Jump to content
Калькуляторы

Посоветуйте по реализации NAT на Cisco 7600 (RSP720)?

Есть работающие без NAT Cisco 7609 с RSP720 под стандартной нагрузкой бизнес-трафика (поток не более 1-2 гбит duplex)

 

Хочется получить возможность включить на них аппаратный NAT

 

Вопросы:

- у кого был такой опыт с 7600/RSP720? 

- какие "подводные камни" могут быть? 

- какие сервис-модули лучше купить и использовать? (например, ASA vs. ACE?)

- какие лицензии к ним придется докупать и по каким примерно ценам?

- будет ли это работать на service provider версиях IOS?

 

Посоветуйте оптимальный вариант реализации NAT для этого кейса

 

 

ЗЫ. И еще вопрос. Насколько реализация NAT непосредственно на 7600 будет хуже/лучше выноса задачи на отдельную железку с CG-NAT?

(Если технических бонусов недостаточно, то усложнять сеть дополнительным отдельным железом не хочется.)

 

Edited by zxz

Share this post


Link to post
Share on other sites

РФ? по СОРМу понятно что потребуется? (netflow/syslog/etc?)

я бы начал с этого, а вообще 7600 лучше сдать в ближайшую шашлычную, чем что-то докупать к ним. современный сервер больше потянет, чем модули с поддержкой NAT для нее

Share this post


Link to post
Share on other sites

1-2 Гбит трафика сделает 1u микро-сервер за 100$, с любым linux-дистрибутивом и настройками в 1 строчку.

И работать на этой задаче будет надежнее мангала.

Зачем эта морока.

Share this post


Link to post
Share on other sites
В 20.07.2021 в 12:46, zxz сказал:

Есть работающие без NAT Cisco 7609 с RSP720 под стандартной нагрузкой бизнес-трафика (поток не более 1-2 гбит duplex)

 

Хочется получить возможность включить на них аппаратный NAT

Возьмите модуль ACE20 (у меня, например) и получите вполне себе аппаратный NAT.

На ACE проблемы только с игрунами возникали, так что для бизнес трафика, полагаю, будет нормально работать.

Share this post


Link to post
Share on other sites
7 hours ago, snark said:

Возьмите модуль ACE20 (у меня, например) и получите вполне себе аппаратный NAT.

На ACE проблемы только с игрунами возникали, так что для бизнес трафика, полагаю, будет нормально работать.

спасибо за предложение, только что купили ACE30-MOD-K9 за бесценок, взяли бы еще 1 шт

Share this post


Link to post
Share on other sites
On 7/20/2021 at 1:02 PM, s.lobanov said:

РФ? по СОРМу понятно что потребуется? (netflow/syslog/etc?)

я бы начал с этого, а вообще 7600 лучше сдать в ближайшую шашлычную, чем что-то докупать к ним. современный сервер больше потянет, чем модули с поддержкой NAT для нее

нагрузка обозначена, на вырост планов нет, серверы совеременные есть, даже лежат рядом, но вот только зачем, если это менее удобно. их как раз оттуда демонтировали, чтобы было более удобно. 6 гбит на стресс-тестах точно тянули wire-speed, дальше нужно было спец-оборудование для генерации тестирования, но это меньше 7600.

 

про сорм вообще не понял, зачем он тут внутри 7600. netflow работает.

 

в частности, пока не попробовали на практике модули внутри 7600, интересно было бы узнать не пострадает ли от включения NAT текущий функционал (набор стандартный, включая netflow):

- какие "подводные камни" могут быть? 

 

PS. 

~ $ ./*** "sh ver" | grep -i "uptime is"
cs*** uptime is 4 years, 13 weeks, 6 days, 18 hours, 51 minutes
~ $ ./*** "sh ver" | grep -i "uptime is"
cs*** uptime is 4 years, 13 weeks, 6 days, 19 hours, 21 minutes
Edited by zxz

Share this post


Link to post
Share on other sites
On 7/20/2021 at 7:41 PM, kayot said:

1-2 Гбит трафика сделает 1u микро-сервер за 100$, с любым linux-дистрибутивом и настройками в 1 строчку.

И работать на этой задаче будет надежнее мангала.

Зачем эта морока.

поржал, спасибо.

 

у меня Linux since ver. 0.99 но че та я за все эти десятилетия 1U с платами на 48 гигабитных портов ни разу не видел, тем более на 9шт, покажите мне более удобный и дешевый вариант на такую плотность

Share this post


Link to post
Share on other sites
16 часов назад, zxz сказал:

в частности, пока не попробовали на практике модули внутри 7600, интересно было бы узнать не пострадает ли от включения NAT текущий функционал (набор стандартный, включая netflow):

- какие "подводные камни" могут быть?  

вообще никаких подводных камней! control plane RSP720 в этой схеме вообще ничего не знает о том что вы трафик натите,

RSP720  просто свитчует трафик на модуль(и) ACE и все.

Когда то у меня была аналогичная схема с RSP720-10G и парой ACE20 в этом шасси,

все это работало очень безотказно много лет

Edited by reef

Share this post


Link to post
Share on other sites
В 23.07.2021 в 19:26, zxz сказал:

про сорм вообще не понял, зачем он тут внутри 7600. netflow работает.

 

я к тому что вам надо убедиться что предполагаемые к закупке модули с NAT умеют посылать netflow или syslog с нужными полями и в нужном формате для СОРМа. если они это не умеют, то придется закупать железку от вендора СОРМа которая будет это делать за NAT-железку путем копирования на нее трафика до и после NAT

 

P.S. такие аптаймы для 7600 это ничем хорошим не сулит, очень часто они просто не загружаются после случайного ребута (различные аппаратные проблемы)

Share this post


Link to post
Share on other sites
22 часа назад, s.lobanov сказал:

P.S. такие аптаймы для 7600 это ничем хорошим не сулит, очень часто они просто не загружаются после случайного ребута (различные аппаратные проблемы)

 

Такие аптаймы это какие? я понимаю когда аптайм 10 лет, это да, чревато.

76 была создана для того чтоб ее не перезагружали лишний раз, только чтоб софт обновить на RSP или SUP.

Share this post


Link to post
Share on other sites
В 26.07.2021 в 01:14, s.lobanov сказал:

если они это не умеют, то придется закупать железку от вендора СОРМа которая будет это делать за NAT-железку путем копирования на нее трафика до и после NAT

Эту железку ("анти-НАТ") придется покупать в любом случае если есть НАТ.

Share this post


Link to post
Share on other sites
  1. Анти NAT - часть СОРМ и если СОРМ брался с учетом наличия NAT, то, скорее всего, анти NAT там уже есть. Если анти NAT нет, то его в СОРМ просто включат (бесплатно или за долю малую - зависит от вендора СОРМ)
  2. ACE в syslog шлет информацию о трансляциях достаточную для СОРМ. Поймет это СОРМ или нет - зависит от вендора СОРМ

 

Share this post


Link to post
Share on other sites
В 23.07.2021 в 22:39, zxz сказал:

поржал, спасибо.

 

у меня Linux since ver. 0.99 но че та я за все эти десятилетия 1U с платами на 48 гигабитных портов ни разу не видел, тем более на 9шт, покажите мне более удобный и дешевый вариант на такую плотность

пачка вланов + любой свищ с 802.1q?

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now