Cisco ASR1001-X и CGNAT

[Urs_ak]

Подскажите пожалуйста

 

Cisco ASR1001-X как CGNAT (ipv4) нормально по современным меркам для мелкого оператора ?

 

Надо чтобы серый ip натился в конкретный белый ip из пула, netflow и т.п.

 

Абоненты потенциально сгенерят 6-8 Гбит/с трафика в ЧНН в ближайшие 2 года

 

В 1001 заявлено 2 млн сессий CGNAT

 

Руководство раньше хотело выдавать всем белый ip, но передумало и хочет NAT

Сейчас пограничного маршрутизатора нету, в его качестве коммутатор принимающий default, далее два БРАСа SE100

 

Рассматривается вариант поставить 1001-X как бордер с дефолтом + CGNAT + netflow с nat-трансляциями для СОРМа

 

Спасибо.

[SOFTOLAB]

Лучше рассмотреть микротик в виде 1072, или в виде тазика.

[pppoetest]

37 минут назад, SOFTOLAB сказал:

Лучше рассмотреть микротик в виде 1072, или в виде тазика.

Крайне плохой совет, если уж юзать софтовое, то лучше обычно приготовленный линукс.

[Urs_ak]

Микротик не хочется, а тазик рассматривается в последнюю очередь, т.к. его ещё готовить надо, а купят выбранное у нас, как обычно, в самый-самый последний момент.

 

б/у ASR1001-X - по цене нормально, хотелось бы услышать про неё от бывалых, типа да, cgnat + netflow, без FV - нормально будет работать. Или не нормально.

[NiTr0]

3 часа назад, SOFTOLAB сказал:

Лучше рассмотреть микротик в виде 1072

дадада, с его волшебным скачущим пингом до сотен миллисекунд при ~50% нагрузке в среднем по палате)))

[vurd]

Вопрос про нат очень интересный. Коллеги отказались от использования ната на нем и юзают проприетарный тазик для этих целий. Получается паровозик.

Вообще это стандартная топология. Брас только терминирует, полисит а за ним(и) нат ферма на пэка, я так понимаю, нормального ната в железе до сих пор не видать.

 

Чем не устраивает текущая конфигурация с се100? Портами?

[ShyLion]

При использовании CGNAT есть проблема последующего разбора кто показывал писю детям во вконтактике.

Сами перешли на СКАТ и пока очень довольны.

[Urs_ak]

1 час назад, vurd сказал:

Чем не устраивает текущая конфигурация с се100? Портами?

В смысле включить NAT на SE100 ? (сейчас у всех белые ip)

 

Не хочется потому, что есть такие же упоминания, что люди убирали nat c se100 из-за проблем с производительностью, плюс netflow надо на нём включать

А с netflow на se100 уже быстренько огребли и выключили - народ жаловался что сессии рвутся, не хочется возвращаться к этому вопросу

 

Ну и портами, через 2 года они наверно будут меняться на какой-нибудь б/у mx80 с лицензиями

 

1 час назад, ShyLion сказал:

Сами перешли на СКАТ и пока очень довольны.

Решение на СКАТ-20 (лицензия Complete) + сервер с запасом до СКАТ-40 - это 1,8 ляма, дороговато

 

[VolanD666]

Нормальная железка, не слушайте этот бред про микротик. У нас натит 2,5 гига 100к трансляций примерно. Там же еще и ISG висит.

[passer]

5 минут назад, VolanD666 сказал:

Нормальная железка, не слушайте этот бред про микротик. У нас натит 2,5 гига 100к трансляций примерно. Там же еще и ISG висит.

И какая загрузка проца при этом? У ТС трафика раза в 3 больше
Трансляции при этом он как-то логирует?

Edited May 28, 2020 by passer

[VolanD666]

4 минуты назад, passer сказал:

И какая загрузка проца при этом? У ТС трафика раза в 3 больше

 

10-11% Но только причем тут загрузка проца?

[passer]

А NAT на микротике проц не кушает?

[VolanD666]

Стоп, кажется понял мою ошибку. Я говорил про ASR

[zhenya`]

Asr (а точнее esp) очень больно, если гонять много трафика белых адресов через ip nat inside/outside интерфейсы.

[VolanD666]

1 час назад, zhenya` сказал:

Asr (а точнее esp) очень больно, если гонять много трафика белых адресов через ip nat inside/outside интерфейсы.

Вы про смешивание маршрутизации и НАТа?

[zhenya`]

да, нат и роутинг без разделения.

Мешать то можно, если это будет vrf к примеру и там будет чисто серый трафик.

[Butch3r]

Нат на микротике аля ццр1036 полное гавно. У одного из наших операторов стоял такой, постоянно были заявки от абонентов на всякие разные жалобы. У него постоянно скачет проц, малейший ддос на его внешний адрес и это чудо сразу превращается в тыкву.

Перешли на 1002х, тех саппорт первые две недели вообще не мог ничего понять - мол куда делись заявки.

[SOFTOLAB]

On 5/28/2020 at 10:28 AM, ShyLion said:

кто показывал писю детям во вконтактике

Прописать в договоре запрет на данные действия.

On 5/28/2020 at 3:13 AM, NiTr0 said:

дадада, с его волшебным скачущим пингом до сотен миллисекунд при ~50% нагрузке в среднем по палате)))

Просто вы его готовить не умеете.

 

On 5/28/2020 at 12:17 AM, pppoetest said:

Крайне плохой совет, если уж юзать софтовое, то лучше обычно приготовленный линукс.

Не каждый сис.админ линукс голый осилит.

[NiTr0]

1 час назад, SOFTOLAB сказал:

Просто вы его готовить не умеете.

ну да, на 3 гигабита нужно стопку из 3 CCR1072 - один на нат, второй на шейпер, третий на терминацию абонов)))

[ShyLion]

17 hours ago, SOFTOLAB said:

Прописать в договоре запрет на данные действия.

Т.е. когда из отдела К приходит бамажка, отвечать что у нас договор с пользователями, что они писю детям не показывают, поэтому пройдите нах?

 

17 hours ago, SOFTOLAB said:

Не каждый сис.админ линукс голый осилит.

Тогда это не сисадмин а продвинутый пользователь.

[EuPhobos]

On 5/28/2020 at 2:13 AM, NiTr0 said:

дадада, с его волшебным скачущим пингом до сотен миллисекунд при ~50% нагрузке в среднем по палате)))

 

У нас на CCR-1036 пару гигабит проходило без проблем, крутился только NAT ну и OSPF между цицками терминацией PPPoE(на esr10008) и Бордером (cat3750 без FV) и кучей Link Aggregation
Несколько лет назад выкинули всё это, и забыли как страшный сон.
Теперь ASR1006 и уже не справляется с NAT-ом, общий трафик подходит к 9 Gbps где-то половина - НАТ, думаем как раз в сторону микротика 1072, что бы на него НАТ вынести, т.к. прошлая модель ccr1036 не вызывала никаких проблем с этим.
А тут такой коммент.. Можно по подробнее?
Что на микротике 1072 кроме НАТ ещё крутится? Сколько модулей SFP+ в ней торчат? Снимается ли Flow?

[NiTr0]

dhcp, шейпер и нат. ну и мелочи типа бгп дефолта с днс сервером. никакого нетфлоу и т.п. торчит 3 sfp+ модуля (к слову, одна сфп+ дырка пару месяцев назад внезапно померла, причем частично - начали пакеты дропаться, где-то 1.5% потерь, торчала как раз на аплинк - потому диагностика была длительной и геморной).

 

пинг скачет даже для адресов на которые не навешан шейпер (simple queues).

 

если хочется натить на чем-то дешевом - уж лучше тазик на каких-то серверах с помойки или не совсем убогом десктопе собирать уж. и дешевле, и предсказуемее.

[kapydan]

3 часа назад, EuPhobos сказал:

Теперь ASR1006 и уже не справляется с NAT-ом, общий трафик подходит к 9 Gbps где-то половина - НАТ, думаем как раз в сторону микротика 1072, что бы на него НАТ вынести, т.к. прошлая модель ccr1036 не вызывала никаких проблем с этим.

Отстрел самим себе ног.

На ccr1036 сколько траффика было?

[Butch3r]

У нас был нат на CCR1036 это полное гавно. Перешли на ASR 1001X и обращений по скорости вместо 30 в день стало 3-5.

[kapydan]

@Butch3r оборудование разного класса. Как помню, на asr1001x есть встроенные 10g порты (но надо ли для их активации покупать доп.лицензию - не помню, кажется да). А у микротиков есть такое?

 

Зато, микротики в разы дешевле цисок.