[cmhungry]

2 cmhungry

а почему вы решили что

256K трансляций и 3CXL вытянет... и 256К - это мегабит 300-400 примерно на хомячках.

т.е. что 3CXL что WS-SVC-FWM-1-K9 - по производительности одинаков?

Я эйса смогу через пару недель покрутить. Попробую сдесь отписать ежели не забуду.

На АСЕ видел результаты тестов на 5гбит (бандл по жопелю $60k).

Состав бандла какой? 32SUP ?

Чет все равно не врастает в 60к по GPL. ACE с лицухой на 8GB стоит $59 995

 

Пруфлинк:

WS-C6504-E Catalyst 6500 Enhanced 4-slot chassis,5RU,no PS,no Fan Tray 1 $3 000 $3 000

SV33AIK9-12233SXH Cisco CAT6000-VSS720 IOS ADVANCED IP SERVICES SSH 1 $10 000 $10 000

VS-S720-10G-3CXL Cat 6500 Supervisor 720 with 2 ports 10GbE MSFC3 PFC3C XL 1 $48 000 $48 000

ACE20-MOD-K9 Application Control Engine 20 Hardware 1 $0 $0

SC6K-3.0.0A14-ACE ACE 3.0(1) Software Release 1 $0 $0

ACE-08G-LIC Application Control Engine (ACE) 8Gbps License 1 $59 995 $59 995

WS-X6148A-GE-45AF Cat6500 48-Port PoE 802.3af & ePoE 10/100/1000 w/Jumbo Frame 1 $9 000 $9 000

WS-X6748-SFP Catalyst 6500 48-port GigE Mod: fabric-enabled (Req. SFPs) 1 $25 000 $25 000

зы Это я к тому что за 60к по GPL 5 гигабитный нат я бы забрал :)

Ну смотрите. На 3CXL 256К ткамов. ткамы там шаренные, т.е. нат-нетфлоу - все на них. 1 запись = 1 ткам. На циско.ком в общем-то можно найти, что 256К нат трансляций с hash efficiency 99% или около того.

 

А по поводу 60К по жопелю - во-первых, 6148+6748 необязательно покупать - там и там 2х10ге будет на супе, куда уж больше.

 

Application Control Engine (ACE) Bundles

C6509E-ACE20-8-K9 ACE20 8G 6509E SUP720-10G Bundle C $100,000

WS-C6504E-ACE20-K9 ACE20 4G 6504E Bundle C $50,000

WS-C6509E-ACE20-K9 ACE20 8G 6509E Bundle C $85,000

WS-C6504-E-ACE-K9 ACE 4G 6504 Bundle B $50,000

WS-C6509-E-ACE-K9 ACE 8G 6509 Bundle B $85,000

 

50 тыщ по жопелю 4G, пожалуйста. Там все - БП, шассик, суп720-3B, софт... За 10 по жопелю добавляем гиговых портов - и вуаля.

 

 

 

 

Неправильный расчет. На аса5550 я бы рассчитывал на 600-700мбит ната, на 5580-20 видел результаты тестов на примерно 2гбита. На АСЕ видел результаты тестов на 5гбит (бандл по жопелю $60k).

cmhungry - вы сами говорили что из опыта ASA5520 на нате держит 200мбит

смотрим ее ТТХ

• 450 Mbps Firewall

• 225 Mbps IPsec VPN

 

один мой знакомый ccie говорит что пропускная способность на нате будет примерно равна потоку на VPN - и это потверждается вашим-же опытом по asa5520

еще вы говорите что на топовой 5580 нат держит почти половину заявленной

так что думаю из анализа этих данных asa5550 потянет 500-600мбит/c

 

встает вопрос тогда что делать?

покупать асу и потом через год докупать вторую и делать балансинг

или переплатить 10K и вообще забыть об этой проблеме лет на 5 как минимум :)

200мбит на 5520 я получил с 60% нагрузкой. Поднял я свои графики по АСА5520. Так что 300 осилил бы. 120К сессий было, под 20 Кппс.

Поток на впн и поток на нате - все-таки две большие разницы. Ибо впн - это модуль шифрования, а нат - счетчик и учет сессий.

 

Я бы АСЕ взял, на самом деле. И как 6500, и как нат. Причем на 10К хомячков на нем можно и шейпинг еще сделать.

АСЕ я тестировал - 500мбит/100кппс он жует на 2% загрузки цпу.

 

 

 

2 alks

переплатить 10к за что? за WS-SVC-FWM-1-K9 бандл? Он 3CXL + WS-SVC-FWM-1-K9 не влезет в ваш бюджет плюс 10к уев.

Я запросил циску сегодня по производительности в пакетах в секунду и в bandwidth на ACE и FWSM. посмотрим что скажуть. Но циска сегодня сразу в лоб посоветовала ACE (Видать потому что FWSM довольно стар)

 

ЗЫ запросил конкретно про производительность на НАТ

C производительностью у АСЕ все хорошо. И 1М трансляций решает, в отличие от 256К на FWM.

 

 

2 alks

переплатить 10к за что? за WS-SVC-FWM-1-K9 бандл? Он 3CXL + WS-SVC-FWM-1-K9 не влезет в ваш бюджет плюс 10к уев.

Я запросил циску сегодня по производительности в пакетах в секунду и в bandwidth на ACE и FWSM. посмотрим что скажуть. Но циска сегодня сразу в лоб посоветовала ACE (Видать потому что FWSM довольно стар)

 

ЗЫ запросил конкретно про производительность на НАТ

у меня 7-ми тонник с сапом 720 3bxl поэтому бандл мне не нужен - только плата

Бандл дешевле выходит =)

[Mva103]

Ну смотрите. На 3CXL 256К ткамов. ткамы там шаренные, т.е. нат-нетфлоу - все на них. 1 запись = 1 ткам. На циско.ком в общем-то можно найти, что 256К нат трансляций с hash efficiency 99% или около того.

Угу, понял, спасибо.

А по поводу 60К по жопелю - во-первых, 6148+6748 необязательно покупать - там и там 2х10ге будет на супе, куда уж больше.

Ну эт понятно, я скопипастил из предложения.

WS-C6504-E-ACE-K9 ACE 4G 6504 Bundle B $50,000

супа какая? из http://cisco.com/en/US/prod/collateral/mod...cd8045861b.html неочевидно что это

суп720-3B

:(

50 тыщ по жопелю 4G, пожалуйста. Там все - БП, шассик, суп720-3B, софт... За 10 по жопелю добавляем гиговых портов - и вуаля.

Ну я на самом деле придрался к тому что за 60куев 5гиг, 5 это больше чем 4 :), а пять - это уже лайсенс на 8G, что уже другие деньги :).

 

C производительностью у АСЕ все хорошо. И 1М трансляций решает, в отличие от 256К на FWM.

Это как бы да, если решение в одном экземпляре. А если в перспективе 10 узлов - то лишняя 10ка зелени на устройство - уже деньги.

Изменено 20 ноября, 2008 пользователем Mva103

[cmhungry]

WS-C6504-E-ACE-K9 ACE 4G 6504 Bundle B $50,000

супа какая? из http://cisco.com/en/US/prod/collateral/mod...cd8045861b.html неочевидно что это

суп720-3B

:(

50 тыщ по жопелю 4G, пожалуйста. Там все - БП, шассик, суп720-3B, софт... За 10 по жопелю добавляем гиговых портов - и вуаля.

Ну я на самом деле придрался к тому что за 60куев 5гиг, 5 это больше чем 4 :), а пять - это уже лайсенс на 8G, что уже другие деньги :).

 

C производительностью у АСЕ все хорошо. И 1М трансляций решает, в отличие от 256К на FWM.

Это как бы да, если решение в одном экземпляре. А если в перспективе 10 узлов - то лишняя 10ка зелени на устройство - уже деньги.

АСЕ с суп32 жить не будет. Так что будет минимально возможный суп720. Но я не понимаю зачем надо на агрегацию 3BXL, ну если только для UBRL... Full view раздавать клиентам с узлов? Это лучше EoMPLS'ом, как мне кажется, из центра выдать, с большого красивого бордера.

 

А 10 узлов с натом - кыш-кыш, ужос-ужос. Если город 1 - то все в центр и там натить.

Если не 1 - то пересчитать $/гбит ната и подумать.

[Dyr]

Что извращение? NAT на циске живёт весьма и весьма плохо, количество трансляций здорово поджимает по железу, так что не вздумайте тратиться. Возьмите сервер на Core2/4, проверено, спокойно тянет до честного гигабита под Линуксом. Сейчас у нас стоит четыре сервера для NAT и две Cisco 6504 под агрегацию и шейпирование. 35 000 пользаков, полёт прекрасный.

[shaytan]

Где то встречал тесты ASR 1000, там был нат со скоростью 9G.

[UglyAdmin]

к сожалению такой вариант не пойдет

внутри сетки частники получают фиксированный пул из 4 адресов на порт свича

один влан на свич ... сетка /25 на свич

свичей сотни - считаем сколько надо реальных адресов....

Может, передизайнить будет дешевле, чем тащить этот чемодан без ручки?

[Konstantin Klimchev]

Где то встречал тесты ASR 1000, там был нат со скоростью 9G.

а не вспомните где?

[zoro]

слежу за всей темой, из всего что я понял.... Этой сети требуется срочно делать редизайн :) полностьюстью согласен с UglyAdmin... все проблемы идут от дизайна, лучше один раз подумать и сделать правельно чем каждый раз думать и городить полный набор косяков...

[leveler]

Где то встречал тесты ASR 1000, там был нат со скоростью 9G.

а не вспомните где?

Ссылку на white paper можно найти на циска.ком в разделе про asr1000.

[alks]

слежу за всей темой, из всего что я понял.... Этой сети требуется срочно делать редизайн :) полностьюстью согласен с UglyAdmin... все проблемы идут от дизайна, лучше один раз подумать и сделать правельно чем каждый раз думать и городить полный набор косяков...

Да безусловно - на основе высказываний людей которые знают о дизайне нашей сети только из фразы фиксированный пул 4 IP на каждый порт свича

мы завтра не иначе как прямо с утра займемся редизайном сети :)

 

по теме топика :

я остановился на варианте покупки ASA5550

текущие пиксы остаются на DMZ + все офисы а на асу выводим всех частников .. когда переедем ее возможности (это не менее 1-1.5 лет... надеюсь)

то будем решать вопрос о покупке второй ASA5550 или если на ASR доведут до ума софт под isg то купим ASR

[Mva103]

В моем случае редизайн мимо - т.к. подсети за натом вообще не мои. Циска ничего по запросу о производительности пока не ответила. Посему я стартану с ACE, а дальше смотреть буду.

[zoro]

слежу за всей темой, из всего что я понял.... Этой сети требуется срочно делать редизайн :) полностьюстью согласен с UglyAdmin... все проблемы идут от дизайна, лучше один раз подумать и сделать правельно чем каждый раз думать и городить полный набор косяков...

Да безусловно - на основе высказываний людей которые знают о дизайне нашей сети только из фразы фиксированный пул 4 IP на каждый порт свича

мы завтра не иначе как прямо с утра займемся редизайном сети :)

 

по теме топика :

я остановился на варианте покупки ASA5550

текущие пиксы остаются на DMZ + все офисы а на асу выводим всех частников .. когда переедем ее возможности (это не менее 1-1.5 лет... надеюсь)

то будем решать вопрос о покупке второй ASA5550 или если на ASR доведут до ума софт под isg то купим ASR

ну тогда раскажите какую подсеть вы выдаете юзерям? /30 ? и Vlan на юзверя... ? или /29? если последнее то непонятно зачем физику такая подсетка...

PS уже давно доказанно что nat на "железе" намного дороже, легче-дешевле выдавать пул реальных ип адресов...

[Nailer]

В моем случае редизайн мимо - т.к. подсети за натом вообще не мои. Циска ничего по запросу о производительности пока не ответила. Посему я стартану с ACE, а дальше смотреть буду.

Внедряем ACE у заказчика в качестве бордера для NAT.

 

Средний траффик пляшет в районе 300 мегабит, в пиках до 900. Сессий от 800 до 1.300 тыс, из них ната примерно половина. Модулю, в общем-то, хоть бы хны.

[cmhungry]

В моем случае редизайн мимо - т.к. подсети за натом вообще не мои. Циска ничего по запросу о производительности пока не ответила. Посему я стартану с ACE, а дальше смотреть буду.

Внедряем ACE у заказчика в качестве бордера для NAT.

 

Средний траффик пляшет в районе 300 мегабит, в пиках до 900. Сессий от 800 до 1.300 тыс, из них ната примерно половина. Модулю, в общем-то, хоть бы хны.

Ну да, подтверждаются мои тесты.

[sirmax]

А на 7201 кто то нат пробовал делать?

 

[UglyAdmin]

Полгига NPE-G2 роутит по BGP с загрузкой под 70%.

Если ещё и NAT добавить...

[sirmax]

Недавно коллега поставил 7201 на бордер... там 200+ мбит натится + 2 фулл-вью, загрузка 80%

Что то сделано неправильно, или это так и должно быть?

 

upd

pps суммарные завтра, граффик нарисую

[cmhungry]

Недавно коллега поставил 7201 на бордер... там 200+ мбит натится + 2 фулл-вью, загрузка 80%

Что то сделано неправильно, или это так и должно быть?

 

upd

pps суммарные завтра, граффик нарисую

так и должно быть все

[leveler]

А у нас на c7301 - 132 мегабита. Загрузка 100%.

[sirmax]

cmhungry

итого 300 максимум, как я понимаю?

а на 1G что брать?

 

У меня P4 с линуксом 3-х летней давности (ядро правда обновленное) смолотил 300 мбит с натом, 2 фулл-вью + пиры и приличным числом правил в файрволле, даже несколько l7-filters.

 

 

 

 

PS

Вариант с отказом отната просьба не предлогать, это очевидное решение, но тема все же про нат

Изменено 24 ноября, 2008 пользователем sirmax

[jab]

# netstat -w1

input (Total) output

packets errs bytes packets errs bytes colls

194479 0 129360317 193944 0 129000631 0

195170 0 129865765 194615 0 129416592 0

194799 0 130353687 194143 0 129853470 0

196974 0 131315858 196480 0 130913944 0

195343 0 130793788 194784 0 130399424 0

 

 

State Table Total Rate

current entries 151141

searches 259806505377 242880.0/s

inserts 2241637260 2095.6/s

removals 2241486119 2095.5/s

 

# netstat -nr | wc -l

267943

 

[cmhungry]

cmhungry

итого 300 максимум, как я понимаю?

а на 1G что брать?

на 5520 - да, 300 максимум. На 1G - читать ветку с начала =)

[cmhungry]

# netstat -w1

input (Total) output

packets errs bytes packets errs bytes colls

194479 0 129360317 193944 0 129000631 0

State Table Total Rate

current entries 151141

При всем уважении - ни разу конфигов тут никто не видел, насколько я могу припомнить за свою жизнь на этом форуме. Т.е. на цифры красивые посмотреть, послушать что FreeBSD рулит - эт пожалуйста. А вот "что за железо", "какая фря", "какие дрова", "как затюнено" - увы...

 

А 150К записей в стейтах - это немного.

netstat -w1 без указания интерфейса дает суммарку же по всем дыркам, как я понимаю?

 

HP DL160R05/Single Xeon 5430 на штатных сетевухах под ОС микротик 3.14 дает примерно такой же результат на нате, кстати. 650мбит входящего, 710 исходящего, загрузка цпу 50%. НАТ, без шейпинга и бгп. по 110кппс в каждую сторону на 1 интерфейсе. Conntrack показывает 288К сессий сейчас.

[sirmax]

cmhungry

Ага, только хотел написать, что мы и сами с усами, пророутить гигабит, пошейпить и посчитать тоже можем ) Без всяких Фрей, нормальным линуксом, человеческим. =)

 

Похоже, что так прийдется делать и дальше, ценик на железные решения неадекватен )

 

# netstat -w1
input (Total) output
packets errs bytes packets errs bytes colls
194479 0 129360317 193944 0 129000631 0
195170 0 129865765 194615 0 129416592 0
194799 0 130353687 194143 0 129853470 0
196974 0 131315858 196480 0 130913944 0
195343 0 130793788 194784 0 130399424 0

кстати, если я не ошибаюсь, все счетчики должны рости? или нет?

 

UPD

почитал ман, вопрос снят )

Изменено 24 ноября, 2008 пользователем sirmax

[jab]

HP DL160R05/Single Xeon 5430 на штатных сетевухах под ОС микротик 3.14 дает примерно такой же результат на нате, кстати. 650мбит входящего, 710 исходящего, загрузка цпу 50%. НАТ, без шейпинга и бгп. по 110кппс в каждую сторону на 1 интерфейсе. Conntrack показывает 288К сессий сейчас.

Core2Duo E8400 + Intel 1000/PT Dual - тазик 2U за 20000р суммарно. Xeon - деньги на ветер.