alks Опубликовано 18 ноября, 2008 · Жалоба Посоветуйте "железное" решение для NAT с пропускной способностью в 500мбит/c с фаловером наподобии Cisco PIX бюджет 500000руб в данный момент рассматриваю два варианта Cisco ASA Juniper SSG 350M может кто предложит решение подешевле? вариант с двумя серверами под линем + DRBD просьба не предлагать Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zoro Опубликовано 18 ноября, 2008 · Жалоба 60тысяч р выдача блока AS на 2000юзверей... динамически выдавать им ипы из пула... нат не нужен... 40тысяч мне на смекалку ;-) 400тысяч сами потратте... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alks Опубликовано 18 ноября, 2008 · Жалоба к сожалению такой вариант не пойдет внутри сетки частники получают фиксированный пул из 4 адресов на порт свича один влан на свич ... сетка /25 на свич свичей сотни - считаем сколько надо реальных адресов.... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
cmhungry Опубликовано 18 ноября, 2008 · Жалоба ASA5550 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Mva103 Опубликовано 18 ноября, 2008 (изменено) · Жалоба ASA5550У меня похожая задача стоитПруфлинк что справиться можно пожалуйста? http://www.cisco.com/en/US/prod/collateral...cd8048dba8.html bandwidth capacity != NAT perfomance Т.е. если можете расскажите пожалуйста почему вы так думаете? Опыт использования? Изменено 18 ноября, 2008 пользователем Mva103 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alks Опубликовано 18 ноября, 2008 · Жалоба c ASA все понятно, может кто-нибудь предложит аналог? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alks Опубликовано 18 ноября, 2008 · Жалоба Да во еще что забыл сказать ... от железки требуется только NAT + аналог ASDM цисковского (морда управления/мониторинга/трейсер-пакетов) vpn ssl и прочие навороты не нужны > to Mva103 -- вы сейчас чем нат делаете? при каком трафе сколько sh usage cpu? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Mva103 Опубликовано 18 ноября, 2008 · Жалоба 2 alks. Нет у меня сейчас ната и не было никогда. Озадачили генералы, говрят хотим нат и точка. И такой чтобы маштабируемый и отказоустойчивый и для разных сегментов сети чтобы девайсы были разной производительности, но с одинаковой архитектурой, и чтобы в топовой конфигурации 10GE интерфейсы были и т.п. В общем полный набор, пока присматриваюсь. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
cmhungry Опубликовано 18 ноября, 2008 · Жалоба ASA5550У меня похожая задача стоитПруфлинк что справиться можно пожалуйста? http://www.cisco.com/en/US/prod/collateral...cd8048dba8.html bandwidth capacity != NAT perfomance Т.е. если можете расскажите пожалуйста почему вы так думаете? Опыт использования? 5520 обрабатывает 200 mbit на нате, личный опыт. Дальше аппроксимация. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alks Опубликовано 18 ноября, 2008 · Жалоба 2 alks. Нет у меня сейчас ната и не было никогда. Озадачили генералы, говрят хотим нат и точка. И такой чтобы маштабируемый и отказоустойчивый и для разных сегментов сети чтобы девайсы были разной производительности, но с одинаковой архитектурой, и чтобы в топовой конфигурации 10GE интерфейсы были и т.п. В общем полный набор, пока присматриваюсь. ну если у вас генералы рулят дизайном сети - соболезную Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Mva103 Опубликовано 18 ноября, 2008 (изменено) · Жалоба ну если у вас генералы рулят дизайном сети - соболезнуюНормальные генералы :) грамотные. 5520 обрабатывает 200 mbit на нате, личный опыт. Дальше аппроксимация.Спасибо за ответ. C задержками все в порядке было? Изменено 18 ноября, 2008 пользователем Mva103 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
cmhungry Опубликовано 19 ноября, 2008 · Жалоба 2 alks. Нет у меня сейчас ната и не было никогда. Озадачили генералы, говрят хотим нат и точка. И такой чтобы маштабируемый и отказоустойчивый и для разных сегментов сети чтобы девайсы были разной производительности, но с одинаковой архитектурой, и чтобы в топовой конфигурации 10GE интерфейсы были и т.п. В общем полный набор, пока присматриваюсь.В топе - ASA 5580или Cisco 6500 + ACE module Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Daymon Опубликовано 19 ноября, 2008 · Жалоба Посоветуйте "железное" решение для NAT с пропускной способностью в 500мбит/c Нужно отталкиваться от пропускной способности в пакетов/сек, а потом можно подобрать из 28хх или 38хх серии роутеров Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Mva103 Опубликовано 19 ноября, 2008 · Жалоба В топе - ASA 5580Посматриваю в их сторону, но как то настороженно, потому как ASA 5580 мне весьма напоминает обычный сервер от HP (585й чтоли) только зеленого цвета.или Cisco 6500 + ACE moduleуже приобрел такую игрушку, но 1. для задач балансировки нагрузки и управления приложениями, а не для ната 2. жаба душит такое решение использовать только для ната, как то дороговато на круг выходит. Пока изучаю возможности juniper'ов Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Mva103 Опубликовано 19 ноября, 2008 · Жалоба Cisco Firewall Services Module for Cisco Catalyst 6500 and Cisco 7600 Series http://www.cisco.com/en/US/prod/collateral...cd803e69c3.html Performance • 5.5 Gbps throughput per service module • Up to 4 FWSMs (20 Gbps) per Catalyst 6500 chassis with static VLAN or IOS Policy-based Routing • 2.8 Mpps • 1 million concurrent connections • 100,000 connection setups and teardowns per second • 256,000 concurrent NAT or PAT translations • Jumbo Ethernet packets (8500 bytes) supported Выглядит привлекательнее ACE. и по цене и фич ненужных нет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
cmhungry Опубликовано 19 ноября, 2008 · Жалоба Cisco Firewall Services Module for Cisco Catalyst 6500 and Cisco 7600 Serieshttp://www.cisco.com/en/US/prod/collateral...cd803e69c3.html Performance • 5.5 Gbps throughput per service module • Up to 4 FWSMs (20 Gbps) per Catalyst 6500 chassis with static VLAN or IOS Policy-based Routing • 2.8 Mpps • 1 million concurrent connections • 100,000 connection setups and teardowns per second • 256,000 concurrent NAT or PAT translations • Jumbo Ethernet packets (8500 bytes) supported Выглядит привлекательнее ACE. и по цене и фич ненужных нет. 256K трансляций и 3CXL вытянет... и 256К - это мегабит 300-400 примерно на хомячках. АСЕ хотя бы до 5 гбит на хомячках раскручивается. В топе - ASA 5580Посматриваю в их сторону, но как то настороженно, потому как ASA 5580 мне весьма напоминает обычный сервер от HP (585й чтоли) только зеленого цвета.или Cisco 6500 + ACE moduleуже приобрел такую игрушку, но 1. для задач балансировки нагрузки и управления приложениями, а не для ната 2. жаба душит такое решение использовать только для ната, как то дороговато на круг выходит. Пока изучаю возможности juniper'ов Хм. А похожа, да =) Правда, если там и кусок сервера - то видимо только как корпус и рутинг-енжин. Джунипера J и М серий - это ж писюки со спецкарточками. А так - П4-3000 стоит в J6350, например. Джунипера на нат дороже выходят. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
lelick Опубликовано 20 ноября, 2008 (изменено) · Жалоба ASR 1004 вам поможет она 10 G натит Изменено 20 ноября, 2008 пользователем lelick Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alks Опубликовано 20 ноября, 2008 · Жалоба вообщем что получается 1. если взять ТТХ Cisco ASA 5550 • 1.2 Gbps Firewall -- так понимаю на чистых ACL • 425 Mbps IPsec VPN -- те-же цифры будут и при нате т.е. на 5550 получим около 400мбит на NATe цена вопроса по GPL 19995$ 2. топовая ASA Cisco ASA 5580-20 • 5 Gbps Firewall • 1 Gbps IPsec VPN - столько же получим на NATe цена вопроса по GPL 49995$ 3. WS-SVC-FWM-1-K9 - firewall модуль • 5.5 Gbps throughput per service module • по NAT данных нет - но думаю что цифра будет поболе чем 1Gbps на ASA 5580-20 цена вопроса по GPL 34995$ почитал гайд по ней http://www.cisco.com/en/US/docs/security/f...e/fwsm_cfg.html настройка практически такая-же как и на PIX/ASA ненужных фич нет внешних портов нет - но они не нужны абсолютно > Mva103 - похоже сей модуль нам и нужен - стоит дешевле топовых ASA ненужных фич нет Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
cmhungry Опубликовано 20 ноября, 2008 · Жалоба вообщем что получается 1. если взять ТТХ Cisco ASA 5550 • 1.2 Gbps Firewall -- так понимаю на чистых ACL • 425 Mbps IPsec VPN -- те-же цифры будут и при нате т.е. на 5550 получим около 400мбит на NATe цена вопроса по GPL 19995$ 2. топовая ASA Cisco ASA 5580-20 • 5 Gbps Firewall • 1 Gbps IPsec VPN - столько же получим на NATe цена вопроса по GPL 49995$ 3. WS-SVC-FWM-1-K9 - firewall модуль • 5.5 Gbps throughput per service module • по NAT данных нет - но думаю что цифра будет поболе чем 1Gbps на ASA 5580-20 цена вопроса по GPL 34995$ почитал гайд по ней http://www.cisco.com/en/US/docs/security/f...e/fwsm_cfg.html настройка практически такая-же как и на PIX/ASA ненужных фич нет внешних портов нет - но они не нужны абсолютно > Mva103 - похоже сей модуль нам и нужен - стоит дешевле топовых ASA ненужных фич нет Неправильный расчет. На аса5550 я бы рассчитывал на 600-700мбит ната, на 5580-20 видел результаты тестов на примерно 2гбита. На АСЕ видел результаты тестов на 5гбит (бандл по жопелю $60k). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
t0ly Опубликовано 20 ноября, 2008 · Жалоба способы "правильно" потратить деньги на "брэндовое" железо во время финансового кризиса... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Mva103 Опубликовано 20 ноября, 2008 (изменено) · Жалоба 2 cmhungry а почему вы решили что 256K трансляций и 3CXL вытянет... и 256К - это мегабит 300-400 примерно на хомячках.т.е. что 3CXL что WS-SVC-FWM-1-K9 - по производительности одинаков?Я эйса смогу через пару недель покрутить. Попробую сдесь отписать ежели не забуду. На АСЕ видел результаты тестов на 5гбит (бандл по жопелю $60k).Состав бандла какой? 32SUP ? Чет все равно не врастает в 60к по GPL. ACE с лицухой на 8GB стоит $59 995 Пруфлинк: WS-C6504-E Catalyst 6500 Enhanced 4-slot chassis,5RU,no PS,no Fan Tray 1 $3 000 $3 000 SV33AIK9-12233SXH Cisco CAT6000-VSS720 IOS ADVANCED IP SERVICES SSH 1 $10 000 $10 000 VS-S720-10G-3CXL Cat 6500 Supervisor 720 with 2 ports 10GbE MSFC3 PFC3C XL 1 $48 000 $48 000 CF-ADAPTER-SP SP adapter with compact flash for SUP720 1 $0 ACE20-MOD-K9 Application Control Engine 20 Hardware 1 $0 $0 SC6K-3.0.0A14-ACE ACE 3.0(1) Software Release 1 $0 $0 ACE-08G-LIC Application Control Engine (ACE) 8Gbps License 1 $59 995 $59 995 WS-X6148A-GE-45AF Cat6500 48-Port PoE 802.3af & ePoE 10/100/1000 w/Jumbo Frame 1 $9 000 $9 000 WS-X6748-SFP Catalyst 6500 48-port GigE Mod: fabric-enabled (Req. SFPs) 1 $25 000 $25 000 FAN-MOD-4HS High-Speed Fan Module for 7604/6504-E 1 $0 $0 PWR-2700-AC/4 2700W AC Power Supply for Cisco 7604/6504-E 2 $3 000 $6 000 CAB-AC-2500W-EU Power Cord, 250Vac 16A, Europe 2 $0 $0 VS-F6K-MSFC3 Catalyst 6500 Multilayer Switch Feature Card (MSFC) III 1 $0 $0 VS-F6K-PFC3CXL Catalyst 6500 Sup720-10G Policy Feature Card 3CXL 1 $0 $0 VS-S720-10G Catalyst 6500 Supervisor 720 with 2 10GbE ports 1 $0 $0 MEM-C6K-CPTFL1GB Catalyst 6500 Compact Flash Memory 1GB 1 $0 $0 BF-S720-64MB-RP Bootflash for SUP720-64MB-RP 1 $0 $0 MEM-XCEF720-256M Catalyst 6500 256MB DDR, xCEF720 (67xx interface, DFC3A) 1 $0 $0 WS-F6700-CFC Catalyst 6500 Central Fwd Card for WS-X67xx modules 1 $0 $0 зы Это я к тому что за 60к по GPL 5 гигабитный нат я бы забрал :) Изменено 20 ноября, 2008 пользователем Mva103 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alks Опубликовано 20 ноября, 2008 · Жалоба Неправильный расчет. На аса5550 я бы рассчитывал на 600-700мбит ната, на 5580-20 видел результаты тестов на примерно 2гбита. На АСЕ видел результаты тестов на 5гбит (бандл по жопелю $60k). я вот каким образом прикидывал поток cmhungry - вы сами говорили что из опыта ASA5520 на нате держит 200мбит смотрим ее ТТХ • 450 Mbps Firewall • 225 Mbps IPsec VPN один мой знакомый ccie говорит что пропускная способность на нате будет примерно равна потоку на VPN - и это потверждается вашим-же опытом по asa5520 еще вы говорите что на топовой 5580 нат держит почти половину заявленной так что думаю из анализа этих данных asa5550 потянет 500-600мбит/c встает вопрос тогда что делать? покупать асу и потом через год докупать вторую и делать балансинг или переплатить 10K и вообще забыть об этой проблеме лет на 5 как минимум :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Mva103 Опубликовано 20 ноября, 2008 (изменено) · Жалоба 2 alks переплатить 10к за что? за WS-SVC-FWM-1-K9 бандл? Он 3CXL + WS-SVC-FWM-1-K9 не влезет в ваш бюджет плюс 10к уев. Я запросил циску сегодня по производительности в пакетах в секунду и в bandwidth на ACE и FWSM. посмотрим что скажуть. Но циска сегодня сразу в лоб посоветовала ACE (Видать потому что FWSM довольно стар) ЗЫ запросил конкретно про производительность на НАТ Изменено 20 ноября, 2008 пользователем Mva103 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alks Опубликовано 20 ноября, 2008 · Жалоба 2 alksпереплатить 10к за что? за WS-SVC-FWM-1-K9 бандл? Он 3CXL + WS-SVC-FWM-1-K9 не влезет в ваш бюджет плюс 10к уев. Я запросил циску сегодня по производительности в пакетах в секунду и в bandwidth на ACE и FWSM. посмотрим что скажуть. Но циска сегодня сразу в лоб посоветовала ACE (Видать потому что FWSM довольно стар) ЗЫ запросил конкретно про производительность на НАТ у меня 7-ми тонник с сапом 720 3bxl поэтому бандл мне не нужен - только плата Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Mva103 Опубликовано 20 ноября, 2008 (изменено) · Жалоба А ну тогда у вас айс. Не будет справляться FWSM - остаток догоните BXLем 7ми тонник не жалко? :) (хотя от задач зависит, но я остерегся что нить кроме раутинга вешать на сетевое ядро) Опять ЗЫ, если вам не горит, я завтро зацитирую что циска сказала про оба модуля (ну или сами спросите, если нетерпение) :) Изменено 20 ноября, 2008 пользователем Mva103 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...