[zlolotus]

Коллеги подскажите, чем оправдано вынесение ната на отдельный сервер?

 

Почему сейчас, нат рекомендуют выносить именно на Linux сервера?

 

У меня сейчас mpd + pf нат на одном сервере(Freebsd). И думаю, в чем я выиграю если вынесу нат на отдельный сервер?

 

Если можно без Холивара.

[vlad11]

Зачем вам менять конструкцию? mpd5 + pf nat + шейпер очень неплохо живут на 10.1.

Вот если у вас сервер будет заниматься еще и роутингом с несколькими провайдерами, тогда, да, могут быть нюансы.

[nu11]

Вероятно, из-за легкости масштабирования и высокой доступности. Речь скорее всего идет о виртуализованных линукс-серверах. Могу ошибаться.

[YuryD]

Nat на FreeBSD меня давно не вдохновил. Исторически так сложилось, что пользователи с нескольких nas шли через один nat, и убунтовский меня устроил, с bgp конечно, и не требует внимания абсолютно... Netflow пишет, натить в разные адреса - да легко.

[apm]

У меня вот ng_nat старенький, и что то стало с ним не то. Порой забивает ng_queue0 в 100% cpu и тупит.

Абсолютно точно это связано с количеством записей в таблице соединений

Подумываю куда то смигрировать.

[zlolotus]

Зачем вам менять конструкцию? mpd5 + pf nat + шейпер очень неплохо живут на 10.1.

Вот если у вас сервер будет заниматься еще и роутингом с несколькими провайдерами, тогда, да, могут быть нюансы.

 

пока все живет на 9.3. В целом доволен, но вот коллеги говорят, и не один(А более 3-4х). . ЧТо нат, на линухе лучше причем отдельно от терминации.

 

Да, а какие я плюсы получу от перехода с 9.3 на 10.1 ?

 

В свое время ушел от ipfw nat, из-за торрент фич. Которые убивали прерываниями сервер. Причем, порт надо было, уже вручную искать.

 

Роутингом в начале, занималась квага, потом стал Mx80. К насу отношения не имеет.

[ttttt]

но вот коллеги говорят, и не один(А более 3-4х). . ЧТо нат, на линухе лучше причем отдельно от терминации.

Говорят много всего.

 

Разносить нат и прочие сервисы по разным машинам хорошо для производительности и в целом полезно для развития вашей архитектуры. Скажем решить проблему масштабирования какого-то одного сервиса гораздо проще, когда он уже отдельный и вы уже давно разобрались и обкатали все особенности такой отдельности.

[Saab95]

Коллеги подскажите, чем оправдано вынесение ната на отдельный сервер?

Почему сейчас, нат рекомендуют выносить именно на Linux сервера?

 

Для работы НАТа нужно отслеживание соединений - Connection Tracking, это довольно затратная процедура и отнимает около половины производительности, если у вас кроме ната там же еще и шейпер, то его производительность так же падает в 2 раза, когда вы выносите НАТ на отдельный сервер, то тот, с которого вынесли, получает двойную прибавку в производительности. Именно по этой причине и выносят, ведь если не выносить, то для пропуска определенного объема трафика может не хватить производительности какого ни то i7 4000ГГц, а для увеличения потребуется куда более производительный процессор или сервер, за цену которого можно взять 2 более простых, а работая в паре они прокачают все равно больше, чем один мощный.

 

Другая сторона вопроса в балансировки нагрузки и более простых конфигурациях оборудования, например у вас сломался НАТ сервер, или вы хотите что-то на нем подкрутить, то вы делаете изменения только на одном устройстве, а второе остается не тронутым и не нужно беспокоится что при производстве работ можно повредить функционал, к ним не относящийся.

[NiTr0]

если у вас кроме ната там же еще и шейпер, то его производительность так же падает в 2 раза

 

ну я не сомневаюсь что в микротиках все через зад сделано, но вообще-то в нормальных дистрах шейпер никакого отношения к коннтраку не имеет, там тупо матч по байтам пакетов...

[YuryD]

пока все живет на 9.3. В целом доволен, но вот коллеги говорят, и не один(А более 3-4х). . ЧТо нат, на линухе лучше причем отдельно от терминации.

 

Если это голый нат на убунте, то, к сожалению, удобнее настраивается и производительнее натов под FreeBSD. Так у меня и стоит, несколько разномастных nas, bgp и убунтя... Есть-пить не просит, нетфлоу пишет...

[Saab95]

ну я не сомневаюсь что в микротиках все через зад сделано, но вообще-то в нормальных дистрах шейпер никакого отношения к коннтраку не имеет, там тупо матч по байтам пакетов...

 

А НАТ тоже никакого отношения не имеет? Не занимает ресурсы процессора? В микротике как раз все правильно сделано.

[s.lobanov]

Saab95

Микротик - это красивая обёртка над линуксом+пара своих фич. т.е. в плане проблем производительности, совмещения функционала и прочего, что микротик, что нормальный линукс схожи, только норм. линукс можно подтюнить и проапгрейдить

[AlKov]

У меня сейчас mpd + pf нат на одном сервере(Freebsd).

А трафик какой? И на сколько проц загружен в ЧНН?

[NiTr0]

А НАТ тоже никакого отношения не имеет? Не занимает ресурсы процессора?

Почему же, занимает. Вот только включение коннтрака на нагрузку от шейпера практически не влияет. Т.е. как тратилось на шейпинг 25% процессорного времени так и тратится. В нормальных дистрах ессно.

[Ilya Evseev]

Коллеги подскажите, чем оправдано вынесение ната на отдельный сервер?

Нехваткой производительности существующего сервера\серверов.

 

Почему сейчас, нат рекомендуют выносить именно на Linux сервера?

Из-за оптимального сочетания производительности, функциональности и цены.

[zlolotus]

У меня сейчас mpd + pf нат на одном сервере(Freebsd).

А трафик какой? И на сколько проц загружен в ЧНН?

 

На самом загруженным, около 700мбит проц на -4-х ядрах 50-60%(на каждом). два lagg(in) + (out)

[AlKov]

У меня сейчас mpd + pf нат на одном сервере(Freebsd).

А трафик какой? И на сколько проц загружен в ЧНН?

 

На самом загруженным, около 700мбит проц на -4-х ядрах 50-60%(на каждом). два lagg(in) + (out)

При таких параметрах, большого смысла выводить NAT с FreeBSD Вам вроде как и не нужно.

Хотя, я у себя никогда так не делал, 4 NAS-а (также mpd5) НАТ-ятся на одной машине CentOS (суммарный трафик в ЧНН 1,7 Гбит, CPU ~ 60-65%).

Правда на CentOs не только NAT, там же и фильтрация входящего/исходящего, плюс слейв DNS, плюс фильтрация по запрет-спискам прокуратуры.

Был еще и роутинг, который недавно перенёс на DGS-3420.

Правда, загрузку на CentOS это практически не изменило. Вообщем-то и цели такой не стояло, роутинг убирал только для удобства, т.к. осенью планирую ставить второй NAT.

Кстати, у Вас PPTP, или PPPoE?

[Tamahome]

Почему сейчас, нат рекомендуют выносить именно на Linux сервера?

Только из желания пропустить 10G трафика, сквозь железо которое пора списать, хотя зачем, оно еще послужит.

Вот к примеру на среднем ширпотребе супермикро с X3440 натится годами, льёт netflow...

Падения исключительно по питанию, поэтому рекомендую 2 блока питания таки.

Также отдельный тазик который заточен под нат, очень легко зарезервировать, причем так, что у юзеров даже соединения не порвутся при отключении одного тазика.

При ддосе до 2х Mpps чувствует себя хорошо, свыше no dma валят уже... на 4х Mpps упал аплинк (хотя к ним похоже куда больше летело, это просто от них не пролетало больше)

 

 

 

Изменено 15 июня, 2015 пользователем Tamahome

[SABRE]

Также отдельный тазик который заточен под нат, очень легко зарезервировать, причем так, что у юзеров даже соединения не порвутся при отключении одного тазика.

Не расскажите подробнее, как производится резервирование?

[taf_321]

Не расскажите подробнее, как производится резервирование?

 

 

http://conntrack-tools.netfilter.org

[No_name]

Почему сейчас, нат рекомендуют выносить именно на Linux сервера?

Только из желания пропустить 10G трафика, сквозь железо которое пора списать, хотя зачем, оно еще послужит.

Вот к примеру на среднем ширпотребе супермикро с X3440 натится годами, льёт netflow...

 

 

А что за ось/ядро?