cmhungry Опубликовано 20 ноября, 2008 · Жалоба 2 cmhungryа почему вы решили что 256K трансляций и 3CXL вытянет... и 256К - это мегабит 300-400 примерно на хомячках.т.е. что 3CXL что WS-SVC-FWM-1-K9 - по производительности одинаков?Я эйса смогу через пару недель покрутить. Попробую сдесь отписать ежели не забуду. На АСЕ видел результаты тестов на 5гбит (бандл по жопелю $60k).Состав бандла какой? 32SUP ? Чет все равно не врастает в 60к по GPL. ACE с лицухой на 8GB стоит $59 995 Пруфлинк: WS-C6504-E Catalyst 6500 Enhanced 4-slot chassis,5RU,no PS,no Fan Tray 1 $3 000 $3 000 SV33AIK9-12233SXH Cisco CAT6000-VSS720 IOS ADVANCED IP SERVICES SSH 1 $10 000 $10 000 VS-S720-10G-3CXL Cat 6500 Supervisor 720 with 2 ports 10GbE MSFC3 PFC3C XL 1 $48 000 $48 000 ACE20-MOD-K9 Application Control Engine 20 Hardware 1 $0 $0 SC6K-3.0.0A14-ACE ACE 3.0(1) Software Release 1 $0 $0 ACE-08G-LIC Application Control Engine (ACE) 8Gbps License 1 $59 995 $59 995 WS-X6148A-GE-45AF Cat6500 48-Port PoE 802.3af & ePoE 10/100/1000 w/Jumbo Frame 1 $9 000 $9 000 WS-X6748-SFP Catalyst 6500 48-port GigE Mod: fabric-enabled (Req. SFPs) 1 $25 000 $25 000 зы Это я к тому что за 60к по GPL 5 гигабитный нат я бы забрал :) Ну смотрите. На 3CXL 256К ткамов. ткамы там шаренные, т.е. нат-нетфлоу - все на них. 1 запись = 1 ткам. На циско.ком в общем-то можно найти, что 256К нат трансляций с hash efficiency 99% или около того. А по поводу 60К по жопелю - во-первых, 6148+6748 необязательно покупать - там и там 2х10ге будет на супе, куда уж больше. Application Control Engine (ACE) Bundles C6509E-ACE20-8-K9 ACE20 8G 6509E SUP720-10G Bundle C $100,000 WS-C6504E-ACE20-K9 ACE20 4G 6504E Bundle C $50,000 WS-C6509E-ACE20-K9 ACE20 8G 6509E Bundle C $85,000 WS-C6504-E-ACE-K9 ACE 4G 6504 Bundle B $50,000 WS-C6509-E-ACE-K9 ACE 8G 6509 Bundle B $85,000 50 тыщ по жопелю 4G, пожалуйста. Там все - БП, шассик, суп720-3B, софт... За 10 по жопелю добавляем гиговых портов - и вуаля. Неправильный расчет. На аса5550 я бы рассчитывал на 600-700мбит ната, на 5580-20 видел результаты тестов на примерно 2гбита. На АСЕ видел результаты тестов на 5гбит (бандл по жопелю $60k). cmhungry - вы сами говорили что из опыта ASA5520 на нате держит 200мбит смотрим ее ТТХ • 450 Mbps Firewall • 225 Mbps IPsec VPN один мой знакомый ccie говорит что пропускная способность на нате будет примерно равна потоку на VPN - и это потверждается вашим-же опытом по asa5520 еще вы говорите что на топовой 5580 нат держит почти половину заявленной так что думаю из анализа этих данных asa5550 потянет 500-600мбит/c встает вопрос тогда что делать? покупать асу и потом через год докупать вторую и делать балансинг или переплатить 10K и вообще забыть об этой проблеме лет на 5 как минимум :) 200мбит на 5520 я получил с 60% нагрузкой. Поднял я свои графики по АСА5520. Так что 300 осилил бы. 120К сессий было, под 20 Кппс.Поток на впн и поток на нате - все-таки две большие разницы. Ибо впн - это модуль шифрования, а нат - счетчик и учет сессий. Я бы АСЕ взял, на самом деле. И как 6500, и как нат. Причем на 10К хомячков на нем можно и шейпинг еще сделать. АСЕ я тестировал - 500мбит/100кппс он жует на 2% загрузки цпу. 2 alksпереплатить 10к за что? за WS-SVC-FWM-1-K9 бандл? Он 3CXL + WS-SVC-FWM-1-K9 не влезет в ваш бюджет плюс 10к уев. Я запросил циску сегодня по производительности в пакетах в секунду и в bandwidth на ACE и FWSM. посмотрим что скажуть. Но циска сегодня сразу в лоб посоветовала ACE (Видать потому что FWSM довольно стар) ЗЫ запросил конкретно про производительность на НАТ C производительностью у АСЕ все хорошо. И 1М трансляций решает, в отличие от 256К на FWM. 2 alksпереплатить 10к за что? за WS-SVC-FWM-1-K9 бандл? Он 3CXL + WS-SVC-FWM-1-K9 не влезет в ваш бюджет плюс 10к уев. Я запросил циску сегодня по производительности в пакетах в секунду и в bandwidth на ACE и FWSM. посмотрим что скажуть. Но циска сегодня сразу в лоб посоветовала ACE (Видать потому что FWSM довольно стар) ЗЫ запросил конкретно про производительность на НАТ у меня 7-ми тонник с сапом 720 3bxl поэтому бандл мне не нужен - только плата Бандл дешевле выходит =) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Mva103 Опубликовано 20 ноября, 2008 (изменено) · Жалоба Ну смотрите. На 3CXL 256К ткамов. ткамы там шаренные, т.е. нат-нетфлоу - все на них. 1 запись = 1 ткам. На циско.ком в общем-то можно найти, что 256К нат трансляций с hash efficiency 99% или около того.Угу, понял, спасибо.А по поводу 60К по жопелю - во-первых, 6148+6748 необязательно покупать - там и там 2х10ге будет на супе, куда уж больше.Ну эт понятно, я скопипастил из предложения.WS-C6504-E-ACE-K9 ACE 4G 6504 Bundle B $50,000супа какая? из http://cisco.com/en/US/prod/collateral/mod...cd8045861b.html неочевидно что это суп720-3B :(50 тыщ по жопелю 4G, пожалуйста. Там все - БП, шассик, суп720-3B, софт... За 10 по жопелю добавляем гиговых портов - и вуаля.Ну я на самом деле придрался к тому что за 60куев 5гиг, 5 это больше чем 4 :), а пять - это уже лайсенс на 8G, что уже другие деньги :). C производительностью у АСЕ все хорошо. И 1М трансляций решает, в отличие от 256К на FWM.Это как бы да, если решение в одном экземпляре. А если в перспективе 10 узлов - то лишняя 10ка зелени на устройство - уже деньги. Изменено 20 ноября, 2008 пользователем Mva103 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
cmhungry Опубликовано 20 ноября, 2008 · Жалоба WS-C6504-E-ACE-K9 ACE 4G 6504 Bundle B $50,000супа какая? из http://cisco.com/en/US/prod/collateral/mod...cd8045861b.html неочевидно что это суп720-3B :(50 тыщ по жопелю 4G, пожалуйста. Там все - БП, шассик, суп720-3B, софт... За 10 по жопелю добавляем гиговых портов - и вуаля.Ну я на самом деле придрался к тому что за 60куев 5гиг, 5 это больше чем 4 :), а пять - это уже лайсенс на 8G, что уже другие деньги :). C производительностью у АСЕ все хорошо. И 1М трансляций решает, в отличие от 256К на FWM.Это как бы да, если решение в одном экземпляре. А если в перспективе 10 узлов - то лишняя 10ка зелени на устройство - уже деньги. АСЕ с суп32 жить не будет. Так что будет минимально возможный суп720. Но я не понимаю зачем надо на агрегацию 3BXL, ну если только для UBRL... Full view раздавать клиентам с узлов? Это лучше EoMPLS'ом, как мне кажется, из центра выдать, с большого красивого бордера. А 10 узлов с натом - кыш-кыш, ужос-ужос. Если город 1 - то все в центр и там натить. Если не 1 - то пересчитать $/гбит ната и подумать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Dyr Опубликовано 21 ноября, 2008 · Жалоба Что извращение? NAT на циске живёт весьма и весьма плохо, количество трансляций здорово поджимает по железу, так что не вздумайте тратиться. Возьмите сервер на Core2/4, проверено, спокойно тянет до честного гигабита под Линуксом. Сейчас у нас стоит четыре сервера для NAT и две Cisco 6504 под агрегацию и шейпирование. 35 000 пользаков, полёт прекрасный. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
shaytan Опубликовано 22 ноября, 2008 · Жалоба Где то встречал тесты ASR 1000, там был нат со скоростью 9G. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
UglyAdmin Опубликовано 23 ноября, 2008 · Жалоба к сожалению такой вариант не пойдетвнутри сетки частники получают фиксированный пул из 4 адресов на порт свича один влан на свич ... сетка /25 на свич свичей сотни - считаем сколько надо реальных адресов.... Может, передизайнить будет дешевле, чем тащить этот чемодан без ручки? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Konstantin Klimchev Опубликовано 23 ноября, 2008 · Жалоба Где то встречал тесты ASR 1000, там был нат со скоростью 9G. а не вспомните где? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zoro Опубликовано 23 ноября, 2008 · Жалоба слежу за всей темой, из всего что я понял.... Этой сети требуется срочно делать редизайн :) полностьюстью согласен с UglyAdmin... все проблемы идут от дизайна, лучше один раз подумать и сделать правельно чем каждый раз думать и городить полный набор косяков... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
leveler Опубликовано 23 ноября, 2008 · Жалоба Где то встречал тесты ASR 1000, там был нат со скоростью 9G. а не вспомните где? Ссылку на white paper можно найти на циска.ком в разделе про asr1000. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alks Опубликовано 23 ноября, 2008 · Жалоба слежу за всей темой, из всего что я понял.... Этой сети требуется срочно делать редизайн :) полностьюстью согласен с UglyAdmin... все проблемы идут от дизайна, лучше один раз подумать и сделать правельно чем каждый раз думать и городить полный набор косяков... Да безусловно - на основе высказываний людей которые знают о дизайне нашей сети только из фразы фиксированный пул 4 IP на каждый порт свича мы завтра не иначе как прямо с утра займемся редизайном сети :) по теме топика : я остановился на варианте покупки ASA5550 текущие пиксы остаются на DMZ + все офисы а на асу выводим всех частников .. когда переедем ее возможности (это не менее 1-1.5 лет... надеюсь) то будем решать вопрос о покупке второй ASA5550 или если на ASR доведут до ума софт под isg то купим ASR Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Mva103 Опубликовано 23 ноября, 2008 · Жалоба В моем случае редизайн мимо - т.к. подсети за натом вообще не мои. Циска ничего по запросу о производительности пока не ответила. Посему я стартану с ACE, а дальше смотреть буду. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zoro Опубликовано 23 ноября, 2008 · Жалоба слежу за всей темой, из всего что я понял.... Этой сети требуется срочно делать редизайн :) полностьюстью согласен с UglyAdmin... все проблемы идут от дизайна, лучше один раз подумать и сделать правельно чем каждый раз думать и городить полный набор косяков... Да безусловно - на основе высказываний людей которые знают о дизайне нашей сети только из фразы фиксированный пул 4 IP на каждый порт свича мы завтра не иначе как прямо с утра займемся редизайном сети :) по теме топика : я остановился на варианте покупки ASA5550 текущие пиксы остаются на DMZ + все офисы а на асу выводим всех частников .. когда переедем ее возможности (это не менее 1-1.5 лет... надеюсь) то будем решать вопрос о покупке второй ASA5550 или если на ASR доведут до ума софт под isg то купим ASR ну тогда раскажите какую подсеть вы выдаете юзерям? /30 ? и Vlan на юзверя... ? или /29? если последнее то непонятно зачем физику такая подсетка... PS уже давно доказанно что nat на "железе" намного дороже, легче-дешевле выдавать пул реальных ип адресов... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nailer Опубликовано 24 ноября, 2008 · Жалоба В моем случае редизайн мимо - т.к. подсети за натом вообще не мои. Циска ничего по запросу о производительности пока не ответила. Посему я стартану с ACE, а дальше смотреть буду. Внедряем ACE у заказчика в качестве бордера для NAT. Средний траффик пляшет в районе 300 мегабит, в пиках до 900. Сессий от 800 до 1.300 тыс, из них ната примерно половина. Модулю, в общем-то, хоть бы хны. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
cmhungry Опубликовано 24 ноября, 2008 · Жалоба В моем случае редизайн мимо - т.к. подсети за натом вообще не мои. Циска ничего по запросу о производительности пока не ответила. Посему я стартану с ACE, а дальше смотреть буду. Внедряем ACE у заказчика в качестве бордера для NAT. Средний траффик пляшет в районе 300 мегабит, в пиках до 900. Сессий от 800 до 1.300 тыс, из них ната примерно половина. Модулю, в общем-то, хоть бы хны. Ну да, подтверждаются мои тесты. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sirmax Опубликовано 24 ноября, 2008 · Жалоба А на 7201 кто то нат пробовал делать? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
UglyAdmin Опубликовано 24 ноября, 2008 · Жалоба Полгига NPE-G2 роутит по BGP с загрузкой под 70%. Если ещё и NAT добавить... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sirmax Опубликовано 24 ноября, 2008 · Жалоба Недавно коллега поставил 7201 на бордер... там 200+ мбит натится + 2 фулл-вью, загрузка 80% Что то сделано неправильно, или это так и должно быть? upd pps суммарные завтра, граффик нарисую Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
cmhungry Опубликовано 24 ноября, 2008 · Жалоба Недавно коллега поставил 7201 на бордер... там 200+ мбит натится + 2 фулл-вью, загрузка 80%Что то сделано неправильно, или это так и должно быть? upd pps суммарные завтра, граффик нарисую так и должно быть все Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
leveler Опубликовано 24 ноября, 2008 · Жалоба А у нас на c7301 - 132 мегабита. Загрузка 100%. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sirmax Опубликовано 24 ноября, 2008 (изменено) · Жалоба cmhungry итого 300 максимум, как я понимаю? а на 1G что брать? У меня P4 с линуксом 3-х летней давности (ядро правда обновленное) смолотил 300 мбит с натом, 2 фулл-вью + пиры и приличным числом правил в файрволле, даже несколько l7-filters. PS Вариант с отказом отната просьба не предлогать, это очевидное решение, но тема все же про нат Изменено 24 ноября, 2008 пользователем sirmax Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jab Опубликовано 24 ноября, 2008 · Жалоба # netstat -w1 input (Total) output packets errs bytes packets errs bytes colls 194479 0 129360317 193944 0 129000631 0 195170 0 129865765 194615 0 129416592 0 194799 0 130353687 194143 0 129853470 0 196974 0 131315858 196480 0 130913944 0 195343 0 130793788 194784 0 130399424 0 State Table Total Rate current entries 151141 searches 259806505377 242880.0/s inserts 2241637260 2095.6/s removals 2241486119 2095.5/s # netstat -nr | wc -l 267943 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
cmhungry Опубликовано 24 ноября, 2008 · Жалоба cmhungryитого 300 максимум, как я понимаю? а на 1G что брать? на 5520 - да, 300 максимум. На 1G - читать ветку с начала =) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
cmhungry Опубликовано 24 ноября, 2008 · Жалоба # netstat -w1 input (Total) output packets errs bytes packets errs bytes colls 194479 0 129360317 193944 0 129000631 0 State Table Total Rate current entries 151141 При всем уважении - ни разу конфигов тут никто не видел, насколько я могу припомнить за свою жизнь на этом форуме. Т.е. на цифры красивые посмотреть, послушать что FreeBSD рулит - эт пожалуйста. А вот "что за железо", "какая фря", "какие дрова", "как затюнено" - увы... А 150К записей в стейтах - это немного. netstat -w1 без указания интерфейса дает суммарку же по всем дыркам, как я понимаю? HP DL160R05/Single Xeon 5430 на штатных сетевухах под ОС микротик 3.14 дает примерно такой же результат на нате, кстати. 650мбит входящего, 710 исходящего, загрузка цпу 50%. НАТ, без шейпинга и бгп. по 110кппс в каждую сторону на 1 интерфейсе. Conntrack показывает 288К сессий сейчас. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sirmax Опубликовано 24 ноября, 2008 (изменено) · Жалоба cmhungry Ага, только хотел написать, что мы и сами с усами, пророутить гигабит, пошейпить и посчитать тоже можем ) Без всяких Фрей, нормальным линуксом, человеческим. =) Похоже, что так прийдется делать и дальше, ценик на железные решения неадекватен ) # netstat -w1 input (Total) output packets errs bytes packets errs bytes colls 194479 0 129360317 193944 0 129000631 0 195170 0 129865765 194615 0 129416592 0 194799 0 130353687 194143 0 129853470 0 196974 0 131315858 196480 0 130913944 0 195343 0 130793788 194784 0 130399424 0 кстати, если я не ошибаюсь, все счетчики должны рости? или нет? UPD почитал ман, вопрос снят ) Изменено 24 ноября, 2008 пользователем sirmax Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
jab Опубликовано 24 ноября, 2008 · Жалоба HP DL160R05/Single Xeon 5430 на штатных сетевухах под ОС микротик 3.14 дает примерно такой же результат на нате, кстати. 650мбит входящего, 710 исходящего, загрузка цпу 50%. НАТ, без шейпинга и бгп. по 110кппс в каждую сторону на 1 интерфейсе. Conntrack показывает 288К сессий сейчас. Core2Duo E8400 + Intel 1000/PT Dual - тазик 2U за 20000р суммарно. Xeon - деньги на ветер. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...