[zxz]

Есть работающие без NAT Cisco 7609 с RSP720 под стандартной нагрузкой бизнес-трафика (поток не более 1-2 гбит duplex)

 

Хочется получить возможность включить на них аппаратный NAT

 

Вопросы:

- у кого был такой опыт с 7600/RSP720? 

- какие "подводные камни" могут быть? 

- какие сервис-модули лучше купить и использовать? (например, ASA vs. ACE?)

- какие лицензии к ним придется докупать и по каким примерно ценам?

- будет ли это работать на service provider версиях IOS?

 

Посоветуйте оптимальный вариант реализации NAT для этого кейса

 

 

ЗЫ. И еще вопрос. Насколько реализация NAT непосредственно на 7600 будет хуже/лучше выноса задачи на отдельную железку с CG-NAT?

(Если технических бонусов недостаточно, то усложнять сеть дополнительным отдельным железом не хочется.)

 

Изменено 20 июля, 2021 пользователем zxz

[s.lobanov]

РФ? по СОРМу понятно что потребуется? (netflow/syslog/etc?)

я бы начал с этого, а вообще 7600 лучше сдать в ближайшую шашлычную, чем что-то докупать к ним. современный сервер больше потянет, чем модули с поддержкой NAT для нее

[VolanD666]

Может лучше посмотреть в сторону ASR?

[kayot]

1-2 Гбит трафика сделает 1u микро-сервер за 100$, с любым linux-дистрибутивом и настройками в 1 строчку.

И работать на этой задаче будет надежнее мангала.

Зачем эта морока.

[snark]

В 20.07.2021 в 12:46, zxz сказал:

Есть работающие без NAT Cisco 7609 с RSP720 под стандартной нагрузкой бизнес-трафика (поток не более 1-2 гбит duplex)

 

Хочется получить возможность включить на них аппаратный NAT

Возьмите модуль ACE20 (у меня, например) и получите вполне себе аппаратный NAT.

На ACE проблемы только с игрунами возникали, так что для бизнес трафика, полагаю, будет нормально работать.

[zxz]

7 hours ago, snark said:

Возьмите модуль ACE20 (у меня, например) и получите вполне себе аппаратный NAT.

На ACE проблемы только с игрунами возникали, так что для бизнес трафика, полагаю, будет нормально работать.

спасибо за предложение, только что купили ACE30-MOD-K9 за бесценок, взяли бы еще 1 шт

[zxz]

On 7/20/2021 at 1:02 PM, s.lobanov said:

РФ? по СОРМу понятно что потребуется? (netflow/syslog/etc?)

я бы начал с этого, а вообще 7600 лучше сдать в ближайшую шашлычную, чем что-то докупать к ним. современный сервер больше потянет, чем модули с поддержкой NAT для нее

нагрузка обозначена, на вырост планов нет, серверы совеременные есть, даже лежат рядом, но вот только зачем, если это менее удобно. их как раз оттуда демонтировали, чтобы было более удобно. 6 гбит на стресс-тестах точно тянули wire-speed, дальше нужно было спец-оборудование для генерации тестирования, но это меньше 7600.

 

про сорм вообще не понял, зачем он тут внутри 7600. netflow работает.

 

в частности, пока не попробовали на практике модули внутри 7600, интересно было бы узнать не пострадает ли от включения NAT текущий функционал (набор стандартный, включая netflow):

- какие "подводные камни" могут быть? 

 

PS. 

~ $ ./*** "sh ver" | grep -i "uptime is"

cs*** uptime is 4 years, 13 weeks, 6 days, 18 hours, 51 minutes

~ $ ./*** "sh ver" | grep -i "uptime is"

cs*** uptime is 4 years, 13 weeks, 6 days, 19 hours, 21 minutes

Изменено 23 июля, 2021 пользователем zxz

[zxz]

On 7/20/2021 at 7:41 PM, kayot said:

1-2 Гбит трафика сделает 1u микро-сервер за 100$, с любым linux-дистрибутивом и настройками в 1 строчку.

И работать на этой задаче будет надежнее мангала.

Зачем эта морока.

поржал, спасибо.

 

у меня Linux since ver. 0.99 но че та я за все эти десятилетия 1U с платами на 48 гигабитных портов ни разу не видел, тем более на 9шт, покажите мне более удобный и дешевый вариант на такую плотность

[reef]

16 часов назад, zxz сказал:

в частности, пока не попробовали на практике модули внутри 7600, интересно было бы узнать не пострадает ли от включения NAT текущий функционал (набор стандартный, включая netflow):

- какие "подводные камни" могут быть?  

вообще никаких подводных камней! control plane RSP720 в этой схеме вообще ничего не знает о том что вы трафик натите,

RSP720  просто свитчует трафик на модуль(и) ACE и все.

Когда то у меня была аналогичная схема с RSP720-10G и парой ACE20 в этом шасси,

все это работало очень безотказно много лет

Изменено 24 июля, 2021 пользователем reef

[s.lobanov]

В 23.07.2021 в 19:26, zxz сказал:

про сорм вообще не понял, зачем он тут внутри 7600. netflow работает.

 

я к тому что вам надо убедиться что предполагаемые к закупке модули с NAT умеют посылать netflow или syslog с нужными полями и в нужном формате для СОРМа. если они это не умеют, то придется закупать железку от вендора СОРМа которая будет это делать за NAT-железку путем копирования на нее трафика до и после NAT

 

P.S. такие аптаймы для 7600 это ничем хорошим не сулит, очень часто они просто не загружаются после случайного ребута (различные аппаратные проблемы)

[reef]

22 часа назад, s.lobanov сказал:

P.S. такие аптаймы для 7600 это ничем хорошим не сулит, очень часто они просто не загружаются после случайного ребута (различные аппаратные проблемы)

 

Такие аптаймы это какие? я понимаю когда аптайм 10 лет, это да, чревато.

76 была создана для того чтоб ее не перезагружали лишний раз, только чтоб софт обновить на RSP или SUP.

[Andrei]

В 26.07.2021 в 01:14, s.lobanov сказал:

если они это не умеют, то придется закупать железку от вендора СОРМа которая будет это делать за NAT-железку путем копирования на нее трафика до и после NAT

Эту железку ("анти-НАТ") придется покупать в любом случае если есть НАТ.

[snark]

1. Анти NAT - часть СОРМ и если СОРМ брался с учетом наличия NAT, то, скорее всего, анти NAT там уже есть. Если анти NAT нет, то его в СОРМ просто включат (бесплатно или за долю малую - зависит от вендора СОРМ)
2. ACE в syslog шлет информацию о трансляциях достаточную для СОРМ. Поймет это СОРМ или нет - зависит от вендора СОРМ

 

[pppoetest]

В 23.07.2021 в 22:39, zxz сказал:

поржал, спасибо.

 

у меня Linux since ver. 0.99 но че та я за все эти десятилетия 1U с платами на 48 гигабитных портов ни разу не видел, тем более на 9шт, покажите мне более удобный и дешевый вариант на такую плотность

пачка вланов + любой свищ с 802.1q?