NAT 500 Mb/s

[mystery]

Трафик 500Мбит/сек
PPS 30-50 тыс
Пиковый nf_conntrack 100 тыс, обычно порядка 70 тыс (пользователей порядка 1000)
Нужен NAT, BGP на 2 фуллвью, stateful firewall.

Похожая ветка уже была, там советовали ROUTERBOARD CCR 1036-12G-4S.
Только я одного не понимаю. Сейчас со всем этим справляется десктопный двухьядерный Athlon 64x2 3800+. Нагрузка 25% в среднем, в пике 40. С двумя сетевушками Dlink 528 . Что, неужели заменителем этого динозавра может стать только топовый микротик?

[gmx]

Именно так. Разработчики признают, что десктопные решения намного производительнее.
Но у них свои недостатки: стоечные варианты дороги, они шумны, потребляют много энергии, совместимое железо нужно подбирать самостоятельно, количество Eth портов ограничено возможностями материнской платы и так далее.

Возможно есть и еще недостатки. Мне не довелось эксплуатировать ROS на десктопах.

[iSupport]

А мне довелось - микротик на десктопах работает очень даже хорошо

Есть десктопы с десятигигабитными сетевухами которые НАТят по 2.. 3 гигабита трафика

[mystery]

Да, понятно, что десктоп может, но меня больше интересует что может микротик. Если посмотреть на характеристики RB1100AHx2, написано что со включенным фаерволом в режиме роутинга он может прожевать примерно 1.5 Gбит при 350 kpps (реальный трафик будем считать в среднем 500 байт на пакет). Если будет включен NAT, пусть производительность просядет даже в 2 раза, все равно останется более чем с запасом для моих условий.
Сейчас на десктопе молотит дебиан сквиз. 2 гб памяти хватает на 2 фулвью и 100 тыс сессий и еще на 50-100 тыс сессий еще остается. RouterOS должен хавать столько же, это один черт тот же линукс с 2.6 ядром.

Сколько реально прожует эта железка со включенным натом и stateless фаерволом?

[simpl3x]

на сети не осталось высоконагруженных железок такой модели, все поменяли либо на ccr, либо на х86. есть одна, но там трафика мало, хотя если прикинуть, можете понять, что железка не переварит ваши запросы.

 

graph_image.png

(54.68 КБ) 0 скачиваний

graph_image (1).png

(65.37 КБ) 0 скачиваний

graph_image (2).png

(41.24 КБ) 0 скачиваний

на памяти мы меняли 1100АНх2 где то на 300 мбит\с

[iSupport]

Я про то же

для провайдера главное качество сервиса, поэтому железо выбирают как правило с запасом

поэтому и советуем смотреть в сторону ccr

[mystery]

Всем откликнувшимся огромное спасибо! За графики отдельное большое спасибо! :beer:
Еще вопрос, ccr 1036 будет держать 1Гбит, 2х нагрузку по сравнению с запрашиваемой в топике? Мне нужно определиться с количеством железок.

[gmx]

Никто вам точно не ответит.
Одно дело просто скоммутировать, а другое - обработать при этом 500 правил фаерволла и 250 правил 7 уровня и так далее.

[simpl3x]

Всем откликнувшимся огромное спасибо! За графики отдельное большое спасибо! :beer:
Еще вопрос, ccr 1036 будет держать 1Гбит, 2х нагрузку по сравнению с запрашиваемой в топике? Мне нужно определиться с количеством железок.

и опять же из личного опыта:

 

graph_image.png

(59.36 КБ) 0 скачиваний

graph_image (1).png

(39.64 КБ) 0 скачиваний

набор задач там примерно схожий с 1100АНх2 выше, плюс ко всему прочему, транспорт из других районов, три БГП стыка (один аплинк с дефолтом, другие два это наши ibgp), там к сожалению только 300 мбит аплинка, большего пока не завели туда. график по pps не показателен =) ибо железяка живёт своей жизнью, но там примерно 35 mpps на 25 mpps. все остальные крупные районы у нас на х86 и на freebsd. если честно, подумайте перед покупкой ccr. моё личное имхо, это как сыграть в русскую рулетку. мы сыграли, не повезло, думаем о переезде на juniper. но кому то повезло.

[mystery]

Большое спасибо за информацию. Неоценимо! :thumbs-up: :beer: