Модернізація ядра мережі
Модернізація мережі від консультації, підбору заліза, переносу поточних налаштувань, налаштування готового обладнання.
Модернізація мережі провайдера до 25 Gbps
1. Загальна інформація
Мета проекту: Модернізація існуючої мережі провайдера для забезпечення стабільної роботи на швидкості до 25-40 Gbps з підтримкою ~3000 абонентів, CGNAT та кількома аплінками.
Поточна проблема: Використання pfSense як основного NAT/edge-рішення не забезпечує необхідну продуктивність і масштабованість.
2. Вимоги до системи
2.1 Навантажувальні вимоги
Загальна пропускна спроможність: до 25-40 Gbps
Кількість абонентів: до 3000
Кількість аплінків: 4 (BGP)
Підтримка:
CGNAT
білі IP (без NAT)
2.2 Функціональні вимоги
Система повинна забезпечувати:
BGP маршрутизацію (4 аплінка)
Policy-based routing (розподіл NAT / non-NAT трафіку)
CGNAT (PAT)
Stateful firewall
Логування NAT-сесій
Високу відмовостійкість (в перспективі)
3. Архітектура рішення
3.1 Загальна схема
[ Upstream ISP x4 ] ↓ [ CCR2216 (BGP Router) ] ↓ [ NAT Server (Linux) ] ↓ [ Access Network / Clients ]
3.2 Розподіл функцій
CCR2216:
BGP (4 аплінка)
маршрутизація
policy routing
обробка білих IP
NAT сервер:
CGNAT (100.64.0.0/10)
firewall
логування
4. Обладнання
4.1 Основний маршрутизатор
Модель: MikroTik CCR2216-1G-12XS-2XQ
Функції:
BGP routing
ECMP
policy routing
4.2 NAT сервер
Мінімальні вимоги:
CPU: AMD Ryzen 9 / EPYC (висока частота)
RAM: 64 GB
NIC: Mellanox ConnectX-4/5 (25G)
Storage: NVMe SSD
ПО:
Linux (Ubuntu/Debian)
nftables
5. Мережева адресація
CGNAT pool: 100.64.0.0/10
Transit мережа CCR ↔ NAT: /30
Public IP pool: виділений діапазон
6. Маршрутизація
6.1 BGP
Налаштування 4 аплінків
Пріоритети (local-pref)
Failover
6.2 Policy Routing
Трафік з CGNAT адресів → NAT сервер
Трафік з public IP → безпосередньо
7. NAT вимоги
Тип: PAT (маскарадинг)
Підтримка: ≥ 3000 клієнтів
Ліміти:
≥ 2 млн сесій
Пул публічних IP: ≥ 50–100 IP
8. Логування
9. Відмовостійкість (рекомендується)
10. Обмеження
pfSense не використовувати як основний NAT
MikroTik не використовувати для CGNAT при 25G
11. Етапи впровадження
Встановлення CCR2216
Налаштування BGP
Розгортання NAT сервера
Налаштування nftables
Перенос клієнтів
Тестування навантаження
12. Критерії приймання
стабільна робота при 25 Gbps
відсутність packet loss
коректна робота NAT
стабільний BGP
13. Підсумок
В результаті модернізації мережа повинна:
витримувати поточне навантаження
мати запас зростання
бути масштабованою і відмовостійкою
-
30 днів27 000 UAH
500 2 0 30 днів27 000 UAH
Вітаю, Руслане! Шикарне та технічно грамотне ТЗ. Ви абсолютно праві: виносити CGNAT з роутера на виділений Linux-сервер з Mellanox — це єдиний правильний шлях для стабільної роботи на 25-40 Gbps.
Я DevOps/Network інженер. Окремий плюс — я знаходжусь у Тульчинському районі (Вінницька обл.), тому ми з вами в одному регіоні. За потреби можу під'їхати у Вінницю для фізичної роботи з обладнанням або особистої зустрічі.
Як я бачу реалізацію вашої архітектури:
MikroTik CCR2216: Налаштую BGP для 4 аплінків (грамотний traffic engineering через local-pref/prepend для балансування). Зробимо Policy Routing, щоб трафік білих IP йшов повз NAT-сервер напряму.
Linux CGNAT Server: Ubuntu/Debian. Тут головне не просто написати правила nftables, а зробити жорсткий тюнінг ядра (Kernel tuning, Receive Packet Steering, IRQ affinity для Mellanox), щоб сервер не "задихнувся" на 2+ млн сесій та не давав packet loss.
…
Логування: Налаштую експорт логів NAT-сесій (NetFlow/IPFIX), щоб у вас не було проблем із законодавством.
Готовий взяти проект під ключ: від підбору заліза до міграції клієнтів. Орієнтовний бюджет за повний цикл — від $2000 (обговоримо детальніше після аудиту поточної конфігурації pfSense).
Зідзвонимось для обговорення деталей?
-
15 днів15 000 UAH
776 11 2 15 днів15 000 UAH
Доброго дня, розроблю вам пакет технічної документації, по суті це буде готовий проект для впровадження в мережу провайдера, підберу комплект обладнання, складу кошторис.
-
1 день1111 UAH
1618 18 1 1 1 день1111 UAH
Вітаю.
Можу реалізувати завдання. Є великий досвід у подібному. Термін та вартість - після обговорення деталей.
Пишіть, зроблю все швидко та якісно.
-
3 дні4000 UAH
1558 54 1 1 3 дні4000 UAH
Вітаю!
Маю великий досвід з проектування, впровадження, масштабування та підтримки провайдерських мереж. Досвід побудови як b2b (провайдер для провайдерів, 20+ BGP сесій, власний IX, власна кабельна інфраструктура), так і b2c (провайдер для дому та бізнесу) інфраструктур, власних дата центрів.
Працюю з Mikrotik, Cisco, Juniper, Aruba, ExtremeNetworks, A10, HPE, Huawei, BDCOM, Linux, FreeBSD.
Готовий опрацювати і виконати ваше ТЗ, там є моменти, які здатні завадити досягненню результату.
Ставка - середня вартість виконання задачі по цьому профілю. Фінальний обсяг робіт, які вам комфортно буде делегувати та бюджет узгодимо окремо.
-
1 день1000 UAH
594 6 0 1 день1000 UAH
Доброго дня, робив провайдерські ядра, в тому числі на CCR-ах. До цього вашого ТЗ є купа питань. Якщо цікаво, можемо обговорити.
Вінниця