NAT на PC-серверах

Февраль 15, 2021

Главная
Разное
NAT на PC-серверах

Содержание

2. To NAT or not to NAT? Предпосылки Структура сети с преобладанием статических приватных адресов у клиентов
3. To NAT or not to NAT Плюсы 80% пользователей сети все равно, какой у них IP-адрес
4. To NAT or not to NAT Минусы При использовании NAT очень важно правильно работать с ALG
5. Варианты NAT Cisco Juniper Huawei Ericsson PC
6. Варианты NAT: старые Cisco Классический пример – 7206 или 7301 700 мбит/сек максимум, $4900 Специальные модули:
7. Варианты NAT: новые Cisco Продолжение классики: ASR1000 до 20 гбит/сек Специальные модули: ASE-SM, CGSE (CRS-1) до
8. Варианты NAT: Juniper Файрволы: SRX SRX-650, 1.5 гбит/сек Специальные модули: MS-DPC до 8 гбит/сек, $120 000
9. Варианты NAT: Huawei BRAS: MA-5200 Модуль 2.5 гбит/сек half-duplex Софт-маршрутизаторы AR-46, аналог Cisco 7206 Новые маршрутизаторы
10. Варианты NAT: Ericsson BRAS SE-series NAT на CPU, до 8М сессий Специальные модули DPI Нет внедрений
11. Варианты NAT: PC Плюсы Самый дешевый «старт» Куча документации и обилие обслуживающего персонала Низкая цена для
12. Варианты NAT: PC Минусы Надежность ниже, чем у аппаратных решений Слишком широкие возможности выбора программного обеспечения
13. Лавируя среди подводных камней Надежность Применяем серверные решения: двойной БП, IPMI, hotswap вентиляторы. Низкая цена РС-решения
14. Лавируя среди подводных камней Широта выбора Версия ядра, файрвола, библиотек, компилятора, демонов маршрутизации, логирования, SSH/telnet etc
15. Лавируя среди подводных камней Вопрос религии: iOS vs Android
16. Лавируя среди подводных камней Широта выбора Mikrotik – 512К сессий в conntrack Vyatta – возможность влезть
17. Лавируя среди подводных камней Сложность настройки Для усредненного потребителя система ставится за 20 минут, требует изменения
18. Лавируя среди подводных камней Производительность По сравнению с 2009 годом, когда вышла статья «NAT и Netflow
19. Vyatta: тесты Подбор комплектующих Выбор версии ОС Настройка ОС Изучение возможностей роста
20. Vyatta: тесты Подбор комплектующих Выбор сетевой карты влияет на производительность больше, чем выбор CPU Чем быстрее
21. Vyatta: тесты Выбор версии ОС Последняя версия была 6.1 Вышла версия 6.2, но ядро оказалось хуже
22. Vyatta: тесты Настройка ОС netlink-buffer-size у зебры 2048576 net.core.rmem_max = 16777216 net.core.netdev_max_backlog = 30000 conntrack-expect-table-size '16384'
23. Vyatta: тесты Нехватка памяти При использовании NAT выстраивается хэш-таблица. Чем длиннее ключ – тем быстрее выбор
24. Vyatta: тесты Переход на х64 Официального релиза х64 нет Инструкции по сборке – на форумах Выбор
25. Vyatta: тесты Результаты тестов: Xeon X3430 NIC Intel Quad Port Pro 1000 VT 22% CPU на
26. Vyatta: production Результаты в жизни: Xeon X5660 NIC Intel X520-SR2 20% CPU на 1 Gbit/sec FD
27. Vyatta: production Стоимость решения: $1K/Gbit
29. Скачать презентацию

Слайд 2

To NAT or not to NAT?
Предпосылки
Структура сети с преобладанием статических приватных адресов

у клиентов
RIPE любит и рекомендует NAT 4-to-4
Все ведущие производители телеком-оборудования предлагают Carrier Grade NAT решения

Слайд 3

To NAT or not to NAT
Плюсы
80% пользователей сети все равно, какой

у них IP-адрес
Внешний IP-адрес на младших тарифах может являться фактором увеличения ARPU
Приватный IP-адрес сокращает расходы на внешние каналы по Р2Р-трафику

Слайд 4

To NAT or not to NAT
Минусы
При использовании NAT очень важно правильно

работать с ALG
Единая точка возникновения проблем для тысяч пользователей
Стоимость решения для всей сети

Слайд 5

Варианты NAT
Cisco
Juniper
Huawei
Ericsson
PC

Слайд 6

Варианты NAT: старые Cisco
Классический пример – 7206 или 7301
700 мбит/сек максимум, $4900
Специальные

модули: ACE, FWSM
6 гбит/сек АСЕ, 2 гбит/сек FWSM
$30000 ACE20-16G
Файрволы: ASA
ASA5520, 450 мбит/сек, $3500

Слайд 7

Варианты NAT: новые Cisco
Продолжение классики: ASR1000
до 20 гбит/сек
Специальные модули: ASE-SM, CGSE

(CRS-1)
до 8 гбит/сек
Файрволы: ASA
ASA5580-20, 5 гбит/сек, $25000
Средняя стоимость решения - $5К/Gbit

Слайд 8

Варианты NAT: Juniper
Файрволы: SRX
SRX-650, 1.5 гбит/сек
Специальные модули: MS-DPC
до 8 гбит/сек, $120 000

GPL
Средняя стоимость решения - $5К/Gbit

Слайд 9

Варианты NAT: Huawei
BRAS: MA-5200
Модуль 2.5 гбит/сек half-duplex
Софт-маршрутизаторы
AR-46, аналог Cisco 7206
Новые маршрутизаторы
CX-series, аналог

Cisco ASR1000
NE-40E, аппаратный модуль NAT/Netflow
Средняя стоимость решения - $5К/Gbit

Слайд 10

Варианты NAT: Ericsson
BRAS SE-series
NAT на CPU, до 8М сессий
Специальные модули DPI
Нет внедрений
Средняя

стоимость решения - ?/Gbit

Слайд 11

Варианты NAT: PC
Плюсы
Самый дешевый «старт»
Куча документации и обилие обслуживающего персонала
Низкая цена для

возможностей экстенсивного и интенсивного роста
Закон Мура на нашей стороне

Слайд 12

Варианты NAT: PC
Минусы
Надежность ниже, чем у аппаратных решений
Слишком широкие возможности выбора программного

обеспечения для разных задач: NAT, OSPF, BGP, firewall
Сложность настройки для высокопроизводительных систем
Производительность

Слайд 13

Лавируя среди подводных камней
Надежность
Применяем серверные решения: двойной БП, IPMI, hotswap вентиляторы.
Низкая цена

РС-решения позволяет поставить рядом резервный сервер
Балансировка и HA перед серверами

Слайд 14

Лавируя среди подводных камней
Широта выбора
Версия ядра, файрвола, библиотек, компилятора, демонов маршрутизации, логирования,

SSH/telnet etc для серверов
Цельная операционная система для аппаратных решений
Компромисс: целевая ОС для РС-маршрутизаторов

Слайд 15

Лавируя среди подводных камней
Вопрос религии:
iOS vs Android

Слайд 16

Лавируя среди подводных камней
Широта выбора
Mikrotik – 512К сессий в conntrack
Vyatta – возможность

влезть «в душу»

Слайд 17

Лавируя среди подводных камней
Сложность настройки
Для усредненного потребителя система ставится за 20 минут,

требует изменения 1-2 параметров
Самое сложное – подбор комплектующих

Слайд 18

Лавируя среди подводных камней
Производительность
По сравнению с 2009 годом, когда вышла статья «NAT

и Netflow на больших сетях», производительность универсальных CPU выросла в 4 раза
Для stateful обработки 1 Mpps больше не требуются специальные сетевые карты

Слайд 19

Vyatta: тесты
Подбор комплектующих
Выбор версии ОС
Настройка ОС
Изучение возможностей роста

Слайд 20

Vyatta: тесты
Подбор комплектующих
Выбор сетевой карты влияет на производительность больше, чем выбор CPU
Чем

быстрее шина, тем лучше

Слайд 21

Vyatta: тесты
Выбор версии ОС
Последняя версия была 6.1
Вышла версия 6.2, но ядро оказалось

хуже
Проблема нехватки памяти
Переход на х64 архитектуру
Необходимость подбора версии драйвера сетевой карты

Слайд 22

Vyatta: тесты
Настройка ОС
netlink-buffer-size у зебры 2048576
net.core.rmem_max = 16777216
net.core.netdev_max_backlog = 30000
conntrack-expect-table-size '16384'
conntrack-hash-size

'4194304'
conntrack-table-size '10000000'
conntrack-tcp-loose 'enable’
http://wiki.khnet.info/index.php/Conntrack_tuning

Слайд 23

Vyatta: тесты
Нехватка памяти
При использовании NAT выстраивается хэш-таблица. Чем длиннее ключ – тем

быстрее выбор нужной сессии для каждого пакета.
Увеличение длины ключа приводит к увеличенному потреблению памяти
Адресация свыше 4Гбайт памяти требует х64

Слайд 24

Vyatta: тесты
Переход на х64
Официального релиза х64 нет
Инструкции по сборке – на форумах
Выбор

версии драйвера
Распределение трафика по очередям
Ручная настройка smp_affinity

Слайд 25

Vyatta: тесты
Результаты тестов:
Xeon X3430
NIC Intel Quad Port Pro 1000 VT
22% CPU на

1 Gbit/sec FD

NAT на PC-серверах

Содержание

To NAT or not to NAT?ПредпосылкиСтруктура сети с преобладанием статических приватных адресов

To NAT or not to NATПлюсы80% пользователей сети все равно, какой

To NAT or not to NATМинусыПри использовании NAT очень важно правильно

Варианты NATCiscoJuniper HuaweiEricssonPC

Варианты NAT: старые CiscoКлассический пример – 7206 или 7301700 мбит/сек максимум, $4900Специальные

Варианты NAT: новые CiscoПродолжение классики: ASR1000 до 20 гбит/секСпециальные модули: ASE-SM, CGSE

Варианты NAT: JuniperФайрволы: SRXSRX-650, 1.5 гбит/секСпециальные модули: MS-DPCдо 8 гбит/сек, $120 000

Варианты NAT: HuaweiBRAS: MA-5200Модуль 2.5 гбит/сек half-duplexСофт-маршрутизаторыAR-46, аналог Cisco 7206Новые маршрутизаторыCX-series, аналог

Варианты NAT: EricssonBRAS SE-seriesNAT на CPU, до 8М сессийСпециальные модули DPIНет внедренийСредняя

Варианты NAT: PCПлюсыСамый дешевый «старт»Куча документации и обилие обслуживающего персоналаНизкая цена для

Варианты NAT: PCМинусыНадежность ниже, чем у аппаратных решенийСлишком широкие возможности выбора программного

Лавируя среди подводных камнейНадежностьПрименяем серверные решения: двойной БП, IPMI, hotswap вентиляторы.Низкая цена

Лавируя среди подводных камнейШирота выбораВерсия ядра, файрвола, библиотек, компилятора, демонов маршрутизации, логирования,

Лавируя среди подводных камнейВопрос религии:iOS vs Android

Лавируя среди подводных камнейШирота выбораMikrotik – 512К сессий в conntrackVyatta – возможность

Лавируя среди подводных камнейСложность настройкиДля усредненного потребителя система ставится за 20 минут,

Лавируя среди подводных камнейПроизводительностьПо сравнению с 2009 годом, когда вышла статья «NAT

Vyatta: тестыПодбор комплектующихВыбор версии ОСНастройка ОСИзучение возможностей роста

Vyatta: тестыПодбор комплектующихВыбор сетевой карты влияет на производительность больше, чем выбор CPUЧем

Vyatta: тестыВыбор версии ОСПоследняя версия была 6.1Вышла версия 6.2, но ядро оказалось

Vyatta: тестыНастройка ОСnetlink-buffer-size у зебры 2048576 net.core.rmem_max = 16777216net.core.netdev_max_backlog = 30000conntrack-expect-table-size '16384'conntrack-hash-size

Vyatta: тестыНехватка памятиПри использовании NAT выстраивается хэш-таблица. Чем длиннее ключ – тем

Vyatta: тестыПереход на х64Официального релиза х64 нетИнструкции по сборке – на форумахВыбор

Vyatta: тестыРезультаты тестов:Xeon X3430NIC Intel Quad Port Pro 1000 VT22% CPU на

Vyatta: productionРезультаты в жизни:Xeon X5660NIC Intel X520-SR220% CPU на 1 Gbit/sec FD

Vyatta: productionСтоимость решения: $1K/Gbit

Похожие презентации