Jump to content
Калькуляторы

Кто знает такие железки, которые умеют NAT и поддерживают BGPv4.

Ув. Админы!

 

Подскажите плиз, может кто имел дело с железками, которые поддерживают CG-NAT,

где производительность на пакетах размером 512-1к вывозит 8-10 Gbit общего трафика.

Кроме того нужна  поддержка полноценного BGPv4 с таблицей адресов не менее 16к.

 

Конечно в первую очередь интересует самое бюджетное решение,

если подобное слово применимо к подобным девайсам.

 

Мир!

 

 

 

Share this post


Link to post
Share on other sites

Если совсем бюджетно,то только PC.   Если бюджет есть хотя бы 150к,то на Авито что-то типа Cisco ASR1001-X.

Share this post


Link to post
Share on other sites

7 часов назад, iMPoSsibLe_iT сказал:

Если совсем бюджетно,то только PC.   Если бюджет есть хотя бы 150к,то на Авито что-то типа Cisco ASR1001-X.

Да с пс проще если есть админы 

впрочем для cg-nat нужны кастомные модули ядра, @sdy_moscowточно дело говорит если бюджет ограничен. 
 

Share this post


Link to post
Share on other sites

30 минут назад, sirmax сказал:

Да с пс проще если есть админы 

впрочем для cg-nat нужны кастомные модули ядра, @sdy_moscowточно дело говорит если бюджет ограничен. 
 

Да, на 4.х ядрах работает весьма стабильно и BGP и ANAT (мой CGNAT модуль ядра):

 

Share this post


Link to post
Share on other sites

А разве писюк прожует 5 гбит NAT трафика?

Даже на CCR1036-8G-2S+ после гига начинаются проблемы.

А что касается бюджета, то желательно железку до 750к.

На какой нибудь Huawey NE8000M8 за 3500к денег нету)

Edited by olafff

Share this post


Link to post
Share on other sites

5 ГБит - легко!

 

 - Intel I7 скажем с 11 версии из топов (чем больше кэши и частота - тем лучше)

    (на последних версиях в биосе обязательно отключите энергосберегающие ядра!),

 - 16-32GB (это больше зависит от числа NAT сессий и BGP маршрутов, чем от нагрузки),

 - x520 карта (DA2)

 - linux на последних 4.x ядрах, (настройки ядра подкрутить под высокую сетевую нагрузку)

 - ANAT.

 

Вообще, я думаю оно и все 10 Гб прожуёт без особых проблем.

Share this post


Link to post
Share on other sites

2 часа назад, olafff сказал:

А разве писюк прожует 5 гбит NAT трафика?

Даже на CCR1036-8G-2S+ после гига начинаются проблемы.

А что касается бюджета, то желательно железку до 750к.

На какой нибудь Huawey NE8000M8 за 3500к денег нету)

 

Б/у сервер за 60к на E5-2697a v4 и x520-da2 прожует спокойно 10г. Десктопные решения брать не советую.

(Если есть лишние деньги, то можно взять с запасом Gold 6246R)

 

Mikrotik - вообще не ISP железка. Подходит только для малого бизнеса и домашнего использования. Использовать Mikrotik в ISP - мазохизм.

Edited by Morty

Share this post


Link to post
Share on other sites

33 минуты назад, sdy_moscow сказал:

5 ГБит - легко!

 

 - Intel I7 скажем с 11 версии из топов (чем больше кэши и частота - тем лучше)

    (на последних версиях в биосе обязательно отключите энергосберегающие ядра!),

 - 16-32GB (это больше зависит от числа NAT сессий и BGP маршрутов, чем от нагрузки),

 - x520 карта (DA2)

 - linux на последних 4.x ядрах, (настройки ядра подкрутить под высокую сетевую нагрузку)

 - ANAT.

 

Вообще, я думаю оно и все 10 Гб прожуёт без особых проблем.

 

С 12 поколения энергоэффективные ядра надо отключать. Да и вообще cpu с энергоэффективными ядрами под роутинг не подходят. Если очень хочется десктоп, то лучше уже взять Ryzen.

Edited by Morty

Share this post


Link to post
Share on other sites

24 минуты назад, Morty сказал:

Б/у сервер за 60к на E5-2697a v4

Можно и его, но если новое и пободрее - то брать I7 с 13 поколения, там существенно больше  L2 кэш, частота и поддержка гораздо более быстрой памяти.

 

12 минут назад, Morty сказал:

лучше уже взять Ryzen

Про АМД ничего не скажу, но по мне остался устойчивый осадок, что у АМД кэш архитектура хуже интеловской. В задачах NAT при большом количестве сессий очень важна быстрая работа с памятью, и тут большой L2 рулит! Правда, врать не буду, я давно с АМД не возился, может что-то поменялось.

Share this post


Link to post
Share on other sites

6 минут назад, sdy_moscow сказал:

Можно и его, но если новое и пободрее - то брать I7 с 13 поколения, там существенно больше  L2 кэш, частота и поддержка гораздо более быстрой памяти.

 

Какой от него толк? Энергоэффективные ядра сразу придется отключить. Важна не только высокая частота, но и кол-во ядер...

AMD Ryzen 9 7950X показывает очень хорошие результаты при роутинге.

Edited by Morty

Share this post


Link to post
Share on other sites

6 минут назад, Morty сказал:

 

Какой от него толк? Энергоэффективные ядра сразу придется отключить. Важна не только высокая частота, но и кол-во ядер...

Не соглашусь. В задачах NAT  с большим числом сессий это может дать обратный эффект, когда придется перегружать часто кэши между ядрами. Современные ядра очень эффективны, я думаю на весь НАТ в 10 Гбит вообще пары ядер i12700K хватит.

Share this post


Link to post
Share on other sites

21 минуту назад, sdy_moscow сказал:

Не соглашусь. В задачах NAT  с большим числом сессий это может дать обратный эффект, когда придется перегружать часто кэши между ядрами. Современные ядра очень эффективны, я думаю на весь НАТ в 10 Гбит вообще пары ядер хватит i12700K хватит.

 

Очень смелое заявление...

 

(И не стоит забывать, что десктопное решение - это один БП и нет поддержки IPMI)

Edited by Morty

Share this post


Link to post
Share on other sites

39 минут назад, Morty сказал:

 

Очень смелое заявление...

Поскольку совсем недавно переписывал xtNAT до ANAT. Могу точно сказать, что при большом числе сессий и PPS основной проблемой будет быстрый доступ к памяти и перегрузка данных в L2 кэши. В основном критичным является конечно PPS. Сама по себе  обработка пакетов в ядре достаточно быстрая, а все операции по работе с сетёвкой живут через DMA и отложенные прерывания. В общем. несмотря на то, что на последних AMD L3 относительно "гигантский" , но на DDR5 это уже и не так критично, зато L2 как был 512K так и остается, а каждая NAT сессия это 64байта в ANAT  (128 байт в xtNAT) + сами хэш таблицы+ куча всякой фигни + еще роутинг BGP будет. В общем конечно померить бы, что лучше. Но в любом случае с 10 Гбитами я думаю справится практически всё из названного ранее.

Share this post


Link to post
Share on other sites

57 минут назад, Morty сказал:

(И не стоит забывать, что десктопное решение - это один БП и нет поддержки IPMI)

согласен, но еще лучше иметь 2 сервера :-).

Share this post


Link to post
Share on other sites

7 часов назад, sdy_moscow сказал:

Но в любом случае с 10 Гбитами я думаю справится практически всё из названного ранее.

Лучше говорить о производительности форвардинга в ядре Linux не в Гбит/с, а в пакетах в секунду (PPS).

10 Гбит/с пакетами по ~1000 байт это примерно 1 млн. PPS. Справится любая рухлядь, не вопрос.

Если же на вашего клиента полетел DDoS пакетами по 128 байт, то 10 Гбит/с это уже 8-9 млн. PPS. Нужно тестировать.

К тому же DDoS даст значительный прирост числа соединений (записи в Netfilter conntrack или его аналоге и Netflow). Тоже нужно тестировать, чтобы понимать поведение системы в таких ситуациях.

Share this post


Link to post
Share on other sites

16 минут назад, Умник сказал:

Лучше говорить о производительности форвардинга в ядре Linux не в Гбит/с, а в пакетах в секунду (PPS).

10 Гбит/с пакетами по ~1000 байт это примерно 1 млн. PPS. Справится любая рухлядь, не вопрос.

Если же на вашего клиента полетел DDoS пакетами по 128 байт, то 10 Гбит/с это уже 8-9 млн. PPS. Нужно тестировать.

К тому же DDoS даст значительный прирост числа соединений (записи в Netfilter conntrack или его аналоге и Netflow). Тоже нужно тестировать, чтобы понимать поведение системы в таких ситуациях.

ANAT не использует conntrack, он построен на своих хэш таблицах, так что проблем с Netfilter не будет, если конечно в правилах файрвола не "начудить". Внешний DDOS просто отбросится (если надо, то попадет в быстрый кольцевой лог, что особо на работе не скажется) или будет транслирован на клиента (если прилетит в действующую сессию). Локальный DDOS ограничивается числом сессий на локальный IP клиента (по умолчанию 4000). Так что простой DDOS (не на конкретный локальный сервис сервера) скорее всего ничего не сделает, просто забьет полосу в полку. Ну а локальные сервисы конечно надо прикрыть файрволом.

Share this post


Link to post
Share on other sites

Linux на интеловском ведре конечно хорош, но для офиса, где за НАТ-ом сидит 20-30 калек, которые создают до 1к сессий)

Имхо для ISP подобное решение умерло с приходом гигабита.

Даже у NE-8000M1A с его фермой 350 Гбит, NAT согласно таблички вывозит до 1 Гбит

image.thumb.jpeg.f6ac526f7424228bfc8a2c0aeccc1f0a.jpeg

Share this post


Link to post
Share on other sites

3 минуты назад, olafff сказал:

Linux на интеловском ведре конечно хорош, но для офиса, где за НАТ-ом сидит 20-30 калек, которые создают до 1к сессий)

Имхо для ISP подобное решение умерло с приходом гигабита.

Даже у NE-8000M1A с его фермой 350 Гбит, NAT согласно таблички вывозит до 1 Гбит

Ээээээ о чем это? Я простите не догнал! Вам шашечки или ехать?

Share this post


Link to post
Share on other sites

11 минут назад, olafff сказал:

Linux на интеловском ведре конечно хорош, но для офиса, где за НАТ-ом сидит 20-30 калек, которые создают до 1к сессий)

Имхо для ISP подобное решение умерло с приходом гигабита.

я своему нату на уже сильно старом E5-v4 это расскажу, он удивится ) 20+гбит с нагрузкой до процентов 30 суммарной. сессий чуть больше млн, если без атак. так до 10-12млн добивало, но ему пофиг в целом...

вы не совсем представляете себе возможности тазиков, как мне кажется.

 

вот еще от sdy_moscow надо нат посмотреть, может еще прикольнее производительность станет )

 

12 часов назад, olafff сказал:

А что касается бюджета, то желательно железку до 750к.

cisco asr1002-x - до 20 гбит входящего прожует без проблем, дальше в зависимости от объема in+out.

Share this post


Link to post
Share on other sites

1 час назад, nixx сказал:

вот еще от sdy_moscow надо нат посмотреть, может еще прикольнее производительность станет )

Если xtNAT юзаете -  ANAT однозначно производительней и ГОРАЗДО стабильнее будет + в нём куча полезных фишек и реконфиг без рестарта модуля.

Share this post


Link to post
Share on other sites

14 часов назад, olafff сказал:

 

А разве писюк прожует 5 гбит NAT трафика?

Даже на CCR1036-8G-2S+ после гига начинаются проблемы.

А что касается бюджета, то желательно железку до 750к.

 

Я не очень понимаю в рублях, но до 5 гиг жует asr1001 (без х) и стоит он 200-300 баксов на ебей с 10 гиг модулем, у него 2бп ив целом нормальный роутер, 1юнит

 

в нагрузку к Нату получите isg если нужно

 

памяти только до 16 гиг докупить, иначе фулл вью не влезет (с 8 гигами я не проверил пока)

 

это если не хочется с писюком связываться 

Share this post


Link to post
Share on other sites

> Mikrotik - вообще не ISP железка. Подходит только для малого бизнеса и домашнего использования. Использовать Mikrotik в ISP - мазохизм.

зачем вы это написали)) сейчас Saab95 придет, будет доказывать что мисротик топ)

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.