Jump to content

NAT - максимальное кол-во юзеров за 1 ip-адресом

aelfwine
 Share

Recommended Posts

Dmitry.Karpov

Dmitry.Karpov

Posted
Posted

Клиенты жалуются на нестабильность, "волнообразность" скорости интернета. Есть подозрение что проблема в NATe, т.к. внешний канал используется процентов на 20, загрузка маршрутизатора - единицы процентов, а больше грешить не на что.

Бред какой-то! Нет никакой разницы между загрузкой канала и использованием NAT. Возможно, пульсации загрузки у вышестоящего провайдера; или это особенности TCP. Но в любом случае NAT на это не влияет. (IMHO, разумеется.)

smsm

smsm

Posted
Posted

на 2821 под сотню тыщ бывало

тормозить начинало

а тыщ 30..60 нормально, если память не изменяет..

ingress

ingress

Posted
Posted (edited)

ну что то типа

 

ip nat inside source list 101 interface g0/1 overload

 

g0/1 - внешний интерфейс

101 - сети внутри

 

ещё полезно ограничить кол-во трансляций на рожу, чтобы вирусы не убивали её,

типа так

 

ip nat translation max-entries all-host 200 (200 сессий на морду хватит)

 

Edited by ingress
vadimus

vadimus

Posted
Posted

Лучше, как мне кажется, делать НАТ на один внешний адрес с не более чем 64 внутренних. При 254 реально тормозит - проверено, а это еще что далеко не все 254 были онлайн! Количество сессий я, правда, уже не помню.

boykov

boykov

Posted
Posted

Лучше, как мне кажется, делать НАТ на один внешний адрес с не более чем 64 внутренних. При 254 реально тормозит - проверено, а это еще что далеко не все 254 были онлайн! Количество сессий я, правда, уже не помню.

Это что за железякак 254 юзера не натит? Вы точно умеете их готовить?

rixo

rixo

Posted
Posted

незнаю как кошка NATит :)

но вот у меня P4 3Ghz

за одним ip 400юзеров

20k сесий

+шейпер

+600 правил iptables

 

load average выше чем 0.5 не бывает

Ivan Rostovikov

Ivan Rostovikov

Posted
Posted

По моим наблюдениям 12K трансляций на 80 онлайн это многовато.

у меня 12К на 800 онлайн.

 

Ограничение в 200 транляций максимум оказалось мало в ряде случаев. увеличил до 300.

По моему опыту - общее кол-во активных трансляций таки влияет на загрузку CPU

По этому я эмпирическим путем вывел такие настройки:

 

ip nat translation timeout 20

ip nat translation tcp-timeout 120

ip nat translation udp-timeout 60

ip nat translation dns-timeout 80

ip nat translation icmp-timeout 10

ip nat translation max-entries 30000

ip nat translation max-entries all-host 300

 

ip nat translation max-entries 30000 - это что б вирусы не положили CPU наглухо. на 2851 такое бывает.

 

IMHO более всего загрузка CPU от NAT зависит от кол-ва инструкций типа "ip nat inside source".

По этому сильно увеличивать их число не советую.

 

st_re

st_re

Posted
Posted

12000/80=150, для среннего количества немного много. Скорее всего у большенства по 20-100 а у нескольких по 5000 и более. Ищите этих нескольких и лечите от вирусов. Ограничение на клиента оно хорошо. флудер быстро выбирает свой лимит и не мешает остальным.

 

По любому, самый тупой нат должен позволять сделать 64к на тсп +столько же на удп. А сколько в эти цифры уложится IP зависит от аппетитов этих IP. Более сложные реализации позволяют больше. Они нескольких клиентов идущих на разные внешние IP натят на один порт. Но, насколько я знаю, это не про киску.

vadimus

vadimus

Posted
Posted

Это что за железякак 254 юзера не натит? Вы точно умеете их готовить?

Да не, натит то 500 в онлайне, просто не более 64 внутренних айпи на один внешний. Можно, я думаю, и больше.

SLon26

SLon26

Posted
Posted

Я насколько знаю у 28хх серии есть баг в НАТ реализации т.к. у меня 2811 не тянет 100 мегабитного потока вобще. А 1812 тянет без проблем

  • 3 weeks later...
Andrei

Andrei

Posted
Posted
зачем делать нат в пул адресов, если адрес всего лишь один?

достаточно указать внешний интерфейс.

А если на интерфейсе несколько ip? Тогда полезней указывать пул, пусть даже из одного адреса.

Кроме того, слышал, что если НАТить просто на интерфейс, то для каждого пакета будет определяться мак-адрес этого интерфейса, а при указании ip-адреса - нет. И это тоже ускоряет работу НАТа и снижает нагрузку на проц.

Negator1983

Negator1983

Posted
Posted

у нас замечены глюки более чем примерно 100.000 трансляций. Когда 200.000 -уже неработоспособно.\

64000 - чуть выше нормы. Кол-во клиентов роли не играет, играет их аппетит.

 

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.