Jump to content
Калькуляторы

ROUND-ROBIN NAT

Добрый день.

 

Возникла необходимость сделать балансировку по двум провайдера. ( bgp нету)

 

Есть два варианта как это сделать.

 

1) Раунд робин нат ( например pf)

2) закрепить за каждым клиентом свой out интерфейс

 

тезнических сложностей нету никаких, ни с одинм их методов. Но если я правильно читал, то раунд-робин нат работает с каждой сессией. и может получится ситуация что клиент пришел на форум, получил свою куку, а при обновлении странички так получилось что он пришел уже с другого IP и если на форуме кука привязывается к IP то он снова будет не авторизован. Если кто использует раунд-робин нат, то буду признателен если напишите насколько часто такие ситуации появляются или это просто теоретический бред и в реале такого не бывает?

 

 

 

Share this post


Link to post
Share on other sites

1) постоянно проблемы будут. плавали.

решили привязкой куска серого диапазона к ИПшнику.

второе решение 0.0.0.0/1 через один ИП, 128.0.0.0/1 через второй

 

возможно есть разница каким софтом это делать.

Share this post


Link to post
Share on other sites
1) постоянно проблемы будут. плавали.
спасибо, за ответ.

 

Share this post


Link to post
Share on other sites
source-hash не спасёт?

Натили pf с диапазоном и source-hash. Все честно, внешний ip меняется крайне редко. Вот только не советую - тормозит все это дело, не комп а именно tcp-сессии, http с 2-3й попытки. Внятного тюнинга для pf nat не нашел.

Share this post


Link to post
Share on other sites
source-hash не спасёт?

если я правильно понял документацию pf, то source-hash требует непрерывного диапазона внешних адресов, а у меня два разных провайдера.

 

 

Натили pf с диапазоном и source-hash. Все честно, внешний ip меняется крайне редко. Вот только не советую - тормозит все это дело, не комп а именно tcp-сессии, http с 2-3й попытки. Внятного тюнинга для pf nat не нашел.

имхо это происходило во время перезапуска pf, так как при перезапуске генерируется ключ по с помошью которого будет происходить хеширование. Его можно и статически задать. тогда вообще ничего меняться не будет.

 

 

На самом деле проблем с привязкой ip к внешнему адресу я не испытываю ( во всяком случая в теории, на практике еще не пробовал). хочу правилами ipfw выбирать в зависимости от последних трех бит адреса исходящий IP адрес.

Edited by vgray

Share this post


Link to post
Share on other sites

 

>если я правильно понял документацию pf, то source-hash требует непрерывного диапазона внешних адресов, а у меня два разных провайдера.

 

Ну у меня несколько nat в pf было, разбил на группы по IP и натил соответственно или в отдельный ip или в сетку /28, типа

 

nat on bce0 from 10.19.0.0/17 to any -> xx.xx.xx.240/28 source-hash

nat on bce0 from 10.19.128.0/17 to any -> xx.xx.xx.21

 

>имхо это происходило во время перезапуска pf, так как при перезапуске генерируется ключ по с помошью которого будет происходить хеширование.

 

Тау и было, экспериментировали :) При 400 юзерах mpd5 и траффике ок 40Мбит такой нат тормозил...., причем в топе загрузка никакая, а http со второй-третей попытки.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this