Перейти к содержимому
Калькуляторы

выбор точки для NAT NAT на Cisco XR 12404 or Cisco 10008 RP3

Вопрос состоит в том реализован ли NAT аппаратно в Cisco моделях

XR 12404 or Cisco 10008 RP3

ХR планируется для BGP и судя по всему это его основная задача,

а 10008 планируется для BRAS.

Железки планируется купить на долгие времена так что стоит второй вопрос, а что будет

если NAT IPv4 to IPv6 необходимо будет организовать.

 

Объем трафика 4Гбита/s в 900Кps

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Господа можно дать просто направление в виде доков на cisco.com, самостоятельный поиск приводит в тупик.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

http://www.cisco.com/go/fn

ищите по фиче

 

Your Selections:

Features NAT - Network Address Translation

 

и Вы уидите, что 12000 и 10000 платформ в списке поддерживаемых нет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

На GSR емнип нат поддерживается на Cisco XR 12000 Multi-Service Blade hardware (part number XR-12K-MSB).

 

http://www.cisco.com/en/US/prod/collateral...cd805f7ca1.html

 

Но никакой толковой документации по нему найти не удалось...

Изменено пользователем Stak

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Спасибо за ответы. Видимо данные железки не заточены под NAT.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Вопрос состоит в том реализован ли NAT аппаратно в Cisco моделях

XR 12404 or Cisco 10008 RP3

ХR планируется для BGP и судя по всему это его основная задача,

а 10008 планируется для BRAS.

Железки планируется купить на долгие времена так что стоит второй вопрос, а что будет

если NAT IPv4 to IPv6 необходимо будет организовать.

 

Объем трафика 4Гбита/s в 900Кps

ASR1000-ESP10 нужен для такого ната. Или АСЕ-модуль + писюк на протоколы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Может ли кто то подсказать какое количество сесии вытянет подобный модуль

если делать NAT один к одному (то есть не PAT)

 

NAME: "module 5", DESCR: "RSP720-3C-GE 2 ports Route Switch Processor 720 Rev. 5.7"

 

NAME: "msfc sub-module of 5", DESCR: "7600-MSFC4 C7600 MSFC4 Daughterboard Rev. 1.1"

 

NAME: "switching engine sub-module of 5", DESCR: "7600-PFC3C Policy Feature Card 3 Rev. 1.1"

 

NAME: "module 6", DESCR: "RSP720-3C-GE 2 ports Route Switch Processor 720 Rev. 5.7"

 

NAME: "msfc sub-module of 6", DESCR: "7600-MSFC4 C7600 MSFC4 Daughterboard Rev. 1.1"

 

NAME: "switching engine sub-module of 6", DESCR: "7600-PFC3C Policy Feature Card 3 Rev. 1.1"

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Может ли кто то подсказать какое количество сесии вытянет подобный модуль

если делать NAT один к одному (то есть не PAT)

 

NAME: "module 5", DESCR: "RSP720-3C-GE 2 ports Route Switch Processor 720 Rev. 5.7"

 

NAME: "msfc sub-module of 5", DESCR: "7600-MSFC4 C7600 MSFC4 Daughterboard Rev. 1.1"

 

NAME: "switching engine sub-module of 5", DESCR: "7600-PFC3C Policy Feature Card 3 Rev. 1.1"

 

NAME: "module 6", DESCR: "RSP720-3C-GE 2 ports Route Switch Processor 720 Rev. 5.7"

 

NAME: "msfc sub-module of 6", DESCR: "7600-MSFC4 C7600 MSFC4 Daughterboard Rev. 1.1"

 

NAME: "switching engine sub-module of 6", DESCR: "7600-PFC3C Policy Feature Card 3 Rev. 1.1"

Что-то вас все время не туда тянет....

Хотите ната - или ASR или стопку asa5550 или парочку asa5580 или ACE-модуль. Ну или стопку писюков.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Коллеги кто пробовал NAT поднимать на ASR?

слышал несколько очень негативных отзывов по этому поводу

не работает pptp через nat

не держит большую нагрузку

ребутается RP и т.д.

но правда все это были тесты на ios не выше 2.5.0

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Предлагаемый вами варинты перспективны и при переходе на ipv6??

то есть для НАТа IPv4toIPv6

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

можете еще посмотреть на juniper SRX650 по нату он почти в три раза мощнее ASA5550 и это при одинаковых ценниках.

и тоже умеет ipv4-ipv6

или SRX3400 - он масштабируемый

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

а хз - скорее всего програмная как и у ASA

только в асе обычный писюк стоит а здесь другие CPU

 

getmemsize: msgbufp = 0x8000cfe4

Copyright © 1996-2010, Juniper Networks, Inc.

All rights reserved.

Copyright © 1992-2006 The FreeBSD Project.

Copyright © 1979, 1980, 1983, 1986, 1988, 1989, 1991, 1992, 1993, 1994

The Regents of the University of California. All rights reserved.

JUNOS 10.1R1.8 #0: 2010-02-12 18:31:54 UTC

builder@queth.juniper.net:/volume/build/junos/10.1/release/10.1R1.8/obj-octeon/bsd/sys/compile/JSRXNLE

JUNOS 10.1R1.8 #0: 2010-02-12 18:31:54 UTC

builder@queth.juniper.net:/volume/build/junos/10.1/release/10.1R1.8/obj-octeon/bsd/sys/compile/JSRXNLE

real memory = 2147483648 (2048MB)

avail memory = 1083334656 (1033MB)

cpuid: 0, btlb_cpumap:0xffffffff

FreeBSD/SMP: Multiprocessor System Detected: 12 CPUs

Initializing watchdog interupt

 

Loading RT Fifo module.....

Loaded RT Fifo module

pmap_helper loaded (interface version 6, syscall 210)

cpu0 on motherboard

: CAVIUM's Octeon CPU Rev. 0.9 with no FPU implemented

L1 Cache: I size 32kb(128 line), D size 8kb(128 line), sixty four way.

L2 Cache: Size 128kb, ? way

obio0 on motherboard

uart0: <Octeon-16550 channel 0> on obio0

uart0: console (9600,n,8,1)

twsi0 on obio0

dwc0: <Synopsis DWC OTG Controller Driver> on obio0

usb0: DWC OTG Controller

Using DMA mode

Init: Port Power? op_state=1

Init: Power Port (0)

usb0: <USB Bus for DWC OTG Controller> on dwc0

usb0: USB revision 2.0

uhub0: vendor 0x0000 DWC OTG root hub, class 9/0, rev 2.00/1.00, addr 1

uhub0: 1 port with 1 removable, self powered

uhub1: vendor 0x0409 product 0x005a, class 9/0, rev 2.00/1.00, addr 2

uhub1: single transaction translator

uhub1: 4 ports with 4 removable, self powered

pcib0: <Cavium on-chip PCIe HOST bridge> on obio0

Disabling Octeon big bar support

PCIe: Waiting for port 0 to finish reset

PCIe: Port 0 link active, 4 lanes

PCIe: Waiting for port 1 to finish reset

PCIe: Port 1 link active, 4 lanes

pcib0: Initialized controller

pci0: <PCI bus> on pcib0

pcib2: <PCI-PCI bridge> at device 0.0 on pci0

pci1: <PCI bus> on pcib2

pcib3: <PCI-PCI bridge> at device 1.0 on pci1

pci2: <PCI bus> on pcib3

pci2: <network, ethernet> at device 0.0 (no driver attached)

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

только в асе обычный писюк стоит а здесь другие CPU

ixp2800 там стоит. Две штуки.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ixp2800 там стоит. Две штуки.

может быть .. но по факту ASA5550 более 700мбит/c агрегатно отнатить не может

а джун 1.6Гбит/c как минимум переварит

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Так я не про ASA, я про АСЕ :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ACE стоит зараза дорого +

1. Не очень большой набор поддерживаемых протоколов

2. При настройке PAT в одном пуле внешних адресов может быть максимум 32 адреса, т.е. не более 2М трансляций на пул.

Если внешний пул необходимо расширить, то нужно смотреть Policy map PAT и создавать ACL (разбивающие абонентов на группы),

которые будут мапироваться в разные пулы.

3. Один и тот же абонент мапируется все время в один и тот же внешний адрес. Есть опасность DoS атаки, которая может переполнить

все доступные трансляции на один внешний адрес.

4. Нет возможности ограничить число трансляций, приходящихся на один внутренний IP.

Архитектуру модуля АСЕ-20 можно посмотреть по ссылке

http://www.cisco.com/en/US/prod/collateral...e_Hardware.html

В общем случае количество трансляций (sh xlate) определяется только количеством взаимодействующих хостов

без учета сессий, а sh connections показывает соединения между хостами, т.е. TCP/UDP сессии, обмен по ICMP и т.п. Как правило,

число соединений существенно превышает число трансляций.Если ресурсов АСЕ-20 модуля в будущем будет недостаточно,

то можно установить второй АСЕ-20 модуль и разнести группы клиентов по разным модулям.

 

вообщем масса гемороев за большие деньги .. лучше на самом деле кластер из писюков или железки подешевле

чисто мое мнение :)

 

циска зараза лучше бы до ума ASR довела бы - чтобы на нем натить можно было по человечески

Изменено пользователем alks

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

alks

 

а SRX в продакшене? 650й или 3000ный ?

 

как впечатления?

если SRX3k то сколько SPC ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

SRX650 в работе

два SRX650 в среднем на 20к дешевле чем один 3400 с двумя SPC - поэтому жаба душит на SRX3400

 

впечатления положительные хотя и джуна есть свои тараканы

к примеру на шасси SRX650 есть 4 1Г порта - агрегацию линков LACP на них не сделать

+ лимит в 500K сессий

+ лимит в 256 пулов NAT и это при наличии 1024 rule-set

вообщем нет идеала в виде тазика 1U с двумя 10GE дырками и 20Г чистого nat ))))

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

alks

спасибо

 

про тараканы можно еще? )

с самим nat может что-то?

 

я правильно понимаю что nat можно считать как "Firewall performance" ?

 

что-то из IPS/DPI , QoS по классам пробовалось?

 

вообщем нет идеала в виде тазика 1U с двумя 10GE дырками и 20Г чистого nat ))))

ну да, после подсчета цены, идеалом пахнуть перестает )))

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Насколько я помню

RSP720-3C у нас тянул 10-12к NAT сессий. При этом был близок к пределу и раз в неделю циска ребутилась по каким-то ошибкам. Может быть софт был сыроват - SRC1

 

Поставили FWSM модуль (аналог PIX и ASA) и живем не тужим. Мощность этого файрволла впечатляет. Вполне хорошее решение для NAT. И не особо дорогое, если 7600 шасси уже есть.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.