vurd Опубликовано 29 февраля, 2012 · Жалоба Есть желание отказаться от использования писюков в роле NAT-ов, в силу определенных причин, в том числе географических. Хочется поставить что-нибудь железное, что будет гарантированно работать на трафике от 1 до 10g. Была мысль использовать для этой цели SE100, вариант практически идеальный, 3G в две стороны, масштабируем установкой еще одного, достаточно не дорого. Но в силу отсутствия adress-pairing после тестового запуска появилась куча жалоб на ftp и прочие вконтактики, пришлось вернутся к i7. Отсюда возникает вопрос, чтобы такое использовать для схемы NAT Only (банально [core]->[nat]->[border])? P.S. Есть конечно вариант использования кучи внешних адресов, но здесь свои трудности, поэтому предлагаю эту тему оставить без обсуждения. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Картуччо Опубликовано 29 февраля, 2012 · Жалоба Хуавей на своих NE-40E c сервисной NAT платой обещает, что dream обязательно come true. Предлагают четыре варианта: Very Small Solution TCP connections/s 58 000 Sessions 1 320 000 Throughput 6 Active Customers 200 000 Small Solution TCP connections/s 232 000 Sessions 5 280 000 Throughput 23 Active Customers 800 000 Medium Solution TCP connections/s 377000 Sessions 8 580 000 Throughput 38 Active Customers 1 300 000 Large Solution TCP connections/s 522 000 Sessions 11 880 000 Throughput 52 Active Customers 1 800 000 Как оно в деле не знаю, пока только планируется. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
orlik Опубликовано 29 февраля, 2012 (изменено) · Жалоба ASR 1000 , вполне себе прожует несколько гигабит. тут описание , ESP 5Gbps или 10 Gbps Изменено 29 февраля, 2012 пользователем orlik Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
config Опубликовано 29 февраля, 2012 · Жалоба На red back nat pair , есть просто лицензию надо купить и версию софта 11.1 поставить Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vurd Опубликовано 29 февраля, 2012 · Жалоба На red back nat pair , есть просто лицензию надо купить и версию софта 11.1 поставить Я в курсе ситуации с redback. Проблема в том, что 1. Наг на текущий момент не дал инфы о цене и как вообще купить эту самую лицензию. (И я так понимаю что 11.1 это тестовая версия не перешедшая в релизную. Например, на текущий момент использование 11.1 на se100 дает 20% загрузки CPU из-за какого-то бага в statd.) 2. Саппортеры в спецовом разделе сообщили, что cg-nat будет работать только для сущности subscriber. А мне они на коробке, до появления non-dhcp clips, не нужны. Так. Значит список начал составлятся. 1. Неведомый хуавей, нужно ждать, на текущий момент обещания. 2. Cisco ASR. Оно как вообще, уже перестало крешится по поводу и без? На самом деле удивительно, что в свете конца ipv4 адресов, никто не соорудил полноценной железки для трансляции адресов, мне почему-то кажется, что это будет очень популярная тема через некоторое время :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Fduchun Опубликовано 29 февраля, 2012 · Жалоба Alcatel-Lucent 7750 SR-7 с двумя MS-ISA картами. Но это будет недешево. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
caz Опубликовано 29 февраля, 2012 · Жалоба Brocade ServerIron ADX Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Negator Опубликовано 29 февраля, 2012 · Жалоба Juniper SRX SRX650 у нас жуют по 1.5 гбита в обе стороны. Больше пока не пробовали. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Lut Опубликовано 1 марта, 2012 · Жалоба 6500 + ACE20... могу помочь в апргрейде лицензии на АСЕ20 с 4Г до 8Г или 16Г Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alks Опубликовано 1 марта, 2012 · Жалоба 1. ASR до сих пор крешится - уже три года олени пофиксить не могут 2. SRX 650 упретесь не в трафик а в Maximum concurrent sessions 512k (IMIX под NAT протянет около 2.2Гбит/c суммарно) to caz Brocade ServerIron ADX - у вас есть реальные данные сколько сей девайс протащит трафика, сессий, наличие alg и overloaded pool (типа net/27 - nat ip 1.1.1.1)? Сам до сих пор ищу вменяемое по ттх и цене аппаратное решение но, пока что писюки рулят Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
caz Опубликовано 1 марта, 2012 · Жалоба to caz Brocade ServerIron ADX - у вас есть реальные данные сколько сей девайс протащит трафика, сессий, наличие alg и overloaded pool (типа net/27 - nat ip 1.1.1.1)? лучше спросить в брокейда, ALG они вроде как пилят или уже допилили. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
JoeDoe Опубликовано 1 марта, 2012 (изменено) · Жалоба Alcatel-Lucent 7750 SR-7 с двумя MS-ISA картами. Но это будет недешево. Тестил 6М потоков на карту (до 6 карт в шасси) с пропускной в 10G на карту суммарно. На UDP потоках скорость установления была около 2М в секунду. TCP – около 500К/сек. ALG - FTP, RTSP, SIP. IPv4 (Large Scale or L2-aware) или IPv6 (DS-Lite AFTR, NAT64) одновременно. Есть различные виды резервирования - standby card или multi-chassis. Изменено 1 марта, 2012 пользователем JoeDoe Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dIMbI4 Опубликовано 1 марта, 2012 · Жалоба возможно, я немного пьян, НО я не все понимаю. ради интереса, приведите мне пример, почему экономически и практически невозможно мигрировать на честные белые ип адреса? это же явно дешевле чем покупать магическую коробку для ната N гигабит. сам легко и непринужденно мигрировал с ната на реалки с аннамбердом на физиках и /30 у юриков на сети в 5к юзеров. еще раз, я могу быть не прав, но это мое мнение. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Картуччо Опубликовано 2 марта, 2012 · Жалоба Когда пользователей только онлайн на порядки больше 5к, то вектор миграции меняется диаметрально противоположно :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
caz Опубликовано 2 марта, 2012 · Жалоба Когда пользователей только онлайн на порядки больше 5к, то вектор миграции меняется диаметрально противоположно :) ничего сложного нет, шел к поставленной цели чуть более 4-5 месяцев, в итоге избавился от почти стойки NATов, главное желание =) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dIMbI4 Опубликовано 2 марта, 2012 · Жалоба помоему когда клиентов много больше чем 5к ни о каком нате и речи быть не может.только реалки. зачем лишняя точка отказа, зачем вкладывать лишнее бабло? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Картуччо Опубликовано 2 марта, 2012 · Жалоба Адреса как-бы становится несколько сложновато получить, если речь идёт, допустим, о сотнях тысяч дополнительных. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
dIMbI4 Опубликовано 2 марта, 2012 · Жалоба ну все таки может стоит бабки, направленные на покупку коробки для ната, направить в русло получения адресов? да и с объемом в сотни тысяч адресов можно уже становиться лиром, ибо бабла там будет итак - жопой жуй. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vurd Опубликовано 2 марта, 2012 · Жалоба Так я и знал, что в итоге скатится в NAT vs RealIP. Уже обсуждалось много раз, каждый в итоге выбрал схему, которая подходит ему больше. Например мне не целесообразно менять ядро ради получения ip unnumbered, потому как это будет дороже в x2 раза чем пользовать NAT. Я закладывал основополагающую идею, что в свете трудностей получения ipv4 и топтании вокруг ipv6, нормальное решение NAT может занять свою нишу. Возможно мы будем видеть на банере в верху страницы фразы "Кончаются адреса - решение есть!" :-) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
D^2 Опубликовано 2 марта, 2012 · Жалоба Я закладывал основополагающую идею, что в свете трудностей получения ipv4 и топтании вокруг ipv6, нормальное решение NAT может занять свою нишу. Возможно мы будем видеть на банере в верху страницы фразы "Кончаются адреса - решение есть!" :-) оно есть, если вы будете использовать DHCP на SE и подождете когда допилят non-DHCP CLIPS =) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Stak Опубликовано 2 марта, 2012 · Жалоба Из личного опыта: FWSM ~3Gbps per module, резервируется N*2 ACE ~6Gbbs per module, резервируется N*2 ASA5585 ~19G per device, резервируется N*2 (но этот пока проверяли только на синтетике) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alks Опубликовано 2 марта, 2012 · Жалоба ASA5585 она кажется под 100к$ весит? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Картуччо Опубликовано 2 марта, 2012 · Жалоба Хуавей Very Small Solution примерно так же. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Gunner Опубликовано 2 марта, 2012 · Жалоба Все это хорошо. А как у вас с СОРМ? Реальники проще сормить. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Stak Опубликовано 2 марта, 2012 · Жалоба А с СОРМ у нас как положено - логи трансляций собираем. С ужасом собираемся переходить на РАТ с чистого НАТа :) Все вышеперечисленные железки умеют логи на сислог слать. А АСЕ и ASA - так даже и для РАТ, на полной скорости. А ещё есть Хуавей Еудемон 8160. Но это весьма специфическая вещь, и опыта её эксплуатации маловато пока. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...