Jump to content

NAT. Сколько абонентов вешать на один реальный ip ?

Urs_ak
 Share

Recommended Posts

Urs_ak

Urs_ak

Posted
Posted

Подскажите, пожалуйста, сколько сегодня актуально вешать абонентов с серыми ip на один реальный ip ?

Понятно что чем меньше тем лучше, но интересует реальный опыт.

Например 1:64 - это много ?

 

P.S. Оборудование - тазик со СКАТ DPI

GrandPr1de

GrandPr1de

Posted
Posted
28 минут назад, Urs_ak сказал:

Оборудование - тазик со СКАТ DPI

а чо, это поделие не научилось натить в пул?

 

29 минут назад, Urs_ak сказал:

Например 1:64

жить можно, но лучше 1:32

Urs_ak

Urs_ak

Posted
  • Author
Posted
9 минут назад, GrandPr1de сказал:

а чо, это поделие не научилось натить в пул?

Оно умеет в пул. Сейчас, в качестве теста, сделано /21 в /27, вот думаю так оставить или поменять.

Спасибо.

Urs_ak

Urs_ak

Posted
  • Author
Posted
9 минут назад, GrandPr1de сказал:

пул утилизируется сильно по другому чем статичные разбивки каждый белый IP на Х абонентов

Тут ничего не могу сказать - нету опыта.

Знаю только что у них есть калькулятор на баше, который показывает какой реальный ip будет у абонента

"белый_адрес_абонента=серый_адрес_абонента & wildcard + начало_блока_белых_адресов & netmask + offset"

https://vasexperts.ru/upload/natcalc.sh

 

Надеюсь более менее нормально размажет по пулу

GrandPr1de

GrandPr1de

Posted
Posted
1 час назад, pingz сказал:

Если в пул, то утилизация будет разы выше

вы хотите сказать, что меньшее количество адресов будут лучше утилизироваться?

надеюсь что я не ошибся ;) 

Saab95

Saab95

Posted
Posted

И по 100-200 человек нормально уживаются с одного адреса. Проблемы будут лишь когда порты для ната закончатся, тогда да - надо разбивать на меньшее количество абонентов.

pingz

pingz

Posted
Posted

@GrandPr1de  мы в данный момент ведём беседу про скат там cgnat суть технологии в том, что для 1 ip выделяется блок портов допустим 1000, с ограничением в 8 блоков т.е. если клиент занимает 4010 портов ему выделенно 5 блоков. 3000 портов свободный. Не эффективно используется 990 портов. А если сразу выделить 8000 портов то не эффективно будет использоваться 3990. Я не использую cgnat, т.к. руководство не хочет вливать деньги в коллектор для хранения логов ната, у меня статика 1к16, если клиенту не хватает 4000 портов рекомендую подключать реальный ip.

AKim

AKim

Posted
Posted

200 на одном ип работает хорошо. Проблем не возникало. Капчи нет на поисковиках.

MrNv

MrNv

Posted
Posted

У Скат в вике же есть описание

nat_ports=1024-65535 - диапазон используемых для трансляции портов на внешних адресах (указано значение по умолчанию если параметр не задавать)

т.е. 64511 портов на одном белом ip доступно для абонентов

дальше смотрите сколько у вас один абонент может сессий установить и делите доступные порты на это значение, получите сколько абонентов за одним ip можно подключить

vurd

vurd

Posted
Posted

16 на 1 - на мой взгляд.

 

На каждую тысячу абонентов нужно 64 адресов, вот и считаем

1k = /26

2k = /25

4k = /24

8k = /23

16k = /22

32k = /21

64k = /20

rdmitrich

rdmitrich

Posted
Posted
В 14.01.2020 в 21:53, Saab95 сказал:

И по 100-200 человек нормально уживаются с одного адреса. Проблемы будут лишь когда порты для ната закончатся, тогда да - надо разбивать на меньшее количество абонентов.

Не подскажете, как на МТ сделать пулы для НАТа ??

rdmitrich

rdmitrich

Posted
Posted
1 час назад, Saab95 сказал:

Пулы, это что означает? Что бы все абоненты делились поровну и выходили через определенное количество адресов?

точно, допустим 1:16 или 1:32, не  вручную же их делить ?

Saab95

Saab95

Posted
Posted

Вот так, единственное неудобство лишь в том, что при изменении количества адресов ната нужно перенастраивать все правила, но это не сложно сделать в той же табличке экселя.

 

!!! ВАЖНО !!! - если большой трафик, и много адресов для ната, нужно в правилах мангла сделать access на все установленные соединения, что бы не лопатить каждый раз все пакеты. Это правило разместить в самом верху.

 

 

taf_321

taf_321

Posted
Posted

Какие-то совсем ужасные вещи вы про "взрослые" NAT'ы рассказываете (хтонь от МТ оставим в стороне). Обычный линух, ядро 4.9, за один внешний IP без проблем натится 2.5к-3к клиентов. И да, линуховый НАТ уже лет двадцать как нечувствителен в количеству "портов", еще со времен перехода ядра с 2.0 на 2.2. Сейчас нагрузки никакой нет, но:

 

conntrack v1.4.1 (conntrack-tools): 77950 flow entries have been shown.

 

Andrei

Andrei

Posted
Posted
1 час назад, taf_321 сказал:

Обычный линух, ядро 4.9, за один внешний IP без проблем натится 2.5к-3к клиентов.

Дело ж не столько в производительности железа и прямости софта, но главным образом в проблемах капч, онлайн-игрунов, банов в PSN и т.п., т.е. доступности сервисов для абонентов.

rdmitrich

rdmitrich

Posted
Posted
12 часов назад, Saab95 сказал:

Вот так, единственное неудобство лишь в том, что при изменении количества адресов ната нужно перенастраивать все правила, но это не сложно сделать в той же табличке экселя.

 

!!! ВАЖНО !!! - если большой трафик, и много адресов для ната, нужно в правилах мангла сделать access на все установленные соединения, что бы не лопатить каждый раз все пакеты. Это правило разместить в самом верху.

 

 

Спасибо за совет, но сделали немного по другому )) Кстати на одном адресе натилось 340 абонентов, и жалоб вобщем то не было  )))

Saab95

Saab95

Posted
Posted

Многие может и не жалуются. Просто всем известные неудобства в виде капчи и прочего. Или в играх каких-то забанят. Из 100 абонентов могут 60 просто принимать как есть, 20 позвонят пожалуются, а 20 сменят провайдера.

Mia

Mia

Posted
Posted

Сделайте НАТ сети /26 или /25 на 1 внешний ip, а ещё лучше /27.

Если нету СОРМа, то будет проще на запросы от органов отвечать, когда они спросят "кто выходил в Интернет 2 месяца назад из под ip такого-то в 10 утра" - проверите 30 абонентов, посмотрите кто был в сети и выдадите 10 человек.. А дальше пусть разбираются..

 

Saab95

Saab95

Posted
Posted

Так вопрос как разделять абонентов это не решает, может оказаться что половина не активны, а кто активны все на одном адресе оказались.

taf_321

taf_321

Posted
Posted
В 17.01.2020 в 15:03, Mia сказал:

Если нету СОРМа, то будет проще на запросы от органов отвечать, когда они спросят "кто выходил в Интернет 2 месяца назад из под ip такого-то в 10 утра" - проверите 30 абонентов, посмотрите кто был в сети и выдадите 10 человек.. А дальше пусть разбираются..

Вы так логируете стистистику (которую должны хранить не менее трех лет), что НАТ вам обезличивает ваших же клиентов??? А вы смелые люди.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.