[schnm]

Господа, прошу совета.

Упрощенно имеем: Есть много пользователей (~8000 и будет расти), сходящихся на шеститысячник и выходящих в интернет через 7206. На 6500 ограничивается полоса посредством UBRL. Доступ ограничивается vacl'ами. На 7206 висит BGP, NAT для пользователей и льется в биллинг по netflow информация о трафике. Т.к. людей (потоков) много, скорости велики (200-250 мегабит), то маршрутизатор начинает испытывать затруднения.

Необходимо собственно изменить текущую схему выхода пользователей в интернет что бы убрать нагрузку (а это nat) с 7200 маршрутизатора. А куда его выносить? Естественное желание поставить ASA пресекается отсутствием возможности получения информации о трафике (нет netflow). Из-за использования UBRL нет возможности снимать netflow с каталиста. Есть ли у кого какие мысли на этот счет?

 

Вышла новинка Cisco ACE, которая судя по дата шиту отлично делает нат, но информации по ней очень мало :( Никак не могу найти есть ли там поддержка netflow-экспорта.

[Come]

а будет еще больше абонентов... будете искать еще большую циску с еще более быстрым NAT? :)

[UglyAdmin]

Посмотрите на 7304 с NSE-100/150.

По цене как 7206 c NPE-G2, а может гораздо больше. Правда, не такой универсальный, бордер на нём я бы делать не советовал. :)

 

Вообще схема с NAT имеет очень много минусов, этот один из самых больших.

[schnm]

Хех. А какие варианты? Быстрй нат обеспечивает либо ACE-модуль (до 16 гигабит по дата шиту, стока даже не надо, достаточно базового функционала), ну либо ASA... Но как я писал встает проблема с сбором статистики по трафику. С ACE модулем не понятно - очень мало информации т.к. это новинка. :(

[UglyAdmin]

Вариант - выдавать "белые" адреса. :)

[cmhungry]

ACE не надо, он не для НАТа в домосетях ни разу

нетфлоу своего в нем нету

 

200-250 мбит снатят два писюка под микротиком, нетфлоу тоже отдадут

 

ну или juniper m7i и один сервис-модуль, хотя на 200-250 может хватить и juniper SSG550

[smsm]

а натить на нескольких железках/компах ?

[jab]

250 мегабит - это детская нагрузка, натится любым современным писюком вместе с netflow...

[schnm]

Варианты писюков/микротиков не рассматриваются. И вы уверены что на писюке будет работать нат ~500000 трансляциями?. Варианты белых адресов так же не рассматриваются, т.к. во первых столько просто нету, во вторых давать каждому юзеру белый адрес - это поиметь себе лишних проблем с вирусами/прокси и т.п.

 

ACE понятно что не совсем для этого, просто судя по даташиту он неплохо это (NAT) умеет... Но если NDE не умеет, тогда собственно вычеркиваем, ASA/FWSM наш выбор.

 

Мысли с load balancing были, но смысла особого нет, проще поставить ASA и пропустить трафик через маршрутизатор для подсчета, видимо это в данном случае будет практически единственный путь :(

 

С juniper, к сожалению не знаком совсем :(

 

[ingress]

ACE не надо, он не для НАТа в домосетях ни разу

нетфлоу своего в нем нету

судя по вашему блогу, именно для этого вы его и поставили ;)

 

[jab]

Варианты писюков/микротиков не рассматриваются. И вы уверены что на писюке будет работать нат ~500000 трансляциями?.

Так работает же... :-) Кстати, если у вас на 8000 юзеров 500к трансляций - то у Вас скорее всего криво настроены таймауты...

 

Ну и масштабируемость - ставим второй писюк, и пускаем по 4000 юзеров на каждый с резервированием... :-)

 

[schnm]

как писал раньше - варианты с писюками не рассматриваются. Да и кроме ната нада считать а тот же ipcad хорошо грузит машинку при таком количестве пакетов, писюк сразу грустить начинает. Если только ставить пяток компутеров, но это маразм :) Проще и надежнее и дешевле в эксплуатации поставить железяку, тем более собственно бюджет есть.

 

Почему криво настроены? Они не только настроены, но и еще на юзера ограничены до 250 трансляций на ip; Просто пиринговые сети, еще не пойманные флудеры-вирусологи и т.п. дают большое количество потоков...

[jab]

Да и кроме ната нада считать а тот же ipcad хорошо грузит машинку при таком количестве пакетов, писюк сразу грустить начинает.

Ну если у вас на детской нагрузке все начинает грустить, то значит правду говорите - писюк вам не нужен. :-)

[cmhungry]

ACE не надо, он не для НАТа в домосетях ни разу

нетфлоу своего в нем нету

судя по вашему блогу, именно для этого вы его и поставили ;)

Мы его тестили =) Так что вполне могу утверждать, что не нада =)

 

250 мегабит - это детская нагрузка, натится любым современным писюком вместе с netflow...

очень даже не любым... 250м на хомячках - это больше 50кппс в каждую сторону, больше 100 тыс трансляций. Тяжко писюкам. Я стараюсь не больше 200м на писюке держать, при этом от флуда со стороны абонентов они защищены.

 

 

как писал раньше - варианты с писюками не рассматриваются. Да и кроме ната нада считать а тот же ipcad хорошо грузит машинку при таком количестве пакетов, писюк сразу грустить начинает. Если только ставить пяток компутеров, но это маразм :) Проще и надежнее и дешевле в эксплуатации поставить железяку, тем более собственно бюджет есть.

Считать - нетфлоу, но не ипкад. А нетфлоу снимать ядерными вещами, а не юзер-левелом

 

В общем, я буду ASA тестить, тем более что вышла ASA5580 - зверь машина.

Netflow ASA не умеет, но у меня для этого SCE есть.

Изменено 16 февраля, 2008 пользователем cmhungry

[UglyAdmin]

Варианты белых адресов так же не рассматриваются, т.к. во первых столько просто нету,

Неужто у RIPE адреса кончились?

Насколько я в курсе, распределено не более трети имеющихся адресов.

во вторых давать каждому юзеру белый адрес - это поиметь себе лишних проблем с вирусами/прокси и т.п.

Эти проблемы решаются легче, чем проблемы забанивания всех скопом на всевозможных ресурсах.

Кроме того, вирусы/трояны уже научились превосходно работать через NAT.

Про реверсивные прокси не слышали?

[jab]

очень даже не любым... 250м на хомячках - это больше 50кппс в каждую сторону, больше 100 тыс трансляций. Тяжко писюкам. Я стараюсь не больше 200м на писюке держать, при этом от флуда со стороны абонентов они защищены.

Писюк спокойно жрет в три раза большую нагрузку. Если тяжко - значит что-то неправильно делаете.

[schnm]

А можно узнать конфигурацию этого PC, а так же на чем это все работает? Чем нетфлоу экспортируете? Под линуксом вроде ядерных нетфлоу нет, хотя я уж с год не увлекался линуксом, может чего поменялось. Я так понимаю разговор в сторону bsd пойдет?

[cmhungry]

очень даже не любым... 250м на хомячках - это больше 50кппс в каждую сторону, больше 100 тыс трансляций. Тяжко писюкам. Я стараюсь не больше 200м на писюке держать, при этом от флуда со стороны абонентов они защищены.

Писюк спокойно жрет в три раза большую нагрузку. Если тяжко - значит что-то неправильно делаете.

Было бы интересно посмотреть на конфигурацию машины и конфиги в части настройки сетевой системы особенно

[schnm]

Что то уважаемый jab рассказал о научно-фантастических достижениях PC и пропал.... :) Наверное мечты-мечты...

 

А теперь в тему. Перевесил nat на потестировать на ASA 5520 (было под рукой). В часы пик загрузка 40-50%. Никакого тюнинга пока нет, все настройки практически по умолчанию. Видимо вот оно решение. Всем спасибо.

[jab]

Что то уважаемый jab рассказал о научно-фантастических достижениях PC и пропал.... :) Наверное мечты-мечты...

Я Вам лично должен в двадцать пятый раз переписывать то, что уже писалось на этом форуме ? ;-)