[aelfwine]

...

Изменено 11 декабря, 2008 пользователем aelfwine

[Dmitry.Karpov]

Клиенты жалуются на нестабильность, "волнообразность" скорости интернета. Есть подозрение что проблема в NATe, т.к. внешний канал используется процентов на 20, загрузка маршрутизатора - единицы процентов, а больше грешить не на что.

Бред какой-то! Нет никакой разницы между загрузкой канала и использованием NAT. Возможно, пульсации загрузки у вышестоящего провайдера; или это особенности TCP. Но в любом случае NAT на это не влияет. (IMHO, разумеется.)

[ingress]

зачем делать нат в пул адресов, если адрес всего лишь один?

достаточно указать внешний интерфейс.

[smsm]

на 2821 под сотню тыщ бывало

тормозить начинало

а тыщ 30..60 нормально, если память не изменяет..

[aelfwine]

...

Изменено 11 декабря, 2008 пользователем aelfwine

[ingress]

ну что то типа

 

ip nat inside source list 101 interface g0/1 overload

 

g0/1 - внешний интерфейс

101 - сети внутри

 

ещё полезно ограничить кол-во трансляций на рожу, чтобы вирусы не убивали её,

типа так

 

ip nat translation max-entries all-host 200 (200 сессий на морду хватит)

 

Изменено 23 сентября, 2008 пользователем ingress

[Beginner]

Считал что одной трансляции сответствует один порт, а их (портов) может быть только 64к. Я ошибаюсь?

64k TCP, 64k UDP. Или я ошибаюсь?

[vadimus]

Лучше, как мне кажется, делать НАТ на один внешний адрес с не более чем 64 внутренних. При 254 реально тормозит - проверено, а это еще что далеко не все 254 были онлайн! Количество сессий я, правда, уже не помню.

[boykov]

Лучше, как мне кажется, делать НАТ на один внешний адрес с не более чем 64 внутренних. При 254 реально тормозит - проверено, а это еще что далеко не все 254 были онлайн! Количество сессий я, правда, уже не помню.

Это что за железякак 254 юзера не натит? Вы точно умеете их готовить?

[mschedrin]

Ну какой-нить SOHO роутер, например :)

[Mechanic]

а имеет сымсл выше упомянутая рекомендация по кол-ву юзеров на ип при использовании рс роутера (freebsd+ng_nat) ?

[[GP]Villi]

а что они у вас делают что у вас так много трансляций на 80 юзеров.

[rixo]

незнаю как кошка NATит :)

но вот у меня P4 3Ghz

за одним ip 400юзеров

20k сесий

+шейпер

+600 правил iptables

 

load average выше чем 0.5 не бывает

[nuclearcat]

Вынужденно натил около 15000 юзеров... только отдельные, редкие сервисы требуют немного большего кол-ва IP.

Писючок с Линуксом

[Ivan Rostovikov]

По моим наблюдениям 12K трансляций на 80 онлайн это многовато.

у меня 12К на 800 онлайн.

 

Ограничение в 200 транляций максимум оказалось мало в ряде случаев. увеличил до 300.

По моему опыту - общее кол-во активных трансляций таки влияет на загрузку CPU

По этому я эмпирическим путем вывел такие настройки:

 

ip nat translation timeout 20

ip nat translation tcp-timeout 120

ip nat translation udp-timeout 60

ip nat translation dns-timeout 80

ip nat translation icmp-timeout 10

ip nat translation max-entries 30000

ip nat translation max-entries all-host 300

 

ip nat translation max-entries 30000 - это что б вирусы не положили CPU наглухо. на 2851 такое бывает.

 

IMHO более всего загрузка CPU от NAT зависит от кол-ва инструкций типа "ip nat inside source".

По этому сильно увеличивать их число не советую.

 

[st_re]

12000/80=150, для среннего количества немного много. Скорее всего у большенства по 20-100 а у нескольких по 5000 и более. Ищите этих нескольких и лечите от вирусов. Ограничение на клиента оно хорошо. флудер быстро выбирает свой лимит и не мешает остальным.

 

По любому, самый тупой нат должен позволять сделать 64к на тсп +столько же на удп. А сколько в эти цифры уложится IP зависит от аппетитов этих IP. Более сложные реализации позволяют больше. Они нескольких клиентов идущих на разные внешние IP натят на один порт. Но, насколько я знаю, это не про киску.

[aelfwine]

...

Изменено 11 декабря, 2008 пользователем aelfwine

[vadimus]

Это что за железякак 254 юзера не натит? Вы точно умеете их готовить?

Да не, натит то 500 в онлайне, просто не более 64 внутренних айпи на один внешний. Можно, я думаю, и больше.

[SLon26]

Я насколько знаю у 28хх серии есть баг в НАТ реализации т.к. у меня 2811 не тянет 100 мегабитного потока вобще. А 1812 тянет без проблем

[Andrei]

зачем делать нат в пул адресов, если адрес всего лишь один?

достаточно указать внешний интерфейс.

А если на интерфейсе несколько ip? Тогда полезней указывать пул, пусть даже из одного адреса.

Кроме того, слышал, что если НАТить просто на интерфейс, то для каждого пакета будет определяться мак-адрес этого интерфейса, а при указании ip-адреса - нет. И это тоже ускоряет работу НАТа и снижает нагрузку на проц.

[Negator1983]

у нас замечены глюки более чем примерно 100.000 трансляций. Когда 200.000 -уже неработоспособно.\

64000 - чуть выше нормы. Кол-во клиентов роли не играет, играет их аппетит.