сейчас 8G трафа и 1.2M пакетов... Загрузка по CPU порядка 20% на ядро.

Вопрос, у кого сколько выжимает при примерно этом же конфиге железа и применении CG-NAT? Хочется понять будет ли выгода в приобретении, или просто поменять сетевуху и жить дальше со скриптами пока производительности хватает... )

3) При покупке лицензии без тех.под. В случае выявления багов или ошибок в работе - помощь оказывается?

4) Не совсем понял как организованы логи соединений. У меня сейчас netflow собирается. В вашем случае что применяется?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Добрый день.

 

Есть несколько вопросов:

1) Когда ждать https в DPI? Поддерживает ли DPI маски типа *.vasya.petya.com которые сейчас популярны в реестре. Редирект на страницу статистики предусмотрен?

2) Может есть опыт у Вас или у сообщества, имеется в текущей конфигурации NAT сервер, делает только нат, шейперы, открывает закрывает доступ. Конфиг мать X9DRW-7/iTPF, CPU E5-2680v2@2.80GHz два (всего 20 ядер), память 32G, сеть на 82599ES 10Gx2. Сейчас 8G трафа и 1.2M пакетов... Загрузка по CPU порядка 20% на ядро.

Вопрос, у кого сколько выжимает при примерно этом же конфиге железа и применении CG-NAT? Хочется понять будет ли выгода в приобретении, или просто поменять сетевуху и жить дальше со скриптами пока производительности хватает... )

3) При покупке лицензии без тех.под. В случае выявления багов или ошибок в работе - помощь оказывается?

4) Не совсем понял как организованы логи соединений. У меня сейчас netflow собирается. В вашем случае что применяется?

Здравствуйте!

1) Перехват зашифрованного трафика пока не планируется. Маски поддерживаются, редирект через tproxy на ваш squid или что-то подобное. Если все пойдет через squid то и все списки там все равно удобнее держать.

2) Предел всегда очень зависит от конфигурации файрвола, и пока скриптов и железа хватает - не думаю, что от миграции будет выигрыш. Разве что в плане удобства :)

3) да, но без SLA и в порядке приоритетов

4) логов соединений нет, но тот же netflow можете собирать теми же средствами

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Продукт платный, но плата за лицензию одноразовая (за каждый BRAS, но не дорого :)

Мы даже mpls не можем внедрить, так как его нет в linux а тут CG-NAT какойто - не нужно

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Почему нет? Ставите frr и вперед.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Почему нет? Ставите frr и вперед.

 

У меня посему-то mpls там работал со скоростью 70-80Mbps. Правда, mpls я настраивал руками в netns.

Хотя, может я его криво настраивал.

Изменено пользователем ne-vlezay80

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

arni Когда ждать релиз 17 ?

Изменено пользователем banec

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Пока что мы делаем багфиксы, 17.2 будет со следующей порцией исправлений.

У нас много изменений для следующего мажорного релиза с кластеризацией и нового cli, поэтому промежуточные версии сейчас не готовим.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

arni Пока сидим на lISG , но смотрю на вашу разработку.

+ Хотелось в документации видеть примеры, как это делает cisco, да и даже китайцы на своё оборудование пишут примеры настройки.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

arni Пока сидим на lISG , но смотрю на вашу разработку.

+ Хотелось в документации видеть примеры, как это делает cisco, да и даже китайцы на своё оборудование пишут примеры настройки.

Примеров добавим, но со следующих версий - там как раз много изменений будет по CLI и фичам.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Решил заглянуть.

что-то не поменялось за это время ни чего на сайте.

17.2 так в альфе и висит.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

3 hours ago, banec said:

Решил заглянуть.

что-то не поменялось за это время ни чего на сайте.

17.2 так в альфе и висит.

 

Да, допиливаем новую версию и потому пока что билды делаем по запросу от клиентов.

Новая документация будет уже на новом сайте, запустим вместе со следующей версией софта!

Изменено пользователем arni

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.