Аппаратный NAT

[vurd]

Есть желание отказаться от использования писюков в роле NAT-ов, в силу определенных причин, в том числе географических. Хочется поставить что-нибудь железное, что будет гарантированно работать на трафике от 1 до 10g.

Была мысль использовать для этой цели SE100, вариант практически идеальный, 3G в две стороны, масштабируем установкой еще одного, достаточно не дорого.

Но в силу отсутствия adress-pairing после тестового запуска появилась куча жалоб на ftp и прочие вконтактики, пришлось вернутся к i7.

 

Отсюда возникает вопрос, чтобы такое использовать для схемы NAT Only (банально [core]->[nat]->[border])?

 

P.S. Есть конечно вариант использования кучи внешних адресов, но здесь свои трудности, поэтому предлагаю эту тему оставить без обсуждения.

[Картуччо]

Хуавей на своих NE-40E c сервисной NAT платой обещает, что dream обязательно come true.

Предлагают четыре варианта:

 

Very Small Solution

TCP connections/s 58 000

Sessions 1 320 000

Throughput 6

Active Customers 200 000

 

Small Solution

TCP connections/s 232 000

Sessions 5 280 000

Throughput 23

Active Customers 800 000

 

Medium Solution

TCP connections/s 377000

Sessions 8 580 000

Throughput 38

Active Customers 1 300 000

 

Large Solution

TCP connections/s 522 000

Sessions 11 880 000

Throughput 52

Active Customers 1 800 000

 

Как оно в деле не знаю, пока только планируется.

[orlik]

ASR 1000 , вполне себе прожует несколько гигабит.

тут описание , ESP 5Gbps или 10 Gbps

Edited February 29, 2012 by orlik

[config]

На red back nat pair , есть просто лицензию надо купить и версию софта 11.1 поставить

[vurd]

На red back nat pair , есть просто лицензию надо купить и версию софта 11.1 поставить

Я в курсе ситуации с redback.

Проблема в том, что

1. Наг на текущий момент не дал инфы о цене и как вообще купить эту самую лицензию. (И я так понимаю что 11.1 это тестовая версия не перешедшая в релизную. Например, на текущий момент использование 11.1 на se100 дает 20% загрузки CPU из-за какого-то бага в statd.)

2. Саппортеры в спецовом разделе сообщили, что cg-nat будет работать только для сущности subscriber. А мне они на коробке, до появления non-dhcp clips, не нужны.

 

Так. Значит список начал составлятся.

1. Неведомый хуавей, нужно ждать, на текущий момент обещания.

2. Cisco ASR. Оно как вообще, уже перестало крешится по поводу и без?

 

На самом деле удивительно, что в свете конца ipv4 адресов, никто не соорудил полноценной железки для трансляции адресов, мне почему-то кажется, что это будет очень популярная тема через некоторое время :)

[Fduchun]

Alcatel-Lucent 7750 SR-7 с двумя MS-ISA картами.

Но это будет недешево.

[caz]

Brocade ServerIron ADX

[Negator]

Juniper SRX

SRX650 у нас жуют по 1.5 гбита в обе стороны. Больше пока не пробовали.

[Lut]

6500 + ACE20...

могу помочь в апргрейде лицензии на АСЕ20 с 4Г до 8Г или 16Г

[alks]

1. ASR до сих пор крешится - уже три года олени пофиксить не могут

2. SRX 650 упретесь не в трафик а в Maximum concurrent sessions 512k (IMIX под NAT протянет около 2.2Гбит/c суммарно)

 

to caz Brocade ServerIron ADX - у вас есть реальные данные сколько сей девайс протащит трафика, сессий, наличие alg и overloaded pool (типа net/27 - nat ip 1.1.1.1)?

 

Сам до сих пор ищу вменяемое по ттх и цене аппаратное решение но, пока что писюки рулят

[caz]

to caz Brocade ServerIron ADX - у вас есть реальные данные сколько сей девайс протащит трафика, сессий, наличие alg и overloaded pool (типа net/27 - nat ip 1.1.1.1)?

лучше спросить в брокейда, ALG они вроде как пилят или уже допилили.

[JoeDoe]

Alcatel-Lucent 7750 SR-7 с двумя MS-ISA картами.

Но это будет недешево.

Тестил 6М потоков на карту (до 6 карт в шасси) с пропускной в 10G на карту суммарно. На UDP потоках скорость установления была около 2М в секунду. TCP – около 500К/сек. ALG - FTP, RTSP, SIP. IPv4 (Large Scale or L2-aware) или IPv6 (DS-Lite AFTR, NAT64) одновременно. Есть различные виды резервирования - standby card или multi-chassis.

Edited March 1, 2012 by JoeDoe

[dIMbI4]

возможно, я немного пьян, НО я не все понимаю. ради интереса, приведите мне пример, почему экономически и практически невозможно мигрировать на честные белые ип адреса? это же явно дешевле чем покупать магическую коробку для ната N гигабит. сам легко и непринужденно мигрировал с ната на реалки с аннамбердом на физиках и /30 у юриков на сети в 5к юзеров.

еще раз, я могу быть не прав, но это мое мнение.

[Картуччо]

Когда пользователей только онлайн на порядки больше 5к, то вектор миграции меняется диаметрально противоположно :)

[caz]

Когда пользователей только онлайн на порядки больше 5к, то вектор миграции меняется диаметрально противоположно :)

ничего сложного нет, шел к поставленной цели чуть более 4-5 месяцев, в итоге избавился от почти стойки NATов, главное желание =)

[dIMbI4]

помоему когда клиентов много больше чем 5к ни о каком нате и речи быть не может.только реалки. зачем лишняя точка отказа, зачем вкладывать лишнее бабло?

[Картуччо]

Адреса как-бы становится несколько сложновато получить, если речь идёт, допустим, о сотнях тысяч дополнительных.

[dIMbI4]

ну все таки может стоит бабки, направленные на покупку коробки для ната, направить в русло получения адресов? да и с объемом в сотни тысяч адресов можно уже становиться лиром, ибо бабла там будет итак - жопой жуй.

[vurd]

Так я и знал, что в итоге скатится в NAT vs RealIP.

Уже обсуждалось много раз, каждый в итоге выбрал схему, которая подходит ему больше.

Например мне не целесообразно менять ядро ради получения ip unnumbered, потому как это будет дороже в x2 раза чем пользовать NAT.

 

Я закладывал основополагающую идею, что в свете трудностей получения ipv4 и топтании вокруг ipv6, нормальное решение NAT может занять свою нишу. Возможно мы будем видеть на банере в верху страницы фразы "Кончаются адреса - решение есть!" :-)

[D^2]

Я закладывал основополагающую идею, что в свете трудностей получения ipv4 и топтании вокруг ipv6, нормальное решение NAT может занять свою нишу. Возможно мы будем видеть на банере в верху страницы фразы "Кончаются адреса - решение есть!" :-)

оно есть, если вы будете использовать DHCP на SE и подождете когда допилят non-DHCP CLIPS =)

[Stak]

Из личного опыта:

FWSM ~3Gbps per module, резервируется N*2

ACE ~6Gbbs per module, резервируется N*2

ASA5585 ~19G per device, резервируется N*2 (но этот пока проверяли только на синтетике)

[alks]

ASA5585 она кажется под 100к$ весит?

[Картуччо]

Хуавей Very Small Solution примерно так же.

[Gunner]

Все это хорошо. А как у вас с СОРМ? Реальники проще сормить.

[Stak]

А с СОРМ у нас как положено - логи трансляций собираем. С ужасом собираемся переходить на РАТ с чистого НАТа :)

Все вышеперечисленные железки умеют логи на сислог слать.

А АСЕ и ASA - так даже и для РАТ, на полной скорости.

 

А ещё есть Хуавей Еудемон 8160. Но это весьма специфическая вещь, и опыта её эксплуатации маловато пока.