Jump to content
Калькуляторы

выбор точки для NAT NAT на Cisco XR 12404 or Cisco 10008 RP3

Reply to this topic

lemut   

lemut
Posted · Report post

Вопрос состоит в том реализован ли NAT аппаратно в Cisco моделях

XR 12404 or Cisco 10008 RP3

ХR планируется для BGP и судя по всему это его основная задача,

а 10008 планируется для BRAS.

Железки планируется купить на долгие времена так что стоит второй вопрос, а что будет

если NAT IPv4 to IPv6 необходимо будет организовать.

 

Объем трафика 4Гбита/s в 900Кps

Share this post

Link to post
Share on other sites

D^2   

D^2
Posted · Report post

http://www.cisco.com/go/fn

ищите по фиче

 

Your Selections:

Features NAT - Network Address Translation

 

и Вы уидите, что 12000 и 10000 платформ в списке поддерживаемых нет.

Share this post

Link to post
Share on other sites

Stak   

Stak
Posted (edited) · Report post

На GSR емнип нат поддерживается на Cisco XR 12000 Multi-Service Blade hardware (part number XR-12K-MSB).

 

http://www.cisco.com/en/US/prod/collateral...cd805f7ca1.html

 

Но никакой толковой документации по нему найти не удалось...

Edited by Stak

Share this post

Link to post
Share on other sites

cmhungry   

cmhungry
Posted · Report post
Вопрос состоит в том реализован ли NAT аппаратно в Cisco моделях

XR 12404 or Cisco 10008 RP3

ХR планируется для BGP и судя по всему это его основная задача,

а 10008 планируется для BRAS.

Железки планируется купить на долгие времена так что стоит второй вопрос, а что будет

если NAT IPv4 to IPv6 необходимо будет организовать.

 

Объем трафика 4Гбита/s в 900Кps

ASR1000-ESP10 нужен для такого ната. Или АСЕ-модуль + писюк на протоколы.

Share this post

Link to post
Share on other sites

lemut   

lemut
Posted · Report post

Может ли кто то подсказать какое количество сесии вытянет подобный модуль

если делать NAT один к одному (то есть не PAT)

 

NAME: "module 5", DESCR: "RSP720-3C-GE 2 ports Route Switch Processor 720 Rev. 5.7"

 

NAME: "msfc sub-module of 5", DESCR: "7600-MSFC4 C7600 MSFC4 Daughterboard Rev. 1.1"

 

NAME: "switching engine sub-module of 5", DESCR: "7600-PFC3C Policy Feature Card 3 Rev. 1.1"

 

NAME: "module 6", DESCR: "RSP720-3C-GE 2 ports Route Switch Processor 720 Rev. 5.7"

 

NAME: "msfc sub-module of 6", DESCR: "7600-MSFC4 C7600 MSFC4 Daughterboard Rev. 1.1"

 

NAME: "switching engine sub-module of 6", DESCR: "7600-PFC3C Policy Feature Card 3 Rev. 1.1"

 

 

Share this post

Link to post
Share on other sites

Konstantin Klimchev   

Konstantin Klimchev
Posted · Report post
Может ли кто то подсказать какое количество сесии вытянет подобный модуль

если делать NAT один к одному (то есть не PAT)

 

NAME: "module 5", DESCR: "RSP720-3C-GE 2 ports Route Switch Processor 720 Rev. 5.7"

 

NAME: "msfc sub-module of 5", DESCR: "7600-MSFC4 C7600 MSFC4 Daughterboard Rev. 1.1"

 

NAME: "switching engine sub-module of 5", DESCR: "7600-PFC3C Policy Feature Card 3 Rev. 1.1"

 

NAME: "module 6", DESCR: "RSP720-3C-GE 2 ports Route Switch Processor 720 Rev. 5.7"

 

NAME: "msfc sub-module of 6", DESCR: "7600-MSFC4 C7600 MSFC4 Daughterboard Rev. 1.1"

 

NAME: "switching engine sub-module of 6", DESCR: "7600-PFC3C Policy Feature Card 3 Rev. 1.1"

Что-то вас все время не туда тянет....

Хотите ната - или ASR или стопку asa5550 или парочку asa5580 или ACE-модуль. Ну или стопку писюков.

Share this post

Link to post
Share on other sites

alks   

alks
Posted · Report post

Коллеги кто пробовал NAT поднимать на ASR?

слышал несколько очень негативных отзывов по этому поводу

не работает pptp через nat

не держит большую нагрузку

ребутается RP и т.д.

но правда все это были тесты на ios не выше 2.5.0

Share this post

Link to post
Share on other sites

alks   

alks
Posted · Report post

можете еще посмотреть на juniper SRX650 по нату он почти в три раза мощнее ASA5550 и это при одинаковых ценниках.

и тоже умеет ipv4-ipv6

или SRX3400 - он масштабируемый

Share this post

Link to post
Share on other sites

alks   

alks
Posted · Report post

а хз - скорее всего програмная как и у ASA

только в асе обычный писюк стоит а здесь другие CPU

 

getmemsize: msgbufp = 0x8000cfe4

Copyright © 1996-2010, Juniper Networks, Inc.

All rights reserved.

Copyright © 1992-2006 The FreeBSD Project.

Copyright © 1979, 1980, 1983, 1986, 1988, 1989, 1991, 1992, 1993, 1994

The Regents of the University of California. All rights reserved.

JUNOS 10.1R1.8 #0: 2010-02-12 18:31:54 UTC

builder@queth.juniper.net:/volume/build/junos/10.1/release/10.1R1.8/obj-octeon/bsd/sys/compile/JSRXNLE

JUNOS 10.1R1.8 #0: 2010-02-12 18:31:54 UTC

builder@queth.juniper.net:/volume/build/junos/10.1/release/10.1R1.8/obj-octeon/bsd/sys/compile/JSRXNLE

real memory = 2147483648 (2048MB)

avail memory = 1083334656 (1033MB)

cpuid: 0, btlb_cpumap:0xffffffff

FreeBSD/SMP: Multiprocessor System Detected: 12 CPUs

Initializing watchdog interupt

 

Loading RT Fifo module.....

Loaded RT Fifo module

pmap_helper loaded (interface version 6, syscall 210)

cpu0 on motherboard

: CAVIUM's Octeon CPU Rev. 0.9 with no FPU implemented

L1 Cache: I size 32kb(128 line), D size 8kb(128 line), sixty four way.

L2 Cache: Size 128kb, ? way

obio0 on motherboard

uart0: <Octeon-16550 channel 0> on obio0

uart0: console (9600,n,8,1)

twsi0 on obio0

dwc0: <Synopsis DWC OTG Controller Driver> on obio0

usb0: DWC OTG Controller

Using DMA mode

Init: Port Power? op_state=1

Init: Power Port (0)

usb0: <USB Bus for DWC OTG Controller> on dwc0

usb0: USB revision 2.0

uhub0: vendor 0x0000 DWC OTG root hub, class 9/0, rev 2.00/1.00, addr 1

uhub0: 1 port with 1 removable, self powered

uhub1: vendor 0x0409 product 0x005a, class 9/0, rev 2.00/1.00, addr 2

uhub1: single transaction translator

uhub1: 4 ports with 4 removable, self powered

pcib0: <Cavium on-chip PCIe HOST bridge> on obio0

Disabling Octeon big bar support

PCIe: Waiting for port 0 to finish reset

PCIe: Port 0 link active, 4 lanes

PCIe: Waiting for port 1 to finish reset

PCIe: Port 1 link active, 4 lanes

pcib0: Initialized controller

pci0: <PCI bus> on pcib0

pcib2: <PCI-PCI bridge> at device 0.0 on pci0

pci1: <PCI bus> on pcib2

pcib3: <PCI-PCI bridge> at device 1.0 on pci1

pci2: <PCI bus> on pcib3

pci2: <network, ethernet> at device 0.0 (no driver attached)

 

Share this post

Link to post
Share on other sites

alks   

alks
Posted · Report post
ixp2800 там стоит. Две штуки.

может быть .. но по факту ASA5550 более 700мбит/c агрегатно отнатить не может

а джун 1.6Гбит/c как минимум переварит

Share this post

Link to post
Share on other sites

alks   

alks
Posted (edited) · Report post

ACE стоит зараза дорого +

1. Не очень большой набор поддерживаемых протоколов

2. При настройке PAT в одном пуле внешних адресов может быть максимум 32 адреса, т.е. не более 2М трансляций на пул.

Если внешний пул необходимо расширить, то нужно смотреть Policy map PAT и создавать ACL (разбивающие абонентов на группы),

которые будут мапироваться в разные пулы.

3. Один и тот же абонент мапируется все время в один и тот же внешний адрес. Есть опасность DoS атаки, которая может переполнить

все доступные трансляции на один внешний адрес.

4. Нет возможности ограничить число трансляций, приходящихся на один внутренний IP.

Архитектуру модуля АСЕ-20 можно посмотреть по ссылке

http://www.cisco.com/en/US/prod/collateral...e_Hardware.html

В общем случае количество трансляций (sh xlate) определяется только количеством взаимодействующих хостов

без учета сессий, а sh connections показывает соединения между хостами, т.е. TCP/UDP сессии, обмен по ICMP и т.п. Как правило,

число соединений существенно превышает число трансляций.Если ресурсов АСЕ-20 модуля в будущем будет недостаточно,

то можно установить второй АСЕ-20 модуль и разнести группы клиентов по разным модулям.

 

вообщем масса гемороев за большие деньги .. лучше на самом деле кластер из писюков или железки подешевле

чисто мое мнение :)

 

циска зараза лучше бы до ума ASR довела бы - чтобы на нем натить можно было по человечески

Edited by alks

Share this post

Link to post
Share on other sites

alks   

alks
Posted · Report post

SRX650 в работе

два SRX650 в среднем на 20к дешевле чем один 3400 с двумя SPC - поэтому жаба душит на SRX3400

 

впечатления положительные хотя и джуна есть свои тараканы

к примеру на шасси SRX650 есть 4 1Г порта - агрегацию линков LACP на них не сделать

+ лимит в 500K сессий

+ лимит в 256 пулов NAT и это при наличии 1024 rule-set

вообщем нет идеала в виде тазика 1U с двумя 10GE дырками и 20Г чистого nat ))))

 

Share this post

Link to post
Share on other sites

short   

short
Posted · Report post

alks

спасибо

 

про тараканы можно еще? )

с самим nat может что-то?

 

я правильно понимаю что nat можно считать как "Firewall performance" ?

 

что-то из IPS/DPI , QoS по классам пробовалось?

 

вообщем нет идеала в виде тазика 1U с двумя 10GE дырками и 20Г чистого nat ))))

ну да, после подсчета цены, идеалом пахнуть перестает )))

Share this post

Link to post
Share on other sites

Tosha   

Tosha
Posted · Report post

Насколько я помню

RSP720-3C у нас тянул 10-12к NAT сессий. При этом был близок к пределу и раз в неделю циска ребутилась по каким-то ошибкам. Может быть софт был сыроват - SRC1

 

Поставили FWSM модуль (аналог PIX и ASA) и живем не тужим. Мощность этого файрволла впечатляет. Вполне хорошее решение для NAT. И не особо дорогое, если 7600 шасси уже есть.

Share this post

Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
Followers 0
Go to topic listing Активное оборудование Ethernet, IP, MPLS, SDN/NFV...