Le 02/09/2013 15:53, Grégoire Leroy a écrit :
Bonjour à tous,
Nous sommes en train de tester plusieurs solutions de CGN444 et du
NAT64 à états. Pour l'instant, on a mis en place une solution en lab
avec un ASR1001 qui fonctionne plutôt bien. Dans la mesure où est plus
proche de quelques milliers de clients que du million, on se demande
si une solution libre Linux/iptables, FreeBSD/IPFW ou OpenBSD/Packet
Filter ne serait pas aussi efficace pour le CGN 444 (pour le NAT 64,
les tests avec viagenie/iptables ne se sont pas révélés concluants).
Sauf que bon, par expérience, dans le libre, on trouve du stable, du
pas stable. Du coup, on serait preneur si vous avez le moindre retour
d'expérience en production avec les solutions suscitées.
J'ai regardé du côté de Juniper, mais il semblerait que le CGN 444 +
NAT64 soit supporté par les MX 240 et 480, soit une gamme visiblement
largement au-dessus de l'ASR 1001. Au fond, puisque le CGN 444 c'est
"juste" du NAT classique qu'on sait faire depuis 10 ans, avec juste
des problématiques de logs et d'échelle en plus, je me demande si ça
n'est pas possible de s'en sortir avec quelque chose de moins spécialisé.
Avez vous des retours d'expérience à ce sujet, y compris avec des
solutions/constructeurs/modèles non cités ?
Nous sommes nous aussi en phase de test d'une solution CGN, a priori du
NAT444 car nous ne voulons pas (encore) déployer de v6 sur nos CPEs.
Pour le moment les tests que nous avons réaliser avec du matériel
A10network sont très concluants. C'est pas super donné mais c'est simple
à configurer et ça fait le job.
Ceci dit je me posais les mêmes questions que toi au départ, à savoir
est que les outils open sources ne peuvent pas gérer ça ?
Le problème c'est qu'avec du CGN/LSN même en 444 tu as quand même besoin
de plus de fonctionnalités :
- batch logging (ou autre)
- des fonctionnalités qui rendent le truc le plus transparent possible à
tes clients, genre hair-pinning et l'EIP/EIM
Hors ça j'ai pas vraiment trouvé d'equivalent en opensource. L'OS qui
semble le plus évolué sur la gestion des pools en nat semble OpenBSD
avec pf, mais cela ne me semble pas encore assez finement paramétrable.
Note : coté Juniper oublie, c'est en pre-test, et comme toutes technos
chez Juniper en test, ça va être long à faire déboguer par les clients :/
--
Raphael Mazelier
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
