构建一台大容量的NAT服务器

ShadowStar

原帖由 ippen 于 2008-7-9 14:27 发表


在06年，开始做这个NAT的时候，测试过双核的机器，当时的结论是nat不适合用双cpu和双核，所以一直用单核
至于测试，在测试环境中的表现，似乎双核or 双cpu有优势，但到了实际使用中，如果用双核或双cpu，流 ...

我之前的工作中，用一台双CPU，4核的系统作全部上网流量的过滤和控制，一直没出过问题。
流量高峰大概400Mbps，平时也有200－300Mbps。

tangye

旁观各位高手讨论

独孤九贱

原帖由 ShadowStar 于 2008-7-9 14:01 发表
2.6.24内核的conntrack_max/buckets = 4。
增大hash_size可以减少碰撞，（hash的算法是jhash，Bob Jenkins那个），hash的计算是根据5元组来的，只要保证5元组唯一就可以，所以单IP 4W连接的说法是没有道理的。 ...

应该不是链表的原因。我最多允许100W多点，链表是16。没有仔细去想过原因，有时间再搞了。不过你说的双核各绑定一个网卡的结果，还是让我充满期待，过阵子找台双核至强的机器来试试。

yulc

收藏了,多谢分享!

ShadowStar

原帖由 独孤九贱 于 2008-7-9 17:02 发表


应该不是链表的原因。我最多允许100W多点，链表是16。没有仔细去想过原因，有时间再搞了。不过你说的双核各绑定一个网卡的结果，还是让我充满期待，过阵子找台双核至强的机器来试试。

如果你使用大量的随机地址来进行测试的话，主要测试的就不是吞吐虑，而是新建连接数了。

所谓线速转发，通常都是点对点的吞吐虑可以达到100Mbps／1000Mbps。

chenyx

收藏了，大有启发！！

wchun

楼主请看我以前发过的贴：
http://linux.chinaunix.net/bbs/thread-835936-1-1.html

我觉得使用多IP进行NAT不应该使用-j SNAT。

The history of SAME is to make a target act like SNAT, but choose the SAME source address for SAME destination address.

Before kernel 2.6.11 you could specify more than one --to-source option for SNAT, kernel will choose any of these addresses to do NAT. After 2.6.11 you could still assign a block of continuous address in --to-source, for example --to-source 192.168.0.1-192.168.0.5. But you can not assign multiple --to-source like --to-source 192.168.0.1 --to-source 192.168.1.1.

Instead, you should use SAME target,
iptables -A POSTROUTING -j SAME --to-source 192.168.0.1 --to-source 192.168.1.1
This gives a client the same source-/destination address for each connection.

贴个现截的图，前段时间的高峰流量近800M。

[ 本帖最后由 wchun 于 2008-7-9 21:31 编辑 ]

libinz

学习学习中！

platinum

原帖由 ShadowStar 于 2008-7-9 14:01 发表
2.6.24内核的conntrack_max/buckets = 4。
增大hash_size可以减少碰撞，（hash的算法是jhash，Bob Jenkins那个），hash的计算是根据5元组来的，只要保证5元组唯一就可以，所以单IP 4W连接的说法是没有道理的。 ...

为什么说单 IP 4W 连接的说法是没有道理的呢？没想通

ssffzz1

是没啥确实的道理。因为PNAT要换端口的，一个IP的端口数理论是65535，做NAT的时候1024一下的一般不能用。然后在去除一些个别的（不同的NAT设备从那个端口开始NAT策略也不完全相同）再考虑一下性能等等。基本经验值是4W多。当然你要跑到5W，也应该可行。