Robot_NagNews Опубликовано 3 марта, 2010 · Жалоба Данная статья является, в каком-то роде, продолжением изысканий о трансляции сетевых адресов на дешевых (и не очень) платформах, от PC-маршрутизаторов, до аппаратных платформ типа Juniper MS-DPC или SRX, Cisco ACE, и других. Полный текст новости Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Гость andrew Опубликовано 3 марта, 2010 · Жалоба "Так, при использовании HP DL160G5 на Xeon QC 5430 2.66/1333MHz FSB/12M L2 cache загрузка CPU на NAT 100 Кппс FD (100 вход + 100 выход, 200 c точки зрения Cisco Systems) составляет 40%." Автор знает о существовании "умных" сетевых карт Intel и таких штуках, как polling и napi? Полностью аналогичный сервер с PRO/1000PT PCI-E4x под FreeBSD 7.0 с polling и определёнными опциями ядра выдаёт до 1 mpps (1 на вход и 1 на выход) c NAT и netflow(ipcad). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Умник Опубликовано 3 марта, 2010 · Жалоба А это почему пропустили? netfpga.org Выглядит многообещающе. Но NAT там не реализован пока. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Гость v75 Опубликовано 3 марта, 2010 · Жалоба может кто подскажет про Foundry VM-1 NetIron Velocity Management module ??? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mousus Опубликовано 3 марта, 2010 · Жалоба да в принципе в статье есть одна мысль --- всё упирается в шину! ну и собсно сколько раз одни и теже данные по ней протекут и определяет производительность, а этим управляет ОС и её ПО вот собсно и всё то есть как всегда всё упирается в основном в софт, и отчасти в железо, разумеется если под железом не понимать антиквариат Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Negator Опубликовано 3 марта, 2010 · Жалоба Гость_andrew_*: А можно поподробнее про настройки polling и определённые опции ядра? 1 mpps (1 на вход и 1 на выход) c NAT - как то многообещающе мы пока смогли добиться в районе 200-250 kbps и то со скрипом Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vIv Опубликовано 3 марта, 2010 · Жалоба Всё проще: NAT уже не нужен, - все дают "белые" адреса :-) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Negator Опубликовано 3 марта, 2010 · Жалоба Ну не факт что проще. Есть масса причин по которым это не всегда удобно. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vIv Опубликовано 3 марта, 2010 · Жалоба 98% юзеров довольны прямыми "белыми" адресами. Экзоты могут делать себе NAT сами. С чего вдруг оператор должен сам инвестировать в железо, которое не требуется ему для оказания услуги? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vIv Опубликовано 3 марта, 2010 · Жалоба http://www.nag.ru/articles/reviews/16710/l...hrutizacii.html кстати - 2004 год Замечания по конфигурации ядра. Что нам необходимо в маршрутизаторе? device_polling, netgraph, pppoe, ipfw, dummynet, ipnat, bridge, vlan, tun, bpf, gif Для того чтобы все это работало, желательно чтобы в конфигурации ядра присутствовали следующие строки: options DEVICE_POLLING options HZ=2000 options NETGRAPH options NETGRAPH_ETHER options NETGRAPH_PPPOE options NETGRAPH_TEE options NETGRAPH_PPTPGRE options NETGRAPH_PPP options NETGRAPH_SOCKET options NETGRAPH_KSOCKET options ICMP_BANDLIM options IPFIREWALL options IPDIVERT options DUMMYNET options BRIDGE device random device bpf device tun device vlan device gif device fxp device em device rtl device vr Кроме того в файле /etc/sysctl.conf необходимо прописать: kern.polling.enable=1 net.inet.ip.fastforwarding=1 Тут же можно прописать интерфейсы в режим бриджа. Например: net.link.ether.bridge.config=fxp1:0,fxp2:0,fxp3:0 net.link.ether.bridge.ipfw=1 net.link.ether.bridge.enable=1 В результате мы получили disk-on module с установленной на нем minibsd 5.x. (в моем случае это была 5.2.1-RELEASE). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Negator Опубликовано 4 марта, 2010 · Жалоба 98% юзеров довольны прямыми "белыми" адресами. Экзоты могут делать себе NAT сами. С чего вдруг оператор должен сам инвестировать в железо, которое не требуется ему для оказания услуги?Ну во первых вирусы и DDOSВо вторых при использовании белых адресов существенно вырастет трафик нежели при использовании NAT -а это доп. оборудование, канал в конце концов. юзерский торрент начнет больше раздавать. В третьих мы лишаемся желающих приобрести белые адреса за денюжку -обычно это 100 руб с желающего. В четвертых адреса сейчас получить непросто -они заканчиваются. Чем черт не шутит -станут платными для провайдеров. Для начала достаточно. Есть конечно и куча плюсов, причем я лично считаю что их больше. Но однозначно говорить о том что NAT не нужен еще рано. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
McUrex Опубликовано 4 марта, 2010 · Жалоба Нат всем нам очень пригодиться в момент перехода от v4 к v6, когда v4 просто кончатся. Так что рано его еще списывать со счетов, в любом случае. Но вот про 100 Kpps на FreeBSD (или на ком?) я не согласен, Mpps там можно, таки. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Mikler Опубликовано 4 марта, 2010 · Жалоба А это почему пропустили? netfpga.orgВыглядит многообещающе. Но NAT там не реализован пока. Выглядит возможно много обещающе :) Но цены на стартексы вас не обрадуют(от 20К ), на мальнкой не замесиш ни чего стоящего всё упрется в скорость работы внешней памяти. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Умник Опубликовано 4 марта, 2010 · Жалоба Но цены на стартексы вас не обрадуют(от 20К )А где вы там такую цену увидели? Вот: 1199$, без вариантов.http://www.digilentinc.com/Products/Detail.cfm?Prod=NETFPGA Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Mikler Опубликовано 4 марта, 2010 · Жалоба Я же говорю что там стоит не жирная PLD мальнькие буферы как следствие, и не большой функционал. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
cmhungry Опубликовано 4 марта, 2010 · Жалоба "Так, при использовании HP DL160G5 на Xeon QC 5430 2.66/1333MHz FSB/12M L2 cache загрузка CPU на NAT 100 Кппс FD (100 вход + 100 выход, 200 c точки зрения Cisco Systems) составляет 40%." Автор знает о существовании "умных" сетевых карт Intel и таких штуках, как polling и napi? Полностью аналогичный сервер с PRO/1000PT PCI-E4x под FreeBSD 7.0 с polling и определёнными опциями ядра выдаёт до 1 mpps (1 на вход и 1 на выход) c NAT и netflow(ipcad). Знаю, да. Поставили в закупку, но вот про опции ядра, пожалуйста, подробнее - ибо даже dmarck на НАТе пару лет назад получал 100 кппс. Всё проще: NAT уже не нужен, - все дают "белые" адреса :-)Скоро все на нате сидеть будем =) ип6-ип4, адреса кончились и т.п. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Гость andrew Опубликовано 4 марта, 2010 · Жалоба Negator: в sysctl.conf: kern.ipc.somaxconn=4069 kern.polling.enable=1 kern.ipc.maxsockets=204800 kern.ipc.shmall=128000000 kern.ipc.shmmax=128000000 kern.ipc.nmbclusters=262144 kern.maxfiles=204800 kern.maxfilesperproc=200000 net.inet.tcp.maxtcptw=40960 net.inet.tcp.msl=30000 net.inet.tcp.nolocaltimewait=1 net.inet.tcp.fast_finwait2_recycle=1 в rc.conf в описание интерфейса дописать "polling" Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
XeonVs Опубликовано 4 марта, 2010 · Жалоба ASR1002-ESP5 при NAT 400К сессий, 500Mbit, 100Кpps потока уходит в ребут в произвольные моменты времени... Может двое суток простоять, а может и перезапускать карты раз в 10-15 минут на протяжении нескольких часов. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Прохожий Опубликовано 4 марта, 2010 · Жалоба О, как интересно, на меня уже ссылаются :) "теория заговора" очень даже интересна, но тут есть моменты: а) каков в мировом масштабе рынок заточенных под NAT устройств? б) сколько времени и денег надо на разработку и стабилизацию софта для любого сетевого процессора? Делим б на а и получаем те самые деньги, которые совершенно не бьются со стоимостью запаянных чипов. То есть можно разработать, потратить, к примеру, лимон зелени. А продашь за три года сто штук, и 10К разработки лягут в кост, помимо маркетинга и прочих "орграсходов", которые в составе цены у большинства некитайских вендоров доминируют уже давно. Кстати, очень интересной и перспективной может быть коробка для ната один в один между четверкой и шестеркой. Но и опять же, много их не продать... Так что проблема в основном в востребованности этого девайса, ибо "востребовано тобой - не значит востребовано массово" (с), увы! P.S. Чуть не забыл, Кириллу - респект и уважуха, отличная статья, получал массу удовольствия :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
f13 Опубликовано 4 марта, 2010 · Жалоба Кстати, очень интересной и перспективной может быть коробка для ната один в один между четверкой и шестеркой. Но и опять же, много их не продать... вот только все rfc по трансляции уже имеют исторический статус и не рекомендованы к использованию, см. rfc4966 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mousus Опубликовано 4 марта, 2010 · Жалоба да кстати да, нат это прерагатива уже похоже истории и очень специфичных клиентов, везде проще и дешевле уже на белые перейти Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Гость Sergey Cheban Опубликовано 4 марта, 2010 · Жалоба Про пользу NAT: Про вирусы и DDOS. 1. Из-за NAT'а DDoS'ить можно ничуть не хуже, чем с белых адресов. 2. Вирусы к пользователям прекрасно проникают через NAT по протоколу HTTP. 3. NAT мешает идентификации DOS'ящего. Про рост трафика и торренты. Сейчас пользователи так или иначе скачивают всё, что хотят скачать. Если все перейдут на белые адреса, пользователи от этого не станут смотреть (и, соответственно, качать) больше видео. Ну, может быть, чуть снизится эффект от использования retracker.local, но мне кажется, что для оптимизации потоков трафика всё равно давно пора использовать что-то более эффективное. А NAT'ы, вообще говоря, мешают использованию ICMP для поиска оптимального маршрута. Про то, что за белые адреса можно брать деньги. А не больше ли денег теряется на том, что трафик торрентов из-за NAT'а ходит не оптимальными путями? Про нехватку IP-адресов. Давно пора внедрять IPv6. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
vIv Опубликовано 4 марта, 2010 · Жалоба Скоро все на нате сидеть будем =) ип6-ип4, адреса кончились и т.п. У вас таки кончились адреса и это вас таки волнует? Вот только-что ставил SUSE - еле отпинался от IPv6. А что делать хоямячкам с "семёркой"? Их же никто не спрашивает. Оператоы тупо получат полосу с США. Прощай мультиплексирование, если не настроил IPv6 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
cmhungry Опубликовано 4 марта, 2010 · Жалоба Скоро все на нате сидеть будем =) ип6-ип4, адреса кончились и т.п.У вас таки кончились адреса и это вас таки волнует? Вот только-что ставил SUSE - еле отпинался от IPv6. А что делать хоямячкам с "семёркой"? Их же никто не спрашивает. Оператору тупо получат полосу с США. Прощай мультиплексирование, если не настроил IPv6 Так самое противное, что все равно это так и будет дальше, пока длинк-асус-тренднет-прочая не выпустят рутеры с ип6 поддержкой. Пока не будет нормальных док по правильной настройке ип6 в домосети. Я, например, до сих пор не знаю, как правильно на узловом коте выдать хомячкам ип6 дхцп с роутер-дискавери и т.п., при этом обеспечив еще и нетфлоу в биллинге/для органов, нарезку полосы и т.п. У хомячка рутер типа дир-100, он про ип6 вроде как и не знает, что это такое. Следовательно, 4-то-6 надо городить для рутера, если коннективити давать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 6 марта, 2010 · Жалоба в sysctl.conf:kern.ipc.somaxconn=4069 kern.polling.enable=1 kern.ipc.maxsockets=204800 kern.ipc.shmall=128000000 kern.ipc.shmmax=128000000 kern.ipc.nmbclusters=262144 kern.maxfiles=204800 kern.maxfilesperproc=200000 net.inet.tcp.maxtcptw=40960 net.inet.tcp.msl=30000 net.inet.tcp.nolocaltimewait=1 net.inet.tcp.fast_finwait2_recycle=1 Опять конфиг от веб сервера пихают на роутер. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...