Перейти к содержимому
Калькуляторы

Shape-NAT-NetFlow на больших сетях

Гость Фауст

to cmhungry

Я знаю несколько крупных инсталляций. Несколько делали специалисты нашей конторы. Проблем, несколько я помню, у них не возникало.

Но в общем и целом да, я с вами согласен - за удовольствие надо платить, а бюджет обычно ограничен. Правда у всех по разному.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Гость Илья

Может ктото дать ссылку прямую на тему "NAT на ACE", не хочется изза поиска регистрироваться. Добавлю несколько слов в поддержу ASA(по крайней мере старших моделей 5580-20(сам юзаю) и 40(скоро буду)).Очень удобный cli интерфейс много фич по разного рода диагностике, практически мгновенная реакция на ЛЮБУЮ show команду (будь то show tech или show conn для>1000000 сессий). Это так из естетики. А вот практически что весьма удивило при 96% загрузке процессора единицы потеренных пакетов + опять таки практическа мгновенная реакция на любой show, вот это я понимаю(хотя естественно нельзя железо до таких загрузок доводить). На более младших моделях теже show по сраненю с 5580 выводятся с гораздо большей задержкой. И как показывает практика число сессий заканчивается обычно раньше чем трафик, который через себя может железка пропустить. Ктати ASA 5580-20 это "всего" два 2хядерных opterona а 5580-20 четыре.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А вот к графикам загрузки интерфейсов интересно бы график дропов на этих интерфейсах еще. Плюс интересен размер таблицы маршрутизации и кол-во правил в фаерволе.

 

Да и пакеты какие-то странные у автора - average по 970байт... Я уже как 3 года вижу числа в районе 600байт.

размер таблицы маршрутизации на писюковых натах минимальный. 0/0 и 10/8 + немного служебных сетей, пулы и бинаты

правил в файрволе мало - это нат, а не "включательно-отключательный девайс".

 

Может ктото дать ссылку прямую на тему "NAT на ACE", не хочется изза поиска регистрироваться. Добавлю несколько слов в поддержу ASA(по крайней мере старших моделей 5580-20(сам юзаю) и 40(скоро буду)).Очень удобный cli интерфейс много фич по разного рода диагностике, практически мгновенная реакция на ЛЮБУЮ show команду (будь то show tech или show conn для>1000000 сессий). Это так из естетики. А вот практически что весьма удивило при 96% загрузке процессора единицы потеренных пакетов + опять таки практическа мгновенная реакция на любой show, вот это я понимаю(хотя естественно нельзя железо до таких загрузок доводить). На более младших моделях теже show по сраненю с 5580 выводятся с гораздо большей задержкой. И как показывает практика число сессий заканчивается обычно раньше чем трафик, который через себя может железка пропустить. Ктати ASA 5580-20 это "всего" два 2хядерных opterona а 5580-20 четыре.
Ну а количество трафика, которое проводилось через ASA в реальной жизни каково?

Про писюковую основу ASA я догадывался/знал, там все больше на сетевых карточках делается, как я понимаю.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Гость Илья

Ну дайте же ссылочку :(

С трафиком в данном случае будет не показательно,была достаточно извращенная схема с файловером active-active, что само по себе повышает загрузку ЦПУ минимум 10%. Могу сказать что при траффике около 800 мбит и числе сессий почти 600000 максимальная загрузка цпу не превышает 40%.

С асами главное не трафик а число сессий, они по процу ГОРАЗДО сильней бьют. Кстати АСА позволяет резать число сессий на конкретный ip.

Меня в АСЕ интересует главным образом, на каком уровне там inspectы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну дайте же ссылочку :(

С трафиком в данном случае будет не показательно,была достаточно извращенная схема с файловером active-active, что само по себе повышает загрузку ЦПУ минимум 10%. Могу сказать что при траффике около 800 мбит и числе сессий почти 600000 максимальная загрузка цпу не превышает 40%.

С асами главное не трафик а число сессий, они по процу ГОРАЗДО сильней бьют. Кстати АСА позволяет резать число сессий на конкретный ip.

Меня в АСЕ интересует главным образом, на каком уровне там inspectы.

Нету в АСЕ инспектов, по сути дела - много хитрых протоколов там не работают нормально. Зато 8М сессий.

 

http://forum.nag.ru/forum/index.php?showtopic=50013

Изменено пользователем cmhungry

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Гость Илья

Совсем нет. Я по ссылочке прошел в одном из постов упоминается

policy-map multi-match ICMP
class ICMP
inspect icmp error

это тогда что за инспект? Инспекты не сильно сложные нужны все банально ftp pptp icmp h323 sip :)

И здесь подробно про инспекты расписано: https://www.cisco.com/en/US/docs/interfaces...de/appinsp.html

Или я чего-то не понимаю....

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Совсем нет. Я по ссылочке прошел в одном из постов упоминается

policy-map multi-match ICMP
class ICMP
inspect icmp error

это тогда что за инспект? Инспекты не сильно сложные нужны все банально ftp pptp icmp h323 sip :)

И здесь подробно про инспекты расписано: https://www.cisco.com/en/US/docs/interfaces...de/appinsp.html

Или я чего-то не понимаю....

ну по сравнению с АСА - на АСЕ инспектов нет =) icmp, ftp, sip есть. PPTP нету

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

хорошая статья. много познавательного для себя нашел.

автору спасибо!

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Гость Илья
ну по сравнению с АСА - на АСЕ инспектов нет =) icmp, ftp, sip есть. PPTP нету

Хм, а у пользователей есть проблемы с прохождением pptp и gre траффика? У нас АСА не пропускала pptp и gre пока не включили inspect pptp. Опять же повторюсь необходимости в глубоком инспекте нет просто нужно чтобы у пользователей работали хитрые протоколы, если будет работать без инспектов - тоже хорошо :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ну по сравнению с АСА - на АСЕ инспектов нет =) icmp, ftp, sip есть. PPTP нету
Хм, а у пользователей есть проблемы с прохождением pptp и gre траффика? У нас АСА не пропускала pptp и gre пока не включили inspect pptp. Опять же повторюсь необходимости в глубоком инспекте нет просто нужно чтобы у пользователей работали хитрые протоколы, если будет работать без инспектов - тоже хорошо :)

Если подумать "как обойти ограничения по PPTP/GRE", то проблем с прохождением не будет. Опять же, все расписано в теме "НАТ на АСЕ"

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Гость Гость_Nik

Хотелось бы поинтересоваться у автора .... или может кто другой ответит.

Что это за много поточные драйвера «яндексовских драйверов для сетевых карт»

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Хотелось бы поинтересоваться у автора .... или может кто другой ответит.

Что это за много поточные драйвера «яндексовских драйверов для сетевых карт»

http://people.yandex-team.ru/~wawa/

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Яндексовские драйверы действительно сильно помогают с шейпингом на FreeBSD (да и наты на них лучше работают).

 

Кроме того, мы весь шейпинг делаем на layer2, когда сетевые карты настроены в режиме bridge (фактически получается софтовый коммутатор) - это значительно увеличивает производительность всего процесса. В этом случае необходимо выделить отдельный сервер под шейпинг, потому что ни наты ни полиси-роутинг на такой машине использовать уже невозможно.

Изменено пользователем Sumo

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Гость BHP

Приветствую! Подскажите, пришло время апгрейдить роутер в ядре сети. Приглядывался к Cisco 7204-G2. Но вот прочел эту статью и что-то в голове мелькнуло что вариант на перспективу тупиковый. Сейчас смотрю в сторону сервера HP с двумя четырех-ядерными Xeon`ами + Vyatta. Не ошибаюсь ли я в выборе?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Здравствуйте,

поделитесь плз, графиками Advanced Ping =)

Плагины для Cacti на сайте cacti.net

 

Приветствую! Подскажите, пришло время апгрейдить роутер в ядре сети. Приглядывался к Cisco 7204-G2. Но вот прочел эту статью и что-то в голове мелькнуло что вариант на перспективу тупиковый. Сейчас смотрю в сторону сервера HP с двумя четырех-ядерными Xeon`ами + Vyatta. Не ошибаюсь ли я в выборе?
Отрутить - оно отрутит. Только сетевые карты лучше из рекомендованных вяттой самой, насколько я понимаю. Как вариант из железа - ASR1002F смотрите.

Но это я все исходя из "бордер-рутера". Если задачи другие - то и выбор железа будет другой.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Яндексовские драйверы действительно сильно помогают с шейпингом на FreeBSD (да и наты на них лучше работают).

Яндексовские драйвера требуют напильника в большей степени, чем новая 8.0, которая уже в базовом комплекте может роутить многопоточно. Ну требуется небольшой патч, для более правильного распределения загрузки.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Яндексовские драйверы действительно сильно помогают с шейпингом на FreeBSD (да и наты на них лучше работают).
Яндексовские драйвера требуют напильника в большей степени, чем новая 8.0, которая уже в базовом комплекте может роутить многопоточно. Ну требуется небольшой патч, для более правильного распределения загрузки.

Я подозреваю, что массовый переход на восьмерку ожидается еще не скоро. :)

Изменено пользователем Sumo

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Я подозреваю, что массовый переход на восьмерку ожидается еще не скоро. :)
В 8.0 есть проблемы, например с RADIX_MPATH, который паникует при массовом удаленни маршрутов (например при паденнии одного из пиров по bgp),

но в основном 8.0 гораздо интереснее той же 7.2, в которой, например, есть проблема заклиниванием файловой системы при большой нагрузке. Ну и 8.0 сейчас активно допиливают, а только потом будут изменения в 7.2 вносить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Гость Debramiss

Хмурая утренняя маршрутка добирается из спального района в центр. Через все пробки, заторы, светофоры… Народ спит или пытается дремать. И тут на остановке вваливается мужик, довольный как целое стадо слонов. Плюхается на сидение рядом со строгой женщиной учительского вида, достает из кармана мобилу и, дыша свежим выхлопом, погружается в оживленный диалог.

– Але, Санька? Скажи мне срочно телефон Наташки. Какая она баба, ух, какая она баба… А как она минет делает – м-м-м, умереть не встать, моя жена так не умеет… Да, повтори еще раз, я записываю… Да, спасибо, что познакомил! - и все это минуты на три, с подробностями, эмоциями до потолка и матом через два слова на третье.

Маршрутка начинает оживать. Просыпаются те, кто еще пытался досмотреть сны и ошарашенно смотрят на мужика. «Учительница» на соседнем сидении демонстративно фыркает и отворачивается к окну. Мужик прощается с Санькой и немедленно набирает номер Наташки.

— Але, Наташка? Привет! Мне так понравилось то, что мы с тобой вытворяли! Я хочу тебя еще! Да мне еще никто так хорошо не делал… Да? Ты еще лучше можешь? А ну-ка, расскажи подробнее, проказница моя…

Учительница на соседнем сиденье поворачивается к мужику и просит его говорить потише, потому что его выражения оскорбляют ее педагогический слух. Мужик нетерпеливо отмахивается от нее и снова погружается в беседу.

— Меня так возбудило то, что ты побрила… Понимаешь, я жене не могу такое сказать, она сразу почувствует, что я ей изменил… Ну да, приходится терпеть, а что делать…

Маршрутка уже полностью проснулась и с интересом прислушивается к подробностям. Водитель огладывается в в зеркальце и тоже внимает, затаив дыхание. Недовольна только «учительница», она просто закипает от с трудом сдерживаемого возмущения. И тут на мобилу мужику приходит второй звонок. Он прерывается, победный тон стихает, и он почти шепотом сообщает Наташке

— Ой, прости, не могу больше разговаривать, мне нужно ответить на звонок… Жена! Я тебе попозже перезвоню, лады? Ну, пока!

И уже совершенно другим голосом начинает бубнить в трубку:

— Да, дорогая… Ой, мы так вчера пили с Санькой, так пили… Ну, ты же его знаешь, а что делать… Ой, плохо мне сейчас, голова разламывается… Да, приму таблетку. Постараюсь прийти пораньше, да. Хотя работы много. Солнышко, ну прости, хорошо, я точно постараюсь прийти пораньше.

И вот тут настает звездный час «учительницы». Она поворачивается к мужику и очень внятно говорит прямо в микрофон его мобилы:

– Ми-илый, ну где ты там копаешься, я уже устала тебя ждаать… Мне же холодно, иди ко мне, дорогой!

У мужика падает челюсть, он судорожно захлопывает мобилу под дружный гогот пассажиров. Водитель бьет по тормозам и грызет руль. Мужик, поджав хвост шмыгает к дверям и просит выпустить его. Маршрутка содрогается от хохота. Хлопает дверь. Училка отворачивается к окну и довольно улыбается. Занавес…

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Цитата из мега-статьи:

Как известно, параметры шейпинга и точность нарезки канала очень сильно зависят от параметра ядра HZ. Этот параметр задает количество срабатываний внутреннего таймера прерываний в секунду, как правило, он ставится в значение 1000. При необходимости шейпинга трафика на больших количествах очередей и при высокой загруженности сетевой системы по количеству пакетов в секунду, значение этого параметра надо увеличивать, в противном случае пакеты будут пролетать по трубе быстрее, чем шейпер будет успевать их обрабатывать в случае превышения полосы пропускания на клиента.
Какой kern.hz рекомендуется устанавливать для freebsd+ipfw+dummynet?

Сейчас kern.clockrate: { hz = 2000, tick = 500, profhz = 2000, stathz = 133 }, нагрузка такая:

# netstat -w1
            input        (Total)           output
   packets  errs      bytes    packets  errs      bytes colls
    169300     0  109033278     168659     0  108484098     0
    169438     0  109923662     168813     0  109202982     0
# ipfw pipe list | wc -l
    9144
# top -baSH
  PID USERNAME PRI NICE   SIZE    RES STATE  C   TIME   WCPU COMMAND
   12 root     171 ki31     0K    16K RUN    0 107.5H 63.28% [idle: cpu0]
   11 root     171 ki31     0K    16K RUN    1 123.0H 50.59% [idle: cpu1]
   24 root     -68    -     0K    16K CPU1   1  76.1H 44.04% [irq257: bge1]
   23 root     -68    -     0K    16K WAIT   0  66.7H 33.25% [irq256: bge0]
   14 root     -32    -     0K    16K WAIT   0 118:12  0.20% [swi4: clock sio]

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Гость krol

А как вообще рассчитать сколько килопакетов может пропустить через себя маршрутизатор?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.