[Konstantin Klimchev]

Вот и мы про "больную мозоль"

 

 

Хотелки:

- прогнать через железку/железки 1 Гбит входящего (+ еще исходящий будет отдельной цифрой)

- 60-70% от входящего - NAT - думаю что 300.000 - 500.000 трансляций в пике принять можно.

- что-то подобия net-flow (хочется анализировать проходящее, понимаю что DPI для этого лучше, но не все сразу).

- 4 fullview

 

что получилось (сразу говорю, что в ценнике: поддержка, обертка в виде sfp и т.п. Т.е. не гольное шасси):

 

- asr1002+asa5550 - что-то около 70k$ по gpl

- juniperM7i - что-то около 95k$ по gpl

 

При этом от asa5550: NAT в районе 600-700 Мбит, больше вряд ли гарантировано получить,

а juniper вроде гарантировано 1 Гбит будет

 

asa5580-20 гарантировано 1 Гбит NAT'а, но уже запредельно дорого получается.

на бордер GSR - тоже финансово не потянуть (хотя лет на 5 точно б хватило)

 

Другой момент:

к 1 Гбит мы подойдем к концу 2009 (хотя загадывать не буду: как планировали летом "закончить" 2008 и как по факту закончим - уже сейчас больше в полтора раза и еще расширять будем), к тому времени может быть NAT на asr допилят (говорят щас есть вопросы)

 

Про отказаться от NAT: "рад бы в рай, да грехи не пускают" - держит биллинг, раньше чем через год реально не решить.

 

 

 

[Bambuk]

а зачем вам asa в добавок к asr?

asr и сам натить умеет. причем гарантировано 10Гбит на ESP10

[cmhungry]

ASR1004 я бы попробовал. ASA к нему на нат не нужна.

[Bambuk]

1004 для его задач будет дороже чем 1002, т.к. надо SIP+SPA покупать, а плюсов никаких. 1002 - в самый раз.

[Konstantin Klimchev]

а зачем вам asa в добавок к asr?

asr и сам натить умеет. причем гарантировано 10Гбит на ESP10

То что asr nat'ить умеет я знаю. Вопрос - а как хорошо? Могу я там по_пользовательно сессии ограничивать скопом (типа ip nat translation max-entries all-host 300), а по конкретным "счасливчикам" сделать 10-15? Я просто не знаю, поэтому и спрашиваю. На ASA - можно по-гибче "похулиганить" над абонентами, типа по гибче ограничения колличество одновременных сессий и т.п. (уже слышу про DPI :) ) Почему-то мне так кажется, возможно заблуждаюсь.

 

ESP10 мне много. а ESP5 - "за глаза" под хотелки.

Изменено 5 декабря, 2008 пользователем Konstantin Klimchev

[CityFox]

Мне кажется, что, для 1 Гбит netflow + 600-700 Мбит NAT на M7i, вам придется купить 2 модуля PE-MS-100-1 и две лицензии S-ACCT и S-NAT-FW-SINGLE

И того: 2x35000$+5000$+7000$=82000$

Всместе с бандлом M7i c 2 GE портами это будет больше 110k$.

 

Еще нужно помнить, что для модуля MS-100 ( а ms-400 и ms-500 в M7i не лезут) заявленная производительность на JFlow v5 - 825 Mbps half duplex, т.е

он не сможет честно переварить даже ваш 1 Гбит входящего трафика, без учета исходящего и придется использовать sampling.

[Konstantin Klimchev]

Мне кажется, что, для 1 Гбит netflow + 600-700 Мбит NAT на M7i, вам придется купить 2 модуля PE-MS-100-1 и две лицензии S-ACCT и S-NAT-FW-SINGLE

И того: 2x35000$+5000$+7000$=82000$

Всместе с бандлом M7i c 2 GE портами это будет больше 110k$.

 

Еще нужно помнить, что для модуля MS-100 ( а ms-400 и ms-500 в M7i не лезут) заявленная производительность на JFlow v5 - 825 Mbps half duplex, т.е

он не сможет честно переварить даже ваш 1 Гбит входящего трафика, без учета исходящего и придется использовать sampling.

про 2 модуля - поясните плиз (чтоб знать, ибо для меня сейчас juniper - красивая коробочка синего цвета)

 

про фловы я знаю, что на Гиге я только sampling получу. Вот вопрос, а на asr как при Гиге? Также?

 

[leveler]

А просветите пожалуйста по поводу 1004 vs 1002+asa?

 

Мы, правда, не бордер ищем. Нам бы BRAS для PPPoE'шников. Но смотрим как раз на ASR1000.

[Konstantin Klimchev]

А просветите пожалуйста по поводу 1004 vs 1002+asa?

 

Мы, правда, не бордер ищем. Нам бы BRAS для PPPoE'шников. Но смотрим как раз на ASR1000.

да здесь не противопоставление 1004 vs 1002+asa. Для меня asa - NAT без относительно 1004 это или 1002. Ибо есть вопросы к реализации его в asr (железка довольно свежая). Хотя и не видел ничего плохого, но и хорошего тоже не видел. В тоже время про использование asr как бордер с bgp - отзывы от Bambuk есть.

[Bambuk]

У нас на asr гиг шел. netflow почти справлялся. при этом загрузка процессора практически никакая. там до 2млн entry. если таймауты потюнить, то отдавать без потерь будет, но сможет ли коллектор это переварить.

 

По поводу PPPoE. ASR c 2Г памяти тянет примерно 18500 PPPoE сессий, дальше память кончается. с 4Г потянет больше.

При 18500 установленных сессиях на пакетах 256 байт прокачивалось более 9Гбит/с при загрузке процессора 11%.

Это данные реального тестирования в одной из МРК.

Единственный пока минус ASR - отсутствие препейда.

[Konstantin Klimchev]

У нас на asr гиг шел. netflow почти справлялся. при этом загрузка процессора практически никакая. там до 2млн entry. если таймауты потюнить, то отдавать без потерь будет, но сможет ли коллектор это переварить.

а v какая у netflow? как я понял там v9 аппаратно реализован, а v5/8 программно.

Изменено 5 декабря, 2008 пользователем Konstantin Klimchev

[Bambuk]

v5 и v9. и то и другое пробовали. разницы по нагрузке на процессор не заметно никакой.

[Konstantin Klimchev]

v5 и v9. и то и другое пробовали. разницы по нагрузке на процессор не заметно никакой.

ну тогда наш выбор: asr1002+asa5550

[Bambuk]

Могу я там по_пользовательно сессии ограничивать скопом (типа ip nat translation max-entries all-host 300), а по конкретным "счасливчикам" сделать 10-15? Я просто не знаю, поэтому и спрашиваю. На ASA - можно по-гибче "похулиганить" над абонентами, типа по гибче ограничения колличество одновременных сессий и т.п. (уже слышу про DPI :) )

Это кстати есть:

asr1k-2-a53(config)#ip nat translation max-entries ?

<1-2147483647> Number of entries

all-host Specify maximum number of NAT entries for each host

all-vrf Specify maximum number of NAT entries for each vrf

host Specify per-host NAT entry limit

list Specify access list based NAT entry limit

vrf Specify per-VRF NAT entry limit

 

 

[CityFox]

про 2 модуля - поясните плиз (чтоб знать, ибо для меня сейчас juniper - красивая коробочка синего цвета)

У M7i ,кажется, пропускная способность шины каждого модуля чуть больше 1Gbit, а включение netflow означает, что весь трафик, который вы хотите посчитать , начинается коприроваться на внутренний интерфейс сервисного модуля и может съесть всю его шину не оставив достаточно свободной полосы для NAT.

 

Да и просто есть сомненья, что один модуль сможет показать пиковую производитьельность сразу для двух сервисов.

Изменено 5 декабря, 2008 пользователем CityFox

[Konstantin Klimchev]

А просветите пожалуйста по поводу 1004 vs 1002+asa?

 

Мы, правда, не бордер ищем. Нам бы BRAS для PPPoE'шников. Но смотрим как раз на ASR1000.

я как утверждал раньше, так и сейчас не поменял мнения: для BRAS ESR10K - самое то. ASR'у еще пару годиков вылежиться нужно.

Изменено 5 декабря, 2008 пользователем Konstantin Klimchev

[Bambuk]

Через пару годиков глядишь что-нибудь новое появится :)

[Konstantin Klimchev]

Через пару годиков глядишь что-нибудь новое появится :)

для того новенького свои пару годиков, и процесс ушел в бесконечность :)

[Babek]

А чем в ASR1000 ограничено макс количество сессий (процессор, память?), например в ESP5 в даташитах указано FW/NAT: 250,000 sessions and 10,000 sessions/sec setup rate

 

[ingress]

разрабатываю тему про бордер, задачи вышеозвученные без НАТа

7600 не хочу потому мало нетфлова и негибкий qos в стандартных картах.

думаю над asr1002

 

разница между ESP5/K9(а он только крипто может быть) и ESP10(non crypto) в бандле с 1002 получается для меня всего лишь 1к у.е.

так что думаю сразу ESP10 ставить.

 

тема в asr1002/ESP10 + AT x900-12XT (соединёные 10Гбе оптой с учётом всех модулей и xfp) вылетает под полтинник.