Перейти к содержимому
Калькуляторы

NAT, который мы потеряли

Ответить

Гость qdimen   

Гость qdimen
Опубликовано · Жалоба

давным давно была статья на nag, о том как организовано производство железа у буржуев. Суть в том что фирмы не лезут на чужую пашню и каждая занимается своим кусочком (проектирование,разводка, комплектация, мелкосерийное производство, итд) - и не лезут в сопредельные ниши потому, что это не выгодно. Если то что предлагает Кирилл действительно может быть "семенем христа" можно скопировать и сделать самим. Если будет общее понимание ее нужности можно прикинуть ее себестоимость и установить фиксированный процент маржи для разработчиков. Без особых инвестиций и всепоглощаеющего руководства Ж).

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

halver   

halver
Опубликовано · Жалоба

Собственно в продолжение темы:

 

http://shop.nag.ru/catalog/item/04974

 

Кто нибудь имел опыт юзанья этой железки? По фото нутрей, конечно сомнительно, что оно умеет то, что написано..Но IXP2400 то обязывает... Может коллективно "подергать" уважаемый наг привезти одну железку, подключить консоль/потестить, дабы не брать "кота в мешке"? Думаю не мало ISP заинтересовались бы таким решением.

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

Умник   

Умник
Опубликовано · Жалоба
halver, а смысл? С такими потоками (2x1Gb + 2x1Gb) и PC-роутер справится.

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

halver   

halver
Опубликовано · Жалоба
halver, а смысл? С такими потоками (2x1Gb + 2x1Gb) и PC-роутер справится.

2Гбит/с фуллдуплекса с NAT на PC-роутере? Не смешите. И Кирилл, и наш опыт об одном и том же говорит.

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

pfexec   

pfexec
Опубликовано · Жалоба
halver, а смысл? С такими потоками (2x1Gb + 2x1Gb) и PC-роутер справится.
Скорость обработки пакетов 4Мпс
ага, 4мппс на фидорероутире с натом, ну-ну...

 

и да, если китайцы спаяли на IXP2400, то что мешает китайцам спаять на IXP2800 ? вопрос лишь в софте, который и хочется посмотреть.

 

ps: эта штуковина даже с ценой от нага (скорее всего если брать напрямую у китайцев еще дешевле будет) стоит дешевле любого федорероутира самосборного из не самого передового железа, а по ттх уделывает любой федорероутир. ну и да, ломаться в нем особо нечему, кондеры только если перепоять на нормальные. :)

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

Умник   

Умник
Опубликовано · Жалоба
Не смешите. И Кирилл, и наш опыт об одном и том же говорит.
И не планировал. Мой опыт говорит о другом. Видимо у нас разный опыт.

 

ага, 4мппс на фидорероутире с натом, ну-ну...
"4мппс" конечно не будет. 2 Гбит/с фул-дуплекса - это примерно 400K PPS Интернет-трафика. Вполне по плечу PC-роутеру. Всяко лучше безымянной китайщины.

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

pfexec   

pfexec
Опубликовано · Жалоба
"4мппс" конечно не будет. 2 Гбит/с фул-дуплекса - это примерно 400K PPS Интернет-трафика. Вполне по плечу PC-роутеру. Всяко лучше безымянной китайщины.
если большими пакетами в парниковых условиях, да. в жизни, к сожалению, все не так радужно.

 

если посчитать например как считает cisco в своей routerperfomance.pdf по 64 байта пакет, то 2гб/с фуллдуплекса уже превратятся в весьма не мелкие где-то 8 мппс :)

 

ps: надеюсь на ночь глядя нигде в математике не просчитался :(

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

Умник   

Умник
Опубликовано · Жалоба
если большими пакетами в парниковых условиях
Я же написал - Интернет-трафика. Там у нас далеко не парниковые условия. :(

 

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

pfexec   

pfexec
Опубликовано · Жалоба
если большими пакетами в парниковых условиях
Я же написал - Интернет-трафика. Там у нас далеко не парниковые условия. :(
ну для меня большая загадка как это оно у вас тогда все так получается. совсем не давно после релиза нового mTorrent'а со включеным по умолчанию mTp софтроутиры у многих не больших операторов попередохли на гораздо более скромных аплинках.

 

ps: в imix трафике если считать получается где-то 5мппс, что не особо меньше. по мне так как минимум до 1мппс запаса на один гбит/сек иметь надо в любом случае, хотя бы чтобы не пасть жертвой очередного релиза торрентклиента или еще какой глупости. опыт у всех конечно разный и взгляды тоже. просто если вам оно не надо, это не значит что оно никому не надо. как минимум интересно попробовать чего там такого спояле китайцы из процессоров использующихся в cisco ace за цену на порядки меньшую...

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

pfexec   

pfexec
Опубликовано · Жалоба

Всяко лучше безымянной китайщины.

не такая уж она и безымянная .) но интереса это не убавляет :)

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

cmhungry   

cmhungry
Опубликовано · Жалоба
ага, 4мппс на фидорероутире с натом, ну-ну...
"4мппс" конечно не будет. 2 Гбит/с фул-дуплекса - это примерно 400K PPS Интернет-трафика. Вполне по плечу PC-роутеру. Всяко лучше безымянной китайщины.

Ни разу не видел федорероутера на 2 гбит/с фуллдуплексного ната. Это около 300-350 кппс трафика, опять же фуллдуплексного. Если по вход+выход, как циска считает, то 600-700кппс.

Сейчас имеем Xeon 3430 с хорошей карточкой (4гбе интел) - все равно фигня =( На Xeon 5570, конечно, все заметно лучше - там 120кппс бегают, но вот дальше как-то не видел загрузки его трафиком. А вот ксеон с карточкой и бинатом без коннтрека - там все очень шустро, там можно получить скорость рутинга, т.е. до 1-2 мппс.

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

bitbucket   

bitbucket
Опубликовано · Жалоба

Есть конечно и куча плюсов, причем я лично считаю что их больше. Но однозначно говорить о том что NAT не нужен еще рано.

А расскажите, что вы будете отвечать на запрос из органов "кто такой был с адресом А в такое-то время ?". Адрес А - это внешний NAT адрес.

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

cmhungry   

cmhungry
Опубликовано · Жалоба
Есть конечно и куча плюсов, причем я лично считаю что их больше. Но однозначно говорить о том что NAT не нужен еще рано.
А расскажите, что вы будете отвечать на запрос из органов "кто такой был с адресом А в такое-то время ?". Адрес А - это внешний NAT адрес.

Это был нат. Пришлите запрос на "кто ходил туда-то тогда-то".

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

halver   

halver
Опубликовано · Жалоба
Есть конечно и куча плюсов, причем я лично считаю что их больше. Но однозначно говорить о том что NAT не нужен еще рано.
А расскажите, что вы будете отвечать на запрос из органов "кто такой был с адресом А в такое-то время ?". Адрес А - это внешний NAT адрес.

С каких пор снимать flow cтатистику до ната уже противоречит религии? Timestamp наличествует, в случае rdr-детальки с SCE есть и HTTP Host и HTTP Request URI.

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

bitbucket   

bitbucket
Опубликовано (изменено) · Жалоба
С каких пор снимать flow cтатистику до ната уже противоречит религии? Timestamp наличествует, в случае rdr-детальки с SCE есть и HTTP Host и HTTP Request URI.
Вы бумажки из МВД давно в руках держали ? Там время без секунд, раз. dst, host, request uri там нет два (их в принципе не может быть, когда, например, хакали какой-нибудь банк-клиент). А за минуту сколько через NAT пройдет исходящих соединений ? Ну и хранить данные о соединениях пользователей надо 3 года.

 

Это был нат. Пришлите запрос на "кто ходил туда-то тогда-то".
Вы так прям и отвечаете ? Сервера биллинга уже закордон перевели ? :) Они, конечно, запрос пришлют новый, в виде "маски-шоу" с изъятием всех серверов которые они найдут.
Изменено пользователем bitbucket

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

halver   

halver
Опубликовано · Жалоба
С каких пор снимать flow cтатистику до ната уже противоречит религии? Timestamp наличествует, в случае rdr-детальки с SCE есть и HTTP Host и HTTP Request URI.
Вы бумажки из МВД давно в руках держали ? Там время без секунд, раз. dst, host, request uri там нет два (их в принципе не может быть, когда, например, хакали какой-нибудь банк-клиент). А за минуту сколько через NAT пройдет исходящих соединений ? Ну и хранить данные о соединениях пользователей надо 3 года.

Можно подумать, что статистику по внешникам хранить три года не придется, ага. Выше Кирилл вам ответил по формулировке запроса. Dst-адрес, как и таймстепм должен наличествовать, если нет - посылается уточнение. Как Вы видите ситуацию, когда внешники выдаются динамически? Кончилась сессия - адрес выдался другому. За 1 минуту - хоть 10 раз. Имхо демагогия все это..

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

bitbucket   

bitbucket
Опубликовано (изменено) · Жалоба
Можно подумать, что статистику по внешникам хранить три года не придется, ага.
Размеры данных сопоставьте... Если у вас трафика на всю сеть гиг в день, то да, можно и netflow хранить.

 

 

Выше Кирилл вам ответил по формулировке запроса. Dst-адрес, как и таймстепм должен наличествовать, если нет - посылается уточнение.
Ага... маски шоу будет, а не уточнение. Вы видимо мало с МВД и подобными структурами общаетесь. Я вот, при очередном визите сотрудников в штатском с запросом "кто?", спросил про NAT - ответ был именно как я и написал: не можете найти - "маски шоу" изымает и дальше данные уже они ищут сами.

 

Как Вы видите ситуацию, когда внешники выдаются динамически? Кончилась сессия - адрес выдался другому. За 1 минуту - хоть 10 раз.
А вы про "отстойник" адресов слышали ?

 

Я не агитирую за "белые адреса", но, ИМХО, NAT на доступе это уже прошлый век.

Изменено пользователем bitbucket

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

cmhungry   

cmhungry
Опубликовано · Жалоба
С каких пор снимать flow cтатистику до ната уже противоречит религии? Timestamp наличествует, в случае rdr-детальки с SCE есть и HTTP Host и HTTP Request URI.
Вы бумажки из МВД давно в руках держали ? Там время без секунд, раз. dst, host, request uri там нет два (их в принципе не может быть, когда, например, хакали какой-нибудь банк-клиент). А за минуту сколько через NAT пройдет исходящих соединений ? Ну и хранить данные о соединениях пользователей надо 3 года.

 

Это был нат. Пришлите запрос на "кто ходил туда-то тогда-то".
Вы так прям и отвечаете ? Сервера биллинга уже закордон перевели ? :) Они, конечно, запрос пришлют новый, в виде "маски-шоу" с изъятием всех серверов которые они найдут.

Совершенно нормально они присылают все что надо. Они прекрасно понимают что такое нат, что статистика снимается перед натом. Дают ипы которые ломали, например. Или дают действительно host и request-uri, если они есть. А хранить полный нетфлоу за 3 года - не такая уж и сверхзадача. До 40 гиг в день максимум у меня запакованная деталька, если не ошибаюсь, а то и до 15 - зависит просто от формата.

 

Я не агитирую за "белые адреса", но, ИМХО, NAT на доступе это уже прошлый век.
А как это называется, если не агитация? Перейдем на ип6 - не будет ната. Или, наоборот, у всех будет, поголовно, кроме самых продвинутых - 4-в-6 и наоборот.

Причем сначала, как мне кажется, у всех будет, потом уже начнет спадать необходимость.

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

halver   

halver
Опубликовано · Жалоба
Размеры данных сопоставьте... Если у вас трафика на всю сеть гиг в день, то да, можно и netflow хранить.

А, простите, какая разница - статистика снятая до ната с серых, или статистика снятая с только белых по размеру? С белыми меньше станут качать чтоли?

 

При трафике в 2ТБ в сутки за'gzip'ованный rdr-tur весит всего 500Мб.

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

bitbucket   

bitbucket
Опубликовано · Жалоба
Совершенно нормально они присылают все что надо. Они прекрасно понимают что такое нат, что статистика снимается перед натом. Дают ипы которые ломали, например. Или дают действительно host и request-uri, если они есть.
Вам, видимо, просто везло. Последние несколько "абуз", что мы получали, были без секунд, таймзоны и dst адреса.

 

А хранить полный нетфлоу за 3 года - не такая уж и сверхзадача. До 40 гиг в день максимум у меня запакованная деталька, если не ошибаюсь, а то и до 15 - зависит просто от формата.
Получается ~44тера... Ну если есть место где это хранить...

 

А, простите, какая разница - статистика снятая до ната с серых, или статистика снятая с только белых по размеру? С белыми меньше станут качать чтоли?
С белыми будет лог вида "дата начала сессии, ipv4 адрес , юзер , дата окончания сессии".

 

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

halver   

halver
Опубликовано · Жалоба
С белыми будет лог вида "дата начала сессии, ipv4 адрес , юзер , дата окончания сессии".

И чего поменяется в случае statefull NAT'a?)

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

bitbucket   

bitbucket
Опубликовано · Жалоба
А как это называется, если не агитация?
NATить можно корпоратов - для оператора корпорат это один конкретный клиент со статическим адресом. Кто там у него (корпората) с внутренних адресов куда лазал при запросе из МВД уже забота самого корпората, а не оператора.

 

Причем сначала, как мне кажется, у всех будет, потом уже начнет спадать необходимость.
ИМХО, сначала у всех будет локальный teredo или подобное стоять.

 

И чего поменяется в случае statefull NAT'a?)
А причем тут statefull NAT ? Я пишу про лог выдавания динамических адресов через dhcp, pptp, pppoe, ppp. В случае с statefull NAT проще "белые" адреса раздать так, сроком на месяц, например. Но вот сколько тогда надо будет адресов ?

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

kapa   

kapa
Опубликовано · Жалоба
Совершенно нормально они присылают все что надо. Они прекрасно понимают что такое нат, что статистика снимается перед натом. Дают ипы которые ломали, например. Или дают действительно host и request-uri, если они есть.
Вам, видимо, просто везло. Последние несколько "абуз", что мы получали, были без секунд, таймзоны и dst адреса.

Или Вам не везло.

 

Неоднократно общался с представителями Управления К. Всегда получал время и айпи назначения.

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

Умник   

Умник
Опубликовано (изменено) · Жалоба

На Xeon 5570, конечно, все заметно лучше - там 120кппс бегают

Что-то совсем грустно. Переменные в /proc касательно netfilter крутили? hashsize для conntrack явно выставляли? Если нет, то не удивительно, что у вас такой "головокружительный" pps.

Изменено пользователем Умник

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

Умник   

Умник
Опубликовано · Жалоба
А вот ксеон с карточкой и бинатом без коннтрека

Как в таком варианте поживает NAT активных FTP-соединений?

Поделиться сообщением

Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.

×
Подписчики 0
Перейти к списку тем Обсуждение контента портала Nag.Ru