[vitalyb]

К примеру линукс после 400 тысяч трансляций загибается

случайно ли не из-за маленького по умолчанию route cache на старых ядрах?

[Alex/AT]

делать NAT на ASR1k дорого

Это смотря сколько трафа хочется протащить. На 1-2-3-5 гиг - да, дорого. Начиная с пяти - очень даже ничего, уже более-менее сопоставимо по стоимости с тазиками, а места занимает меньше.

[mukca]

а на практике через нат на asr не ходит gre,

как бы а нечего что протокол gre это протокол сетевого уровня? а через нат подбрасываются транспортные tcp, udp

 

так что правильно что он у вас не заработал (если речь идет о чистом gre, а не о pptp, там другая история)

Изменено 13 июня, 2013 пользователем mukca

[Tosha]

NAT тяжело реализовывать полностью аппаратно. Начинают упрощать. То с GRE проблемы, то с PPTP каким-нибудь. Боле-менее нормально работают полуаппаратные реализации, но они ограничены мощностью процессора, разгребающего общение по управляющим сессиям сложных протоколов.

[nuclearcat]

Думаю и на пингвинуксе реально ускорить NAT, если очень захотеть.

P.S. L7 балансинг исхода уже сделал на haproxy, работает намного безглючнее, прогоню стресс-тесты пару суток, сутки под нагрузку, и A10 скорее всего отправится назад производителю с клеймом о непофикшенном баге.

[evg_b]

а на практике через нат на asr не ходит gre, большие косяки с работой ftp и другими сервисами, критичными к работе через нат. всех физиологических жидкостей не хватит описать то, как криво он в ios xe работает на asr. в макулатуре цискофлудеры черта лысого рисуют, а вот суровая практика обламывает напроч все. у кого есть позитивный практический опыт использования ната на пул адресов на asr?

 

моя практика такова что нат на пул белых ипов более менее работает на IOS 03.02.01.S.151-1.S1.(type rotary) Все протоколы работают ( сип, фтп, пптп и др.) Изредка нат падает, помогает перезагрузка циски.

При переходе на более свежий иос и включение CGNAT получил 100 процентную загрузку RP при варианте rotary.В доке по CGNAT тип rotary не поддерживается, соответсвеено можно сделать нат либо один-в-один, либо нат по портам. В случае нат по портам - если тупо написать диапазон серых ипов на диапазон белых ипов, то все сеть серых ипов занатишь в малое количество белых ипов, что не комильфо. Ну и после того как я включил нат по портам, сразу прилетели звонки с ТП по поводу GRE и SIP.

Как то вот так, поправьте, если у кого-то другой опыт и мнения

[triam]

По опыту - самый хороший акселератор NAT - это ASR1000. Он там действительно аппаратный, судя по паттернам нагрузки - вынесен в QFP, CPU общего назначения на RP занимается только очисткой таблиц.

+1

[evg_b]

кто-нибудь подскажет на ASR 1002 если применять Dynamic Carrier Grade NAT то будет ли работать схема например 1000 серых ипов в 254 белых ?

Или в этом случае надо использовать Dynamic Port Address Carrier Grade NAT ?

[Dyr]

Изредка нат падает, помогает перезагрузка циски.

 

Офигенно. Ну нафиг все эти циски, тазики по NAT рулят.

 

 

[denis_vid]

Для NAT лучше всего ESP10 и выше - на ESP10 1M трансляций, до 10 гиг сквозняком.

Это реальный опыт эксплуатации или просто из документации ?

А то производители любят заявлять одно, а на практике получается совсем иначе.

Может и больше чем заявлено, в производительность qfp не упретесь, только в шину.

Это судя по текущей загрузке относительно трансляция и ппс

[shaytan]

Для NAT лучше всего ESP10 и выше - на ESP10 1M трансляций, до 10 гиг сквозняком. ESP20/40 - 2M (4M CGN) трансляций, до 20/40 гиг.

 

Не могу найти первоисточник, что "ESP20/40 - 2M (4M CGN) трансляций".

Подкинте ссылку на документик от cisco.

[s.lobanov]

google("Cisco ESP20 datasheet")= http://www.cisco.com/c/en/us/products/collateral/routers/asr-1000-series-aggregation-services-routers/data_sheet_c78-450070.html

Неужели так сложно?

[shaytan]

Действительно, бегло пробегался уже по этому документу, пропустив раздел security, а про CGNAT именно там оказалось. Спасибо!

Для ESP20:

Security

Up to:

IPsec: 10,000 tunnels

Firewall or NAT: 2,000,000 sessions and 200,000 sessions-per-sec setup rate

Carrier-Grade NAT: 4,000,000 sessions