Konstantin Klimchev Опубликовано 4 декабря, 2008 · Жалоба Вот и мы про "больную мозоль" Хотелки: - прогнать через железку/железки 1 Гбит входящего (+ еще исходящий будет отдельной цифрой) - 60-70% от входящего - NAT - думаю что 300.000 - 500.000 трансляций в пике принять можно. - что-то подобия net-flow (хочется анализировать проходящее, понимаю что DPI для этого лучше, но не все сразу). - 4 fullview что получилось (сразу говорю, что в ценнике: поддержка, обертка в виде sfp и т.п. Т.е. не гольное шасси): - asr1002+asa5550 - что-то около 70k$ по gpl - juniperM7i - что-то около 95k$ по gpl При этом от asa5550: NAT в районе 600-700 Мбит, больше вряд ли гарантировано получить, а juniper вроде гарантировано 1 Гбит будет asa5580-20 гарантировано 1 Гбит NAT'а, но уже запредельно дорого получается. на бордер GSR - тоже финансово не потянуть (хотя лет на 5 точно б хватило) Другой момент: к 1 Гбит мы подойдем к концу 2009 (хотя загадывать не буду: как планировали летом "закончить" 2008 и как по факту закончим - уже сейчас больше в полтора раза и еще расширять будем), к тому времени может быть NAT на asr допилят (говорят щас есть вопросы) Про отказаться от NAT: "рад бы в рай, да грехи не пускают" - держит биллинг, раньше чем через год реально не решить. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Bambuk Опубликовано 5 декабря, 2008 · Жалоба а зачем вам asa в добавок к asr? asr и сам натить умеет. причем гарантировано 10Гбит на ESP10 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
cmhungry Опубликовано 5 декабря, 2008 · Жалоба ASR1004 я бы попробовал. ASA к нему на нат не нужна. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Bambuk Опубликовано 5 декабря, 2008 · Жалоба 1004 для его задач будет дороже чем 1002, т.к. надо SIP+SPA покупать, а плюсов никаких. 1002 - в самый раз. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Konstantin Klimchev Опубликовано 5 декабря, 2008 (изменено) · Жалоба а зачем вам asa в добавок к asr?asr и сам натить умеет. причем гарантировано 10Гбит на ESP10 То что asr nat'ить умеет я знаю. Вопрос - а как хорошо? Могу я там по_пользовательно сессии ограничивать скопом (типа ip nat translation max-entries all-host 300), а по конкретным "счасливчикам" сделать 10-15? Я просто не знаю, поэтому и спрашиваю. На ASA - можно по-гибче "похулиганить" над абонентами, типа по гибче ограничения колличество одновременных сессий и т.п. (уже слышу про DPI :) ) Почему-то мне так кажется, возможно заблуждаюсь. ESP10 мне много. а ESP5 - "за глаза" под хотелки. Изменено 5 декабря, 2008 пользователем Konstantin Klimchev Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
CityFox Опубликовано 5 декабря, 2008 · Жалоба Мне кажется, что, для 1 Гбит netflow + 600-700 Мбит NAT на M7i, вам придется купить 2 модуля PE-MS-100-1 и две лицензии S-ACCT и S-NAT-FW-SINGLE И того: 2x35000$+5000$+7000$=82000$ Всместе с бандлом M7i c 2 GE портами это будет больше 110k$. Еще нужно помнить, что для модуля MS-100 ( а ms-400 и ms-500 в M7i не лезут) заявленная производительность на JFlow v5 - 825 Mbps half duplex, т.е он не сможет честно переварить даже ваш 1 Гбит входящего трафика, без учета исходящего и придется использовать sampling. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Konstantin Klimchev Опубликовано 5 декабря, 2008 · Жалоба Мне кажется, что, для 1 Гбит netflow + 600-700 Мбит NAT на M7i, вам придется купить 2 модуля PE-MS-100-1 и две лицензии S-ACCT и S-NAT-FW-SINGLEИ того: 2x35000$+5000$+7000$=82000$ Всместе с бандлом M7i c 2 GE портами это будет больше 110k$. Еще нужно помнить, что для модуля MS-100 ( а ms-400 и ms-500 в M7i не лезут) заявленная производительность на JFlow v5 - 825 Mbps half duplex, т.е он не сможет честно переварить даже ваш 1 Гбит входящего трафика, без учета исходящего и придется использовать sampling. про 2 модуля - поясните плиз (чтоб знать, ибо для меня сейчас juniper - красивая коробочка синего цвета) про фловы я знаю, что на Гиге я только sampling получу. Вот вопрос, а на asr как при Гиге? Также? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
leveler Опубликовано 5 декабря, 2008 · Жалоба А просветите пожалуйста по поводу 1004 vs 1002+asa? Мы, правда, не бордер ищем. Нам бы BRAS для PPPoE'шников. Но смотрим как раз на ASR1000. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Konstantin Klimchev Опубликовано 5 декабря, 2008 · Жалоба А просветите пожалуйста по поводу 1004 vs 1002+asa? Мы, правда, не бордер ищем. Нам бы BRAS для PPPoE'шников. Но смотрим как раз на ASR1000. да здесь не противопоставление 1004 vs 1002+asa. Для меня asa - NAT без относительно 1004 это или 1002. Ибо есть вопросы к реализации его в asr (железка довольно свежая). Хотя и не видел ничего плохого, но и хорошего тоже не видел. В тоже время про использование asr как бордер с bgp - отзывы от Bambuk есть. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Bambuk Опубликовано 5 декабря, 2008 · Жалоба У нас на asr гиг шел. netflow почти справлялся. при этом загрузка процессора практически никакая. там до 2млн entry. если таймауты потюнить, то отдавать без потерь будет, но сможет ли коллектор это переварить. По поводу PPPoE. ASR c 2Г памяти тянет примерно 18500 PPPoE сессий, дальше память кончается. с 4Г потянет больше. При 18500 установленных сессиях на пакетах 256 байт прокачивалось более 9Гбит/с при загрузке процессора 11%. Это данные реального тестирования в одной из МРК. Единственный пока минус ASR - отсутствие препейда. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Konstantin Klimchev Опубликовано 5 декабря, 2008 (изменено) · Жалоба У нас на asr гиг шел. netflow почти справлялся. при этом загрузка процессора практически никакая. там до 2млн entry. если таймауты потюнить, то отдавать без потерь будет, но сможет ли коллектор это переварить. а v какая у netflow? как я понял там v9 аппаратно реализован, а v5/8 программно. Изменено 5 декабря, 2008 пользователем Konstantin Klimchev Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Bambuk Опубликовано 5 декабря, 2008 · Жалоба v5 и v9. и то и другое пробовали. разницы по нагрузке на процессор не заметно никакой. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Konstantin Klimchev Опубликовано 5 декабря, 2008 · Жалоба v5 и v9. и то и другое пробовали. разницы по нагрузке на процессор не заметно никакой. ну тогда наш выбор: asr1002+asa5550 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Bambuk Опубликовано 5 декабря, 2008 · Жалоба Могу я там по_пользовательно сессии ограничивать скопом (типа ip nat translation max-entries all-host 300), а по конкретным "счасливчикам" сделать 10-15? Я просто не знаю, поэтому и спрашиваю. На ASA - можно по-гибче "похулиганить" над абонентами, типа по гибче ограничения колличество одновременных сессий и т.п. (уже слышу про DPI :) ) Это кстати есть: asr1k-2-a53(config)#ip nat translation max-entries ? <1-2147483647> Number of entries all-host Specify maximum number of NAT entries for each host all-vrf Specify maximum number of NAT entries for each vrf host Specify per-host NAT entry limit list Specify access list based NAT entry limit vrf Specify per-VRF NAT entry limit Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
CityFox Опубликовано 5 декабря, 2008 (изменено) · Жалоба про 2 модуля - поясните плиз (чтоб знать, ибо для меня сейчас juniper - красивая коробочка синего цвета) У M7i ,кажется, пропускная способность шины каждого модуля чуть больше 1Gbit, а включение netflow означает, что весь трафик, который вы хотите посчитать , начинается коприроваться на внутренний интерфейс сервисного модуля и может съесть всю его шину не оставив достаточно свободной полосы для NAT. Да и просто есть сомненья, что один модуль сможет показать пиковую производитьельность сразу для двух сервисов. Изменено 5 декабря, 2008 пользователем CityFox Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Konstantin Klimchev Опубликовано 5 декабря, 2008 (изменено) · Жалоба А просветите пожалуйста по поводу 1004 vs 1002+asa? Мы, правда, не бордер ищем. Нам бы BRAS для PPPoE'шников. Но смотрим как раз на ASR1000. я как утверждал раньше, так и сейчас не поменял мнения: для BRAS ESR10K - самое то. ASR'у еще пару годиков вылежиться нужно. Изменено 5 декабря, 2008 пользователем Konstantin Klimchev Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Bambuk Опубликовано 5 декабря, 2008 · Жалоба Через пару годиков глядишь что-нибудь новое появится :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Konstantin Klimchev Опубликовано 5 декабря, 2008 · Жалоба Через пару годиков глядишь что-нибудь новое появится :) для того новенького свои пару годиков, и процесс ушел в бесконечность :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Babek Опубликовано 26 января, 2009 · Жалоба А чем в ASR1000 ограничено макс количество сессий (процессор, память?), например в ESP5 в даташитах указано FW/NAT: 250,000 sessions and 10,000 sessions/sec setup rate Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ingress Опубликовано 3 марта, 2009 · Жалоба разрабатываю тему про бордер, задачи вышеозвученные без НАТа 7600 не хочу потому мало нетфлова и негибкий qos в стандартных картах. думаю над asr1002 разница между ESP5/K9(а он только крипто может быть) и ESP10(non crypto) в бандле с 1002 получается для меня всего лишь 1к у.е. так что думаю сразу ESP10 ставить. тема в asr1002/ESP10 + AT x900-12XT (соединёные 10Гбе оптой с учётом всех модулей и xfp) вылетает под полтинник. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...