Гость qdimen Опубликовано 9 марта, 2010 · Жалоба давным давно была статья на nag, о том как организовано производство железа у буржуев. Суть в том что фирмы не лезут на чужую пашню и каждая занимается своим кусочком (проектирование,разводка, комплектация, мелкосерийное производство, итд) - и не лезут в сопредельные ниши потому, что это не выгодно. Если то что предлагает Кирилл действительно может быть "семенем христа" можно скопировать и сделать самим. Если будет общее понимание ее нужности можно прикинуть ее себестоимость и установить фиксированный процент маржи для разработчиков. Без особых инвестиций и всепоглощаеющего руководства Ж). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
halver Опубликовано 16 марта, 2010 · Жалоба Собственно в продолжение темы: http://shop.nag.ru/catalog/item/04974 Кто нибудь имел опыт юзанья этой железки? По фото нутрей, конечно сомнительно, что оно умеет то, что написано..Но IXP2400 то обязывает... Может коллективно "подергать" уважаемый наг привезти одну железку, подключить консоль/потестить, дабы не брать "кота в мешке"? Думаю не мало ISP заинтересовались бы таким решением. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Умник Опубликовано 16 марта, 2010 · Жалоба halver, а смысл? С такими потоками (2x1Gb + 2x1Gb) и PC-роутер справится. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
halver Опубликовано 16 марта, 2010 · Жалоба halver, а смысл? С такими потоками (2x1Gb + 2x1Gb) и PC-роутер справится. 2Гбит/с фуллдуплекса с NAT на PC-роутере? Не смешите. И Кирилл, и наш опыт об одном и том же говорит. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pfexec Опубликовано 16 марта, 2010 · Жалоба halver, а смысл? С такими потоками (2x1Gb + 2x1Gb) и PC-роутер справится. Скорость обработки пакетов 4Мпсага, 4мппс на фидорероутире с натом, ну-ну... и да, если китайцы спаяли на IXP2400, то что мешает китайцам спаять на IXP2800 ? вопрос лишь в софте, который и хочется посмотреть. ps: эта штуковина даже с ценой от нага (скорее всего если брать напрямую у китайцев еще дешевле будет) стоит дешевле любого федорероутира самосборного из не самого передового железа, а по ттх уделывает любой федорероутир. ну и да, ломаться в нем особо нечему, кондеры только если перепоять на нормальные. :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Умник Опубликовано 16 марта, 2010 · Жалоба Не смешите. И Кирилл, и наш опыт об одном и том же говорит.И не планировал. Мой опыт говорит о другом. Видимо у нас разный опыт. ага, 4мппс на фидорероутире с натом, ну-ну..."4мппс" конечно не будет. 2 Гбит/с фул-дуплекса - это примерно 400K PPS Интернет-трафика. Вполне по плечу PC-роутеру. Всяко лучше безымянной китайщины. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pfexec Опубликовано 16 марта, 2010 · Жалоба "4мппс" конечно не будет. 2 Гбит/с фул-дуплекса - это примерно 400K PPS Интернет-трафика. Вполне по плечу PC-роутеру. Всяко лучше безымянной китайщины.если большими пакетами в парниковых условиях, да. в жизни, к сожалению, все не так радужно. если посчитать например как считает cisco в своей routerperfomance.pdf по 64 байта пакет, то 2гб/с фуллдуплекса уже превратятся в весьма не мелкие где-то 8 мппс :) ps: надеюсь на ночь глядя нигде в математике не просчитался :( Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Умник Опубликовано 16 марта, 2010 · Жалоба если большими пакетами в парниковых условияхЯ же написал - Интернет-трафика. Там у нас далеко не парниковые условия. :( Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pfexec Опубликовано 16 марта, 2010 · Жалоба если большими пакетами в парниковых условияхЯ же написал - Интернет-трафика. Там у нас далеко не парниковые условия. :(ну для меня большая загадка как это оно у вас тогда все так получается. совсем не давно после релиза нового mTorrent'а со включеным по умолчанию mTp софтроутиры у многих не больших операторов попередохли на гораздо более скромных аплинках. ps: в imix трафике если считать получается где-то 5мппс, что не особо меньше. по мне так как минимум до 1мппс запаса на один гбит/сек иметь надо в любом случае, хотя бы чтобы не пасть жертвой очередного релиза торрентклиента или еще какой глупости. опыт у всех конечно разный и взгляды тоже. просто если вам оно не надо, это не значит что оно никому не надо. как минимум интересно попробовать чего там такого спояле китайцы из процессоров использующихся в cisco ace за цену на порядки меньшую... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pfexec Опубликовано 16 марта, 2010 · Жалоба Всяко лучше безымянной китайщины. не такая уж она и безымянная .) но интереса это не убавляет :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
cmhungry Опубликовано 16 марта, 2010 · Жалоба ага, 4мппс на фидорероутире с натом, ну-ну..."4мппс" конечно не будет. 2 Гбит/с фул-дуплекса - это примерно 400K PPS Интернет-трафика. Вполне по плечу PC-роутеру. Всяко лучше безымянной китайщины. Ни разу не видел федорероутера на 2 гбит/с фуллдуплексного ната. Это около 300-350 кппс трафика, опять же фуллдуплексного. Если по вход+выход, как циска считает, то 600-700кппс.Сейчас имеем Xeon 3430 с хорошей карточкой (4гбе интел) - все равно фигня =( На Xeon 5570, конечно, все заметно лучше - там 120кппс бегают, но вот дальше как-то не видел загрузки его трафиком. А вот ксеон с карточкой и бинатом без коннтрека - там все очень шустро, там можно получить скорость рутинга, т.е. до 1-2 мппс. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bitbucket Опубликовано 16 марта, 2010 · Жалоба Есть конечно и куча плюсов, причем я лично считаю что их больше. Но однозначно говорить о том что NAT не нужен еще рано. А расскажите, что вы будете отвечать на запрос из органов "кто такой был с адресом А в такое-то время ?". Адрес А - это внешний NAT адрес. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
cmhungry Опубликовано 16 марта, 2010 · Жалоба Есть конечно и куча плюсов, причем я лично считаю что их больше. Но однозначно говорить о том что NAT не нужен еще рано.А расскажите, что вы будете отвечать на запрос из органов "кто такой был с адресом А в такое-то время ?". Адрес А - это внешний NAT адрес. Это был нат. Пришлите запрос на "кто ходил туда-то тогда-то". Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
halver Опубликовано 16 марта, 2010 · Жалоба Есть конечно и куча плюсов, причем я лично считаю что их больше. Но однозначно говорить о том что NAT не нужен еще рано.А расскажите, что вы будете отвечать на запрос из органов "кто такой был с адресом А в такое-то время ?". Адрес А - это внешний NAT адрес. С каких пор снимать flow cтатистику до ната уже противоречит религии? Timestamp наличествует, в случае rdr-детальки с SCE есть и HTTP Host и HTTP Request URI. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bitbucket Опубликовано 16 марта, 2010 (изменено) · Жалоба С каких пор снимать flow cтатистику до ната уже противоречит религии? Timestamp наличествует, в случае rdr-детальки с SCE есть и HTTP Host и HTTP Request URI.Вы бумажки из МВД давно в руках держали ? Там время без секунд, раз. dst, host, request uri там нет два (их в принципе не может быть, когда, например, хакали какой-нибудь банк-клиент). А за минуту сколько через NAT пройдет исходящих соединений ? Ну и хранить данные о соединениях пользователей надо 3 года. Это был нат. Пришлите запрос на "кто ходил туда-то тогда-то".Вы так прям и отвечаете ? Сервера биллинга уже закордон перевели ? :) Они, конечно, запрос пришлют новый, в виде "маски-шоу" с изъятием всех серверов которые они найдут. Изменено 16 марта, 2010 пользователем bitbucket Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
halver Опубликовано 16 марта, 2010 · Жалоба С каких пор снимать flow cтатистику до ната уже противоречит религии? Timestamp наличествует, в случае rdr-детальки с SCE есть и HTTP Host и HTTP Request URI.Вы бумажки из МВД давно в руках держали ? Там время без секунд, раз. dst, host, request uri там нет два (их в принципе не может быть, когда, например, хакали какой-нибудь банк-клиент). А за минуту сколько через NAT пройдет исходящих соединений ? Ну и хранить данные о соединениях пользователей надо 3 года. Можно подумать, что статистику по внешникам хранить три года не придется, ага. Выше Кирилл вам ответил по формулировке запроса. Dst-адрес, как и таймстепм должен наличествовать, если нет - посылается уточнение. Как Вы видите ситуацию, когда внешники выдаются динамически? Кончилась сессия - адрес выдался другому. За 1 минуту - хоть 10 раз. Имхо демагогия все это.. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bitbucket Опубликовано 16 марта, 2010 (изменено) · Жалоба Можно подумать, что статистику по внешникам хранить три года не придется, ага.Размеры данных сопоставьте... Если у вас трафика на всю сеть гиг в день, то да, можно и netflow хранить. Выше Кирилл вам ответил по формулировке запроса. Dst-адрес, как и таймстепм должен наличествовать, если нет - посылается уточнение.Ага... маски шоу будет, а не уточнение. Вы видимо мало с МВД и подобными структурами общаетесь. Я вот, при очередном визите сотрудников в штатском с запросом "кто?", спросил про NAT - ответ был именно как я и написал: не можете найти - "маски шоу" изымает и дальше данные уже они ищут сами. Как Вы видите ситуацию, когда внешники выдаются динамически? Кончилась сессия - адрес выдался другому. За 1 минуту - хоть 10 раз.А вы про "отстойник" адресов слышали ? Я не агитирую за "белые адреса", но, ИМХО, NAT на доступе это уже прошлый век. Изменено 16 марта, 2010 пользователем bitbucket Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
cmhungry Опубликовано 16 марта, 2010 · Жалоба С каких пор снимать flow cтатистику до ната уже противоречит религии? Timestamp наличествует, в случае rdr-детальки с SCE есть и HTTP Host и HTTP Request URI.Вы бумажки из МВД давно в руках держали ? Там время без секунд, раз. dst, host, request uri там нет два (их в принципе не может быть, когда, например, хакали какой-нибудь банк-клиент). А за минуту сколько через NAT пройдет исходящих соединений ? Ну и хранить данные о соединениях пользователей надо 3 года. Это был нат. Пришлите запрос на "кто ходил туда-то тогда-то".Вы так прям и отвечаете ? Сервера биллинга уже закордон перевели ? :) Они, конечно, запрос пришлют новый, в виде "маски-шоу" с изъятием всех серверов которые они найдут. Совершенно нормально они присылают все что надо. Они прекрасно понимают что такое нат, что статистика снимается перед натом. Дают ипы которые ломали, например. Или дают действительно host и request-uri, если они есть. А хранить полный нетфлоу за 3 года - не такая уж и сверхзадача. До 40 гиг в день максимум у меня запакованная деталька, если не ошибаюсь, а то и до 15 - зависит просто от формата. Я не агитирую за "белые адреса", но, ИМХО, NAT на доступе это уже прошлый век.А как это называется, если не агитация? Перейдем на ип6 - не будет ната. Или, наоборот, у всех будет, поголовно, кроме самых продвинутых - 4-в-6 и наоборот. Причем сначала, как мне кажется, у всех будет, потом уже начнет спадать необходимость. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
halver Опубликовано 16 марта, 2010 · Жалоба Размеры данных сопоставьте... Если у вас трафика на всю сеть гиг в день, то да, можно и netflow хранить. А, простите, какая разница - статистика снятая до ната с серых, или статистика снятая с только белых по размеру? С белыми меньше станут качать чтоли? При трафике в 2ТБ в сутки за'gzip'ованный rdr-tur весит всего 500Мб. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bitbucket Опубликовано 16 марта, 2010 · Жалоба Совершенно нормально они присылают все что надо. Они прекрасно понимают что такое нат, что статистика снимается перед натом. Дают ипы которые ломали, например. Или дают действительно host и request-uri, если они есть.Вам, видимо, просто везло. Последние несколько "абуз", что мы получали, были без секунд, таймзоны и dst адреса. А хранить полный нетфлоу за 3 года - не такая уж и сверхзадача. До 40 гиг в день максимум у меня запакованная деталька, если не ошибаюсь, а то и до 15 - зависит просто от формата.Получается ~44тера... Ну если есть место где это хранить... А, простите, какая разница - статистика снятая до ната с серых, или статистика снятая с только белых по размеру? С белыми меньше станут качать чтоли?С белыми будет лог вида "дата начала сессии, ipv4 адрес , юзер , дата окончания сессии". Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
halver Опубликовано 16 марта, 2010 · Жалоба С белыми будет лог вида "дата начала сессии, ipv4 адрес , юзер , дата окончания сессии". И чего поменяется в случае statefull NAT'a?) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
bitbucket Опубликовано 16 марта, 2010 · Жалоба А как это называется, если не агитация?NATить можно корпоратов - для оператора корпорат это один конкретный клиент со статическим адресом. Кто там у него (корпората) с внутренних адресов куда лазал при запросе из МВД уже забота самого корпората, а не оператора. Причем сначала, как мне кажется, у всех будет, потом уже начнет спадать необходимость.ИМХО, сначала у всех будет локальный teredo или подобное стоять. И чего поменяется в случае statefull NAT'a?)А причем тут statefull NAT ? Я пишу про лог выдавания динамических адресов через dhcp, pptp, pppoe, ppp. В случае с statefull NAT проще "белые" адреса раздать так, сроком на месяц, например. Но вот сколько тогда надо будет адресов ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
kapa Опубликовано 17 марта, 2010 · Жалоба Совершенно нормально они присылают все что надо. Они прекрасно понимают что такое нат, что статистика снимается перед натом. Дают ипы которые ломали, например. Или дают действительно host и request-uri, если они есть.Вам, видимо, просто везло. Последние несколько "абуз", что мы получали, были без секунд, таймзоны и dst адреса. Или Вам не везло. Неоднократно общался с представителями Управления К. Всегда получал время и айпи назначения. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Умник Опубликовано 17 марта, 2010 (изменено) · Жалоба На Xeon 5570, конечно, все заметно лучше - там 120кппс бегают Что-то совсем грустно. Переменные в /proc касательно netfilter крутили? hashsize для conntrack явно выставляли? Если нет, то не удивительно, что у вас такой "головокружительный" pps. Изменено 17 марта, 2010 пользователем Умник Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Умник Опубликовано 17 марта, 2010 · Жалоба А вот ксеон с карточкой и бинатом без коннтрека Как в таком варианте поживает NAT активных FTP-соединений? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...