原帖由 wxw2004gl 于 2006-10-11 19:31 发表
只要提高nat性能就可以了,其他的过滤和防病毒可以不做!
liuliang.JPG (22.62 KB, 下载次数: 19)
2006-10-11的流量图表
原帖由 Momoass 于 2006-10-12 16:54 发表
Full Pass? keep state?
原帖由 Momoass 于 2006-10-12 17:04 发表
set timeout { tcp.first 10, tcp.opening 10, tcp.established 1800 }
set timeout { tcp.closing 5, tcp.finwait 5, tcp.closed 5 }
set timeout { udp.first 30, udp.single 10, udp.multiple 300 }
set timeout { icmp.first 10, icmp.error 5 }
set timeout { other.first 30, other.single 10, other.multiple 60 }
pass 语句加 keep state 减少匹配时间。
最好用altq限制每客户的最高连接数。
原帖由 langue 于 2006-10-12 18:45 发表
这主意不错。
原帖由 wxw2004gl 于 2006-10-12 22:05 发表
这样做好像不行哦,加了之后性能更加低了,keep state后连接数到了23w了!
原帖由 Momoass 于 2006-10-13 04:25 发表
1个公网IP最多只有6W4个左右端口可以用,也就是说一个公网IP支持最佳states应该是6W4以内。
假如你有1000个客户,每客户允许500个states,1000x500=50W,每客户都满负载运行的话应该要用8个公网IP来做NAT池才够。 ...
欢迎光临 Chinaunix (http://bbs.chinaunix.net/) | Powered by Discuz! X3.2 |