zxz Опубликовано 20 июля, 2021 (изменено) · Жалоба Есть работающие без NAT Cisco 7609 с RSP720 под стандартной нагрузкой бизнес-трафика (поток не более 1-2 гбит duplex) Хочется получить возможность включить на них аппаратный NAT Вопросы: - у кого был такой опыт с 7600/RSP720? - какие "подводные камни" могут быть? - какие сервис-модули лучше купить и использовать? (например, ASA vs. ACE?) - какие лицензии к ним придется докупать и по каким примерно ценам? - будет ли это работать на service provider версиях IOS? Посоветуйте оптимальный вариант реализации NAT для этого кейса ЗЫ. И еще вопрос. Насколько реализация NAT непосредственно на 7600 будет хуже/лучше выноса задачи на отдельную железку с CG-NAT? (Если технических бонусов недостаточно, то усложнять сеть дополнительным отдельным железом не хочется.) Изменено 20 июля, 2021 пользователем zxz Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 20 июля, 2021 · Жалоба РФ? по СОРМу понятно что потребуется? (netflow/syslog/etc?) я бы начал с этого, а вообще 7600 лучше сдать в ближайшую шашлычную, чем что-то докупать к ним. современный сервер больше потянет, чем модули с поддержкой NAT для нее Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
VolanD666 Опубликовано 20 июля, 2021 · Жалоба Может лучше посмотреть в сторону ASR? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kayot Опубликовано 20 июля, 2021 · Жалоба 1-2 Гбит трафика сделает 1u микро-сервер за 100$, с любым linux-дистрибутивом и настройками в 1 строчку. И работать на этой задаче будет надежнее мангала. Зачем эта морока. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snark Опубликовано 23 июля, 2021 · Жалоба В 20.07.2021 в 12:46, zxz сказал: Есть работающие без NAT Cisco 7609 с RSP720 под стандартной нагрузкой бизнес-трафика (поток не более 1-2 гбит duplex) Хочется получить возможность включить на них аппаратный NAT Возьмите модуль ACE20 (у меня, например) и получите вполне себе аппаратный NAT. На ACE проблемы только с игрунами возникали, так что для бизнес трафика, полагаю, будет нормально работать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zxz Опубликовано 23 июля, 2021 · Жалоба 7 hours ago, snark said: Возьмите модуль ACE20 (у меня, например) и получите вполне себе аппаратный NAT. На ACE проблемы только с игрунами возникали, так что для бизнес трафика, полагаю, будет нормально работать. спасибо за предложение, только что купили ACE30-MOD-K9 за бесценок, взяли бы еще 1 шт Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zxz Опубликовано 23 июля, 2021 (изменено) · Жалоба On 7/20/2021 at 1:02 PM, s.lobanov said: РФ? по СОРМу понятно что потребуется? (netflow/syslog/etc?) я бы начал с этого, а вообще 7600 лучше сдать в ближайшую шашлычную, чем что-то докупать к ним. современный сервер больше потянет, чем модули с поддержкой NAT для нее нагрузка обозначена, на вырост планов нет, серверы совеременные есть, даже лежат рядом, но вот только зачем, если это менее удобно. их как раз оттуда демонтировали, чтобы было более удобно. 6 гбит на стресс-тестах точно тянули wire-speed, дальше нужно было спец-оборудование для генерации тестирования, но это меньше 7600. про сорм вообще не понял, зачем он тут внутри 7600. netflow работает. в частности, пока не попробовали на практике модули внутри 7600, интересно было бы узнать не пострадает ли от включения NAT текущий функционал (набор стандартный, включая netflow): - какие "подводные камни" могут быть? PS. ~ $ ./*** "sh ver" | grep -i "uptime is" cs*** uptime is 4 years, 13 weeks, 6 days, 18 hours, 51 minutes ~ $ ./*** "sh ver" | grep -i "uptime is" cs*** uptime is 4 years, 13 weeks, 6 days, 19 hours, 21 minutes Изменено 23 июля, 2021 пользователем zxz Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zxz Опубликовано 23 июля, 2021 · Жалоба On 7/20/2021 at 7:41 PM, kayot said: 1-2 Гбит трафика сделает 1u микро-сервер за 100$, с любым linux-дистрибутивом и настройками в 1 строчку. И работать на этой задаче будет надежнее мангала. Зачем эта морока. поржал, спасибо. у меня Linux since ver. 0.99 но че та я за все эти десятилетия 1U с платами на 48 гигабитных портов ни разу не видел, тем более на 9шт, покажите мне более удобный и дешевый вариант на такую плотность Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
reef Опубликовано 24 июля, 2021 (изменено) · Жалоба 16 часов назад, zxz сказал: в частности, пока не попробовали на практике модули внутри 7600, интересно было бы узнать не пострадает ли от включения NAT текущий функционал (набор стандартный, включая netflow): - какие "подводные камни" могут быть? вообще никаких подводных камней! control plane RSP720 в этой схеме вообще ничего не знает о том что вы трафик натите, RSP720 просто свитчует трафик на модуль(и) ACE и все. Когда то у меня была аналогичная схема с RSP720-10G и парой ACE20 в этом шасси, все это работало очень безотказно много лет Изменено 24 июля, 2021 пользователем reef Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 25 июля, 2021 · Жалоба В 23.07.2021 в 19:26, zxz сказал: про сорм вообще не понял, зачем он тут внутри 7600. netflow работает. я к тому что вам надо убедиться что предполагаемые к закупке модули с NAT умеют посылать netflow или syslog с нужными полями и в нужном формате для СОРМа. если они это не умеют, то придется закупать железку от вендора СОРМа которая будет это делать за NAT-железку путем копирования на нее трафика до и после NAT P.S. такие аптаймы для 7600 это ничем хорошим не сулит, очень часто они просто не загружаются после случайного ребута (различные аппаратные проблемы) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
reef Опубликовано 26 июля, 2021 · Жалоба 22 часа назад, s.lobanov сказал: P.S. такие аптаймы для 7600 это ничем хорошим не сулит, очень часто они просто не загружаются после случайного ребута (различные аппаратные проблемы) Такие аптаймы это какие? я понимаю когда аптайм 10 лет, это да, чревато. 76 была создана для того чтоб ее не перезагружали лишний раз, только чтоб софт обновить на RSP или SUP. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Andrei Опубликовано 27 июля, 2021 · Жалоба В 26.07.2021 в 01:14, s.lobanov сказал: если они это не умеют, то придется закупать железку от вендора СОРМа которая будет это делать за NAT-железку путем копирования на нее трафика до и после NAT Эту железку ("анти-НАТ") придется покупать в любом случае если есть НАТ. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
snark Опубликовано 27 июля, 2021 · Жалоба Анти NAT - часть СОРМ и если СОРМ брался с учетом наличия NAT, то, скорее всего, анти NAT там уже есть. Если анти NAT нет, то его в СОРМ просто включат (бесплатно или за долю малую - зависит от вендора СОРМ) ACE в syslog шлет информацию о трансляциях достаточную для СОРМ. Поймет это СОРМ или нет - зависит от вендора СОРМ Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pppoetest Опубликовано 28 июля, 2021 · Жалоба В 23.07.2021 в 22:39, zxz сказал: поржал, спасибо. у меня Linux since ver. 0.99 но че та я за все эти десятилетия 1U с платами на 48 гигабитных портов ни разу не видел, тем более на 9шт, покажите мне более удобный и дешевый вариант на такую плотность пачка вланов + любой свищ с 802.1q? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...