ingress Posted May 28, 2013 · Report post В этой теме предлагается обсуждать решения A10 Networks для CG-NAT и миграции к IPv6 Сайт производителя - http://www.a10networks.com Основные преимущества: 1.Отсутствие лицензий (для железных версий) 2.Маленький размер (1U) 3.Лучшее соотношение цена/функциональность/производительность среди аналогов. Поддержка функционала: Networking ● Integrated Layer 2/Layer 3 ● Transparent Mode/Gateway Mode ● Routing – Static Routes, IS-IS (v4/v6), RIPv2/ng, OSPF v2/v3, BGP4+ ● VLAN (802.1Q) ● Trunking (802.1AX), LACP ● Access Control Lists (ACLs) ● Traditional IPv4-->IPv4 NAT/NAPT ● IPv6-->IPv6 NAPT ● Jumbo frame support IPv6 Migration/IPv4 Preservation ● Full native IPv6 management and feature support ● SLB-PT (Protocol Translation), SLB-64 (IPv4<->IPv6, IPv6<->IPv4) ● Application Level Gateways (ALGs) for FTP, TFTP, RTSP, PPTP, SIP, ICMP, DNS, ESP ● Carrier Grade NAT (CGN), Large Scale NAT (LSN), NAT444, NAT44, NAT46 ● NAT64/DNS64, DS-Lite, 6rd Datasheet на оборудование: AX3030 - 2x10GE AX3400 - 4x10GE AX3530 - 16x10GE AX6430S - 16x10GE и 4х40GE SoftAX Datasheet Реализация CG-NAT и IPv6 migration в виде образа для большинства популярных систем виртуализации - vmWare, KVM, Hyper-V, XEN Полная функциональность железной версии AX! Бесплатная лицензия на полосу 4Gbps и продолжительность 90 дней для любого заказчика НАГ! Запрос на лицензию и ссылку на скачивание дистрибутива посылать на support at nag dot ru В запросе указать: 1.Название компании 2.Физический адрес(достаточно города) 3.Web сайт 4.Название вашей любимой системы виртуализации(поддерживаются vmWare, KVM, Hyper-V, XEN) В ответ вы получите ссылку на скачивание дистрибутива и инструкции по установке. Дистрибутив в себя включает: 1.Образ виртуальной машины 2.Инструкция по установке и активации лицензии 3.Версия ПО на которую необходимо произвести апгрейд после установки. 4.Документ по быстрой настройке CG-NAT/LSN. 5.Документация по настройке через CLI/WEB. После установки дистрибутива необходимо получить лицензию, для этого в консоли вводите show license и копируете из вывода HostID. Этот HostID необходимо отправить в ответ, и уже в ответ получаете файл с лицензией, которую можно активировать из CLI или Web интерфейса(подробный процесс активации описан в инструкции). Все дополнительные вопросы можете задавать здесь или по почте - support at nag dot ru Share this post Link to post Share on other sites More sharing options...
rus-p Posted June 18, 2013 (edited) · Report post Для начала можно написать сколько трансляций NAT44 держит каждая коробка, т.к. в мануалах только CPS. И сколько дуплекса и какими пакетами они держат на максимальном кол-ве трансляций. После этого пошли бы более узкие вопросы, например по СОРМ, как то включение в нетфлов адреса и порта назначения в EIM. Вот уже отзывы пошли http://forum.nag.ru/forum/index.php?showtopic=85799&view=findpost&p=848635 Edited June 18, 2013 by rus-p Share this post Link to post Share on other sites More sharing options...
Ivan Rostovikov Posted July 30, 2013 · Report post Где прочитать цифры по модели AX3530 ? Интересует кол-во маршрутов OSPF и BGP. Так же возможности по трансляциям VLAN. SPAN сессии ? Share this post Link to post Share on other sites More sharing options...
shicoy Posted September 27, 2013 · Report post Отзывы есть? Share this post Link to post Share on other sites More sharing options...
n0_name Posted October 25, 2013 · Report post на семинаре Дни решений НАГ можно вопросы позадавать представителям а10 Share this post Link to post Share on other sites More sharing options...
saaremaa Posted January 12, 2014 · Report post Отзывы есть? Share this post Link to post Share on other sites More sharing options...
n0_name Posted January 21, 2014 · Report post в НАГе предлагают оборудование A10 в тест, AX3530 есть в России, надо записываться в очередь Share this post Link to post Share on other sites More sharing options...
mixae1 Posted March 26, 2014 · Report post в НАГе предлагают оборудование A10 в тест, AX3530 есть в России, надо записываться в очередь Получили AX3530 в тест, пока больше нравится, если есть вопросы можно спросить - держу в руках, могу попробовать разные варианты. Для NAT и правда много плюшек, по идеалогии внутри Cisco. Сейчас стоит на участке сети ~6Гбит/c в одном направлении ~3 в другом, примерно по ровну 0,5Mpps. Вот так выглядит на треть нагрузки: >show ip nat lsn system-status CPU Usage: ---------- Control CPU 1 : 26% Data CPU 1 : 4% Data CPU 2 : 5% Data CPU 3 : 4% Data CPU 4 : 4% Data CPU 5 : 4% Data CPU 6 : 4% Data CPU 7 : 4% Data CPU 8 : 7% Data CPU 9 : 4% Data CPU 10 : 4% Data CPU 11 : 4% Data CPU 12 : 4% Data CPU 13 : 4% Data CPU 14 : 5% Data CPU 15 : 4% Data CPU 16 : 4% Data CPU 17 : 5% Data CPU 18 : 4% Data CPU 19 : 4% Data CPU 20 : 4% Data CPU 21 : 5% Data CPU avg : 4% Memory Status: -------------- Total Memory(KB): 66105078 Used Memory(KB) : 27655814 Free Memory(KB) : 38449264 Memory Usage : 41.8% Sessions Status: ---------------- LSN CPS : 12963 Data Sessions Used: 944731 Data Sessions Free: 63676195 SMP Sessions Used : 538125 SMP Sessions Free : 63504383 NAT Port Usage: --------------- TCP NAT Ports Used: 515806 TCP NAT Ports Free: 498032930 UDP NAT Ports Used: 16533 UDP NAT Ports Free: 498532203 >show session nat44 Traffic Type Total -------------------------------------------- TCP Established 148338 TCP Half Open 14003 UDP 1124712 Non TCP/UDP IP sessions 140 Other 7 Reverse NAT TCP 70594 Reverse NAT UDP 865089 Curr Free Conn 63685708 Conn Count 336010661 Conn Freed 334652860 TCP SYN Half Open 0 Conn SMP Alloc 0 Conn SMP Free 0 Conn SMP Aged 0 Conn Type 0 Available 128248852 Conn Type 1 Available 63685708 Conn Type 2 Available 31888367 Conn Type 3 Available 15867904 Conn Type 4 Available 7933952 Conn SMP Type 0 Available 126943232 Conn SMP Type 1 Available 63504383 Conn SMP Type 2 Available 31735808 Conn SMP Type 3 Available 15867904 Conn SMP Type 4 Available 7933952 Share this post Link to post Share on other sites More sharing options...
alks Posted March 26, 2014 · Report post т.е. суммарно 9г и 500к пакетов? сколько трансляций цена девайса как натит pptp Share this post Link to post Share on other sites More sharing options...
mixae1 Posted March 26, 2014 · Report post т.е. суммарно 9г и 500к пакетов? сколько трансляций цена девайса как натит pptp Суммарно 1М пакетов, даже побольше выйдет: >show int stat Port InPPS InBPS OutPPS OutBPS Time -------------------------------------------------------------------------- 7 428222.29 414581761.32 323051.13 183542463.39 19:45:59 8 1.19 93.71 0.00 0.00 19:45:59 9 324314.61 185432647.67 421858.00 415398829.75 19:45:59 По предельным значениям для тюнинга, есть вот такое: >show system resource-usage Resource Current Default Minimum Maximum -------------------------------------------------------------------------- l4-session-count 67108864 67108864 16777216 268435456 nat-pool-addr-count 20000 2048 512 20480 real-server-count 1024 1024 512 16384 real-port-count 2048 2048 512 32768 service-group-count 512 512 512 16384 virtual-port-count 1024 1024 256 16384 virtual-server-count 512 512 512 8192 http-template-count 256 256 32 8192 proxy-template-count 256 256 32 8192 conn-reuse-template-count 256 256 32 8192 fast-tcp-template-count 256 256 32 8192 fast-udp-template-count 256 256 32 8192 client-ssl-template-count 256 256 32 16384 server-ssl-template-count 256 256 32 16384 stream-template-count 256 256 32 8192 persist-cookie-template-count 256 256 32 8192 persist-srcip-template-count 256 256 32 8192 class-list-ipv6-addr-count 4096000 4096000 4096000 8192000 fixed-nat-ip-addr-count 512000 512000 512000 512000 fixed-nat-inside-user-count 16000000 16000000 16000000 16000000 Выше я приводил вывод с трансляциями/сессиями там видно сколько ещё свободно. Вот так по пулам распределяется (первые 10 адресов): >show ip nat lsn pool-statistics top 10 used LSN Address Pool Statistics: ---------------------------- Users ICMP Freed Total UDP Freed Total Rsvd TCP Freed Total Rsvd ------------------------------------------------------------------------------------------------------------------------------------------------------ 1 0 3 3 15 357 372 0 5458 277587 283045 0 3 0 1611 1611 3133 195746 198879 0 817 136116 136933 0 3 1 494 495 275 32907 33182 0 3144 373907 377051 0 3 0 4 4 5 28 33 0 2616 61910 64526 0 2 0 1612 1612 156 11728 11884 0 2151 234890 237041 0 4 0 2 2 7 32 39 0 2228 282617 284845 0 3 0 1 1 6 133 139 0 2121 170431 172552 0 3 0 5 5 8 152 160 0 2093 169651 171744 0 2 0 4 4 8 2542 2550 0 2062 216333 218395 0 3 0 1 1 55 1560 1615 0 1999 54195 56194 0 Больше написанного раньше загрузить не смогу, но вот что обещают http://www.a10networks.com/products/axseries_cgn.php (надо щёлкнуть на models). PPTP пока не тестировал, опять же есть кнопки включения/выключения, следующих протоколов: (config)#ip nat lsn alg ? esp LSN ESP ALG Settings ftp LSN FTP ALG Settings pptp LSN PPTP ALG Settings rtsp LSN RTSP ALG Settings sip LSN SIP ALG Settings tftp LSN TFTP ALG Settings Вот так насчиталось PPTP (сам пока не пробовал): >show ip nat lsn alg pptp statistics LSN PPTP ALG Statistics: --------------------------- Calls Established 21 Mismatched PNS Call ID 2 GRE Sessions Created 1080 GRE Sessions Freed 1074 No Matching GRE Session 0 Вот так FTP считается, на вскидку активный режим работает (по крайней мере на ftp.dlink.ru), но тоже пока не углублялся: >show ip nat lsn alg ftp statistics LSN FTP ALG Statistics: --------------------------- PORT Requests From Client 10024 EPRT Requests From Client 57 LPRT Requests From Client 0 PASV Replies From Server 856 EPSV Replies From Server 138 LPSV Replies From Server 0 По цене, сумма в договоре больше 5М. Share this post Link to post Share on other sites More sharing options...
alks Posted March 27, 2014 · Report post цена 5млн руб я не ошибся? Share this post Link to post Share on other sites More sharing options...
ingress Posted March 27, 2014 · Report post я не ошибся AX3530 это на секунду 16х10GE и соответствующий перфоманс, по загрузке дата плейна в 4-5% на 10гигах трафика это видно. Share this post Link to post Share on other sites More sharing options...
mixae1 Posted March 27, 2014 · Report post я не ошибся AX3530 это на секунду 16х10GE и соответствующий перфоманс, по загрузке дата плейна в 4-5% на 10гигах трафика это видно. Оба утверждения верны. Не было даже намёка на проблемы с производительностью, для нашей сети, мы этим устройством многократно перекрываем даже самые смелые прогнозы. С туннелями, всё до чего дотянулся, из более-менее типичного для Windows - проблем в работе не возникло. Share this post Link to post Share on other sites More sharing options...
D^2 Posted March 28, 2014 · Report post цена 5млн руб я не ошибся? в НАГе обещают скоро: Thunder 3030S - решение на 4 порта по 10Гбит/с, и 30 Гбит НАТ трафика (15 Гбит транзита) дешевле 29к, что при текущем курсе в районе 1М Share this post Link to post Share on other sites More sharing options...
alks Posted March 28, 2014 · Report post На мой взгляд вопрос цены здесь на первом месте, к примеру стоит у меня под NAT пара серверов на ксеонах на базе супермикро ну и srx3600 последний сервер это Xeon E5-2687v2 цена составила 264000руб, по моему соотношению трафик/pps сервера должно хватить отнатить 12Г трафика суммарно прошлый сервер двухлетней давности с идентичносй стоимостью хватает на 8Г трафика итого в данный момент за 500к рублей у меня есть два сервера на 20Г моего трафика хотя если брать большие объемы то так навскидку AX3530 выглядит по интереснее чем ISM модуль для asr9k Share this post Link to post Share on other sites More sharing options...
D^2 Posted March 28, 2014 · Report post ISM модуль для asr9k это тот который на реальном трафике дает 10-12Г за 100к + лицензия на CGNAT в GPL? :))) Share this post Link to post Share on other sites More sharing options...
alks Posted March 28, 2014 · Report post да-да он самый, но циска говорила что дать точные данные по производительности не может вы тестили этот модуль? Share this post Link to post Share on other sites More sharing options...
D^2 Posted March 28, 2014 · Report post вы тестили этот модуль? нет. у меня есть данные из московского представительства Cisco кроме того, в одной из презенташек с cisco live написано CGv6: 20M translations, 1M translations/sec., ~15Gbps throughput / ISM Share this post Link to post Share on other sites More sharing options...
zstas Posted March 31, 2014 · Report post На мой взгляд вопрос цены здесь на первом месте, к примеру стоит у меня под NAT пара серверов на ксеонах на базе супермикро ну и srx3600 последний сервер это Xeon E5-2687v2 цена составила 264000руб, по моему соотношению трафик/pps сервера должно хватить отнатить 12Г трафика суммарно прошлый сервер двухлетней давности с идентичносй стоимостью хватает на 8Г трафика итого в данный момент за 500к рублей у меня есть два сервера на 20Г моего трафика О_О что-то дороговато у вас нат выходит, у нас в несколько раз меньше на 20G ната. Share this post Link to post Share on other sites More sharing options...
shicoy Posted April 2, 2014 · Report post Вопрос в том что может Nat на Linux и чем управляется и что может nat от A10, сравнение яоно не в пользу первого будет Share this post Link to post Share on other sites More sharing options...
ingress Posted April 2, 2014 · Report post это спор из серии "а я поставлю микротик и буду консультироваться бесплатно с сумасшедшими на форумах, чем куплю <...>(подставьте что угодно)", он бессмысленный по своей природе. Share this post Link to post Share on other sites More sharing options...
rus-p Posted April 3, 2014 · Report post А правильно ли я понимаю, что 256 млн. сессий на коробку считаются для обоих направлений ? т.е. трансляций всего 128 млн. Это объясняет поля Reverse UDP/TCP и съеденные 3 млн из 67 млн. Sessions Status: ---------------- LSN CPS : 12963 Data Sessions Used: 944731 Data Sessions Free: 63676195 SMP Sessions Used : 538125 SMP Sessions Free : 63504383 >show session nat44 Traffic Type Total -------------------------------------------- TCP Established 148338 TCP Half Open 14003 UDP 1124712 Non TCP/UDP IP sessions 140 Other 7 Reverse NAT TCP 70594 Reverse NAT UDP 865089 Curr Free Conn 63685708 >show system resource-usage Resource Current Default Minimum Maximum -------------------------------------------------------------------------- l4-session-count 67108864 67108864 16777216 268435456 Share this post Link to post Share on other sites More sharing options...
alks Posted April 7, 2014 · Report post это спор из серии "а я поставлю микротик и буду консультироваться бесплатно с сумасшедшими на форумах, чем куплю <...>(подставьте что угодно)", он бессмысленный по своей природе. ну почему так сразу, я использовал под NAT циску джун и сервера на линуксе циска ASA все нормально но при глюках pptp надо клирить все сессии джун srx3600 650 все нормально но опять при глюках pptp надо клирить пул, хорошо хоть не все трансляции как на циске сервера на линуксе - все нормально, sysctl вылизали под себя где-то за неделю, из сложного один физ порт сетевой (10ГЕ) привязываем к одному физ процу насколько я понял у A10 этим занимается специализированный асик, ну а мы просто руками разбросали. У srx3600 балансировкой между разными SPC также занимается один SPC принцип тот-же самому же клиенту собственно без разницы через какой nat ходить в интернет, разницу он не заметит я бы попробовал A10 но вот цена как я уже писал выше не особо устраивает благо есть альтернатива подешевле или у а10 кроме автоматической балансировки между процами есть какие-то другие очень вкусные плюшки наличие которых усиливает желание его купить? Share this post Link to post Share on other sites More sharing options...
ingress Posted April 7, 2014 · Report post вы использовали классический NAT или CG-NAT? под CG-NAT имеется ввиду RFC4787,RFC5382,RFC5508, Механизмы Endpoint Independent Mapping/Filtering и draft-nishitani-cgn (RFC6888) а так же логгирование трансляций и/или аллокаций портблоков с помощью Netflow v9/syslog/RADIUS. какой вариант пакетного фильтра реализует его под Linux/FreeBSD? Share this post Link to post Share on other sites More sharing options...
alks Posted April 7, 2014 · Report post да вопрос кстати очень хороший, у нас класический NAT 1. насчет логгирования c самих серверов снимаем netlow (ipt он систему не грузит) ну и далее отправляем на коллектор где при архивации вырезаем ненужные поля и храним данные 2. rfc4787 вот с этим не понял что вы имеете в виду, проблем с ALG у линукса нет в отличии от той же cisco juniper 3. rfc5382 в чем отличия в NAT && CG-NAT, и там и там таймеры крутите как вам угодно 4. RFC5508 тоже не вижу проблем, хотя мы на других железках лимитируем клиентский icmp давайте так, я клиент который скажем импользует vpn, играет, смотрит видео онлайн мне предлагают на выбор девайс для ната, пусть это будет: Сisco ASA Juniper SRX сервер с linux A10 сервисная плата ism для ASR9k можете убедить меня что через A10 у меня инет будет лучше? Share this post Link to post Share on other sites More sharing options...