Перейти к содержимому
Калькуляторы

Железка для NAT на 500мбит/c

Посоветуйте "железное" решение для NAT с пропускной способностью в 500мбит/c

с фаловером наподобии Cisco PIX

 

бюджет 500000руб

 

в данный момент рассматриваю два варианта

Cisco ASA

Juniper SSG 350M

 

может кто предложит решение подешевле?

 

вариант с двумя серверами под линем + DRBD просьба не предлагать

 

 

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

60тысяч р выдача блока AS на 2000юзверей... динамически выдавать им ипы из пула... нат не нужен... 40тысяч мне на смекалку ;-) 400тысяч сами потратте...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

к сожалению такой вариант не пойдет

внутри сетки частники получают фиксированный пул из 4 адресов на порт свича

один влан на свич ... сетка /25 на свич

свичей сотни - считаем сколько надо реальных адресов....

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ASA5550
У меня похожая задача стоит

Пруфлинк что справиться можно пожалуйста?

http://www.cisco.com/en/US/prod/collateral...cd8048dba8.html

bandwidth capacity != NAT perfomance

Т.е. если можете расскажите пожалуйста почему вы так думаете? Опыт использования?

Изменено пользователем Mva103

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

c ASA все понятно, может кто-нибудь предложит аналог?

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Да во еще что забыл сказать ...

от железки требуется только NAT + аналог ASDM цисковского (морда управления/мониторинга/трейсер-пакетов)

vpn ssl и прочие навороты не нужны

 

> to Mva103 -- вы сейчас чем нат делаете? при каком трафе сколько sh usage cpu?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

2 alks. Нет у меня сейчас ната и не было никогда. Озадачили генералы, говрят хотим нат и точка. И такой чтобы маштабируемый и отказоустойчивый и для разных сегментов сети чтобы девайсы были разной производительности, но с одинаковой архитектурой, и чтобы в топовой конфигурации 10GE интерфейсы были и т.п. В общем полный набор, пока присматриваюсь.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ASA5550
У меня похожая задача стоит

Пруфлинк что справиться можно пожалуйста?

http://www.cisco.com/en/US/prod/collateral...cd8048dba8.html

bandwidth capacity != NAT perfomance

Т.е. если можете расскажите пожалуйста почему вы так думаете? Опыт использования?

5520 обрабатывает 200 mbit на нате, личный опыт. Дальше аппроксимация.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

2 alks. Нет у меня сейчас ната и не было никогда. Озадачили генералы, говрят хотим нат и точка. И такой чтобы маштабируемый и отказоустойчивый и для разных сегментов сети чтобы девайсы были разной производительности, но с одинаковой архитектурой, и чтобы в топовой конфигурации 10GE интерфейсы были и т.п. В общем полный набор, пока присматриваюсь.

ну если у вас генералы рулят дизайном сети - соболезную

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ну если у вас генералы рулят дизайном сети - соболезную
Нормальные генералы :) грамотные.

 

5520 обрабатывает 200 mbit на нате, личный опыт. Дальше аппроксимация.
Спасибо за ответ. C задержками все в порядке было?
Изменено пользователем Mva103

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

2 alks. Нет у меня сейчас ната и не было никогда. Озадачили генералы, говрят хотим нат и точка. И такой чтобы маштабируемый и отказоустойчивый и для разных сегментов сети чтобы девайсы были разной производительности, но с одинаковой архитектурой, и чтобы в топовой конфигурации 10GE интерфейсы были и т.п. В общем полный набор, пока присматриваюсь.
В топе - ASA 5580

или Cisco 6500 + ACE module

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Посоветуйте "железное" решение для NAT с пропускной способностью в 500мбит/c

Нужно отталкиваться от пропускной способности в пакетов/сек, а потом можно подобрать из 28хх или 38хх серии роутеров

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В топе - ASA 5580
Посматриваю в их сторону, но как то настороженно, потому как ASA 5580 мне весьма напоминает обычный сервер от HP (585й чтоли) только зеленого цвета.
или Cisco 6500 + ACE module
уже приобрел такую игрушку, но

1. для задач балансировки нагрузки и управления приложениями, а не для ната

2. жаба душит такое решение использовать только для ната, как то дороговато на круг выходит.

 

Пока изучаю возможности juniper'ов

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Cisco Firewall Services Module for Cisco Catalyst 6500 and Cisco 7600 Series

http://www.cisco.com/en/US/prod/collateral...cd803e69c3.html

 

Performance

 

• 5.5 Gbps throughput per service module

• Up to 4 FWSMs (20 Gbps) per Catalyst 6500 chassis with static VLAN or IOS Policy-based Routing

• 2.8 Mpps

• 1 million concurrent connections

• 100,000 connection setups and teardowns per second

• 256,000 concurrent NAT or PAT translations

• Jumbo Ethernet packets (8500 bytes) supported

 

Выглядит привлекательнее ACE. и по цене и фич ненужных нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Cisco Firewall Services Module for Cisco Catalyst 6500 and Cisco 7600 Series

http://www.cisco.com/en/US/prod/collateral...cd803e69c3.html

 

Performance

 

• 5.5 Gbps throughput per service module

• Up to 4 FWSMs (20 Gbps) per Catalyst 6500 chassis with static VLAN or IOS Policy-based Routing

• 2.8 Mpps

• 1 million concurrent connections

• 100,000 connection setups and teardowns per second

• 256,000 concurrent NAT or PAT translations

• Jumbo Ethernet packets (8500 bytes) supported

 

Выглядит привлекательнее ACE. и по цене и фич ненужных нет.

256K трансляций и 3CXL вытянет... и 256К - это мегабит 300-400 примерно на хомячках. АСЕ хотя бы до 5 гбит на хомячках раскручивается.

 

В топе - ASA 5580
Посматриваю в их сторону, но как то настороженно, потому как ASA 5580 мне весьма напоминает обычный сервер от HP (585й чтоли) только зеленого цвета.
или Cisco 6500 + ACE module
уже приобрел такую игрушку, но

1. для задач балансировки нагрузки и управления приложениями, а не для ната

2. жаба душит такое решение использовать только для ната, как то дороговато на круг выходит.

 

Пока изучаю возможности juniper'ов

Хм. А похожа, да =)

Правда, если там и кусок сервера - то видимо только как корпус и рутинг-енжин. Джунипера J и М серий - это ж писюки со спецкарточками. А так - П4-3000 стоит в J6350, например.

 

Джунипера на нат дороже выходят.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ASR 1004 вам поможет она 10 G натит

Изменено пользователем lelick

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

вообщем что получается

 

1. если взять ТТХ Cisco ASA 5550

• 1.2 Gbps Firewall -- так понимаю на чистых ACL

• 425 Mbps IPsec VPN -- те-же цифры будут и при нате

т.е. на 5550 получим около 400мбит на NATe

цена вопроса по GPL 19995$

 

2. топовая ASA Cisco ASA 5580-20

• 5 Gbps Firewall

• 1 Gbps IPsec VPN - столько же получим на NATe

цена вопроса по GPL 49995$

 

3. WS-SVC-FWM-1-K9 - firewall модуль

• 5.5 Gbps throughput per service module

• по NAT данных нет - но думаю что цифра будет поболе чем 1Gbps на ASA 5580-20

цена вопроса по GPL 34995$

почитал гайд по ней http://www.cisco.com/en/US/docs/security/f...e/fwsm_cfg.html

настройка практически такая-же как и на PIX/ASA

ненужных фич нет

внешних портов нет - но они не нужны абсолютно

 

> Mva103 - похоже сей модуль нам и нужен - стоит дешевле топовых ASA

ненужных фич нет

 

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

вообщем что получается

 

1. если взять ТТХ Cisco ASA 5550

• 1.2 Gbps Firewall -- так понимаю на чистых ACL

• 425 Mbps IPsec VPN -- те-же цифры будут и при нате

т.е. на 5550 получим около 400мбит на NATe

цена вопроса по GPL 19995$

 

2. топовая ASA Cisco ASA 5580-20

• 5 Gbps Firewall

• 1 Gbps IPsec VPN - столько же получим на NATe

цена вопроса по GPL 49995$

 

3. WS-SVC-FWM-1-K9 - firewall модуль

• 5.5 Gbps throughput per service module

• по NAT данных нет - но думаю что цифра будет поболе чем 1Gbps на ASA 5580-20

цена вопроса по GPL 34995$

почитал гайд по ней http://www.cisco.com/en/US/docs/security/f...e/fwsm_cfg.html

настройка практически такая-же как и на PIX/ASA

ненужных фич нет

внешних портов нет - но они не нужны абсолютно

 

> Mva103 - похоже сей модуль нам и нужен - стоит дешевле топовых ASA

ненужных фич нет

Неправильный расчет. На аса5550 я бы рассчитывал на 600-700мбит ната, на 5580-20 видел результаты тестов на примерно 2гбита. На АСЕ видел результаты тестов на 5гбит (бандл по жопелю $60k).

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

способы "правильно" потратить деньги на "брэндовое" железо во время финансового кризиса...

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

2 cmhungry

а почему вы решили что

256K трансляций и 3CXL вытянет... и 256К - это мегабит 300-400 примерно на хомячках.
т.е. что 3CXL что WS-SVC-FWM-1-K9 - по производительности одинаков?

Я эйса смогу через пару недель покрутить. Попробую сдесь отписать ежели не забуду.

На АСЕ видел результаты тестов на 5гбит (бандл по жопелю $60k).
Состав бандла какой? 32SUP ?

Чет все равно не врастает в 60к по GPL. ACE с лицухой на 8GB стоит $59 995

 

Пруфлинк:

WS-C6504-E Catalyst 6500 Enhanced 4-slot chassis,5RU,no PS,no Fan Tray 1 $3 000 $3 000

SV33AIK9-12233SXH Cisco CAT6000-VSS720 IOS ADVANCED IP SERVICES SSH 1 $10 000 $10 000

VS-S720-10G-3CXL Cat 6500 Supervisor 720 with 2 ports 10GbE MSFC3 PFC3C XL 1 $48 000 $48 000

CF-ADAPTER-SP SP adapter with compact flash for SUP720 1 $0

ACE20-MOD-K9 Application Control Engine 20 Hardware 1 $0 $0

SC6K-3.0.0A14-ACE ACE 3.0(1) Software Release 1 $0 $0

ACE-08G-LIC Application Control Engine (ACE) 8Gbps License 1 $59 995 $59 995

WS-X6148A-GE-45AF Cat6500 48-Port PoE 802.3af & ePoE 10/100/1000 w/Jumbo Frame 1 $9 000 $9 000

WS-X6748-SFP Catalyst 6500 48-port GigE Mod: fabric-enabled (Req. SFPs) 1 $25 000 $25 000

FAN-MOD-4HS High-Speed Fan Module for 7604/6504-E 1 $0 $0

PWR-2700-AC/4 2700W AC Power Supply for Cisco 7604/6504-E 2 $3 000 $6 000

CAB-AC-2500W-EU Power Cord, 250Vac 16A, Europe 2 $0 $0

VS-F6K-MSFC3 Catalyst 6500 Multilayer Switch Feature Card (MSFC) III 1 $0 $0

VS-F6K-PFC3CXL Catalyst 6500 Sup720-10G Policy Feature Card 3CXL 1 $0 $0

VS-S720-10G Catalyst 6500 Supervisor 720 with 2 10GbE ports 1 $0 $0

MEM-C6K-CPTFL1GB Catalyst 6500 Compact Flash Memory 1GB 1 $0 $0

BF-S720-64MB-RP Bootflash for SUP720-64MB-RP 1 $0 $0

MEM-XCEF720-256M Catalyst 6500 256MB DDR, xCEF720 (67xx interface, DFC3A) 1 $0 $0

WS-F6700-CFC Catalyst 6500 Central Fwd Card for WS-X67xx modules 1 $0 $0

 

 

зы Это я к тому что за 60к по GPL 5 гигабитный нат я бы забрал :)

Изменено пользователем Mva103

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Неправильный расчет. На аса5550 я бы рассчитывал на 600-700мбит ната, на 5580-20 видел результаты тестов на примерно 2гбита. На АСЕ видел результаты тестов на 5гбит (бандл по жопелю $60k).

я вот каким образом прикидывал поток

 

cmhungry - вы сами говорили что из опыта ASA5520 на нате держит 200мбит

смотрим ее ТТХ

• 450 Mbps Firewall

• 225 Mbps IPsec VPN

 

один мой знакомый ccie говорит что пропускная способность на нате будет примерно равна потоку на VPN - и это потверждается вашим-же опытом по asa5520

еще вы говорите что на топовой 5580 нат держит почти половину заявленной

так что думаю из анализа этих данных asa5550 потянет 500-600мбит/c

 

встает вопрос тогда что делать?

покупать асу и потом через год докупать вторую и делать балансинг

или переплатить 10K и вообще забыть об этой проблеме лет на 5 как минимум :)

 

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

2 alks

переплатить 10к за что? за WS-SVC-FWM-1-K9 бандл? Он 3CXL + WS-SVC-FWM-1-K9 не влезет в ваш бюджет плюс 10к уев.

Я запросил циску сегодня по производительности в пакетах в секунду и в bandwidth на ACE и FWSM. посмотрим что скажуть. Но циска сегодня сразу в лоб посоветовала ACE (Видать потому что FWSM довольно стар)

 

ЗЫ запросил конкретно про производительность на НАТ

Изменено пользователем Mva103

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

2 alks

переплатить 10к за что? за WS-SVC-FWM-1-K9 бандл? Он 3CXL + WS-SVC-FWM-1-K9 не влезет в ваш бюджет плюс 10к уев.

Я запросил циску сегодня по производительности в пакетах в секунду и в bandwidth на ACE и FWSM. посмотрим что скажуть. Но циска сегодня сразу в лоб посоветовала ACE (Видать потому что FWSM довольно стар)

 

ЗЫ запросил конкретно про производительность на НАТ

у меня 7-ми тонник с сапом 720 3bxl поэтому бандл мне не нужен - только плата

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А ну тогда у вас айс. Не будет справляться FWSM - остаток догоните BXLем

7ми тонник не жалко? :) (хотя от задач зависит, но я остерегся что нить кроме раутинга вешать на сетевое ядро)

 

Опять ЗЫ, если вам не горит, я завтро зацитирую что циска сказала про оба модуля (ну или сами спросите, если нетерпение) :)

Изменено пользователем Mva103

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.