Hello Dmitry, Monday, February 26, 2007, 10:19:35 AM, you wrote:
Добрый день!
On Sat, Feb 24, 2007 at 05:25:32PM +0200, Andrey Elperin wrote:
Не поделится ли кто собственным опытом на предмет того, сколько трафика (и какого характера) может от'NAT'ить 76xx с SUP720-3BXL ? С одной стороны оно вроде понятно, что NAT в этом случае получается hardware assisted (и, судя по цисковским докам, можно рассчитывать на up to 20Mpps), но с другой стороны сами цисковские инженеры пишут в cisco-nsp следующее :
It depends on the exact configuration, but yes, we can do GRE encap/decap & NAT/PAT with hardware assist. For NAT, NAT xlation/session setup & teardown is done in software, the rest in hardware.
NAT на 6500/7600 в hardware делается средствами netflow cache со всеми вытекающими ограничениями: 256K TCAM entries и MSFC entry install. Само собой, при включенном "flow cache" netflow cache TCAM будет делится между nat и самим netflow. Тюнинг ageout для предотвращения переполнения netflow TCAM сильно ударит по CPU. а какая на сейчас утилизация TCAM?
Варианты разгрузки - DFC на линейных карточках каждая со своим netflow TCAM или FWSM с перспективой гонять весь трафик через shared bus. И то, и другое по своему плохо.
Соответственно, насколько я понимаю, нагрузка на MSFC будет напрямую зависеть от того, сколько появляется новых и экспайрится старых трансляций в единицу времени (т.е. за 1 секунду). И в общем случае о 20Mpps мечтать не стоит :)
Если все 20Mpps, да в одной сессии, да еще и в DFC - то без проблем. А для generic internet traffic в таких общемах и NAT нужно смотреть в более другую сторону. 7600/6500 совсем не для таких целей строились.
P.S. А зачем, собственно, NAT? Не проще ли всем routable addresses раздать?
Просто я сейчас смотрю на одну такую кошку, где поток трафика, проходящий через NAT - ~15Mbps, общее количество динамических трансляций - около 13k, в секунду появляется/экспайртися до 200-300 трансляций. При этом загрузка MSFC - в районе 45%. Соответственно, хочется понять - нормальный ли это cpu load для трафика такого характера или же что-то недотюнено.
А SP CPU как поживает?
-- Aikashev Evgeniy AEV-RIPE =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message