Железка для LAN (~1-1.5 Gbit трафика)
Приветствую! Подыскиваю железку, чтобы поставить на границу LAN (домосеть) с расчетом на 1-1.5 Gbit трафика. Основная задача - делать NAT (большинство абонентов - серяк) и сливать Netflow. В данный момент вроде бы подходят: Juniper SRX240 Cisco ASR1002 (с RP1) Прошу Ваших комментариев либо альтернативных предложений. Спасибо. P.S. Еще есть вопрос по лицензированию ASR1002. Если я правильно понял соответствующий документ с cisco.com, то Cisco ASR 1000 Series RP1 IP Base w/o crypto 32-bit (RP1) SASR1R1-IPB-23SR умеет то, что мне требуется? -- Kind Regards, Alexander Shikoff AMS1-UANIC
ASR1002-F (2.5Gbps throughput)
NAT/Netflow находятся в IP Base
2009/11/2 Alexander Shikoff
Приветствую!
Подыскиваю железку, чтобы поставить на границу LAN (домосеть) с расчетом на 1-1.5 Gbit трафика. Основная задача - делать NAT (большинство абонентов - серяк) и сливать Netflow.
В данный момент вроде бы подходят: Juniper SRX240 Cisco ASR1002 (с RP1)
Прошу Ваших комментариев либо альтернативных предложений. Спасибо.
P.S. Еще есть вопрос по лицензированию ASR1002. Если я правильно понял соответствующий документ с cisco.com, то Cisco ASR 1000 Series RP1 IP Base w/o crypto 32-bit (RP1) SASR1R1-IPB-23SR умеет то, что мне требуется?
-- Kind Regards, Alexander Shikoff AMS1-UANIC
-- /doka
On Mon, Nov 02, 2009 at 07:42:20PM +0200, Vladimir Litovka wrote:
ASR1002-F (2.5Gbps throughput) NAT/Netflow находятся в IP Base Ага. Это эта модель по GPL стоит $20k?
2009/11/2 Alexander Shikoff <[1]minotaur@crete.org.ua>
Приветствую! Подыскиваю железку, чтобы поставить на границу LAN (домосеть) с расчетом на 1-1.5 Gbit трафика. Основная задача - делать NAT (большинство абонентов - серяк) и сливать Netflow. В данный момент вроде бы подходят: Juniper SRX240 Cisco ASR1002 (с RP1) Прошу Ваших комментариев либо альтернативных предложений. Спасибо. P.S. Еще есть вопрос по лицензированию ASR1002. Если я правильно понял соответствующий документ с [2]cisco.com, то Cisco ASR 1000 Series RP1 IP Base w/o crypto 32-bit (RP1) SASR1R1-IPB-23SR умеет то, что мне требуется? -- Kind Regards, Alexander Shikoff AMS1-UANIC
-- /doka
Ссылки
1. mailto:minotaur@crete.org.ua 2. http://cisco.com/
-- Kind Regards, Alexander Shikoff AMS1-UANIC
$25@GPL (хард+софт)
2009/11/2 Alexander Shikoff
On Mon, Nov 02, 2009 at 07:42:20PM +0200, Vladimir Litovka wrote:
ASR1002-F (2.5Gbps throughput) NAT/Netflow находятся в IP Base Ага. Это эта модель по GPL стоит $20k?
2009/11/2 Alexander Shikoff <[1]minotaur@crete.org.ua>
Приветствую! Подыскиваю железку, чтобы поставить на границу LAN (домосеть) с расчетом на 1-1.5 Gbit трафика. Основная задача - делать NAT (большинство абонентов - серяк) и сливать Netflow. В данный момент вроде бы подходят: Juniper SRX240 Cisco ASR1002 (с RP1) Прошу Ваших комментариев либо альтернативных предложений. Спасибо. P.S. Еще есть вопрос по лицензированию ASR1002. Если я правильно понял соответствующий документ с [2]cisco.com, то Cisco ASR 1000 Series RP1 IP Base w/o crypto 32-bit (RP1) SASR1R1-IPB-23SR умеет то, что мне требуется? -- Kind Regards, Alexander Shikoff AMS1-UANIC
-- /doka
Ссылки
1. mailto:minotaur@crete.org.ua 2. http://cisco.com/
-- Kind Regards, Alexander Shikoff AMS1-UANIC
-- /doka
Hi,
Подыскиваю железку, чтобы поставить на границу LAN (домосеть) с расчетом на 1-1.5 Gbit трафика. Основная задача - делать NAT (большинство абонентов - серяк) и сливать Netflow.
В данный момент вроде бы подходят: Juniper SRX240 Cisco ASR1002 (с RP1)
Прошу Ваших комментариев либо альтернативных предложений. Спасибо.
Ericsson SE100 в мин. конфиге. -- R:Em
в даташите ни слова про NAT не сказано - он там есть?
2009/11/2 Roman Emelyanov
Hi,
серяк) и сливать Netflow.
В данный момент вроде бы подходят: Juniper SRX240 Cisco ASR1002 (с RP1)
Прошу Ваших комментариев либо альтернативных предложений. Спасибо.
Подыскиваю железку, чтобы поставить на границу LAN (домосеть) с расчетом на 1-1.5 Gbit трафика. Основная задача - делать NAT (большинство абонентов
Ericsson SE100 в мин. конфиге.
-- R:Em
-- /doka
On Tue, Nov 03, 2009 at 09:00:41AM +0200, Dmitry Kiselev wrote:
Добрый день!
On Mon, Nov 02, 2009 at 09:51:02PM -0800, Roman Emelyanov wrote:
в даташите ни слова про NAT не сказано - он там есть? Есть конечно.
А как там sflow/netflow называется? Что-то я сходу не вижу ничего подобного...
Еще вдогонку вопрос про *flow: netflow отдает статистику по всему трафику, а sflow/jflow - работают через sampling, и поэтому весь трафик при больших объемах посчитать будет сложно: где-то я нагуглил вчера, что при семплировании 1:1 Juniper M7i складывался достаточно быстро при отсутствии AS или MS PIC. Какие могут быть альтернативные способы подсчета в случае Juniper? -- Kind Regards, Alexander Shikoff AMS1-UANIC
On Tue, Nov 03, 2009 at 12:27:24PM +0200, Alexander Shikoff wrote:
в даташите ни слова про NAT не сказано - он там есть? Есть конечно.
А как там sflow/netflow называется? Что-то я сходу не вижу ничего подобного...
Еще вдогонку вопрос про *flow: netflow отдает статистику по всему трафику, а sflow/jflow - работают через sampling, и поэтому весь трафик при больших объемах посчитать будет сложно: где-то я нагуглил вчера, что при семплировании 1:1 Juniper M7i складывался достаточно быстро при отсутствии AS или MS PIC.
Не где-то, а в j-nsp :) И не "складывается", а не семплирует лишнего. Есть у juniper'ов интересная особенность из разряда "встроенного" control plane protection - до routing engine в любом случае больше 7kpps не доходит. Так что RE-based j-flow полезен только для анализа, но не для биллинга.
Какие могут быть альтернативные способы подсчета в случае Juniper?
SCU/DCU ? Radius accounting (в случае pppoe/ipoe терминации) ? firewall counters ? netflow accounting на нормальных скоростях и на современном, наполненном p2p-приложениями, траффике просто неработоспособен. А если Литовка будет говорить "а на ASR'ах - работает", мы его спросим о том, какой обьем flow-cache у этих самых asr'ов :) И сколько именно машин, зараженных SQL Slammer worm'ом этот кэш убьет - пять или чуть побольше (один экземпляр sql slammer элементарно создает тысячи flow-entries в секунду) :) 4rem: к вашим железкам тоже относится :)
On Mon, Nov 02, 2009 at 07:32:27PM +0200, Alexander Shikoff wrote:
Приветствую!
Подыскиваю железку, чтобы поставить на границу LAN (домосеть) с расчетом на 1-1.5 Gbit трафика. Основная задача - делать NAT (большинство абонентов - серяк) и сливать Netflow.
В данный момент вроде бы подходят: Juniper SRX240
Обратите внимание на количество сессий в этом srx'е, для такой задачи он, jimho, просто не годится. Нужно смотреть на что-нибудь "железного" плана, например, на srx3400. Заодно прекратите сравнивать теплое с мягким, полностью софтовый srx240 с полностью железным asr'ом :)
Cisco ASR1002 (с RP1)
Прошу Ваших комментариев либо альтернативных предложений. Спасибо.
P.S. Еще есть вопрос по лицензированию ASR1002. Если я правильно понял соответствующий документ с cisco.com, то Cisco ASR 1000 Series RP1 IP Base w/o crypto 32-bit (RP1) SASR1R1-IPB-23SR умеет то, что мне требуется?
-- Kind Regards, Alexander Shikoff AMS1-UANIC
On Tue, Nov 03, 2009 at 05:07:04PM +0300, Alexandre Snarskii wrote:
On Tue, Nov 03, 2009 at 12:27:24PM +0200, Alexander Shikoff wrote:
в даташите ни слова про NAT не сказано - он там есть? Есть конечно.
А как там sflow/netflow называется? Что-то я сходу не вижу ничего подобного...
Еще вдогонку вопрос про *flow: netflow отдает статистику по всему трафику, а sflow/jflow - работают через sampling, и поэтому весь трафик при больших объемах посчитать будет сложно: где-то я нагуглил вчера, что при семплировании 1:1 Juniper M7i складывался достаточно быстро при отсутствии AS или MS PIC.
Не где-то, а в j-nsp :) И не "складывается", а не семплирует лишнего.
Есть у juniper'ов интересная особенность из разряда "встроенного" control plane protection - до routing engine в любом случае больше 7kpps не доходит. Так что RE-based j-flow полезен только для анализа, но не для биллинга.
Какие могут быть альтернативные способы подсчета в случае Juniper?
SCU/DCU ? Radius accounting (в случае pppoe/ipoe терминации) ? firewall counters ?
Да я вот про SCU/DCU думал... Отлично в принципе в связке с SNMP работает, лучшего-то и желать не нужно. Но в свете последних [возможных] изменений в законодательстве Украины, если операторов обяжут хранить статистику соединений (искренне надеюсь, что этот бред не примут), прийдется ведь что-то придумывать... -- Kind Regards, Alexander Shikoff AMS1-UANIC
2009/11/3 Alexandre Snarskii
будет сложно: где-то я нагуглил вчера, что при семплировании 1:1 Juniper M7i
складывался достаточно быстро при отсутствии AS или MS PIC.
Не где-то, а в j-nsp :) И не "складывается", а не семплирует лишнего.
Есть у juniper'ов интересная особенность из разряда "встроенного"
control plane protection - до routing engine в любом случае больше 7kpps не доходит. Так что RE-based j-flow полезен только для анализа, но не для биллинга.
угу, не семплирует лишнего, чтобы не склеить ласты ;-) NB: ASR при сэмплировании 1:1 и близко не подходит к склеиванию ласт
netflow accounting на нормальных скоростях и на современном, наполненном p2p-приложениями, траффике просто неработоспособен. А если Литовка будет говорить "а на ASR'ах - работает", мы его спросим о том, какой обьем flow-cache у этих самых asr'ов :)
ESP5: до 500k flow entries ESP10: до 1M flow entries ESP20: до 2M flow entries И сколько именно машин, зараженных SQL Slammer worm'ом этот кэш
убьет - пять или чуть побольше (один экземпляр sql slammer элементарно создает тысячи flow-entries в секунду) :)
4rem: к вашим железкам тоже относится :)
что ты пытаешься доказать? что everything sucks, but something (не будем говорить, что) sucks less? ;-) -- /doka
On Wed, Nov 04, 2009 at 03:49:55PM +0200, Vladimir Litovka wrote:
netflow accounting на нормальных скоростях и на современном, наполненном p2p-приложениями, траффике просто неработоспособен. А если Литовка будет говорить "а на ASR'ах - работает", мы его спросим о том, какой обьем flow-cache у этих самых asr'ов :)
ESP5: до 500k flow entries ESP10: до 1M flow entries ESP20: до 2M flow entries
thanks.
И сколько именно машин, зараженных SQL Slammer worm'ом этот кэш убьет - пять или чуть побольше (один экземпляр sql slammer элементарно создает тысячи flow-entries в секунду) :)
4rem: к вашим железкам тоже относится :)
что ты пытаешься доказать? что everything sucks, but something (не будем говорить, что) sucks less? ;-)
Скорее, то, что для задачи "accounting" netflow sucks вне зависимости от платформы :)
participants (5)
-
Alexander Shikoff -
Alexandre Snarskii -
Dmitry Kiselev -
Roman Emelyanov -
Vladimir Litovka