NAT на скоростях выше 50 gb/s

[psa79]

добрый день.

планируем брать железку, главная ее задача выполнять NAT.

Выбор стоит между Cisco asr1k esp200   и  juniper mx480.

в планах натить от 40-50  gb/s

 

Кто работал с Cisco asr1k esp200,  

сколько может обработать трафика NAT?

характеристики от производителя известны, интересует опыт практического применения.

 

на каких платах возможно сделать это на juniper?

 

хотелось бы услышать отзыва людей которые реально сталкивались с таким железом.

[jffulcrum]

Попытки NATить на ASR еще на 10G сразу уперлись в  https://www.cisco.com/c/en/us/support/docs/ip/network-address-translation-nat/210869-ASR1k-NAT-intermittently-fails-to-transl.html и были оставлены, NAT стали заниматься сначала MT1036, а потом два таза с Линуксом. 

[alexgreat]

@psa79 Джуну нужна будет плата MS-MPC-128G

Но я бы тоже советовал тазы, 2-4-8 и так далее. 

[stalker86]

а сетевые какие?
Я присматриваюсь к чему-то типа

LR-Link 4 порта 1000Base-X/10GBase-X LREC9804BF-4SFP+ 

• PCI Express X8 lanes
• Поддержка спецификации PCI - Express Base Specification Revision 3.0 ( 8 GTs)
• Контроллер Intel XL710

или

Сетевая карта LR-Link 4 порта 1000Base-X/10GBase-X LRES1024PF-4SFP+ на основе микрочипа Intel 82599.

• PCI Express X8 lanes
• Поддержка спецификации PCI - Express Base Specification Revision 3.0 ( 8 GTs)
• Контроллер Intel 82599x2

[alexgreat]

X520 или XL710. Лучше родной интел.

[stalker86]

LR-Link вроде по референсу делает. С интелами не всё гладко нынче с чистокровными..

Вот сижу и думаю есть ли по факту разница с X520 и XL710 чипами...

[alexgreat]

Я бы X520 взял.

[Urs_ak]

А эти чего? Не смотрели?

https://www.rdp.ru/products/service-gateway-engine/cg-nat/

они же вроде снискали некоторую славу, в узких кругах, как производитель скоростного NAT на линукс-железке, ещё до того как перешли на тёмную сторону стали делать ТСПУ

 

наверно будет по цене mx480 сейчас

 

P.S. В середине октября были новости что "В России начались закупки технологий для блокировки YouTube, WhatsApp, Telegram, VPN и других сервисов...", наверно имелось в виду, что RDP закупился железяками в Азии и возможно проблем с поставкой и EcoNAT не будет...

[Умник]

5 часов назад, jffulcrum сказал:

а потом два таза с Линуксом. 

Какая конфигурация каждого компьютера?

Какой пиковый суммарный PPS входящего трафика (из мира + из локалки) и при какой загрузке ядер CPU?

[alex39x]

3 часа назад, alexgreat сказал:

@psa79 Джуну нужна будет плата MS-MPC-128G

Но я бы тоже советовал тазы, 2-4-8 и так далее. 

А что такое "2-4-8" ?

[sol]

11 минут назад, alex39x сказал:

А что такое "2-4-8" ?

Это штуки. Два сервера (по крестьянски), четыре сервера (по купечески) и, наконец, восемь серверов (по боярски).

 

[alexgreat]

12 минут назад, alex39x сказал:

А что такое "2-4-8" ?

2 тазика, 4 тазика. Масштабируем по мере надобности. 

[Умник]

51 минуту назад, alexgreat сказал:

2 тазика, 4 тазика. Масштабируем по мере надобности. 

1 "тазик" понятно почему не ОК. Но что не так с цифрами 3, 5, 6, 7?

[jffulcrum]

2 часа назад, Умник сказал:

Какая конфигурация каждого компьютера?

Какой пиковый суммарный PPS входящего трафика (из мира + из локалки) и при какой загрузке ядер CPU?

Год 2019-й, процы Xeon Silver 4112, карты Intel X550, тогдашний Ubuntu. Подробностей по нагрузке сейчас уже не скажу, но каждый из пары натил под 7Гбит/с. PPS был не очень большой, врядли и миллион-то был. Но ASR сказала "кря" гораздо раньше, вернее, первым "кря" вообще сказал вышестоящий провайдер, у которого защита от дураков охренела от непредвиденного трафика. В принципе, это разрулимо, как и написано в статье, не будь ССЗБ - дели трафик по интерфейсам, но получалась уж очень большая нужда в интерфейсах - нетфлоу дай, iBGP дай, еще что-то дай, да еще бы и чтоб отказоустойчиво...стоимость потребных плат, лицензий и количества портов коммутаторов быстро приближалась к стоимости уже и второго таза, с заделом на третий.

[fractal]

7 часов назад, jffulcrum сказал:

Попытки NATить на ASR еще на 10G сразу уперлись в  https://www.cisco.com/c/en/us/support/docs/ip/network-address-translation-nat/210869-ASR1k-NAT-intermittently-fails-to-transl.html и были оставлены, NAT стали заниматься сначала MT1036, а потом два таза с Линуксом. 

Да было дело, выправили софтос после

[Saab95]

Нет смысла в этих цисках. Если нужен скоростной нат нужно и с 10Г портов уходить, это 50Г на 5 серверов делить=)

 

Микротик 1072 легко 20+ ната прокачивает, на серверах так же под 20+ пропускают. Если сетевушки скоростные, то можно на 2-3 устройствах все сделать. Правильно писали не нужно забывать про резерв и т.п. Когда несколько устройств работают, выйти из строя может одно, тогда и про запас достаточно держать один сервер/микротик, а дорогие циски - ну будут 2 стоять и что, постоянно упираться в ограничения по железу и переплачивать за резерв.

[psa79]

всем спасибо.

но вопрос был не про сетевые и тазики, а про конкретные устройства.

cisco ASR c esp40 прекрасно натит под 20 гиг/с  или же вы не умеете ее готовить. кстати с pppoe ipoe и netflow.

микротик 1072 не легко, но 20 пропускает, проблемы случаются при определенном трафике, ну то есть и с ним бывают проблемы.

 

на данный момент, использую НАТ на цисках ESP40  и  микротиках 1072,  и не по одной железке каждого вида.

 

я не собираюсь использовать одну железку без резерва, но кто пробовал нат только на тазиках, смысла не поймет в кошках и можевельниках.

 

знаю и пробовал кучу вариантов,  но в теме хотелось бы увидеть ответ на конкретный вопрос, а не рассуждения какая сетевая лучше.

 

[Умник]

24 минуты назад, psa79 сказал:

кто пробовал нат только на тазиках, смысла не поймет в кошках

Прошу прощения за еще одну каплю оффтопа, но не совсем понял Вашу мысль. Как то, что человек как-то однажды эксплуатировал NAT (для целей CG-NAT, конечно) на компьютере под Linux может позже помешать ему осознать полезность реализации CG-NAT на железе Cisco или Juniper? И как это связано с резервированием железа?