vgray Posted July 13, 2009 Posted July 13, 2009 Добрый день. Возникла необходимость сделать балансировку по двум провайдера. ( bgp нету) Есть два варианта как это сделать. 1) Раунд робин нат ( например pf) 2) закрепить за каждым клиентом свой out интерфейс тезнических сложностей нету никаких, ни с одинм их методов. Но если я правильно читал, то раунд-робин нат работает с каждой сессией. и может получится ситуация что клиент пришел на форум, получил свою куку, а при обновлении странички так получилось что он пришел уже с другого IP и если на форуме кука привязывается к IP то он снова будет не авторизован. Если кто использует раунд-робин нат, то буду признателен если напишите насколько часто такие ситуации появляются или это просто теоретический бред и в реале такого не бывает? Вставить ник Quote
woddy Posted July 13, 2009 Posted July 13, 2009 1) постоянно проблемы будут. плавали. решили привязкой куска серого диапазона к ИПшнику. второе решение 0.0.0.0/1 через один ИП, 128.0.0.0/1 через второй возможно есть разница каким софтом это делать. Вставить ник Quote
vgray Posted July 13, 2009 Author Posted July 13, 2009 1) постоянно проблемы будут. плавали.спасибо, за ответ. Вставить ник Quote
YuryD Posted July 14, 2009 Posted July 14, 2009 source-hash не спасёт? Натили pf с диапазоном и source-hash. Все честно, внешний ip меняется крайне редко. Вот только не советую - тормозит все это дело, не комп а именно tcp-сессии, http с 2-3й попытки. Внятного тюнинга для pf nat не нашел. Вставить ник Quote
ingress Posted July 14, 2009 Posted July 14, 2009 странно, у меня было /20 -> /29, всё в порядке было :) Вставить ник Quote
vgray Posted July 14, 2009 Author Posted July 14, 2009 (edited) source-hash не спасёт? если я правильно понял документацию pf, то source-hash требует непрерывного диапазона внешних адресов, а у меня два разных провайдера. Натили pf с диапазоном и source-hash. Все честно, внешний ip меняется крайне редко. Вот только не советую - тормозит все это дело, не комп а именно tcp-сессии, http с 2-3й попытки. Внятного тюнинга для pf nat не нашел. имхо это происходило во время перезапуска pf, так как при перезапуске генерируется ключ по с помошью которого будет происходить хеширование. Его можно и статически задать. тогда вообще ничего меняться не будет. На самом деле проблем с привязкой ip к внешнему адресу я не испытываю ( во всяком случая в теории, на практике еще не пробовал). хочу правилами ipfw выбирать в зависимости от последних трех бит адреса исходящий IP адрес. Edited July 14, 2009 by vgray Вставить ник Quote
YuryD Posted July 14, 2009 Posted July 14, 2009 >если я правильно понял документацию pf, то source-hash требует непрерывного диапазона внешних адресов, а у меня два разных провайдера. Ну у меня несколько nat в pf было, разбил на группы по IP и натил соответственно или в отдельный ip или в сетку /28, типа nat on bce0 from 10.19.0.0/17 to any -> xx.xx.xx.240/28 source-hash nat on bce0 from 10.19.128.0/17 to any -> xx.xx.xx.21 >имхо это происходило во время перезапуска pf, так как при перезапуске генерируется ключ по с помошью которого будет происходить хеширование. Тау и было, экспериментировали :) При 400 юзерах mpd5 и траффике ок 40Мбит такой нат тормозил...., причем в топе загрузка никакая, а http со второй-третей попытки. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.