Jump to content
Калькуляторы

Shape-NAT-Netflow в больших сетях. Часть 2

Если бы я был сейлом циски, я бы еще порекомендовал к Cisco SCE обязательно купить ASR как ISG, и портал от Uniper, например. А, еще поставить еще дополнительно 3 сервера для database/connection manager/subscriber manager. А потом как интегратор бы еще попытался "со всем этим взлететь".

Share this post


Link to post
Share on other sites

Можно поподробнее про PC, какая примерно нужна конфигурация компьютера для обсчета 1Гбит/c или 500 Мбит/c и 250 Мбит/c?

Edited by userpost

Share this post


Link to post
Share on other sites

Чувак на фотке - рокер или на худой конец металлист.

Хорошая точность это скока?

Share this post


Link to post
Share on other sites

Дак это ты на фотке? Хороший бесплатный совет хочешь?

Во-первых, не держи так микрофон. Во-вторых, вывод не должен занимать больше пары-тройки предложений, максимум один абзац.

Иначе ты - рокер металлист или на худой конец рэппер ;)

Share this post


Link to post
Share on other sites
Cisco ASA 5505 - 5550 ... не имеют средств по сбору статистики о прошедшем через них трафике
Вроде бы, уже прикрутили на все, даже на пасочки:
NSEL - 8.2(1) - The NetFlow feature has been ported to all ASA 5500 series adaptive security appliances.
http://www.cisco.com/en/US/docs/security/a....html#wp1117013

 

Правда, оно немного странноватое и v9.

 

 

А по структуре статьи, в выводах не выводы, а разрыв пера академического письма.

 

 

Share this post


Link to post
Share on other sites

Такое впечатление, что всё просто горит. Интересно, при каком соотношении гигабиты/количествосессий/количествопакетов стоит пересматривать мозг в сторону содержимого статьи... Конечно у каждого свой, частный случай, но почитав об этом так уже не скажешь... начинаешь бояться гигабитных трафиков... хм... забавно.

 

Я думаю, трафик можно пропускать через 1-2-3 PC-сервера (в зависимости от облачности загрузки) и уже с них отдавать netflow или кож.заменитель на 1-2 сервера, которые это дело будут обсчитывать. В результате не тормозим трафик, имеем не плохое масштабирование и универсально считаем и обрабатываем данные отдельным(и) серверами. Цена вопроса... хм... да пожалуй соизмерима с пионернетом на вдвое-трое меньший трафик. Или я заблуждаюсь? Если заблуждаюсь, то дело точно в количествах_сессий/количество_пакетов и уже в меньший степени в гигабитах... Ваше мнение?

Share this post


Link to post
Share on other sites

Основное - это PPS.

А насчет 2-3 серверов... когда трафика гиг-два - это нормально, это работает. А вот когда их 14... чисто на нат - вот тогда напрягает.

Share this post


Link to post
Share on other sites

Вопросов два:

1. а зачем вы столько трафика в одну трубу загоняете. Ваши клиенты не воют, когда вы в ЧС такую трубу меняете/конфигурируете?:)

2. не помню что бы провайдеры и IX давали вход в 14, в 1 или 10гб ещё понятно. В целом, всё что больше 4гб стоит разделять, конечно если используются PC-сервера. За адекватность не ручаюсь.

Share this post


Link to post
Share on other sites

1. Если трубу держать на 65м или 76м коте, например, и его конфигурячить - есс-но, будут выть. Если держать на нормальном устройстве, которое конфигурируется без "performance impact" - то не воют.

 

2. Я про количество серверов. Но и внешними каналами 14 гбит/с набрать не проблема =)

Share this post


Link to post
Share on other sites
Guest Луис

без сведения в единую таблицу грош цена такой информации

Share this post


Link to post
Share on other sites
Опыт и консолидация данных с форума показывает, что оптимальным решением является использование ОС Linux, с HTB для шейпинга.

Вопрос: а нахрена HTB ? Юзеру вполне хватит полисера в один класс, с адекватным burst.

Share this post


Link to post
Share on other sites
Основное - это PPS.
Кстати, а у кого сколько получилось прожевать без потерь одним "тазиком" ?

 

У меня рекорд ~600kpps : fullview + 40 строк фервола. Тазик: 2 x X5570, 2 igb, 2 em. FreeBSD 8.0RELEASE 64bit, с небольшими допиливаниями в ядре. В принципе, можно больше, но надо еще допиливать.

Share this post


Link to post
Share on other sites
Опыт и консолидация данных с форума показывает, что оптимальным решением является использование ОС Linux, с HTB для шейпинга.
Вопрос: а нахрена HTB ? Юзеру вполне хватит полисера в один класс, с адекватным burst.

Полисера на 1 класс хватает на больших анлимах. А где эти анлимы в единицах мегабит, то лучше шейпить, как мне показалось по экспериментам.

Ну и одного класса уже часто не хватает сейчас, яндекс.локалка, вконтакте без ограничений и т.п.

Share this post


Link to post
Share on other sites
Guest VEK

Тихий бред... Ни один провайдер вышедший из пеленок в здравом уме не будет хранить логи нетфлов за 3 года. Для обеспечения СОРМ достаточно купить Омегу. И дать ей доступ для федералов. А нетфлов логи можно спрятать куда подальше, или у вас все сертефицировано?

 

Кстати у вас есть бумажка, что ваша Киска является измирительным инструментом? Т.е. не сертификат в области связи, а Бумага от метрологов? Насколько я знаю на оборудование Junipper ERX 320 такую бумагу получили не так давно. А без нее ты не имеешь права использовать оборудование для учета статистики работы клиента.

Share this post


Link to post
Share on other sites

VEK:

1. в СПб ФСБ не поставит подпись на РЭ или чем там должна, без нетфлоу за 3 года.

2. Мы не измеряем - мы подсчитываем, это не телефония. Эталонный байт покажете? ЛГУ от метрологов отмахался на 1-2-3 в свое время.

Share this post


Link to post
Share on other sites

VEK, а что radius accounting в ERX уже сертифицирован? Чем он отличается от цисковского и описанного в rfc?

 

Подскажите, пожалуйста, accounting учитывает трафик, который дропается политиками на интерфейсе?

 

Share this post


Link to post
Share on other sites

Так или иначе, любая система должна поддерживать многократное масштабирование по горизонтали. Так что и 14 серверов для NAT должны жить не хуже чем 1-2. Но конечно для реализации каждой задумки нужно много работать, с этим я не спорю.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this