Перейти к содержимому
Калькуляторы

ROUND-ROBIN NAT

Добрый день.

 

Возникла необходимость сделать балансировку по двум провайдера. ( bgp нету)

 

Есть два варианта как это сделать.

 

1) Раунд робин нат ( например pf)

2) закрепить за каждым клиентом свой out интерфейс

 

тезнических сложностей нету никаких, ни с одинм их методов. Но если я правильно читал, то раунд-робин нат работает с каждой сессией. и может получится ситуация что клиент пришел на форум, получил свою куку, а при обновлении странички так получилось что он пришел уже с другого IP и если на форуме кука привязывается к IP то он снова будет не авторизован. Если кто использует раунд-робин нат, то буду признателен если напишите насколько часто такие ситуации появляются или это просто теоретический бред и в реале такого не бывает?

 

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1) постоянно проблемы будут. плавали.

решили привязкой куска серого диапазона к ИПшнику.

второе решение 0.0.0.0/1 через один ИП, 128.0.0.0/1 через второй

 

возможно есть разница каким софтом это делать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1) постоянно проблемы будут. плавали.
спасибо, за ответ.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

source-hash не спасёт?

Натили pf с диапазоном и source-hash. Все честно, внешний ip меняется крайне редко. Вот только не советую - тормозит все это дело, не комп а именно tcp-сессии, http с 2-3й попытки. Внятного тюнинга для pf nat не нашел.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

странно, у меня было /20 -> /29, всё в порядке было :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

source-hash не спасёт?

если я правильно понял документацию pf, то source-hash требует непрерывного диапазона внешних адресов, а у меня два разных провайдера.

 

 

Натили pf с диапазоном и source-hash. Все честно, внешний ip меняется крайне редко. Вот только не советую - тормозит все это дело, не комп а именно tcp-сессии, http с 2-3й попытки. Внятного тюнинга для pf nat не нашел.

имхо это происходило во время перезапуска pf, так как при перезапуске генерируется ключ по с помошью которого будет происходить хеширование. Его можно и статически задать. тогда вообще ничего меняться не будет.

 

 

На самом деле проблем с привязкой ip к внешнему адресу я не испытываю ( во всяком случая в теории, на практике еще не пробовал). хочу правилами ipfw выбирать в зависимости от последних трех бит адреса исходящий IP адрес.

Изменено пользователем vgray

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

 

>если я правильно понял документацию pf, то source-hash требует непрерывного диапазона внешних адресов, а у меня два разных провайдера.

 

Ну у меня несколько nat в pf было, разбил на группы по IP и натил соответственно или в отдельный ip или в сетку /28, типа

 

nat on bce0 from 10.19.0.0/17 to any -> xx.xx.xx.240/28 source-hash

nat on bce0 from 10.19.128.0/17 to any -> xx.xx.xx.21

 

>имхо это происходило во время перезапуска pf, так как при перезапуске генерируется ключ по с помошью которого будет происходить хеширование.

 

Тау и было, экспериментировали :) При 400 юзерах mpd5 и траффике ок 40Мбит такой нат тормозил...., причем в топе загрузка никакая, а http со второй-третей попытки.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.