Jump to content
Калькуляторы

Аппаратный NAT От 1 до 10 G

Есть желание отказаться от использования писюков в роле NAT-ов, в силу определенных причин, в том числе географических. Хочется поставить что-нибудь железное, что будет гарантированно работать на трафике от 1 до 10g.

Была мысль использовать для этой цели SE100, вариант практически идеальный, 3G в две стороны, масштабируем установкой еще одного, достаточно не дорого.

Но в силу отсутствия adress-pairing после тестового запуска появилась куча жалоб на ftp и прочие вконтактики, пришлось вернутся к i7.

 

Отсюда возникает вопрос, чтобы такое использовать для схемы NAT Only (банально [core]->[nat]->[border])?

 

P.S. Есть конечно вариант использования кучи внешних адресов, но здесь свои трудности, поэтому предлагаю эту тему оставить без обсуждения.

Share this post


Link to post
Share on other sites

Хуавей на своих NE-40E c сервисной NAT платой обещает, что dream обязательно come true.

Предлагают четыре варианта:

 

Very Small Solution

TCP connections/s 58 000

Sessions 1 320 000

Throughput 6

Active Customers 200 000

 

Small Solution

TCP connections/s 232 000

Sessions 5 280 000

Throughput 23

Active Customers 800 000

 

Medium Solution

TCP connections/s 377000

Sessions 8 580 000

Throughput 38

Active Customers 1 300 000

 

Large Solution

TCP connections/s 522 000

Sessions 11 880 000

Throughput 52

Active Customers 1 800 000

 

Как оно в деле не знаю, пока только планируется.

Share this post


Link to post
Share on other sites

ASR 1000 , вполне себе прожует несколько гигабит.

тут описание , ESP 5Gbps или 10 Gbps

Edited by orlik

Share this post


Link to post
Share on other sites

На red back nat pair , есть просто лицензию надо купить и версию софта 11.1 поставить

Share this post


Link to post
Share on other sites

На red back nat pair , есть просто лицензию надо купить и версию софта 11.1 поставить

Я в курсе ситуации с redback.

Проблема в том, что

1. Наг на текущий момент не дал инфы о цене и как вообще купить эту самую лицензию. (И я так понимаю что 11.1 это тестовая версия не перешедшая в релизную. Например, на текущий момент использование 11.1 на se100 дает 20% загрузки CPU из-за какого-то бага в statd.)

2. Саппортеры в спецовом разделе сообщили, что cg-nat будет работать только для сущности subscriber. А мне они на коробке, до появления non-dhcp clips, не нужны.

 

Так. Значит список начал составлятся.

1. Неведомый хуавей, нужно ждать, на текущий момент обещания.

2. Cisco ASR. Оно как вообще, уже перестало крешится по поводу и без?

 

На самом деле удивительно, что в свете конца ipv4 адресов, никто не соорудил полноценной железки для трансляции адресов, мне почему-то кажется, что это будет очень популярная тема через некоторое время :)

Share this post


Link to post
Share on other sites

Alcatel-Lucent 7750 SR-7 с двумя MS-ISA картами.

Но это будет недешево.

Share this post


Link to post
Share on other sites

Juniper SRX

SRX650 у нас жуют по 1.5 гбита в обе стороны. Больше пока не пробовали.

Share this post


Link to post
Share on other sites

6500 + ACE20...

могу помочь в апргрейде лицензии на АСЕ20 с 4Г до 8Г или 16Г

Share this post


Link to post
Share on other sites

1. ASR до сих пор крешится - уже три года олени пофиксить не могут

2. SRX 650 упретесь не в трафик а в Maximum concurrent sessions 512k (IMIX под NAT протянет около 2.2Гбит/c суммарно)

 

to caz Brocade ServerIron ADX - у вас есть реальные данные сколько сей девайс протащит трафика, сессий, наличие alg и overloaded pool (типа net/27 - nat ip 1.1.1.1)?

 

Сам до сих пор ищу вменяемое по ттх и цене аппаратное решение но, пока что писюки рулят

Share this post


Link to post
Share on other sites

to caz Brocade ServerIron ADX - у вас есть реальные данные сколько сей девайс протащит трафика, сессий, наличие alg и overloaded pool (типа net/27 - nat ip 1.1.1.1)?

лучше спросить в брокейда, ALG они вроде как пилят или уже допилили.

Share this post


Link to post
Share on other sites

Alcatel-Lucent 7750 SR-7 с двумя MS-ISA картами.

Но это будет недешево.

Тестил 6М потоков на карту (до 6 карт в шасси) с пропускной в 10G на карту суммарно. На UDP потоках скорость установления была около 2М в секунду. TCP – около 500К/сек. ALG - FTP, RTSP, SIP. IPv4 (Large Scale or L2-aware) или IPv6 (DS-Lite AFTR, NAT64) одновременно. Есть различные виды резервирования - standby card или multi-chassis.

Edited by JoeDoe

Share this post


Link to post
Share on other sites

возможно, я немного пьян, НО я не все понимаю. ради интереса, приведите мне пример, почему экономически и практически невозможно мигрировать на честные белые ип адреса? это же явно дешевле чем покупать магическую коробку для ната N гигабит. сам легко и непринужденно мигрировал с ната на реалки с аннамбердом на физиках и /30 у юриков на сети в 5к юзеров.

еще раз, я могу быть не прав, но это мое мнение.

Share this post


Link to post
Share on other sites

Когда пользователей только онлайн на порядки больше 5к, то вектор миграции меняется диаметрально противоположно :)

Share this post


Link to post
Share on other sites

Когда пользователей только онлайн на порядки больше 5к, то вектор миграции меняется диаметрально противоположно :)

ничего сложного нет, шел к поставленной цели чуть более 4-5 месяцев, в итоге избавился от почти стойки NATов, главное желание =)

Share this post


Link to post
Share on other sites

помоему когда клиентов много больше чем 5к ни о каком нате и речи быть не может.только реалки. зачем лишняя точка отказа, зачем вкладывать лишнее бабло?

Share this post


Link to post
Share on other sites

Адреса как-бы становится несколько сложновато получить, если речь идёт, допустим, о сотнях тысяч дополнительных.

Share this post


Link to post
Share on other sites

ну все таки может стоит бабки, направленные на покупку коробки для ната, направить в русло получения адресов? да и с объемом в сотни тысяч адресов можно уже становиться лиром, ибо бабла там будет итак - жопой жуй.

Share this post


Link to post
Share on other sites

Так я и знал, что в итоге скатится в NAT vs RealIP.

Уже обсуждалось много раз, каждый в итоге выбрал схему, которая подходит ему больше.

Например мне не целесообразно менять ядро ради получения ip unnumbered, потому как это будет дороже в x2 раза чем пользовать NAT.

 

Я закладывал основополагающую идею, что в свете трудностей получения ipv4 и топтании вокруг ipv6, нормальное решение NAT может занять свою нишу. Возможно мы будем видеть на банере в верху страницы фразы "Кончаются адреса - решение есть!" :-)

Share this post


Link to post
Share on other sites

Я закладывал основополагающую идею, что в свете трудностей получения ipv4 и топтании вокруг ipv6, нормальное решение NAT может занять свою нишу. Возможно мы будем видеть на банере в верху страницы фразы "Кончаются адреса - решение есть!" :-)

оно есть, если вы будете использовать DHCP на SE и подождете когда допилят non-DHCP CLIPS =)

Share this post


Link to post
Share on other sites

Из личного опыта:

FWSM ~3Gbps per module, резервируется N*2

ACE ~6Gbbs per module, резервируется N*2

ASA5585 ~19G per device, резервируется N*2 (но этот пока проверяли только на синтетике)

Share this post


Link to post
Share on other sites

Все это хорошо. А как у вас с СОРМ? Реальники проще сормить.

Share this post


Link to post
Share on other sites

А с СОРМ у нас как положено - логи трансляций собираем. С ужасом собираемся переходить на РАТ с чистого НАТа :)

Все вышеперечисленные железки умеют логи на сислог слать.

А АСЕ и ASA - так даже и для РАТ, на полной скорости.

 

А ещё есть Хуавей Еудемон 8160. Но это весьма специфическая вещь, и опыта её эксплуатации маловато пока.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this