Перейти к содержимому
Калькуляторы

Аппаратный NAT От 1 до 10 G

Есть желание отказаться от использования писюков в роле NAT-ов, в силу определенных причин, в том числе географических. Хочется поставить что-нибудь железное, что будет гарантированно работать на трафике от 1 до 10g.

Была мысль использовать для этой цели SE100, вариант практически идеальный, 3G в две стороны, масштабируем установкой еще одного, достаточно не дорого.

Но в силу отсутствия adress-pairing после тестового запуска появилась куча жалоб на ftp и прочие вконтактики, пришлось вернутся к i7.

 

Отсюда возникает вопрос, чтобы такое использовать для схемы NAT Only (банально [core]->[nat]->[border])?

 

P.S. Есть конечно вариант использования кучи внешних адресов, но здесь свои трудности, поэтому предлагаю эту тему оставить без обсуждения.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Хуавей на своих NE-40E c сервисной NAT платой обещает, что dream обязательно come true.

Предлагают четыре варианта:

 

Very Small Solution

TCP connections/s 58 000

Sessions 1 320 000

Throughput 6

Active Customers 200 000

 

Small Solution

TCP connections/s 232 000

Sessions 5 280 000

Throughput 23

Active Customers 800 000

 

Medium Solution

TCP connections/s 377000

Sessions 8 580 000

Throughput 38

Active Customers 1 300 000

 

Large Solution

TCP connections/s 522 000

Sessions 11 880 000

Throughput 52

Active Customers 1 800 000

 

Как оно в деле не знаю, пока только планируется.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ASR 1000 , вполне себе прожует несколько гигабит.

тут описание , ESP 5Gbps или 10 Gbps

Изменено пользователем orlik

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

На red back nat pair , есть просто лицензию надо купить и версию софта 11.1 поставить

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

На red back nat pair , есть просто лицензию надо купить и версию софта 11.1 поставить

Я в курсе ситуации с redback.

Проблема в том, что

1. Наг на текущий момент не дал инфы о цене и как вообще купить эту самую лицензию. (И я так понимаю что 11.1 это тестовая версия не перешедшая в релизную. Например, на текущий момент использование 11.1 на se100 дает 20% загрузки CPU из-за какого-то бага в statd.)

2. Саппортеры в спецовом разделе сообщили, что cg-nat будет работать только для сущности subscriber. А мне они на коробке, до появления non-dhcp clips, не нужны.

 

Так. Значит список начал составлятся.

1. Неведомый хуавей, нужно ждать, на текущий момент обещания.

2. Cisco ASR. Оно как вообще, уже перестало крешится по поводу и без?

 

На самом деле удивительно, что в свете конца ipv4 адресов, никто не соорудил полноценной железки для трансляции адресов, мне почему-то кажется, что это будет очень популярная тема через некоторое время :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Alcatel-Lucent 7750 SR-7 с двумя MS-ISA картами.

Но это будет недешево.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Juniper SRX

SRX650 у нас жуют по 1.5 гбита в обе стороны. Больше пока не пробовали.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

6500 + ACE20...

могу помочь в апргрейде лицензии на АСЕ20 с 4Г до 8Г или 16Г

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1. ASR до сих пор крешится - уже три года олени пофиксить не могут

2. SRX 650 упретесь не в трафик а в Maximum concurrent sessions 512k (IMIX под NAT протянет около 2.2Гбит/c суммарно)

 

to caz Brocade ServerIron ADX - у вас есть реальные данные сколько сей девайс протащит трафика, сессий, наличие alg и overloaded pool (типа net/27 - nat ip 1.1.1.1)?

 

Сам до сих пор ищу вменяемое по ттх и цене аппаратное решение но, пока что писюки рулят

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

to caz Brocade ServerIron ADX - у вас есть реальные данные сколько сей девайс протащит трафика, сессий, наличие alg и overloaded pool (типа net/27 - nat ip 1.1.1.1)?

лучше спросить в брокейда, ALG они вроде как пилят или уже допилили.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Alcatel-Lucent 7750 SR-7 с двумя MS-ISA картами.

Но это будет недешево.

Тестил 6М потоков на карту (до 6 карт в шасси) с пропускной в 10G на карту суммарно. На UDP потоках скорость установления была около 2М в секунду. TCP – около 500К/сек. ALG - FTP, RTSP, SIP. IPv4 (Large Scale or L2-aware) или IPv6 (DS-Lite AFTR, NAT64) одновременно. Есть различные виды резервирования - standby card или multi-chassis.

Изменено пользователем JoeDoe

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

возможно, я немного пьян, НО я не все понимаю. ради интереса, приведите мне пример, почему экономически и практически невозможно мигрировать на честные белые ип адреса? это же явно дешевле чем покупать магическую коробку для ната N гигабит. сам легко и непринужденно мигрировал с ната на реалки с аннамбердом на физиках и /30 у юриков на сети в 5к юзеров.

еще раз, я могу быть не прав, но это мое мнение.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Когда пользователей только онлайн на порядки больше 5к, то вектор миграции меняется диаметрально противоположно :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Когда пользователей только онлайн на порядки больше 5к, то вектор миграции меняется диаметрально противоположно :)

ничего сложного нет, шел к поставленной цели чуть более 4-5 месяцев, в итоге избавился от почти стойки NATов, главное желание =)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

помоему когда клиентов много больше чем 5к ни о каком нате и речи быть не может.только реалки. зачем лишняя точка отказа, зачем вкладывать лишнее бабло?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Адреса как-бы становится несколько сложновато получить, если речь идёт, допустим, о сотнях тысяч дополнительных.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ну все таки может стоит бабки, направленные на покупку коробки для ната, направить в русло получения адресов? да и с объемом в сотни тысяч адресов можно уже становиться лиром, ибо бабла там будет итак - жопой жуй.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Так я и знал, что в итоге скатится в NAT vs RealIP.

Уже обсуждалось много раз, каждый в итоге выбрал схему, которая подходит ему больше.

Например мне не целесообразно менять ядро ради получения ip unnumbered, потому как это будет дороже в x2 раза чем пользовать NAT.

 

Я закладывал основополагающую идею, что в свете трудностей получения ipv4 и топтании вокруг ipv6, нормальное решение NAT может занять свою нишу. Возможно мы будем видеть на банере в верху страницы фразы "Кончаются адреса - решение есть!" :-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Я закладывал основополагающую идею, что в свете трудностей получения ipv4 и топтании вокруг ipv6, нормальное решение NAT может занять свою нишу. Возможно мы будем видеть на банере в верху страницы фразы "Кончаются адреса - решение есть!" :-)

оно есть, если вы будете использовать DHCP на SE и подождете когда допилят non-DHCP CLIPS =)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Из личного опыта:

FWSM ~3Gbps per module, резервируется N*2

ACE ~6Gbbs per module, резервируется N*2

ASA5585 ~19G per device, резервируется N*2 (но этот пока проверяли только на синтетике)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Все это хорошо. А как у вас с СОРМ? Реальники проще сормить.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А с СОРМ у нас как положено - логи трансляций собираем. С ужасом собираемся переходить на РАТ с чистого НАТа :)

Все вышеперечисленные железки умеют логи на сислог слать.

А АСЕ и ASA - так даже и для РАТ, на полной скорости.

 

А ещё есть Хуавей Еудемон 8160. Но это весьма специфическая вещь, и опыта её эксплуатации маловато пока.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.