300,500,1000Mb/s NAT IPv4

ad_rock

Tato NAT obsluhuje zhruba to, co Ty plánuješ ...

<--- ia0 -->CGNAT.png<--- ia0 -->

Beži tam samozřejmě i tarify 150M, 400M, 800M ...

kdavid

Tato NAT obsluhuje zhruba to, co Ty plánuješ ...

CGNAT.png

Beži tam samozřejmě i tarify 150M, 400M, 800M ...

Nooo krasa... na cem to valis?

ad_rock

Není to CISCO ani JUNIPER ale na to přijdete asi všichni sami, navíc se jedná o redundatní řešení 1+1

Pokud by jsi chtěl, kompletni informace jsou ke koupi, následně vysvětlím, zaškolím....

kdavid

Není to CISCO ani JUNIPER ale na to přijdete asi všichni sami, navíc se jedná o redundatní řešení 1+1

Pokud by jsi chtěl, kompletni informace jsou ke koupi, následně vysvětlím, zaškolím....

Jake jsou moznosti nastavovani? Provisioning? Shaping? VLAN, PPPoE, DHCP atd...?

pgb

Hele teď jsem koukal ze zajímavosti na vyos (1.3 běží aktuálně na deb10) ... měl by umět conntrack sync a všechno co je potřeba, pustit to na supermicru není problém, testoval to někdo intenzivně? Dřív jsem míval čistý debian, ale ty komplikace s údržbou systému a nutnosti se spoléhat že nezapomenu něco neuloženýho mě nebavěj. Teď jedu na CCR1036 a nat na 1,8Gbps pro pro cca 2200 flow/s (dle netflow) se cpu úplně fláká (cca 5%). Psal jsem to vedle v jiném vláknu. Pouze nat, bez shaperu, vzhledem k výkonu jednoho jádra tak CCR není vhodné pro "rychlé-vysoké" tarify. Proto uvažuji o supermicru - větší výkon na jedno vlákno.

darklogic

Jen rychlý dotaz, abych se neco priucil. Mam za to, ze shaping muzu delat na stroji, ktery je hranici mezi dvema rozhranimi. Typicky tedy hlavni GW, na ktere delam taky NAT. Jak rozdelite tyto dve funkce na dva stroje? Teda za predpokladu, ze chci shapovat vsechny zakazniky z jednoho mista.

petrbacina

ISPGW od UN šlape jako hodinky. Jak NAT, tak hlavně shaping. Kluci na tom fakt zamakali. Momentálně máme pro pár stovek klientů na test a do 1Gb, který přes to jede se server na CPU totálně fláká. Poslední info je o přípravě IPv6 a napojení na CRM od různých programátorů. Proti shapingu a NATu na Mikrotiku je to úplně o něčem jiném.

Ja mal na mysli gigovej tarif pro jednoho kliose. 20-50 Meg tarif neni problem ani na mikrotiku. Ale jak se na stejne zelezo pridaji klienti s vyssimi tarify tak je to v prdeli.

Kromne toho se bavime o uplinku minimalne 10+10 Gig a bude i nejaka 10 gig zaloha pro loadbalancing.

jj já to pochopil. Odpovídal jsem ludvikovi, ohledně zkušenosti s ISPGW. Mikrotik má problémy nejen s 1Gb tarify, ale už od 100+. Krásně je to vidět na rozdílu provozu IPv4 skrz NAT a IPv6 mimo NAT. IPv6 jede podstatně rychleji už "od pohledu".

Ale jak jsem se ptal, je nutné aby to dělal jeden stroj? Na tohle budou asi názory různé, ale na NAT/shaping bych já osobně volil rozložení na více strojů a rozdělit potřebný výkon. Routovat desítky Gb není problém, ale ten prokletý NAT a hlavně shaping přecijen výkon žere dost, zvláště pokud má být trochu víc sofistikovaný než nějaký PCQ nebo RED atd. Otázkou také je, jestli pro tak vysoké tarify jako je 100+ je vůbec potřeba sofistikovanější shaper.

ludvik

@DarkLogic: Máš kabel mezi tou GW a zbytkem sítě. Ten střihneš, nasadíš konektory a do tohoto místa vrazíš další stroj :-)

ad_rock

A do smrti okolo toho budeš chodit po špičkách, protože když to chcípne je zle. A když ti to bude blbnout a budeš muset hledat/experimentovat, bude ještě hůř;-)

kdavid

ISPGW od UN šlape jako hodinky. Jak NAT, tak hlavně shaping. Kluci na tom fakt zamakali. Momentálně máme pro pár stovek klientů na test a do 1Gb, který přes to jede se server na CPU totálně fláká. Poslední info je o přípravě IPv6 a napojení na CRM od různých programátorů. Proti shapingu a NATu na Mikrotiku je to úplně o něčem jiném.

Ja mal na mysli gigovej tarif pro jednoho kliose. 20-50 Meg tarif neni problem ani na mikrotiku. Ale jak se na stejne zelezo pridaji klienti s vyssimi tarify tak je to v prdeli.

Kromne toho se bavime o uplinku minimalne 10+10 Gig a bude i nejaka 10 gig zaloha pro loadbalancing.

Prave proto chci zarizeni ktere to umi na urovni HW. Zadne CPU reseni.

seppuku

Prave proto chci zarizeni ktere to umi na urovni HW. Zadne CPU reseni.

to neexistuje .. :-) všechno to je software, bohužel.

pixall

Jen rychlý dotaz, abych se neco priucil. Mam za to, ze shaping muzu delat na stroji, ktery je hranici mezi dvema rozhranimi. Typicky tedy hlavni GW, na ktere delam taky NAT. Jak rozdelite tyto dve funkce na dva stroje? Teda za predpokladu, ze chci shapovat vsechny zakazniky z jednoho mista.

Pri takejto architekture blbo. Pri pripajani zakaznikov cez PPPoE uplne trivialne, pouzitim viacerych PPPoE koncentratorov, klienti sa medzi nich rozlozia automaticky.

kdavid

Prave proto chci zarizeni ktere to umi na urovni HW. Zadne CPU reseni.

to neexistuje .. :-) všechno to je software, bohužel.

To mi je jasne :) Ale neni jedno zda je to CPU na nejakem RBcku, nebo ISIC od cisca na to urcenej. A jak koukam cisco ma pri routing a qos vlast karty takze se to rozklada. Jen ty prachy

iTomB

Vsak shaper rozlozit muzes taky, staci vnitrni sit rozdelit a je to. Ohledne NATu, tak to taky neni velky problem prece ;)

seppuku

To mi je jasne :) Ale neni jedno zda je to CPU na nejakem RBcku, nebo ISIC od cisca na to urcenej. A jak koukam cisco ma pri routing a qos vlast karty takze se to rozklada. Jen ty prachy

v tý kartě je cpu a nějakej *nix ..

rsaf

Prave proto chci zarizeni ktere to umi na urovni HW. Zadne CPU reseni.

to neexistuje .. :-) všechno to je software, bohužel.

Jak se to vezme. Jsou různé úrovně toho, jak speciálním hardwarem (tedy něčím co není Von Neumannova architektura) zvýšit výkon v networking úlohách. Občas je to nějaký chip, který funguje na základě "flow cache" (první packet jde přes CPU, další již přes vzniklou flow - flows jsou uloženy nejspíše v jednoduché TCAM), u těch lepších (a drahých) boxů je to něco na bázi TCAM. Např. dříve zmíněný Catalyst 6500 dokáže routing i access-listy odbavit kompletně v TCAM na PFC (mj. je tomu úplně jedno, jestli je třeba v routovací tabulce 1000 nebo 100000 záznamů), rovněž zde zmíněná architektura ASR1k má QFP (quantum flow processor), který taky využívá TCAM.

seppuku

Jak se to vezme. Jsou různé úrovně toho, jak speciálním hardwarem (tedy něčím co není Von Neumannova architektura) zvýšit výkon v networking úlohách. Občas je to nějaký chip, který funguje na základě "flow cache" (první packet jde přes CPU, další již přes vzniklou flow), u těch lepších (a drahých) boxů je to něco na bázi TCAM. Např. dříve zmíněný Catalyst 6500 dokáže routing i access-listy odbavit kompletně v TCAM na PFC (mj. je tomu úplně jedno, jestli je třeba v routovací tabulce 1000 nebo 100000 záznamů), rovněž zde zmíněná architektura ASR1k má QFP (quantum flow processor), který taky využívá TCAM.

to jo, ale tady se řeší NAT, ne routing...

edit: dost by mě překvapilo, když by někdo měl chip na NAT, ono to totiž je pořád jen "hack", ale možná se pletu. máš to prostudovaný?

kdavid

Jak se to vezme. Jsou různé úrovně toho, jak speciálním hardwarem (tedy něčím co není Von Neumannova architektura) zvýšit výkon v networking úlohách. Občas je to nějaký chip, který funguje na základě "flow cache" (první packet jde přes CPU, další již přes vzniklou flow), u těch lepších (a drahých) boxů je to něco na bázi TCAM. Např. dříve zmíněný Catalyst 6500 dokáže routing i access-listy odbavit kompletně v TCAM na PFC (mj. je tomu úplně jedno, jestli je třeba v routovací tabulce 1000 nebo 100000 záznamů), rovněž zde zmíněná architektura ASR1k má QFP (quantum flow processor), který taky využívá TCAM.

to jo, ale tady se řeší NAT, ne routing...

edit: dost by mě překvapilo, když by někdo měl chip na NAT, ono to totiž je pořád jen "hack", ale možná se pletu. máš to prostudovaný?

Nooo pri ipv4 nat zere nejvetsi vykon propocitavani crc co dela cpu. Zminene cisco ma pri router card 2 jen dualcore 2,2 ghz cpu pricen je deklarovany vykon pro nat 100gb/s. Kromne toho psal jeden na cisco foru ze pri cca 20gig natocani mnel cpu na 5% takze asi to maji fakt zmaknute vramci qfp

rsaf

Jasně že i NAT se řeší v TCAM. Běžný CPU router (aka Mikrotik) má nějakou conntrack tabulku, každý paket se v ní musí dohledat což samozřejmě chvíli trvá, ale především to trvá různě dlouho podle počtu záznamů v tabulce a další zátěži na CPU... "Opravdový" router drží "conntrack" tabulku v TCAM => vyhledává v ní "na jeden šup" bez ohledu na to, kolik je v tabulce záznamů. Stejně to funguje s routingem/acl/firewallem/netflow... Druhá věc je, jak probíhá přidávání záznamů do tabulky. To je většinou za asistance CPU (v TCAM se zjistí, že ještě není potřebný záznam a že se má NATovat, vznik záznamu je pak ale většinou v režii CPU)

Např. ASR 1002-HX má v datasheetu napsáno:

● NAT: 6,000,000 sessions and 300,000 sessions-per-sec setup rate

● Carrier-Grade NAT: 12,000,000 sessions

tedy 6mil záznamů a 300k nových každou sekundu. Po přepnutí do CGN režimu tam vleze až 12mil záznamů (vypnou se pro ISP zbytečné feature jako portforwarding zvenčí dovnitř, čímž se výrazně sníží složitost záznamů a tak se toho do TCAM vleze víc).

Určitá nevýhoda je ovšem v tom, že pokud má tabulka napsáno třeba 2mil záznamů (ASR 1001-X), není možné tohle překročit.

kdavid

Jasně že i NAT se řeší v TCAM. Běžný CPU router (aka Mikrotik) má nějakou conntrack tabulku, každý paket se v ní musí dohledat což samozřejmě chvíli trvá, ale především to trvá různě dlouho podle počtu záznamů v tabulce a další zátěži na CPU... "Opravdový" router drží "conntrack" tabulku v TCAM => vyhledává v ní "na jeden šup" bez ohledu na to, kolik je v tabulce záznamů. Stejně to funguje s routingem/acl/firewallem/netflow... Druhá věc je, jak probíhá přidávání záznamů do tabulky. To je většinou za asistance CPU (v TCAM se zjistí, že ještě není potřebný záznam a že se má NATovat, vznik záznamu je pak ale většinou v režii CPU)

Např. ASR 1002-HX má v datasheetu napsáno:

● NAT: 6,000,000 sessions and 300,000 sessions-per-sec setup rate

● Carrier-Grade NAT: 12,000,000 sessions

tedy 6mil záznamů a 300k nových každou sekundu. Po přepnutí do CGN režimu tam vleze až 12mil záznamů (vypnou se pro ISP zbytečné feature jako portforwarding zvenčí dovnitř, čímž se výrazně sníží složitost záznamů a tak se toho do TCAM vleze víc).

Určitá nevýhoda je ovšem v tom, že pokud má tabulka napsáno třeba 2mil záznamů (ASR 1001-X), není možné tohle překročit.

Prave proto asi vypada lepe napriklad starsi 1006tka s router 2 kartou....

« Předchozí stránka Další stránka »