<html><body><div style="font-family: times new roman,new york,times,serif; font-size: 12pt; color: #000000"><div>Hola Uesley:</div><div> Con respecto a los métodos de NAT coincido en que si querés bajar mucho el log de sesiones te conviene ir a un modelo de puertos pre asignados, en lagunas plataformas lo llaman Fixed-NAT. Normalmente definís una cantidad de puertos fijos de IPs públicas para cada IP privada y adicionalmente un pool compartido para el caso en que el usuario exceda la utilización de su pool fijo de puertos. Además podés definir cuántos puertos dejás que ese usuario (IPv4 privada) pueda utilizar del pool compartido. Solo envía log de la utilización del pool dinámico. La desventaja de este método es que al dejar pre-asignados los puertos para todas las IPv4 privadas, hay mucho desperdicio de IPv4 públicas. El beneficio claramente es que genera muchísimo menos log que el método dinámico. En algunos casos también puede llegar a tener un impacto menor de CPU al ya tener pre-asignados los puertos.</div><div> En el método dinámico, como beneficio hay un uso mucho mas eficiente de las IPv4 públicas pero como desventaja un impacto muy grande en logging.</div><div><br data-mce-bogus="1"></div><div> Como apreciación, me parece que 4000 puertos pre-asignados por cada IPv4 privada es mucho para un caso normal, ya sería casi un top-user. Habría que estudiar la cantidad de sesiones concurrentes en cada IP privada, en horario de máximo tráfico y ahí ver que porcentaje de usuarios queremos cubrir. Por ejemplo, si elegimos cubrir la cantidad de sesiones concurrentes del 80% de los usuarios, tomamos ese valor máximo para el dimensionamiento de puertos fijos y luego un pool compartido para pensar en un concurrente de IPv4 privadas y cada una con una cuota (cantidad de puertos del pool compartido), podría quedar una pequeña cantidad de clientes fuera que serían top-users. Hay que tener muy bien medido para no tener falsos positivos y afectar el servicio a clientes que no son top-users.</div><div><br data-mce-bogus="1"></div><div> CGN es un tema que en muchos casos no se quiere nombrar porque es casi una mala palabra pero es una realidad de casi todos los operadores y en vez de evitar nombrarlo creo que sería bueno incluso incluirlo en los temas de LACNIC/LACNOG. Incluso, en general, estos equipos también soportan métodos de transición como NAT64, etc.</div><div><br data-mce-bogus="1"></div><div><br data-mce-bogus="1"></div><div>Saludos,</div><div data-marker="__SIG_PRE__"><div><div style="font-size: 13.3333px;"><span lang="ES" style="font-size: 8pt; font-family: arial, sans-serif; color: #666666;">ALEJANDRO D'EGIDIO<br></span></div><div style="font-size: 13.3333px;"><b><span lang="ES" style="font-size: 8pt; font-family: arial, sans-serif; color: #666666;">Jefe de Ingeniería de Backbone | Dirección de Ingeniería<br></span></b></div><div style="font-size: 13.3333px;"><span lang="ES" style="font-size: 8pt; font-family: arial, sans-serif; color: #666666;">M: <span class="Object" id="OBJ_PREFIX_DWT8761_com_zimbra_phone" style="color: #005a95; cursor: pointer;"><a href="callto:+54 911 5794-1589" target="_blank" rel="noopener" style="color: #005a95; text-decoration-line: none; cursor: pointer;">+54 911 5794-1589</a> | </span></span><b><span lang="ES" style="font-size: 9.5pt; font-family: -webkit-standard;"></span></b><span lang="ES" style="font-size: 8pt; font-family: arial, sans-serif; color: #666666;">F: <span class="Object" id="OBJ_PREFIX_DWT8761_com_zimbra_phone" style="color: #005a95; cursor: pointer;"><a href="callto:+54 11 3977-1025" target="_blank" rel="noopener" style="color: #005a95; text-decoration-line: none; cursor: pointer;">+54 11 3977-1025</a></span> | <span class="Object" id="OBJ_PREFIX_DWT8762_ZmEmailObjectHandler" style="color: #005a95; cursor: pointer;"><span class="Object" id="OBJ_PREFIX_DWT54_ZmEmailObjectHandler" style="cursor: pointer;"><a href="mailto:adegidio@telecentro.net.ar" target="_blank" rel="noopener" style="color: #005a95; text-decoration-line: none; cursor: pointer;"><span style="color: #0563c1;">adegidio@telecentro.net.ar</span></a></span></span></span></div><div style="font-size: 13.3333px;"><span lang="ES" style="font-size: 8pt; font-family: arial, sans-serif; color: #666666;">Pje. Lavardén 157. Piso 3. CABA (C1437FBC)</span></div><div style="font-size: 13.3333px;"><span lang="ES" style="font-size: 8pt; font-family: arial, sans-serif; color: #666666;"><img src="cid:708a2b23f422784912356006a328528a46bb6b99@zimbra" data-mce-src="http://webmail.telecentro.net.ar/home/adegidio@telecentro.net.ar/Briefcase/Firma-mail-actualizada2.jpg" doc="Briefcase/Firma-mail-actualizada2.jpg"></span></div></div></div><div><br></div><hr id="zwchr" data-marker="__DIVIDER__"><div data-marker="__HEADERS__"><b>De: </b>"Uesley Correa" <uesleycorrea@gmail.com><br><b>Para: </b>"Fernando Gont" <fgont@si6networks.com><br><b>CC: </b>"Latin America and Caribbean Region Network Operators Group" <lacnog@lacnic.net><br><b>Enviados: </b>Miércoles, 3 de Abril 2019 20:20:02<br><b>Asunto: </b>Re: [lacnog] Registro de puertos de origen en servidores web / Source Port Logging on Web Servers<br></div><div><br></div><div data-marker="__QUOTED_TEXT__"><div dir="auto">Fernando,<div dir="auto"><br></div><div dir="auto">En el tema de rango de puertos, para que se funcione bien y sin muchas interacciones en mis pruebas tuve que poner más de 4k puertas por dirección privada. Esto se puede ahorrar con bulk allocation. Tienes algunas pruebas y datos para compartir de tus implantaciones? Eso me interesa muchísimo conocer... Realidades diferentes de las que vivo.</div><div dir="auto"><br></div><div dir="auto">Saludos,</div><div dir="auto">Uesley Corrêa</div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Wed, Apr 3, 2019, 19:17 Uesley Correa <<a href="mailto:uesleycorrea@gmail.com" target="_blank">uesleycorrea@gmail.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="auto">Fernando,<div dir="auto"><br></div><div dir="auto">Cuando se loguea IPv6 necesita nomás del prefijo asignado y nada más. Cuando se loguea un CGN hay que loguear además de la dirección privada, a cuál fija está asignada y la puerta de origen de la conexión. Eso se pide en Brasil. Yo hice pruebas que me dejaron atónito: un proveedor con 5 mil clientes genera un promedio de 10GB de datos de log a cada 5 dias. Y en Brasil hay que al almacenar este por 5 años. No estoy seguro que es "más del mismo" cuando en IPv6 una o dos tuplas de una tabla de radius solucionan el problema.</div><div dir="auto"><br></div><div dir="auto">Saludos,</div><div dir="auto"><br></div><div dir="auto">Uesley Correa</div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Wed, Apr 3, 2019, 18:29 Fernando Gont <<a href="mailto:fgont@si6networks.com" target="_blank" rel="noreferrer">fgont@si6networks.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On 27/3/19 18:43, Uesley Correa wrote:<br>
> Hola a todos,<br>
> <br>
> En este tema yo tengo debatido muchísimo con los operadores. Muchos de<br>
> ellos no encuentran necesidad en desplegar IPv6 si todavía tendrán que<br>
> mantener IPv4 a funcionar. Y yo les explico exactamente eso: el costo de<br>
> mantener todo un plantel IPv4 con todos los logs necesarios de<br>
> traducción y todo más impactará negativamente en el costo del servicio.<br>
> El ROI será afectado demasiadamente. Algunas pruebas que hice están<br>
> alineadas con lo que dijo Alejandro: son necesarios Teras y mas Teras de<br>
> espacio a esto.<br>
<br>
Por que no nateas asignando un rango de puertos a los usuarios?<br>
<br>
<br>
-- <br>
Fernando Gont<br>
SI6 Networks<br>
e-mail: <a href="mailto:fgont@si6networks.com" rel="noreferrer noreferrer" target="_blank">fgont@si6networks.com</a><br>
PGP Fingerprint: 6666 31C6 D484 63B2 8FB1 E3C4 AE25 0D55 1D4E 7492<br>
<br>
<br>
<br>
<br>
</blockquote></div>
</blockquote></div>
<br>_______________________________________________<br>LACNOG mailing list<br>LACNOG@lacnic.net<br>https://mail.lacnic.net/mailman/listinfo/lacnog<br>Cancelar suscripcion: https://mail.lacnic.net/mailman/options/lacnog<br></div></div></body></html>