Jump to content

Стоит ли NATить на BRAS'ах, или лучше выносить отдельно данный функционал?

leveler

By leveler
in У нага

 Share

Recommended Posts

leveler

leveler

Posted
Posted

НАТить в Инет. Контора, ясен пень, провайдер.

 

UPD: А можно ещё инатить своих клиентов с серыми ИПами в сторону своих клиентов с белыми ИПами.

leveler

leveler

Posted
  • Author
Posted

72-ая же вроде софтварная. Или там для НАТа есть какой-то процессор/спецплата? А что на счёт 7301?

 

Но на самом месте я имел ввиду идеалогию.

t0ly

t0ly

Posted
Posted

это зависит от религии

все за и против более-менее сбалансированы.

 

у некоторых вообще бордэр и брасс в одном флаконе с HA.

 

хотя в каждом конкретном случае та или иная схема может быть обоснованной.

 

leveler

leveler

Posted
  • Author
Posted

Скажем так - 20к абонентов, разбросанных по всему 500 тысячном городе. Тут вряд ли бордер скрестишь с брасом.

 

Про религию понятно. Тут важно грамотно её изложить. С удовольствием выслушаю ваше мнение.

ae

ae

Posted
Posted

если натить на BRASе, то возникнет проблема существенной нагрузки из-за внутреннего трафика, при выборе железа смотрите на его пропускную способность, 7201 от 7301 отличается производительностью в 2 раза, 7301 выдерживает порядка 300Мбит/сек форвардинга без NATа в каждую сторону (на BRASах по определению скорости в обоих направлениях равны), т.е. количество абонентов или количество железок зависит от тарифных планов и их скоростей (ну и активности клиентов, которая опять же от тарифов во многом зависит)... мы вот как-то вовсе без NATа обходимся, вроде как не слышал фатальных возражений от RIPE и IANA, разве что следят за процентом использования адресов, но это решается либо полной динамикой, либо статикой с "оговорками" (если пользоваться долго не будешь, то адрес сменим...)

leveler

leveler

Posted
  • Author
Posted

А что непонятного? Клент с серым ИПом. Но в некоторые места ему надо ходить с белым. Например, в инет. Логика тут есть.

Cr_net

Cr_net

Posted
Posted
А что непонятного? Клент с серым ИПом. Но в некоторые места ему надо ходить с белым. Например, в инет. Логика тут есть.
А если так -

Клент с белым ИПом. Но только в некоторые места он может ходить с серым ип.

Исходя из логики - либо ну его нафиг грузить брас натом и не мучить клиентов натом и серыми адресами, либо вообще не заворачивать в эти некоторые места через брас.

leveler

leveler

Posted
  • Author
Posted

Не, у назчем передёргивать то? С белых в серые не надо. Если надо, то тогда переверните картинку - получится, что из серых в белые. А это - метод чайника. Зря вы, логика тут есть. Но я не говорил, что считаю это правильным решением! :)

Даже наоборот. Моя задача убидеться как можно больше, что не стоит на BRAS функции НАТа возлагать. А ещё лучше, и Netflow там не считать. =)

t0ly

t0ly

Posted
Posted

в случае с натом на брасе:

если брас с натом большой и жирный то

+ всё в одном месте (почти всё)

- его трудно масштабировать

- обязательно нужен резервный

если брас средний и их несколько то

+ в резерве нужно иметь n+1 брас (для замены)

+ легко масштабировать

- сложнее эксплуатировать

 

в случае с натом на отдельном уст-ве:

+ брас менее нагружен

+ всё натится в одном месте,

+ если надо можно добавить ещё одно устройство занимающееся натом.

- немного сложнее в эксплуатации

- нужен резерв нат уст-ва , резервный брас n+1

 

как то так.

ИМХО на таких количествах нужно отталкиваться о стоимости эксплуатации

 

 

 

leveler

leveler

Posted
  • Author
Posted

Да вроде без проблем пока белые ИПы дают. Наши получили ещё сеточку. И если всё грамотно пойдёт, то ещё одну брать будут.

 

Про НАТ согласен, что как минимум с BRAS'а его надо выносить. Но можно поаргументированнее, нежли "он только геморроя прибавляет"? При чём весомо аргументированно.

UglyAdmin

UglyAdmin

Posted
Posted
Но можно поаргументированнее, нежли "он только геморроя прибавляет"? При чём весомо аргументированно.
Требуется нехилая процессорная мощность, чтобы отнатить хотя бы пару сотен мегабит. Аргумент слабый, гигагерцы нынче недороги.

Остальные проблемы вытекают из того, что у юзера получается неперсональный внешний IP. Это уже плохо.

Забанить могут по IP на форуме или игровом сервере.

Многие популярные ресурсы типа рапидшары не пускают с одного IP больше одного юзера.

В пиринговых сетях тоже НАТ не любят.

Высока вероятность попать в почтовые блэклисты - от ботнетов НАТ не защищает...

Достаточно? Всеми этими проблемами юзеры будут грузить провайдера, у которого ответ может быть только один - заплатите N рублей за персональный IP.

 

Относительно экономии IP-адресов: пусть за этот вопрос у RIPE голова болит. На настоящий момент выделено не более трети существующих IPv4.

leveler

leveler

Posted
  • Author
Posted

Неубедительно. :)

Хотя, про как раз гигагерцы можно сказать, т.к. на данный момент натит с7301, у которой загрузка под 100%. И на вряд ли буду ставить решение на писюках. Остальные проблемы негров шерифа не волнуют. :)

 

Для тестов будем брать ASR1000 скоро. Вот и посмотрим. Там вроде NAT аппаратно делается.

Vetal13

Vetal13

Posted
Posted

huawei ma5200g-2 c nat-овой платой у меня чесно шейпит, считает 900мбит и из них 600 еще и NAT-ит, может он и больше пропустит, но пока юзера больше не генерят

 

Внутрисеть через брасов не ганяем.

 

в другом районе NATим не на bras-е, так как юзеров пока маловато, но NAT-овую плату уже заказали

 

Vetal13

Vetal13

Posted
Posted
Сколь стоит сия железка, а так же платы/модули к ней?

Закупками занимается другой отдел, но в районе 50-100к$ в зависимости от наполнения

Sonne

Sonne

Posted
Posted
Но можно поаргументированнее, нежли "он только геморроя прибавляет"? При чём весомо аргументированно.
Требуется нехилая процессорная мощность, чтобы отнатить хотя бы пару сотен мегабит. Аргумент слабый, гигагерцы нынче недороги.

Остальные проблемы вытекают из того, что у юзера получается неперсональный внешний IP. Это уже плохо.

Забанить могут по IP на форуме или игровом сервере.

Многие популярные ресурсы типа рапидшары не пускают с одного IP больше одного юзера.

В пиринговых сетях тоже НАТ не любят.

Высока вероятность попать в почтовые блэклисты - от ботнетов НАТ не защищает...

Достаточно? Всеми этими проблемами юзеры будут грузить провайдера, у которого ответ может быть только один - заплатите N рублей за персональный IP.

 

Относительно экономии IP-адресов: пусть за этот вопрос у RIPE голова болит. На настоящий момент выделено не более трети существующих IPv4.

Нат защищает сети юзера от вторжений, упрощает разборки с биллингом по поводу реликтового трафика интернет. Нат экономит адресное пространство. Нат позволяет делать VLAN per User с DHCP. Вот этот вариант самый лучший сочитаются плюсы ната с плюсами реального адреса.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.