Модернизация ядра сети
Модернизация сети от консультации,подбора железа,переноса текущих настроек,настройки готового оборудования.
Модернизация сети провайдера до 25 Gbps
1. Общая информация
Цель проекта: Модернизация существующей сети провайдера для обеспечения стабильной работы на скорости до 25-40 Gbps с поддержкой ~3000 абонентов, CGNAT и несколькими аплинками.
Текущая проблема: Использование pfSense как основного NAT/edge-решения не обеспечивает необходимую производительность и масштабируемость.
2. Требования к системе
2.1 Нагрузочные требования
Общая пропускная способность: до 25-40 Gbps
Количество абонентов: до 3000
Количество аплинков: 4 (BGP)
Поддержка:
CGNAT
белые IP (без NAT)
2.2 Функциональные требования
Система должна обеспечивать:
BGP маршрутизацию (4 аплинка)
Policy-based routing (разделение NAT / non-NAT трафика)
CGNAT (PAT)
Stateful firewall
Логирование NAT-сессий
Высокую отказоустойчивость (в перспективе)
3. Архитектура решения
3.1 Общая схема
[ Upstream ISP x4 ] ↓ [ CCR2216 (BGP Router) ] ↓ [ NAT Server (Linux) ] ↓ [ Access Network / Clients ]
3.2 Разделение функций
CCR2216:
BGP (4 аплинка)
маршрутизация
policy routing
обработка белых IP
NAT сервер:
CGNAT (100.64.0.0/10)
firewall
логирование
4. Оборудование
4.1 Основной маршрутизатор
Модель: MikroTik CCR2216-1G-12XS-2XQ
Функции:
BGP routing
ECMP
policy routing
4.2 NAT сервер
Минимальные требования:
CPU: AMD Ryzen 9 / EPYC (высокая частота)
RAM: 64 GB
NIC: Mellanox ConnectX-4/5 (25G)
Storage: NVMe SSD
ПО:
Linux (Ubuntu/Debian)
nftables
5. Сетевая адресация
CGNAT pool: 100.64.0.0/10
Transit сеть CCR ↔ NAT: /30
Public IP pool: выделенный диапазон
6. Маршрутизация
6.1 BGP
Настройка 4 аплинков
Приоритеты (local-pref)
Failover
6.2 Policy Routing
Трафик с CGNAT адресов → NAT сервер
Трафик с public IP → напрямую
7. NAT требования
Тип: PAT (маскарадинг)
Поддержка: ≥ 3000 клиентов
Лимиты:
≥ 2 млн сессий
Пул публичных IP: ≥ 50–100 IP
8. Логирование
9. Отказоустойчивость (рекомендуется)
10. Ограничения
pfSense не использовать как основной NAT
MikroTik не использовать для CGNAT при 25G
11. Этапы внедрения
Установка CCR2216
Настройка BGP
Развёртывание NAT сервера
Настройка nftables
Перенос клиентов
Тестирование нагрузки
12. Критерии приёмки
стабильная работа при 25 Gbps
отсутствие packet loss
корректная работа NAT
стабильный BGP
13. Итог
В результате модернизации сеть должна:
выдерживать текущую нагрузку
иметь запас роста
быть масштабируемой и отказоустойчивой
-
30 дней27 000 UAH
500 2 0 30 дней27 000 UAH
Привет, Руслан! Шикарное и технически грамотное ТЗ. Вы абсолютно правы: вынести CGNAT с роутера на выделенный Linux-сервер с Mellanox — это единственный правильный путь для стабильной работы на 25-40 Gbps.
Я DevOps/Network инженер. Отдельный плюс — я нахожусь в Тульчинском районе (Винницкая область), поэтому мы с вами в одном регионе. При необходимости могу подъехать в Винницу для физической работы с оборудованием или личной встречи.
Как я вижу реализацию вашей архитектуры:
MikroTik CCR2216: Настрою BGP для 4 аплинков (грамотный traffic engineering через local-pref/prepend для балансировки). Сделаем Policy Routing, чтобы трафик белых IP шел мимо NAT-сервера напрямую.
Linux CGNAT Server: Ubuntu/Debian. Здесь главное не просто написать правила nftables, а сделать жесткий тюнинг ядра (Kernel tuning, Receive Packet Steering, IRQ affinity для Mellanox), чтобы сервер не "задохнулся" на 2+ млн сессий и не давал packet loss.
…
Логирование: Настрою экспорт логов NAT-сессий (NetFlow/IPFIX), чтобы у вас не было проблем с законодательством.
Готов взять проект под ключ: от подбора железа до миграции клиентов. Ориентировочный бюджет за полный цикл — от $2000 (обсудим подробнее после аудита текущей конфигурации pfSense).
Созвонимся для обсуждения деталей?
-
15 дней15 000 UAH
776 11 2 15 дней15 000 UAH
Добрый день, разработаю вам пакет технической документации, по сути это будет готовый проэкт для внедрения в сеть провайдера, подберу комплект оборудования, составлю смету.
-
1 день1111 UAH
1618 18 1 1 1 день1111 UAH
Приветствую.
Могу реализовать задачу. Есть большой опыт в подобном. Сроки и стоимость - после обсуждения деталей.
Пишите, сделаю все быстро и качественно.
-
3 дня4000 UAH
1558 54 1 1 3 дня4000 UAH
Здравствуйте!
У меня большой опыт в проектировании, внедрении, масштабировании и поддержке провайдерских сетей. Опыт построения как b2b (провайдер для провайдеров, 20+ BGP сессий, собственный IX, собственная кабельная инфраструктура), так и b2c (провайдер для дома и бизнеса) инфраструктур, собственных дата-центров.
Работаю с Mikrotik, Cisco, Juniper, Aruba, ExtremeNetworks, A10, HPE, Huawei, BDCOM, Linux, FreeBSD.
Готов проработать и выполнить ваше ТЗ, там есть моменты, которые могут помешать достижению результата.
Ставка - средняя стоимость выполнения задачи по этому профилю. Финальный объем работ, которые вам будет комфортно делегировать, и бюджет согласуем отдельно.
-
1 день1000 UAH
594 6 0 1 день1000 UAH
Добрый день, делал провайдерские ядра, в том числе на CCR-ах.
К этому вашему ТЗ есть куча вопросов.
Если интересно, можем обсудить.
Винница