Jump to content

Много пользователей+Cisco+nat+netflow?

schnm
 Share

Recommended Posts

schnm

schnm

Posted
Posted

Господа, прошу совета.

Упрощенно имеем: Есть много пользователей (~8000 и будет расти), сходящихся на шеститысячник и выходящих в интернет через 7206. На 6500 ограничивается полоса посредством UBRL. Доступ ограничивается vacl'ами. На 7206 висит BGP, NAT для пользователей и льется в биллинг по netflow информация о трафике. Т.к. людей (потоков) много, скорости велики (200-250 мегабит), то маршрутизатор начинает испытывать затруднения.

Необходимо собственно изменить текущую схему выхода пользователей в интернет что бы убрать нагрузку (а это nat) с 7200 маршрутизатора. А куда его выносить? Естественное желание поставить ASA пресекается отсутствием возможности получения информации о трафике (нет netflow). Из-за использования UBRL нет возможности снимать netflow с каталиста. Есть ли у кого какие мысли на этот счет?

 

Вышла новинка Cisco ACE, которая судя по дата шиту отлично делает нат, но информации по ней очень мало :( Никак не могу найти есть ли там поддержка netflow-экспорта.

UglyAdmin

UglyAdmin

Posted
Posted

Посмотрите на 7304 с NSE-100/150.

По цене как 7206 c NPE-G2, а может гораздо больше. Правда, не такой универсальный, бордер на нём я бы делать не советовал. :)

 

Вообще схема с NAT имеет очень много минусов, этот один из самых больших.

schnm

schnm

Posted
  • Author
Posted

Хех. А какие варианты? Быстрй нат обеспечивает либо ACE-модуль (до 16 гигабит по дата шиту, стока даже не надо, достаточно базового функционала), ну либо ASA... Но как я писал встает проблема с сбором статистики по трафику. С ACE модулем не понятно - очень мало информации т.к. это новинка. :(

cmhungry

cmhungry

Posted
Posted

ACE не надо, он не для НАТа в домосетях ни разу

нетфлоу своего в нем нету

 

200-250 мбит снатят два писюка под микротиком, нетфлоу тоже отдадут

 

ну или juniper m7i и один сервис-модуль, хотя на 200-250 может хватить и juniper SSG550

schnm

schnm

Posted
  • Author
Posted

Варианты писюков/микротиков не рассматриваются. И вы уверены что на писюке будет работать нат ~500000 трансляциями?. Варианты белых адресов так же не рассматриваются, т.к. во первых столько просто нету, во вторых давать каждому юзеру белый адрес - это поиметь себе лишних проблем с вирусами/прокси и т.п.

 

ACE понятно что не совсем для этого, просто судя по даташиту он неплохо это (NAT) умеет... Но если NDE не умеет, тогда собственно вычеркиваем, ASA/FWSM наш выбор.

 

Мысли с load balancing были, но смысла особого нет, проще поставить ASA и пропустить трафик через маршрутизатор для подсчета, видимо это в данном случае будет практически единственный путь :(

 

С juniper, к сожалению не знаком совсем :(

 

jab

jab

Posted
Posted
Варианты писюков/микротиков не рассматриваются. И вы уверены что на писюке будет работать нат ~500000 трансляциями?.

Так работает же... :-) Кстати, если у вас на 8000 юзеров 500к трансляций - то у Вас скорее всего криво настроены таймауты...

 

Ну и масштабируемость - ставим второй писюк, и пускаем по 4000 юзеров на каждый с резервированием... :-)

 

schnm

schnm

Posted
  • Author
Posted

как писал раньше - варианты с писюками не рассматриваются. Да и кроме ната нада считать а тот же ipcad хорошо грузит машинку при таком количестве пакетов, писюк сразу грустить начинает. Если только ставить пяток компутеров, но это маразм :) Проще и надежнее и дешевле в эксплуатации поставить железяку, тем более собственно бюджет есть.

 

Почему криво настроены? Они не только настроены, но и еще на юзера ограничены до 250 трансляций на ip; Просто пиринговые сети, еще не пойманные флудеры-вирусологи и т.п. дают большое количество потоков...

jab

jab

Posted
Posted
Да и кроме ната нада считать а тот же ipcad хорошо грузит машинку при таком количестве пакетов, писюк сразу грустить начинает.

Ну если у вас на детской нагрузке все начинает грустить, то значит правду говорите - писюк вам не нужен. :-)

cmhungry

cmhungry

Posted
Posted (edited)
ACE не надо, он не для НАТа в домосетях ни разу

нетфлоу своего в нем нету

судя по вашему блогу, именно для этого вы его и поставили ;)

Мы его тестили =) Так что вполне могу утверждать, что не нада =)

 

250 мегабит - это детская нагрузка, натится любым современным писюком вместе с netflow...
очень даже не любым... 250м на хомячках - это больше 50кппс в каждую сторону, больше 100 тыс трансляций. Тяжко писюкам. Я стараюсь не больше 200м на писюке держать, при этом от флуда со стороны абонентов они защищены.

 

 

как писал раньше - варианты с писюками не рассматриваются. Да и кроме ната нада считать а тот же ipcad хорошо грузит машинку при таком количестве пакетов, писюк сразу грустить начинает. Если только ставить пяток компутеров, но это маразм :) Проще и надежнее и дешевле в эксплуатации поставить железяку, тем более собственно бюджет есть.
Считать - нетфлоу, но не ипкад. А нетфлоу снимать ядерными вещами, а не юзер-левелом

 

В общем, я буду ASA тестить, тем более что вышла ASA5580 - зверь машина.

Netflow ASA не умеет, но у меня для этого SCE есть.

Edited by cmhungry
UglyAdmin

UglyAdmin

Posted
Posted
Варианты белых адресов так же не рассматриваются, т.к. во первых столько просто нету,
Неужто у RIPE адреса кончились?

Насколько я в курсе, распределено не более трети имеющихся адресов.

во вторых давать каждому юзеру белый адрес - это поиметь себе лишних проблем с вирусами/прокси и т.п.
Эти проблемы решаются легче, чем проблемы забанивания всех скопом на всевозможных ресурсах.

Кроме того, вирусы/трояны уже научились превосходно работать через NAT.

Про реверсивные прокси не слышали?

jab

jab

Posted
Posted
очень даже не любым... 250м на хомячках - это больше 50кппс в каждую сторону, больше 100 тыс трансляций. Тяжко писюкам. Я стараюсь не больше 200м на писюке держать, при этом от флуда со стороны абонентов они защищены.

Писюк спокойно жрет в три раза большую нагрузку. Если тяжко - значит что-то неправильно делаете.

schnm

schnm

Posted
  • Author
Posted

А можно узнать конфигурацию этого PC, а так же на чем это все работает? Чем нетфлоу экспортируете? Под линуксом вроде ядерных нетфлоу нет, хотя я уж с год не увлекался линуксом, может чего поменялось. Я так понимаю разговор в сторону bsd пойдет?

cmhungry

cmhungry

Posted
Posted
очень даже не любым... 250м на хомячках - это больше 50кппс в каждую сторону, больше 100 тыс трансляций. Тяжко писюкам. Я стараюсь не больше 200м на писюке держать, при этом от флуда со стороны абонентов они защищены.

Писюк спокойно жрет в три раза большую нагрузку. Если тяжко - значит что-то неправильно делаете.

Было бы интересно посмотреть на конфигурацию машины и конфиги в части настройки сетевой системы особенно
schnm

schnm

Posted
  • Author
Posted

Что то уважаемый jab рассказал о научно-фантастических достижениях PC и пропал.... :) Наверное мечты-мечты...

 

А теперь в тему. Перевесил nat на потестировать на ASA 5520 (было под рукой). В часы пик загрузка 40-50%. Никакого тюнинга пока нет, все настройки практически по умолчанию. Видимо вот оно решение. Всем спасибо.

jab

jab

Posted
Posted
Что то уважаемый jab рассказал о научно-фантастических достижениях PC и пропал.... :) Наверное мечты-мечты...

Я Вам лично должен в двадцать пятый раз переписывать то, что уже писалось на этом форуме ? ;-)

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.