SyJet Опубликовано 13 апреля, 2016 · Жалоба А для того, чтобы исключить серый IP из SNAT - лучше всего разбить сеть на префиксы и добавлять только те, в которых все адреса нужно натить. Как вариант, можно сделать ACL и фильтровать в каждом профиле, но так по-моему криво :) я не правильно выразился. Я имел ввиду исключения для DST IP сетей. К примеру если DST IP к примеру в определенный список сетей - то их не натить, и пакет уйдет согласно next-hop Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
arni Опубликовано 13 апреля, 2016 · Жалоба я не правильно выразился. Я имел ввиду исключения для DST IP сетей. К примеру если DST IP к примеру в определенный список сетей - то их не натить, и пакет уйдет согласно next-hop Тогда все проще :) делаете проверку ACL и разрешайте пакет до того, как будет SNAT. В обратную сторону нат не будет применятся, так как DST адрес будет внутренним и все будет бегать как надо ;) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SyJet Опубликовано 15 апреля, 2016 · Жалоба Еще вопрос, приоритизация в каком-либо виде трафика возможна сейчас/в планах? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
banec Опубликовано 16 апреля, 2016 (изменено) · Жалоба Единственное "но" - без суппорта на новую версию нужно снова покупать лицензию (естественно, не касается багфикс-релизов). С суппортом обновление бесплатное Новая версия это 16 17 18 и т.д.? Стоимость суппорта? для резидентов России у нас скидка - 30%, у партнеров цена может быть получше. А для не богатых белорусов сколько скидка? и где ваших партнеров найти? Изменено 16 апреля, 2016 пользователем banec Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
arni Опубликовано 18 апреля, 2016 · Жалоба Еще вопрос, приоритизация в каком-либо виде трафика возможна сейчас/в планах? Пока не планировали. А какая именно приоритезация нужна? В пределах сессии или глобально? Мы сейчас обрабатываем пакет сразу как он приходит - пропускаем его или дропаем. Если не надо добавлять пакеты в очередь, то принять решение пропустить пакет или дропнуть на основе приоритета вполне можно. Вопрос только как лучше написать такой функционал и как сделать, чтобы было удобно с ним работать ;) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
arni Опубликовано 18 апреля, 2016 · Жалоба Новая версия это 16 17 18 и т.д.? Стоимость суппорта? Да, новые версии считаем по мажорной версии. По суппорту - 1295 евро в год. А для не богатых белорусов сколько скидка? и где ваших партнеров найти? В Белоруссии пока у нас партнеров нет, но скидки те же, что и для России. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
banec Опубликовано 19 апреля, 2016 · Жалоба . А какая именно приоритезация нужна? В пределах сессии или глобально? нам бы интересно глобально на основе DPI т.е. пропустить вперед например ютуб, видео или какие подсети, а торрент или остальной траф прижать Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
arni Опубликовано 19 апреля, 2016 · Жалоба нам бы интересно глобально на основе DPI т.е. пропустить вперед например ютуб, видео или какие подсети, а торрент или остальной траф прижать Если подходить к этой задаче, как к DPI, то наш софт не особо подходит : наш DPI - state-less, соответственно разделять потоки не умеет. для правильной приоритезации нужны именно потоки, как в conntrack например. Так что для ваших требований нужны скорее iptables+conntrack+l7-filter или SCE Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
arni Опубликовано 30 июня, 2016 · Жалоба Выпущена alpha1 версии 16.8. В CG-NAT сделано много изменений : Улучшена система блокировок Поддержка нескольких Nat-пулов для каждой сессии (раньше поддерживался только один) Возможность блэклистинга публичных портов (не выдаются клиентам) Публичные порты 0-1024 не используются в NAT Поддержка дополнительных слотов для сессии Ключи от 16.2 будут совместимы и с 16.8, заменять лицензии не нужно! Качать тут : http://www.uplink-spe.com/downloads/alpha_builds/uplink-spe_16.8alpha1_centos7-3.10.0-327.22.2.el7.x86_64.tar.gz Поскольку в Ubuntu ядро 4.4 пока еще не стабильно, работаем пока что с Centos. Настройка NAT такая же как и в 16.2 - так что старая документация актуальна и для 16.8. Настройка блэклистинга и дополнительных слотов будет в следующей альфе, тогда же и подготовим отдельную документацию для новой версии. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
wed Опубликовано 28 октября, 2016 · Жалоба Разработка продукта идет как-то? С одной стороны понимаю, это такая штука что частые обновления не нужны, а с другой тишина заставляет задуматься. Проект жив или нет? Ну и по теме: Я так понял все вланы с коммутатора я загоняю на сервер который сейчас делает у меня NAT. Вланов что-то около 400. Маков суммарно 9000. Трафик 6 Гиг. Сервак сможет это все переварить? Я никогда на сервер столько мак-адресов не пригонял. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
arni Опубликовано 1 ноября, 2016 · Жалоба Разработка продукта идет как-то? С одной стороны понимаю, это такая штука что частые обновления не нужны, а с другой тишина заставляет задуматься. Проект жив или нет? Ну и по теме: Я так понял все вланы с коммутатора я загоняю на сервер который сейчас делает у меня NAT. Вланов что-то около 400. Маков суммарно 9000. Трафик 6 Гиг. Сервак сможет это все переварить? Я никогда на сервер столько мак-адресов не пригонял. Да, конечно! Новые версии пока не выпускаем, так как нужно обновить все API сразу и на пол пути релиза не выйдет :/ Для уточнения - трафик общий 6 Гиг или 6Гиг в каждую сторону (т.е. 12 в сумме)? Во втором случае топовый I7 будет очень близок к своим возможностям, и лучше такой трафик вместе с NATом все же разделить на два сервера. Дольше хватит, да и надежнее (всегда можно без перебоев их обновить/заменить). Как ни странно, но shared кэш I7 работает эффективнее, чем большее количество ядер и per-core кэш в E5. Да и цена на E5 сильно грустнее. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bigstikk Опубликовано 3 февраля, 2017 · Жалоба Добрый день! Не нашел на сайте формы обратной связи, поэтому пишу сюда. 1. Умеет ли ваш модуль binat или NAT 1 в 1 для 4к адресов 2. Можно ли удлинить период тестирования хотя бы до 36 часов... за 24 часа как-то не понять где и что мрет 3. как доказать что я резидент России? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
arni Опубликовано 8 февраля, 2017 · Жалоба Добрый день! Не нашел на сайте формы обратной связи, поэтому пишу сюда. 1. Умеет ли ваш модуль binat или NAT 1 в 1 для 4к адресов 2. Можно ли удлинить период тестирования хотя бы до 36 часов... за 24 часа как-то не понять где и что мрет 3. как доказать что я резидент России? Здравствуйте! 1. да, ограничений нет 2. к сожалению, пока нет 3. Достаточно, если контактный е-майл будет с домена компании и это не почтовый хостинг :) Наверняка у вас требования не только в NAT 1:1, так что дайте знать если будут какие-либо вопросы, постараюсь помочь! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
KotikBSd Опубликовано 9 февраля, 2017 · Жалоба Добрый день. Есть несколько вопросов: 1) Когда ждать https в DPI? Поддерживает ли DPI маски типа *.vasya.petya.com которые сейчас популярны в реестре. Редирект на страницу статистики предусмотрен? 2) Может есть опыт у Вас или у сообщества, имеется в текущей конфигурации NAT сервер, делает только нат, шейперы, открывает закрывает доступ. Конфиг мать X9DRW-7/iTPF, CPU E5-2680v2@2.80GHz два (всего 20 ядер), память 32G, сеть на 82599ES 10Gx2. Сейчас 8G трафа и 1.2M пакетов... Загрузка по CPU порядка 20% на ядро. Вопрос, у кого сколько выжимает при примерно этом же конфиге железа и применении CG-NAT? Хочется понять будет ли выгода в приобретении, или просто поменять сетевуху и жить дальше со скриптами пока производительности хватает... ) 3) При покупке лицензии без тех.под. В случае выявления багов или ошибок в работе - помощь оказывается? 4) Не совсем понял как организованы логи соединений. У меня сейчас netflow собирается. В вашем случае что применяется? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
arni Опубликовано 10 февраля, 2017 · Жалоба Добрый день. Есть несколько вопросов: 1) Когда ждать https в DPI? Поддерживает ли DPI маски типа *.vasya.petya.com которые сейчас популярны в реестре. Редирект на страницу статистики предусмотрен? 2) Может есть опыт у Вас или у сообщества, имеется в текущей конфигурации NAT сервер, делает только нат, шейперы, открывает закрывает доступ. Конфиг мать X9DRW-7/iTPF, CPU E5-2680v2@2.80GHz два (всего 20 ядер), память 32G, сеть на 82599ES 10Gx2. Сейчас 8G трафа и 1.2M пакетов... Загрузка по CPU порядка 20% на ядро. Вопрос, у кого сколько выжимает при примерно этом же конфиге железа и применении CG-NAT? Хочется понять будет ли выгода в приобретении, или просто поменять сетевуху и жить дальше со скриптами пока производительности хватает... ) 3) При покупке лицензии без тех.под. В случае выявления багов или ошибок в работе - помощь оказывается? 4) Не совсем понял как организованы логи соединений. У меня сейчас netflow собирается. В вашем случае что применяется? Здравствуйте! 1) Перехват зашифрованного трафика пока не планируется. Маски поддерживаются, редирект через tproxy на ваш squid или что-то подобное. Если все пойдет через squid то и все списки там все равно удобнее держать. 2) Предел всегда очень зависит от конфигурации файрвола, и пока скриптов и железа хватает - не думаю, что от миграции будет выигрыш. Разве что в плане удобства :) 3) да, но без SLA и в порядке приоритетов 4) логов соединений нет, но тот же netflow можете собирать теми же средствами Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ne-vlezay80 Опубликовано 12 февраля, 2017 · Жалоба Продукт платный, но плата за лицензию одноразовая (за каждый BRAS, но не дорого :) Мы даже mpls не можем внедрить, так как его нет в linux а тут CG-NAT какойто - не нужно Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
k0ste Опубликовано 13 февраля, 2017 · Жалоба Почему нет? Ставите frr и вперед. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ne-vlezay80 Опубликовано 13 февраля, 2017 (изменено) · Жалоба Почему нет? Ставите frr и вперед. У меня посему-то mpls там работал со скоростью 70-80Mbps. Правда, mpls я настраивал руками в netns. Хотя, может я его криво настраивал. Изменено 13 февраля, 2017 пользователем ne-vlezay80 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
banec Опубликовано 15 февраля, 2017 (изменено) · Жалоба arni Когда ждать релиз 17 ? Изменено 21 февраля, 2017 пользователем banec Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
arni Опубликовано 15 февраля, 2017 · Жалоба Пока что мы делаем багфиксы, 17.2 будет со следующей порцией исправлений. У нас много изменений для следующего мажорного релиза с кластеризацией и нового cli, поэтому промежуточные версии сейчас не готовим. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
banec Опубликовано 16 февраля, 2017 · Жалоба arni Пока сидим на lISG , но смотрю на вашу разработку. + Хотелось в документации видеть примеры, как это делает cisco, да и даже китайцы на своё оборудование пишут примеры настройки. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
arni Опубликовано 18 февраля, 2017 · Жалоба arni Пока сидим на lISG , но смотрю на вашу разработку. + Хотелось в документации видеть примеры, как это делает cisco, да и даже китайцы на своё оборудование пишут примеры настройки. Примеров добавим, но со следующих версий - там как раз много изменений будет по CLI и фичам. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
banec Опубликовано 12 марта, 2018 · Жалоба Решил заглянуть. что-то не поменялось за это время ни чего на сайте. 17.2 так в альфе и висит. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
arni Опубликовано 12 марта, 2018 (изменено) · Жалоба 3 hours ago, banec said: Решил заглянуть. что-то не поменялось за это время ни чего на сайте. 17.2 так в альфе и висит. Да, допиливаем новую версию и потому пока что билды делаем по запросу от клиентов. Новая документация будет уже на новом сайте, запустим вместе со следующей версией софта! Изменено 12 марта, 2018 пользователем arni Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
yadvlz Опубликовано 18 июля, 2018 · Жалоба Как дела с 17-ой версией? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...