[GTER] RES: CGNAT - Aonde colocar?

[Soares]

Temos um B-RAS aqui com aproximadamente 7k de clientes

@CORE-RT-01>show subscribers count
Total subscribers: 6904, Active Subscribers: 6902

Uma CCR1036 com 7 Portas agregadas , CGNAT: 1 IP publico para cada 32 Privados.

Media de processamento 30%  a 35%

Uma A10 custa em media 60k. culta muito alto para 10G ou 20G de CGNAT, haja vista que o mais barato só tem 4 porta 10G.

Me corrija se eu estier errado sobre a A10.



-----Mensagem original-----
De: gter [mailto:gter-bounces at eng.registro.br] Em nome de Márcio Elias Hahn do Nascimento
Enviada em: quinta-feira, 7 de dezembro de 2017 20:57
Para: Grupo de Trabalho de Engenharia e Operacao de Redes
Assunto: Re: [GTER] CGNAT - Aonde colocar?

Aqui optei por, entre a borda e o B-RAS. 

Via PBR o B-RAS direciona tráfego internet das sub-redes de NAT
(100.64.0.0/10) para o CGN resposável, e o resto para a borda. 

Se for dentro do próprio Backbone, como disseram não há necessidade de NAT. 

Mais como também foi dito, a facilidade não tem somente benefícios, torna-se mais um ponto de alto tráfego e que precisa de ampliação rapidamente. Estou usando CCR1036, chegando a 2G de tráfego (4G agregado), porém vi que mesmo com aproximadamente 12% de CPU, passando essa barreira começo a ter oscilações, o que me força a crescer a crescente parede de CCR's. 

Muitos podem concordar com a máxima "quem tem um não tem nada", mais eu já estou chegando na conclusão de que "quem tem muitos, se complica".
Balancear o consumo de CPU, e os recursos IP disponíveis, mantendo redundância, está tornando o ambiente complexo.  

Aproveitando o tópico, vi que a WZTECH está em parceria com a A10 no Thunder CGN. Seria essa a solução mais "corporativa" do mercado? Alguém usando?  

Em 2017-12-07 20:27, Fernando Frediani escreveu:

> Perto da borda sempre, afinal é bom que a range 100.64.0.0/10 exista 
> como uma aloção própria dentro do backbone do provedor. Afinal pra que 
> NATear internamente entre dois clientes ?
> 
> Fernando
> 
> On 7 Dec 2017 18:59, "Douglas Fischer" <fischerdouglas at gmail.com> wrote:
> 
>> Assistindo as palestras da semana da infra essa dúvida voltou a minha 
>> cabeça...
>> 
>> Dando uma olhada rápida na https://tools.ietf.org/html/rfc6598 não 
>> identifiquei uma definição clara sobre se:
>> (a)- esse NAT deve ser feita mais perto do cliente o 
>> possível(B-RAS/IPoE),
>> (b)- ou se esse NAT deve ser feita mais perto da borda da internet o 
>> possível(Firewall/Core).
>> 
>> Já ví os dois casos!
>> E ambos tem vantagens e desvantagens.
>> 
>> O caso A torna a coisa muito mais simples, mas tira a granularidade 
>> dentro da rede.
>> Um exemplo é sabre quem está consultando seu servidor DNS-Recursivo.
>> O próprio Google recomenda que os IPs inválidos cheguem diretamente 
>> no GGC(caso esteja internalizado).
>> 
>> Vale lembrar que ambos os caso são facilmente contornáveis com 
>> NAT-EXEMPT para os destinos desejados caso o CGNAT seja feito perto 
>> do usuário.
>> 
>> O caso B cria mais um ponto de alto uso de performance computacional.
>> (P.S.: Me lembra a Internet paralela da AOL).
>> 
>> E aí? Qual é o jeito certo?
>> (Pergunta propositalmente capciosa)
>> 
>> --
>> Douglas Fernando Fischer
>> Engº de Controle e Automação
>> --
>> gter list    https://eng.registro.br/mailman/listinfo/gter
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter

--
Att 

Márcio Elias Hahn do Nascimento
--
gter list    https://eng.registro.br/mailman/listinfo/gter