On Mon, Feb 26, 2007 at 10:19:35AM +0200, Dmitry Kiselev wrote: Добрый день,
It depends on the exact configuration, but yes, we can do GRE encap/decap & NAT/PAT with hardware assist. For NAT, NAT xlation/session setup & teardown is done in software, the rest in hardware.
NAT на 6500/7600 в hardware делается средствами netflow cache со всеми вытекающими ограничениями: 256K TCAM entries и MSFC entry install. Само собой, при включенном "flow cache" netflow cache TCAM будет делится между nat и самим netflow. Тюнинг ageout для предотвращения переполнения netflow TCAM сильно ударит по CPU.
В приницпе, я рассуждал аналогично, но до первого практического эксперимента мне все-таки казалось, что все будет выглядеть чуть оптимистичнее, чем оно выглядит на самом деле.
Варианты разгрузки - DFC на линейных карточках каждая со своим netflow TCAM или FWSM с перспективой гонять весь трафик через shared bus. И то, и другое по своему плохо.
Гм, ну сам FWSM - это CEF256-модуль, плюс циска утверждает, что в 12.2(18)SXF7 сняты все ограничения, которые раньше могли заставлять использовать fabric switching-mode force busmode. Так что на первый взгляд в случае FWSM все не так трагично.
Соответственно, насколько я понимаю, нагрузка на MSFC будет напрямую зависеть от того, сколько появляется новых и экспайрится старых трансляций в единицу времени (т.е. за 1 секунду). И в общем случае о 20Mpps мечтать не стоит :) Если все 20Mpps, да в одной сессии, да еще и в DFC - то без проблем. А для generic internet traffic в таких общемах и NAT нужно смотреть в более другую сторону. 7600/6500 совсем не для таких целей строились.
Это понятно, но отчего бы не попробовать, если железка есть ? :)
P.S. А зачем, собственно, NAT? Не проще ли всем routable addresses раздать?
Просто я сейчас смотрю на одну такую кошку, где поток трафика, проходящий через NAT - ~15Mbps, общее количество динамических трансляций - около 13k, в секунду появляется/экспайртися до 200-300 трансляций. При этом загрузка MSFC - в районе 45%. Соответственно, хочется понять - нормальный ли это cpu load для трафика такого характера или же что-то недотюнено. А SP CPU как поживает?
Ему гораздо проще - cpu load в районе 5%.
-- Dmitry Kiselev
-- Andrey Elperin =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message