Le 2013-09-02 15:53, Grégoire Leroy a écrit : > Nous sommes en train de tester plusieurs solutions de CGN444 et du NAT64 > à états. Pour l'instant, on a mis en place une solution en lab avec un > ASR1001 qui fonctionne plutôt bien. Dans la mesure où est plus proche de > quelques milliers de clients que du million, on se demande si une > solution libre Linux/iptables, FreeBSD/IPFW ou OpenBSD/Packet Filter ne > serait pas aussi efficace pour le CGN 444 (pour le NAT 64, les tests > avec viagenie/iptables ne se sont pas révélés concluants).
À noter que notre implémentation NAT64 OpenBSD, qui fait maintenant partie de la distro officielle, est *beaucoup* plus efficace que notre implémentation Linux. Les deux implémentations ne partagent aucune ligne de code. À tester indépendamment, donc. Que ce soit en NAT44 ou en NAT64, OpenBSD devrait facilement supporter "quelques milliers de clients" sur une bonne machine, tout dépendant du trafic généré (en paquets par seconde). On peut aussi configurer une paire en actif/passif avec partage d'état de NAT et VRRP, ou même de la répartition de charge actif/actif. OpenBSD fait ça "out of the box", sans avoir à ajouter quoi que ce soit à la distro de base. Et ce, avec une config simple et lisible, et la réputation d'être l'OS le plus sécuritaire au monde. Simon --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/