Jump to content

Обсуждение о разнесенном NAT

romka
 Share

Recommended Posts

romka

romka

Posted
Posted

Какие опытные операторы используют NAT'илки,

дабы отдельно не грузить border gate динамической трансляцией адресов, и не юзать те же бажные IOS вида. 12.3. 12.4 которые flow egress :). (ps. 12.0S лучший.)

 

Естественно интересует решение специально заточенное под NAT как hardware и software и т.п. без доп фичей., также как и интересует применение данного устройства к каналам от 100Мб.с до 1000Мб.с

как правило такие NAT для ISP должны включать в себя возможность экспортировать netflow поток хотябы v5.

 

думал потестить на PC попугаев , но есть ли в этом целесообразность?:

(нат типа ipnat, или natd), (демоны netflow, тотже ndsad)

 

FreeBSD

2 Intel карты 1Гбит. с хорошим буфером. (можно даже PCI-X)

Device-pooling

2Гб. памяти

мать на два проца Xeon2x4-2x8.

 

но тут есть вопросы:

 

1. как подточить NAT для работы в SMP системе..

2. реально ли быстрее будет работать данная схема при динамической трасляции в внешний pool ip адресов. фишка в том чтобы пользователи из локальных диапазонов (Валом в 2000штук.) не валили с одного external адреса.

Nailer

Nailer

Posted
Posted
Какие опытные операторы используют NAT'илки,

дабы отдельно не грузить border gate динамической трансляцией адресов, и не юзать те же бажные IOS вида. 12.3. 12.4 которые flow egress :).  (ps. 12.0S лучший.)

 

Естественно интересует решение специально заточенное под NAT как hardware и software и т.п. без доп фичей., также как и интересует применение данного устройства к каналам от 100Мб.с до 1000Мб.с

как правило такие NAT для ISP должны включать в себя возможность экспортировать netflow поток хотябы v5.  

 

NAT реализуется программно почти везде. Из хороших решений для ната можно посмотреть Cisco Secure PIX 515, мегабит 120 пронатит, заодно и профайрволлит. Стоит около 3 килобаксов. Умеет файловер со второй железкой, правда, тогда нужен другой софт, он дороже.

 

Нетфлоу с натящей железки - это сильно :-) Зачем тогда разносить нат с бордера?

romka

romka

Posted
  • Author
Posted
Нетфлоу с натящей железки - это сильно :-) Зачем тогда разносить нат с бордера?

 

PIX не для NAT железка, темболее 515, (NAT то он может, но я его из личных соображений который составляет опыт работы с этим железом, не хочу, это только пустая трата времени ps: разве только что как FW)

 

ну и к тому же как натящих'ся пользователей считать по траффику, при разнесенном NAT ? :)

 

я не вижу решения, разве что только халявный трафик :).

Nailer

Nailer

Posted
Posted
Нетфлоу с натящей железки - это сильно :-) Зачем тогда разносить нат с бордера?

 

PIX не для NAT железка, темболее 515, (NAT то он может, но я его из личных соображений который составляет опыт работы с этим железом, не хочу, это только пустая трата времени ps: разве только что как FW)

 

ну и к тому же как натящих'ся пользователей считать по траффику, при разнесенном NAT ? :)

 

я не вижу решения, разве что только халявный трафик :).

 

Циска рекомендует использовать для ната PIX. Вы считаете себя умнее? :-)

 

Считайте отдельно, натьте отдельно. Считать, естественно, надо ДО ната, если вы хотите получать какую-то полезную информацию.

romka

romka

Posted
  • Author
Posted

имхо себя умнее не считаю.

 

но тут по формуле смотрю

Mbps calculated by pps * 64bytes * 8bits/byte

явно не тянет.

 

515E = pentium 433Mhz + 188Mbps + 130,000 соединений. на 2 загруженные 100Мбит не дотягивает по производительности

 

535 = pentium 1Ghz + 1Gbps + 500,000 соединений. это уже примерно по загрузки в мясо 5 100мбит соединений.

 

вообщем 535 самое оно, но трафик не экспортит на коллектор.

да и чую я что решения на чистых PC будут проиводительнее чем pix 515E, а просто 515 вообще старый насколько память не изменяет, да и слабый.

 

вспоминается мне сразуже ng_nat под freebsd 6.

romka

romka

Posted
  • Author
Posted

ндя, у меня от juniper осталось воспоминание про ее плакат об даунизме компании Cisco Systems, железо супер. но 30К за нат., за 30К я не хуже спаяю сам :)

ok, железо проехали давайте рассматривать варианты с PC. нужна производительность от 190Mpps до 1Gpps, что скажете ???

Nailer

Nailer

Posted
Posted
ндя, у меня от juniper осталось воспоминание про ее плакат об даунизме компании Cisco Systems, железо супер. но 30К за нат., за 30К я не хуже спаяю сам :)

ok, железо проехали давайте рассматривать варианты с PC. нужна производительность от 190Mpps до 1Gpps, что скажете ???

 

У Juniper-а нет хардверного ната. У m5 и m7 он реализуется при помощи специльного модуля, который содержит обычный универсальный процессор - обычный писюк, по сути. В до гига все равно не разгонится. Хардверный нат есть из известных мне железок только на шеститоннике, а это даже не 30К. Хотя если только б/у..

 

По писюкам - к жабу, он их готовить умеет :-)

cs

cs

Posted
Posted
У Juniper-а нет хардверного ната. У m5 и m7 он реализуется при помощи специльного модуля, который содержит обычный универсальный процессор - обычный писюк, по сути. В до гига все равно не разгонится. Хардверный нат есть из известных мне железок только на шеститоннике, а это даже не 30К. Хотя если только б/у..

Они под этим и понимают аппаратный нат :)

Это лучше чем ничего, производительность можно глянуть здесь:

http://www.juniper.net/products/modules/as_pic.html

А по поводу 65хх не в курсе, но не думаю что там это сделано на много красивее.

На 1 писюке 2*2800 xenon (freebsd+pf nat) делаем нат 250мбит/с но для 1 писюка это близко к пределу.

romka

romka

Posted
  • Author
Posted

я про то что больше примочек на компе не будет, кроме FreeBSD6.x + ng_nat, ng_ipfw + экспортер netflow (не навижу мирроить порты).

Nailer

Nailer

Posted
Posted
У Juniper-а нет хардверного ната. У m5 и m7 он реализуется при помощи специльного модуля, который содержит обычный универсальный процессор - обычный писюк, по сути. В до гига все равно не разгонится. Хардверный нат есть из известных мне железок только на шеститоннике, а это даже не 30К. Хотя если только б/у..

Они под этим и понимают аппаратный нат :)

Это лучше чем ничего, производительность можно глянуть здесь:

http://www.juniper.net/products/modules/as_pic.html

А по поводу 65хх не в курсе, но не думаю что там это сделано на много красивее.

На 1 писюке 2*2800 xenon (freebsd+pf nat) делаем нат 250мбит/с но для 1 писюка это близко к пределу.

 

У 6500 нат хардверный, заложен в асиках. Пронатить может много.

 

У жунипера софтверный. Заткнется, причем скорее всего мегабитах на 500-800. PPS также невыский.

cs

cs

Posted
Posted

Так и есть машина делает только нат.

ng_nat еще не пробовал, но наверно тоже будет шустро работать.

Производительность упирается в interrupt.

Выход прост PBR + несколько писюков с VRRP для отказоустойчивости.

romka

romka

Posted
  • Author
Posted
Производительность упирается в interrupt

хмм. а как же device pooling :) ?

cs

cs

Posted
Posted

polling пробовали, но при хорошей внешней видимости работы

самого сервера наблюдаются задержки.

развлечения с sysctl к успеху не привели, результат тот же.

Хотя на машине которая роутит и шейпит в транзите тот же траффик c polling работает без проблем.

romka

romka

Posted
  • Author
Posted
polling пробовали, но при хорошей внешней видимости работы  

самого сервера наблюдаются задержки.  

развлечения с sysctl к успеху не привели, результат тот же.  

Хотя на машине которая роутит и шейпит в транзите тот же траффик c polling работает без проблем.

 

а попугаев тестили, есть графики ?

romka

romka

Posted
  • Author
Posted

Это я вот о чем:

 

Ради шутки собрал макет на:

 

2хXeon3.2, 2G(memory), device polling включил, подкрутил ng_netflow, ng_nat, ng_ipfw.

 

Благо все за 10 минут сделал, теперь хочу отгонять это на PPS (попугаях). и получить таблицы для сравнительного анализа с Cisco Performance.

 

Вот меня интересует, свое решение Вы тестировали, смотрели производительность в PPS ?

desperado

desperado

Posted
Posted

а почему размер пакета считается в 64 байта??? посмотрите у себя по статистике в сети, сделайте запас в 2 раза! совсем другое число получится.

cs

cs

Posted
Posted
Это я вот о чем:

 

Ради шутки собрал макет на:

 

2хXeon3.2, 2G(memory), device polling включил, подкрутил ng_netflow, ng_nat, ng_ipfw.

 

Благо все за 10 минут сделал, теперь хочу отгонять это на PPS (попугаях). и получить таблицы для сравнительного анализа с Cisco Performance.

 

Вот меня интересует, свое решение Вы тестировали, смотрели производительность в PPS ?

У нас 2 сервера делают NAT, и друг друга резервируют потому и знаю что 250мбит 1 точно проглатывает(переодически прогоняю поток через 1 сервер).

Система работает под нагрузкой трафик и состояние постоянно мониторится. Cредний размер пакета ~573byte, pps=80k проглотит.

Проверить можно сделав mirror какого нибудь магистрального порта.

Egor

Egor

Posted
Posted
а почему размер пакета считается в 64 байта??? посмотрите у себя по статистике в сети, сделайте запас в 2 раза! совсем другое число получится.

Чтобы всегда все выдержало, и флуд, и скан... :))

Kuzmich

Kuzmich

Posted
Posted
Так и есть машина делает только нат.

ng_nat еще не пробовал' date=' но наверно тоже будет шустро работать.

Шустрее. Ибо нет перекличений из режима ядра в пользовательский режим на каждом пакете. Использует то-же самый libslias (правда, теперь он вкомпиливается в ядро), поэтому качетво ng_nat такое-же, как и у обчного natd. Один минус - управляемость у него существенно ниже (надеюсь, что только пока) - пробросить внешние порты на определенные сервера в локалке так-же просто, как в natd - не получится.

 

Сам за ним сижу - никаких проблем не замечено. Правда нагрузочные испытания не проводил.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.