lemut Posted May 14, 2010 Posted May 14, 2010 Вопрос состоит в том реализован ли NAT аппаратно в Cisco моделях XR 12404 or Cisco 10008 RP3 ХR планируется для BGP и судя по всему это его основная задача, а 10008 планируется для BRAS. Железки планируется купить на долгие времена так что стоит второй вопрос, а что будет если NAT IPv4 to IPv6 необходимо будет организовать. Объем трафика 4Гбита/s в 900Кps Вставить ник Quote
lemut Posted May 17, 2010 Author Posted May 17, 2010 Господа можно дать просто направление в виде доков на cisco.com, самостоятельный поиск приводит в тупик. Вставить ник Quote
D^2 Posted May 17, 2010 Posted May 17, 2010 http://www.cisco.com/go/fn ищите по фиче Your Selections: Features NAT - Network Address Translation и Вы уидите, что 12000 и 10000 платформ в списке поддерживаемых нет. Вставить ник Quote
Stak Posted May 17, 2010 Posted May 17, 2010 (edited) На GSR емнип нат поддерживается на Cisco XR 12000 Multi-Service Blade hardware (part number XR-12K-MSB). http://www.cisco.com/en/US/prod/collateral...cd805f7ca1.html Но никакой толковой документации по нему найти не удалось... Edited May 17, 2010 by Stak Вставить ник Quote
lemut Posted May 17, 2010 Author Posted May 17, 2010 Спасибо за ответы. Видимо данные железки не заточены под NAT. Вставить ник Quote
cmhungry Posted May 17, 2010 Posted May 17, 2010 Вопрос состоит в том реализован ли NAT аппаратно в Cisco моделяхXR 12404 or Cisco 10008 RP3 ХR планируется для BGP и судя по всему это его основная задача, а 10008 планируется для BRAS. Железки планируется купить на долгие времена так что стоит второй вопрос, а что будет если NAT IPv4 to IPv6 необходимо будет организовать. Объем трафика 4Гбита/s в 900Кps ASR1000-ESP10 нужен для такого ната. Или АСЕ-модуль + писюк на протоколы. Вставить ник Quote
lemut Posted May 18, 2010 Author Posted May 18, 2010 Может ли кто то подсказать какое количество сесии вытянет подобный модуль если делать NAT один к одному (то есть не PAT) NAME: "module 5", DESCR: "RSP720-3C-GE 2 ports Route Switch Processor 720 Rev. 5.7" NAME: "msfc sub-module of 5", DESCR: "7600-MSFC4 C7600 MSFC4 Daughterboard Rev. 1.1" NAME: "switching engine sub-module of 5", DESCR: "7600-PFC3C Policy Feature Card 3 Rev. 1.1" NAME: "module 6", DESCR: "RSP720-3C-GE 2 ports Route Switch Processor 720 Rev. 5.7" NAME: "msfc sub-module of 6", DESCR: "7600-MSFC4 C7600 MSFC4 Daughterboard Rev. 1.1" NAME: "switching engine sub-module of 6", DESCR: "7600-PFC3C Policy Feature Card 3 Rev. 1.1" Вставить ник Quote
Konstantin Klimchev Posted May 18, 2010 Posted May 18, 2010 Может ли кто то подсказать какое количество сесии вытянет подобный модульесли делать NAT один к одному (то есть не PAT) NAME: "module 5", DESCR: "RSP720-3C-GE 2 ports Route Switch Processor 720 Rev. 5.7" NAME: "msfc sub-module of 5", DESCR: "7600-MSFC4 C7600 MSFC4 Daughterboard Rev. 1.1" NAME: "switching engine sub-module of 5", DESCR: "7600-PFC3C Policy Feature Card 3 Rev. 1.1" NAME: "module 6", DESCR: "RSP720-3C-GE 2 ports Route Switch Processor 720 Rev. 5.7" NAME: "msfc sub-module of 6", DESCR: "7600-MSFC4 C7600 MSFC4 Daughterboard Rev. 1.1" NAME: "switching engine sub-module of 6", DESCR: "7600-PFC3C Policy Feature Card 3 Rev. 1.1" Что-то вас все время не туда тянет.... Хотите ната - или ASR или стопку asa5550 или парочку asa5580 или ACE-модуль. Ну или стопку писюков. Вставить ник Quote
alks Posted May 18, 2010 Posted May 18, 2010 Коллеги кто пробовал NAT поднимать на ASR? слышал несколько очень негативных отзывов по этому поводу не работает pptp через nat не держит большую нагрузку ребутается RP и т.д. но правда все это были тесты на ios не выше 2.5.0 Вставить ник Quote
lemut Posted May 18, 2010 Author Posted May 18, 2010 Предлагаемый вами варинты перспективны и при переходе на ipv6?? то есть для НАТа IPv4toIPv6 Вставить ник Quote
alks Posted May 18, 2010 Posted May 18, 2010 можете еще посмотреть на juniper SRX650 по нату он почти в три раза мощнее ASA5550 и это при одинаковых ценниках. и тоже умеет ipv4-ipv6 или SRX3400 - он масштабируемый Вставить ник Quote
lemut Posted May 18, 2010 Author Posted May 18, 2010 To alks . Аппаратная ли реализация NAT в juniper Вставить ник Quote
alks Posted May 18, 2010 Posted May 18, 2010 а хз - скорее всего програмная как и у ASA только в асе обычный писюк стоит а здесь другие CPU getmemsize: msgbufp = 0x8000cfe4 Copyright © 1996-2010, Juniper Networks, Inc. All rights reserved. Copyright © 1992-2006 The FreeBSD Project. Copyright © 1979, 1980, 1983, 1986, 1988, 1989, 1991, 1992, 1993, 1994 The Regents of the University of California. All rights reserved. JUNOS 10.1R1.8 #0: 2010-02-12 18:31:54 UTC builder@queth.juniper.net:/volume/build/junos/10.1/release/10.1R1.8/obj-octeon/bsd/sys/compile/JSRXNLE JUNOS 10.1R1.8 #0: 2010-02-12 18:31:54 UTC builder@queth.juniper.net:/volume/build/junos/10.1/release/10.1R1.8/obj-octeon/bsd/sys/compile/JSRXNLE real memory = 2147483648 (2048MB) avail memory = 1083334656 (1033MB) cpuid: 0, btlb_cpumap:0xffffffff FreeBSD/SMP: Multiprocessor System Detected: 12 CPUs Initializing watchdog interupt Loading RT Fifo module..... Loaded RT Fifo module pmap_helper loaded (interface version 6, syscall 210) cpu0 on motherboard : CAVIUM's Octeon CPU Rev. 0.9 with no FPU implemented L1 Cache: I size 32kb(128 line), D size 8kb(128 line), sixty four way. L2 Cache: Size 128kb, ? way obio0 on motherboard uart0: <Octeon-16550 channel 0> on obio0 uart0: console (9600,n,8,1) twsi0 on obio0 dwc0: <Synopsis DWC OTG Controller Driver> on obio0 usb0: DWC OTG Controller Using DMA mode Init: Port Power? op_state=1 Init: Power Port (0) usb0: <USB Bus for DWC OTG Controller> on dwc0 usb0: USB revision 2.0 uhub0: vendor 0x0000 DWC OTG root hub, class 9/0, rev 2.00/1.00, addr 1 uhub0: 1 port with 1 removable, self powered uhub1: vendor 0x0409 product 0x005a, class 9/0, rev 2.00/1.00, addr 2 uhub1: single transaction translator uhub1: 4 ports with 4 removable, self powered pcib0: <Cavium on-chip PCIe HOST bridge> on obio0 Disabling Octeon big bar support PCIe: Waiting for port 0 to finish reset PCIe: Port 0 link active, 4 lanes PCIe: Waiting for port 1 to finish reset PCIe: Port 1 link active, 4 lanes pcib0: Initialized controller pci0: <PCI bus> on pcib0 pcib2: <PCI-PCI bridge> at device 0.0 on pci0 pci1: <PCI bus> on pcib2 pcib3: <PCI-PCI bridge> at device 1.0 on pci1 pci2: <PCI bus> on pcib3 pci2: <network, ethernet> at device 0.0 (no driver attached) Вставить ник Quote
Stak Posted May 18, 2010 Posted May 18, 2010 только в асе обычный писюк стоит а здесь другие CPU ixp2800 там стоит. Две штуки. Вставить ник Quote
alks Posted May 18, 2010 Posted May 18, 2010 ixp2800 там стоит. Две штуки. может быть .. но по факту ASA5550 более 700мбит/c агрегатно отнатить не может а джун 1.6Гбит/c как минимум переварит Вставить ник Quote
alks Posted May 18, 2010 Posted May 18, 2010 (edited) ACE стоит зараза дорого + 1. Не очень большой набор поддерживаемых протоколов 2. При настройке PAT в одном пуле внешних адресов может быть максимум 32 адреса, т.е. не более 2М трансляций на пул. Если внешний пул необходимо расширить, то нужно смотреть Policy map PAT и создавать ACL (разбивающие абонентов на группы), которые будут мапироваться в разные пулы. 3. Один и тот же абонент мапируется все время в один и тот же внешний адрес. Есть опасность DoS атаки, которая может переполнить все доступные трансляции на один внешний адрес. 4. Нет возможности ограничить число трансляций, приходящихся на один внутренний IP. Архитектуру модуля АСЕ-20 можно посмотреть по ссылке http://www.cisco.com/en/US/prod/collateral...e_Hardware.html В общем случае количество трансляций (sh xlate) определяется только количеством взаимодействующих хостов без учета сессий, а sh connections показывает соединения между хостами, т.е. TCP/UDP сессии, обмен по ICMP и т.п. Как правило, число соединений существенно превышает число трансляций.Если ресурсов АСЕ-20 модуля в будущем будет недостаточно, то можно установить второй АСЕ-20 модуль и разнести группы клиентов по разным модулям. вообщем масса гемороев за большие деньги .. лучше на самом деле кластер из писюков или железки подешевле чисто мое мнение :) циска зараза лучше бы до ума ASR довела бы - чтобы на нем натить можно было по человечески Edited May 18, 2010 by alks Вставить ник Quote
short Posted May 18, 2010 Posted May 18, 2010 alks а SRX в продакшене? 650й или 3000ный ? как впечатления? если SRX3k то сколько SPC ? Вставить ник Quote
alks Posted May 18, 2010 Posted May 18, 2010 SRX650 в работе два SRX650 в среднем на 20к дешевле чем один 3400 с двумя SPC - поэтому жаба душит на SRX3400 впечатления положительные хотя и джуна есть свои тараканы к примеру на шасси SRX650 есть 4 1Г порта - агрегацию линков LACP на них не сделать + лимит в 500K сессий + лимит в 256 пулов NAT и это при наличии 1024 rule-set вообщем нет идеала в виде тазика 1U с двумя 10GE дырками и 20Г чистого nat )))) Вставить ник Quote
short Posted May 18, 2010 Posted May 18, 2010 alks спасибо про тараканы можно еще? ) с самим nat может что-то? я правильно понимаю что nat можно считать как "Firewall performance" ? что-то из IPS/DPI , QoS по классам пробовалось? вообщем нет идеала в виде тазика 1U с двумя 10GE дырками и 20Г чистого nat )))) ну да, после подсчета цены, идеалом пахнуть перестает ))) Вставить ник Quote
Tosha Posted May 20, 2010 Posted May 20, 2010 Насколько я помню RSP720-3C у нас тянул 10-12к NAT сессий. При этом был близок к пределу и раз в неделю циска ребутилась по каким-то ошибкам. Может быть софт был сыроват - SRC1 Поставили FWSM модуль (аналог PIX и ASA) и живем не тужим. Мощность этого файрволла впечатляет. Вполне хорошее решение для NAT. И не особо дорогое, если 7600 шасси уже есть. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.