Железка для NAT на 500мбит/c

[alks]

Посоветуйте "железное" решение для NAT с пропускной способностью в 500мбит/c

с фаловером наподобии Cisco PIX

 

бюджет 500000руб

 

в данный момент рассматриваю два варианта

Cisco ASA

Juniper SSG 350M

 

может кто предложит решение подешевле?

 

вариант с двумя серверами под линем + DRBD просьба не предлагать

 

 

 

 

[zoro]

60тысяч р выдача блока AS на 2000юзверей... динамически выдавать им ипы из пула... нат не нужен... 40тысяч мне на смекалку ;-) 400тысяч сами потратте...

[alks]

к сожалению такой вариант не пойдет

внутри сетки частники получают фиксированный пул из 4 адресов на порт свича

один влан на свич ... сетка /25 на свич

свичей сотни - считаем сколько надо реальных адресов....

 

[cmhungry]

ASA5550

[Mva103]

ASA5550

У меня похожая задача стоит

Пруфлинк что справиться можно пожалуйста?

http://www.cisco.com/en/US/prod/collateral...cd8048dba8.html

bandwidth capacity != NAT perfomance

Т.е. если можете расскажите пожалуйста почему вы так думаете? Опыт использования?

Edited November 18, 2008 by Mva103

[alks]

c ASA все понятно, может кто-нибудь предложит аналог?

 

[alks]

Да во еще что забыл сказать ...

от железки требуется только NAT + аналог ASDM цисковского (морда управления/мониторинга/трейсер-пакетов)

vpn ssl и прочие навороты не нужны

 

> to Mva103 -- вы сейчас чем нат делаете? при каком трафе сколько sh usage cpu?

[Mva103]

2 alks. Нет у меня сейчас ната и не было никогда. Озадачили генералы, говрят хотим нат и точка. И такой чтобы маштабируемый и отказоустойчивый и для разных сегментов сети чтобы девайсы были разной производительности, но с одинаковой архитектурой, и чтобы в топовой конфигурации 10GE интерфейсы были и т.п. В общем полный набор, пока присматриваюсь.

 

[cmhungry]

ASA5550

У меня похожая задача стоит

Пруфлинк что справиться можно пожалуйста?

http://www.cisco.com/en/US/prod/collateral...cd8048dba8.html

bandwidth capacity != NAT perfomance

Т.е. если можете расскажите пожалуйста почему вы так думаете? Опыт использования?

5520 обрабатывает 200 mbit на нате, личный опыт. Дальше аппроксимация.

[alks]

2 alks. Нет у меня сейчас ната и не было никогда. Озадачили генералы, говрят хотим нат и точка. И такой чтобы маштабируемый и отказоустойчивый и для разных сегментов сети чтобы девайсы были разной производительности, но с одинаковой архитектурой, и чтобы в топовой конфигурации 10GE интерфейсы были и т.п. В общем полный набор, пока присматриваюсь.

ну если у вас генералы рулят дизайном сети - соболезную

[Mva103]

ну если у вас генералы рулят дизайном сети - соболезную

Нормальные генералы :) грамотные.

 

5520 обрабатывает 200 mbit на нате, личный опыт. Дальше аппроксимация.

Спасибо за ответ. C задержками все в порядке было? Edited November 18, 2008 by Mva103

[cmhungry]

2 alks. Нет у меня сейчас ната и не было никогда. Озадачили генералы, говрят хотим нат и точка. И такой чтобы маштабируемый и отказоустойчивый и для разных сегментов сети чтобы девайсы были разной производительности, но с одинаковой архитектурой, и чтобы в топовой конфигурации 10GE интерфейсы были и т.п. В общем полный набор, пока присматриваюсь.

В топе - ASA 5580

или Cisco 6500 + ACE module

[Daymon]

Посоветуйте "железное" решение для NAT с пропускной способностью в 500мбит/c

Нужно отталкиваться от пропускной способности в пакетов/сек, а потом можно подобрать из 28хх или 38хх серии роутеров

[Mva103]

В топе - ASA 5580

Посматриваю в их сторону, но как то настороженно, потому как ASA 5580 мне весьма напоминает обычный сервер от HP (585й чтоли) только зеленого цвета.

или Cisco 6500 + ACE module

уже приобрел такую игрушку, но

1. для задач балансировки нагрузки и управления приложениями, а не для ната

2. жаба душит такое решение использовать только для ната, как то дороговато на круг выходит.

 

Пока изучаю возможности juniper'ов

[Mva103]

Cisco Firewall Services Module for Cisco Catalyst 6500 and Cisco 7600 Series

http://www.cisco.com/en/US/prod/collateral...cd803e69c3.html

 

Performance

 

• 5.5 Gbps throughput per service module

• Up to 4 FWSMs (20 Gbps) per Catalyst 6500 chassis with static VLAN or IOS Policy-based Routing

• 2.8 Mpps

• 1 million concurrent connections

• 100,000 connection setups and teardowns per second

• 256,000 concurrent NAT or PAT translations

• Jumbo Ethernet packets (8500 bytes) supported

 

Выглядит привлекательнее ACE. и по цене и фич ненужных нет.

[cmhungry]

Cisco Firewall Services Module for Cisco Catalyst 6500 and Cisco 7600 Series

http://www.cisco.com/en/US/prod/collateral...cd803e69c3.html

 

Performance

 

• 5.5 Gbps throughput per service module

• Up to 4 FWSMs (20 Gbps) per Catalyst 6500 chassis with static VLAN or IOS Policy-based Routing

• 2.8 Mpps

• 1 million concurrent connections

• 100,000 connection setups and teardowns per second

• 256,000 concurrent NAT or PAT translations

• Jumbo Ethernet packets (8500 bytes) supported

 

Выглядит привлекательнее ACE. и по цене и фич ненужных нет.

256K трансляций и 3CXL вытянет... и 256К - это мегабит 300-400 примерно на хомячках. АСЕ хотя бы до 5 гбит на хомячках раскручивается.

 

В топе - ASA 5580

Посматриваю в их сторону, но как то настороженно, потому как ASA 5580 мне весьма напоминает обычный сервер от HP (585й чтоли) только зеленого цвета.

или Cisco 6500 + ACE module

уже приобрел такую игрушку, но

1. для задач балансировки нагрузки и управления приложениями, а не для ната

2. жаба душит такое решение использовать только для ната, как то дороговато на круг выходит.

 

Пока изучаю возможности juniper'ов

Хм. А похожа, да =)

Правда, если там и кусок сервера - то видимо только как корпус и рутинг-енжин. Джунипера J и М серий - это ж писюки со спецкарточками. А так - П4-3000 стоит в J6350, например.

 

Джунипера на нат дороже выходят.

[lelick]

ASR 1004 вам поможет она 10 G натит

Edited November 20, 2008 by lelick

[alks]

вообщем что получается

 

1. если взять ТТХ Cisco ASA 5550

• 1.2 Gbps Firewall -- так понимаю на чистых ACL

• 425 Mbps IPsec VPN -- те-же цифры будут и при нате

т.е. на 5550 получим около 400мбит на NATe

цена вопроса по GPL 19995$

 

2. топовая ASA Cisco ASA 5580-20

• 5 Gbps Firewall

• 1 Gbps IPsec VPN - столько же получим на NATe

цена вопроса по GPL 49995$

 

3. WS-SVC-FWM-1-K9 - firewall модуль

• 5.5 Gbps throughput per service module

• по NAT данных нет - но думаю что цифра будет поболе чем 1Gbps на ASA 5580-20

цена вопроса по GPL 34995$

почитал гайд по ней http://www.cisco.com/en/US/docs/security/f...e/fwsm_cfg.html

настройка практически такая-же как и на PIX/ASA

ненужных фич нет

внешних портов нет - но они не нужны абсолютно

 

> Mva103 - похоже сей модуль нам и нужен - стоит дешевле топовых ASA

ненужных фич нет

 

 

 

[cmhungry]

вообщем что получается

 

1. если взять ТТХ Cisco ASA 5550

• 1.2 Gbps Firewall -- так понимаю на чистых ACL

• 425 Mbps IPsec VPN -- те-же цифры будут и при нате

т.е. на 5550 получим около 400мбит на NATe

цена вопроса по GPL 19995$

 

2. топовая ASA Cisco ASA 5580-20

• 5 Gbps Firewall

• 1 Gbps IPsec VPN - столько же получим на NATe

цена вопроса по GPL 49995$

 

3. WS-SVC-FWM-1-K9 - firewall модуль

• 5.5 Gbps throughput per service module

• по NAT данных нет - но думаю что цифра будет поболе чем 1Gbps на ASA 5580-20

цена вопроса по GPL 34995$

почитал гайд по ней http://www.cisco.com/en/US/docs/security/f...e/fwsm_cfg.html

настройка практически такая-же как и на PIX/ASA

ненужных фич нет

внешних портов нет - но они не нужны абсолютно

 

> Mva103 - похоже сей модуль нам и нужен - стоит дешевле топовых ASA

ненужных фич нет

Неправильный расчет. На аса5550 я бы рассчитывал на 600-700мбит ната, на 5580-20 видел результаты тестов на примерно 2гбита. На АСЕ видел результаты тестов на 5гбит (бандл по жопелю $60k).

 

 

[t0ly]

способы "правильно" потратить деньги на "брэндовое" железо во время финансового кризиса...

 

[Mva103]

2 cmhungry

а почему вы решили что

256K трансляций и 3CXL вытянет... и 256К - это мегабит 300-400 примерно на хомячках.

т.е. что 3CXL что WS-SVC-FWM-1-K9 - по производительности одинаков?

Я эйса смогу через пару недель покрутить. Попробую сдесь отписать ежели не забуду.

На АСЕ видел результаты тестов на 5гбит (бандл по жопелю $60k).

Состав бандла какой? 32SUP ?

Чет все равно не врастает в 60к по GPL. ACE с лицухой на 8GB стоит $59 995

 

Пруфлинк:

WS-C6504-E Catalyst 6500 Enhanced 4-slot chassis,5RU,no PS,no Fan Tray 1 $3 000 $3 000

SV33AIK9-12233SXH Cisco CAT6000-VSS720 IOS ADVANCED IP SERVICES SSH 1 $10 000 $10 000

VS-S720-10G-3CXL Cat 6500 Supervisor 720 with 2 ports 10GbE MSFC3 PFC3C XL 1 $48 000 $48 000

CF-ADAPTER-SP SP adapter with compact flash for SUP720 1 $0

ACE20-MOD-K9 Application Control Engine 20 Hardware 1 $0 $0

SC6K-3.0.0A14-ACE ACE 3.0(1) Software Release 1 $0 $0

ACE-08G-LIC Application Control Engine (ACE) 8Gbps License 1 $59 995 $59 995

WS-X6148A-GE-45AF Cat6500 48-Port PoE 802.3af & ePoE 10/100/1000 w/Jumbo Frame 1 $9 000 $9 000

WS-X6748-SFP Catalyst 6500 48-port GigE Mod: fabric-enabled (Req. SFPs) 1 $25 000 $25 000

FAN-MOD-4HS High-Speed Fan Module for 7604/6504-E 1 $0 $0

PWR-2700-AC/4 2700W AC Power Supply for Cisco 7604/6504-E 2 $3 000 $6 000

CAB-AC-2500W-EU Power Cord, 250Vac 16A, Europe 2 $0 $0

VS-F6K-MSFC3 Catalyst 6500 Multilayer Switch Feature Card (MSFC) III 1 $0 $0

VS-F6K-PFC3CXL Catalyst 6500 Sup720-10G Policy Feature Card 3CXL 1 $0 $0

VS-S720-10G Catalyst 6500 Supervisor 720 with 2 10GbE ports 1 $0 $0

MEM-C6K-CPTFL1GB Catalyst 6500 Compact Flash Memory 1GB 1 $0 $0

BF-S720-64MB-RP Bootflash for SUP720-64MB-RP 1 $0 $0

MEM-XCEF720-256M Catalyst 6500 256MB DDR, xCEF720 (67xx interface, DFC3A) 1 $0 $0

WS-F6700-CFC Catalyst 6500 Central Fwd Card for WS-X67xx modules 1 $0 $0

 

 

зы Это я к тому что за 60к по GPL 5 гигабитный нат я бы забрал :)

Edited November 20, 2008 by Mva103

[alks]

Неправильный расчет. На аса5550 я бы рассчитывал на 600-700мбит ната, на 5580-20 видел результаты тестов на примерно 2гбита. На АСЕ видел результаты тестов на 5гбит (бандл по жопелю $60k).

я вот каким образом прикидывал поток

 

cmhungry - вы сами говорили что из опыта ASA5520 на нате держит 200мбит

смотрим ее ТТХ

• 450 Mbps Firewall

• 225 Mbps IPsec VPN

 

один мой знакомый ccie говорит что пропускная способность на нате будет примерно равна потоку на VPN - и это потверждается вашим-же опытом по asa5520

еще вы говорите что на топовой 5580 нат держит почти половину заявленной

так что думаю из анализа этих данных asa5550 потянет 500-600мбит/c

 

встает вопрос тогда что делать?

покупать асу и потом через год докупать вторую и делать балансинг

или переплатить 10K и вообще забыть об этой проблеме лет на 5 как минимум :)

 

 

 

[Mva103]

2 alks

переплатить 10к за что? за WS-SVC-FWM-1-K9 бандл? Он 3CXL + WS-SVC-FWM-1-K9 не влезет в ваш бюджет плюс 10к уев.

Я запросил циску сегодня по производительности в пакетах в секунду и в bandwidth на ACE и FWSM. посмотрим что скажуть. Но циска сегодня сразу в лоб посоветовала ACE (Видать потому что FWSM довольно стар)

 

ЗЫ запросил конкретно про производительность на НАТ

Edited November 20, 2008 by Mva103

[alks]

2 alks

переплатить 10к за что? за WS-SVC-FWM-1-K9 бандл? Он 3CXL + WS-SVC-FWM-1-K9 не влезет в ваш бюджет плюс 10к уев.

Я запросил циску сегодня по производительности в пакетах в секунду и в bandwidth на ACE и FWSM. посмотрим что скажуть. Но циска сегодня сразу в лоб посоветовала ACE (Видать потому что FWSM довольно стар)

 

ЗЫ запросил конкретно про производительность на НАТ

у меня 7-ми тонник с сапом 720 3bxl поэтому бандл мне не нужен - только плата

[Mva103]

А ну тогда у вас айс. Не будет справляться FWSM - остаток догоните BXLем

7ми тонник не жалко? :) (хотя от задач зависит, но я остерегся что нить кроме раутинга вешать на сетевое ядро)

 

Опять ЗЫ, если вам не горит, я завтро зацитирую что циска сказала про оба модуля (ну или сами спросите, если нетерпение) :)

Edited November 20, 2008 by Mva103