zlolotus Posted June 3, 2015 Posted June 3, 2015 Коллеги подскажите, чем оправдано вынесение ната на отдельный сервер? Почему сейчас, нат рекомендуют выносить именно на Linux сервера? У меня сейчас mpd + pf нат на одном сервере(Freebsd). И думаю, в чем я выиграю если вынесу нат на отдельный сервер? Если можно без Холивара. Вставить ник Quote
vlad11 Posted June 3, 2015 Posted June 3, 2015 Зачем вам менять конструкцию? mpd5 + pf nat + шейпер очень неплохо живут на 10.1. Вот если у вас сервер будет заниматься еще и роутингом с несколькими провайдерами, тогда, да, могут быть нюансы. Вставить ник Quote
nu11 Posted June 3, 2015 Posted June 3, 2015 Вероятно, из-за легкости масштабирования и высокой доступности. Речь скорее всего идет о виртуализованных линукс-серверах. Могу ошибаться. Вставить ник Quote
YuryD Posted June 3, 2015 Posted June 3, 2015 Nat на FreeBSD меня давно не вдохновил. Исторически так сложилось, что пользователи с нескольких nas шли через один nat, и убунтовский меня устроил, с bgp конечно, и не требует внимания абсолютно... Netflow пишет, натить в разные адреса - да легко. Вставить ник Quote
apm Posted June 3, 2015 Posted June 3, 2015 У меня вот ng_nat старенький, и что то стало с ним не то. Порой забивает ng_queue0 в 100% cpu и тупит. Абсолютно точно это связано с количеством записей в таблице соединений Подумываю куда то смигрировать. Вставить ник Quote
zlolotus Posted June 3, 2015 Author Posted June 3, 2015 Зачем вам менять конструкцию? mpd5 + pf nat + шейпер очень неплохо живут на 10.1. Вот если у вас сервер будет заниматься еще и роутингом с несколькими провайдерами, тогда, да, могут быть нюансы. пока все живет на 9.3. В целом доволен, но вот коллеги говорят, и не один(А более 3-4х). . ЧТо нат, на линухе лучше причем отдельно от терминации. Да, а какие я плюсы получу от перехода с 9.3 на 10.1 ? В свое время ушел от ipfw nat, из-за торрент фич. Которые убивали прерываниями сервер. Причем, порт надо было, уже вручную искать. Роутингом в начале, занималась квага, потом стал Mx80. К насу отношения не имеет. Вставить ник Quote
ttttt Posted June 3, 2015 Posted June 3, 2015 но вот коллеги говорят, и не один(А более 3-4х). . ЧТо нат, на линухе лучше причем отдельно от терминации. Говорят много всего. Разносить нат и прочие сервисы по разным машинам хорошо для производительности и в целом полезно для развития вашей архитектуры. Скажем решить проблему масштабирования какого-то одного сервиса гораздо проще, когда он уже отдельный и вы уже давно разобрались и обкатали все особенности такой отдельности. Вставить ник Quote
Saab95 Posted June 4, 2015 Posted June 4, 2015 Коллеги подскажите, чем оправдано вынесение ната на отдельный сервер? Почему сейчас, нат рекомендуют выносить именно на Linux сервера? Для работы НАТа нужно отслеживание соединений - Connection Tracking, это довольно затратная процедура и отнимает около половины производительности, если у вас кроме ната там же еще и шейпер, то его производительность так же падает в 2 раза, когда вы выносите НАТ на отдельный сервер, то тот, с которого вынесли, получает двойную прибавку в производительности. Именно по этой причине и выносят, ведь если не выносить, то для пропуска определенного объема трафика может не хватить производительности какого ни то i7 4000ГГц, а для увеличения потребуется куда более производительный процессор или сервер, за цену которого можно взять 2 более простых, а работая в паре они прокачают все равно больше, чем один мощный. Другая сторона вопроса в балансировки нагрузки и более простых конфигурациях оборудования, например у вас сломался НАТ сервер, или вы хотите что-то на нем подкрутить, то вы делаете изменения только на одном устройстве, а второе остается не тронутым и не нужно беспокоится что при производстве работ можно повредить функционал, к ним не относящийся. Вставить ник Quote
NiTr0 Posted June 4, 2015 Posted June 4, 2015 если у вас кроме ната там же еще и шейпер, то его производительность так же падает в 2 раза ну я не сомневаюсь что в микротиках все через зад сделано, но вообще-то в нормальных дистрах шейпер никакого отношения к коннтраку не имеет, там тупо матч по байтам пакетов... Вставить ник Quote
YuryD Posted June 4, 2015 Posted June 4, 2015 пока все живет на 9.3. В целом доволен, но вот коллеги говорят, и не один(А более 3-4х). . ЧТо нат, на линухе лучше причем отдельно от терминации. Если это голый нат на убунте, то, к сожалению, удобнее настраивается и производительнее натов под FreeBSD. Так у меня и стоит, несколько разномастных nas, bgp и убунтя... Есть-пить не просит, нетфлоу пишет... Вставить ник Quote
Saab95 Posted June 5, 2015 Posted June 5, 2015 ну я не сомневаюсь что в микротиках все через зад сделано, но вообще-то в нормальных дистрах шейпер никакого отношения к коннтраку не имеет, там тупо матч по байтам пакетов... А НАТ тоже никакого отношения не имеет? Не занимает ресурсы процессора? В микротике как раз все правильно сделано. Вставить ник Quote
s.lobanov Posted June 5, 2015 Posted June 5, 2015 Saab95 Микротик - это красивая обёртка над линуксом+пара своих фич. т.е. в плане проблем производительности, совмещения функционала и прочего, что микротик, что нормальный линукс схожи, только норм. линукс можно подтюнить и проапгрейдить Вставить ник Quote
AlKov Posted June 5, 2015 Posted June 5, 2015 У меня сейчас mpd + pf нат на одном сервере(Freebsd). А трафик какой? И на сколько проц загружен в ЧНН? Вставить ник Quote
NiTr0 Posted June 5, 2015 Posted June 5, 2015 А НАТ тоже никакого отношения не имеет? Не занимает ресурсы процессора? Почему же, занимает. Вот только включение коннтрака на нагрузку от шейпера практически не влияет. Т.е. как тратилось на шейпинг 25% процессорного времени так и тратится. В нормальных дистрах ессно. Вставить ник Quote
Ilya Evseev Posted June 6, 2015 Posted June 6, 2015 Коллеги подскажите, чем оправдано вынесение ната на отдельный сервер? Нехваткой производительности существующего сервера\серверов. Почему сейчас, нат рекомендуют выносить именно на Linux сервера? Из-за оптимального сочетания производительности, функциональности и цены. Вставить ник Quote
zlolotus Posted June 8, 2015 Author Posted June 8, 2015 У меня сейчас mpd + pf нат на одном сервере(Freebsd). А трафик какой? И на сколько проц загружен в ЧНН? На самом загруженным, около 700мбит проц на -4-х ядрах 50-60%(на каждом). два lagg(in) + (out) Вставить ник Quote
AlKov Posted June 8, 2015 Posted June 8, 2015 У меня сейчас mpd + pf нат на одном сервере(Freebsd). А трафик какой? И на сколько проц загружен в ЧНН? На самом загруженным, около 700мбит проц на -4-х ядрах 50-60%(на каждом). два lagg(in) + (out) При таких параметрах, большого смысла выводить NAT с FreeBSD Вам вроде как и не нужно. Хотя, я у себя никогда так не делал, 4 NAS-а (также mpd5) НАТ-ятся на одной машине CentOS (суммарный трафик в ЧНН 1,7 Гбит, CPU ~ 60-65%). Правда на CentOs не только NAT, там же и фильтрация входящего/исходящего, плюс слейв DNS, плюс фильтрация по запрет-спискам прокуратуры. Был еще и роутинг, который недавно перенёс на DGS-3420. Правда, загрузку на CentOS это практически не изменило. Вообщем-то и цели такой не стояло, роутинг убирал только для удобства, т.к. осенью планирую ставить второй NAT. Кстати, у Вас PPTP, или PPPoE? Вставить ник Quote
Tamahome Posted June 15, 2015 Posted June 15, 2015 (edited) Почему сейчас, нат рекомендуют выносить именно на Linux сервера? Только из желания пропустить 10G трафика, сквозь железо которое пора списать, хотя зачем, оно еще послужит. Вот к примеру на среднем ширпотребе супермикро с X3440 натится годами, льёт netflow... Падения исключительно по питанию, поэтому рекомендую 2 блока питания таки. Также отдельный тазик который заточен под нат, очень легко зарезервировать, причем так, что у юзеров даже соединения не порвутся при отключении одного тазика. При ддосе до 2х Mpps чувствует себя хорошо, свыше no dma валят уже... на 4х Mpps упал аплинк (хотя к ним похоже куда больше летело, это просто от них не пролетало больше) Edited June 15, 2015 by Tamahome Вставить ник Quote
SABRE Posted June 15, 2015 Posted June 15, 2015 Также отдельный тазик который заточен под нат, очень легко зарезервировать, причем так, что у юзеров даже соединения не порвутся при отключении одного тазика. Не расскажите подробнее, как производится резервирование? Вставить ник Quote
taf_321 Posted June 16, 2015 Posted June 16, 2015 Не расскажите подробнее, как производится резервирование? http://conntrack-tools.netfilter.org Вставить ник Quote
No_name Posted September 24, 2015 Posted September 24, 2015 Почему сейчас, нат рекомендуют выносить именно на Linux сервера? Только из желания пропустить 10G трафика, сквозь железо которое пора списать, хотя зачем, оно еще послужит. Вот к примеру на среднем ширпотребе супермикро с X3440 натится годами, льёт netflow... А что за ось/ядро? Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.