Chinaunix

标题: 几千用户做nat需要使用什么设备？路由器还是防火墙？ [打印本页]

作者: happyboygd 时间: 2008-01-22 18:06
标题: 几千用户做nat需要使用什么设备？路由器还是防火墙？
现在有5000终端用户，需要做nat访问互联网，目前并发连接数20万左右，几年后用户可能会增加到1万.

使用路由器还是防火墙？

cisco哪一款路由器可以带这么多用户？

cisco哪一款防火墙可以带这么多用户？

华为设备行吗？

是用路由器效果好还是用防火墙效果好？？

[ 本帖最后由 happyboygd 于 2008-1-22 18:07 编辑 ]

作者: ssffzz1 时间: 2008-01-22 18:31
应该防火墙比较好一些。但是1W用户的话，一台防火墙恐怕不行，建议做多出口。

作者: happyboygd 时间: 2008-01-22 19:37
他们曾经给我推荐过思科的asa 5550说能带1万个用户，不知道行不行

作者: puding 时间: 2008-01-23 00:53
除了看能够维持的最大连接数外，
还要看每秒最多能建立多少条连接。

作者: tangye 时间: 2008-01-23 10:18
防火墙为啥要选Cisco？

作者: zmkun 时间: 2008-01-24 14:41
PIX 525实际中只能撑20万以下的连接数，此时CPU占有率已经很高了

买设备时可以跟PIX525参数进行相应的比较

作者: coollinli 时间: 2008-01-24 15:01
建议用juniper 的防火墙，选两个ISP ，再配F5链路负载均衡设备。

作者: chinaming 时间: 2008-01-25 11:36
我见过有人买几台服务器然后用linxu 内核自己做NAT
5000-1w个没有什么问题
可惜俺没有学会咋整

作者: happyboygd 时间: 2008-01-25 14:35

原帖由 chinaming 于 2008-1-25 11:36 发表
我见过有人买几台服务器然后用linxu 内核自己做NAT
5000-1w个没有什么问题
可惜俺没有学会咋整

还有这么牛的人？？

作者: ssffzz1 时间: 2008-01-25 20:09
LINUX的确可以的。
CISCO的PIX也不过是440BX+P3CPU而已。

但更关键的是如何设计这个网络。

作者: zmkun 时间: 2008-01-25 23:26

原帖由 chinaming 于 2008-1-25 11:36 发表
我见过有人买几台服务器然后用linxu 内核自己做NAT
5000-1w个没有什么问题
可惜俺没有学会咋整

使用OS做NAT并不难，如果性能需要的话，建议用FreeBSD做，这方面其他的OS都比不上它，具体配置也并不难，查下相关资料就行了

以前的PIII 733左右的机子，一般能撑一两万条连接数，现在都用硬件来做了，没试验过，双核多CPU应该还是非常强劲的

用OS做NAT在一些中大企业中应该还是很广泛的，包括一些小ISP

作者: ssffzz1 时间: 2008-01-26 09:24
呵呵.
多CPU对NAT的转发基本没什么太大的效果.

作者: gcl_lin 时间: 2008-02-01 11:26
这好像是个小问题我还见过有人把CS移值到linux上玩的呢

作者: 海天一色 时间: 2008-02-21 11:17
用redware吧,电信级,路由\策略\安全功能都有

作者: liutl 时间: 2008-04-01 20:43
防火墙了
用nokia 390 处理20w并发连接足够了

作者: chinaciscoccie 时间: 2008-04-02 14:51
这么大的流量，只能路由器了。

作者: ssffzz1 时间: 2008-04-02 15:52
注意。主要是NAT。做NAT墙比路由器好。

不过这么多用户，做分布式多路NAT比较好。

作者: chinaciscoccie 时间: 2008-04-03 09:52
NAT不是最重要的，这么大的用户群，路由转发能力才是最重要的，fw不是router的对手。

作者: cubzsd 时间: 2008-04-03 10:02

原帖由 chinaming 于 2008-1-25 11:36 发表
我见过有人买几台服务器然后用linxu 内核自己做NAT
5000-1w个没有什么问题
可惜俺没有学会咋整

这不简单，我们公司就是我做的，1百个分公司呢，总部就1千多人。REDHAT做的。不过管理起来累。用成品有成品好处，建议用NETSCREEN

作者: cubzsd 时间: 2008-04-03 10:11
本人建议，如果你自己做省下来的费用如果可以给你，那么Ok自己做，如果没有，那么用最好的产品做。就这么简单

作者: 5iwww 时间: 2008-04-03 14:25

原帖由 chinaciscoccie 于 2008-4-3 09:52 发表
NAT不是最重要的，这么大的用户群，路由转发能力才是最重要的，fw不是router的对手。

不可能只是单纯的nat 也不可能只是单纯的路由但是如果配的是默认路由的话，还是墙好，如果要结合bgp肯定要路由器了呵呵~

作者: pokerface 时间: 2008-04-06 21:48
蛮大的一个项目,

几K用户,IP地址如何划分,,接入层交换机,楼层交换机,核心交换机,再加路由器防火墙,
算一下,要不少设备,,

首先是子网划分,确定每个广播域的大小,然后在核心交换机上划VLAN,,在把vlan 路由出去,
在路由器上再NAT

有钱就买专用防火墙做NAT,nokia ,fortigate,等都可以,

没钱,自己装个freebsd也一样.

作者: wskyygydx 时间: 2008-04-07 11:27
标题: 回复 #20 cubzsd 的帖子
非常赞同你的观点，我也是这么想的，那么多用户上网，如果自己做的的东西老是出问题的话，大家打电话找你，耽误多少事啊，而做这么大的事情，公司肯定愿意会出大钱买好的东西的。这样用起来好，公司也认为值得。

作者: pfmdy 时间: 2008-04-07 15:46
建议还是高端的FW,如果资金允许的话,最好再加个万M的路由器,不过这个可不便宜,呵呵.
我们这里的教育城域网用的是双FW+H3C万M路由+万M核心交换,效果还可以,不过价格......有点吓人,FW主要还是看它的多少并发连接/秒

作者: yujia0301 时间: 2008-04-09 11:16
提示: 作者被禁止或删除内容自动屏蔽

作者: qintel 时间: 2008-04-10 11:25
:wink: 这有个讨论，后面的页里，有一些实际的应用效果，几千用户的，可以参考一下。

http://linux.chinaunix.net/bbs/viewthread.php?tid=422884&extra=&page=1

作者: flyfish00 时间: 2008-04-11 09:06
肯定是用高端的防火墙好了，至少要用两台以上。

作者: tianrenly 时间: 2008-04-11 10:43
标题: 回复 #19 cubzsd 的帖子
自己用Linux做维护起来确实很累

欢迎光临 Chinaunix (http://bbs.chinaunix.net/)