ＬＩＮＵＸ做代理服务器，８００个客户端，经常出现系统崩溃

bili

我们单位也用的LINUX做NAT。问题也是多多。
  
  做NAT的服务器是HP Proliant ML570,双P III Xeon 700/1M ,2G mem.连接了50个B段，3个C段。实际连接的用户数大概在3000左右。一共有50个学校通过NAT上网。实际使用中一直会出现

NET: 291 messages suppressed.
Neighbour table overflow.

这样的错误 。

   刚开始的时候，这种错误很多，出现的次数很快，很多机器不能上网。后来上网查资料，做了些更改

echo "1">;/proc/sys/net/ipv4/conf/eth1/proxy_arp

echo "1024">;/proc/sys/net/ipv4/neigh/gc_thresh1
echo "2048">;/proc/sys/net/ipv4/neigh/gc_thresh2
echo "4096">;/proc/sys/net/ipv4/neigh/gc_thresh3

错误出现的频率低了，大致不影响上网。
说实在的，这些参数的作用根本不明白。
我感觉 echo "1">;/proc/sys/net/ipv4/conf/eth1/proxy_arp 这条应该是最有用的。加上这条，错误马上就降下来了。

不知哪位高人有这方面的资料介绍我学习学习，好苦闷。

论坛里的JohnBull曾经说过用ARPD可以解决这个问题，不过我一直没弄明白怎么用。我用ARPD试过，虽然不出现错误，但好像上网速度特别慢。

现在这样凑和用着，目前不知道有多少个点同时连接上。不会查，呵呵，哪位教教我。

CPU使用量一直很低，大概用了10%左右，而且我还开了SQUID，只是内存的使用量很高，有个MDMPD程序能使用1.2G左右的内存。

单位里本来用的硬件防火墙做NAT，这台防火墙其实也是台电脑，CPU是PIII 450(不是至强，就是普通的PIII)，内存128M，里面还有个硬盘。当时买的时候说是无限制连接，8月份的时候坏了一次，厂商说是硬盘坏了，换了一台新的。从这以后就不停的坏，已经换了三台的。晕死。。。。

pengyl

原帖由 "bili" 发表：
我们单位也用的LINUX做NAT。问题也是多多。
  
  做NAT的服务器是HP Proliant ML570,双P III Xeon 700/1M ,2G mem.连接了50个B段，3个C段。实际连接的用户数大概在3000左右。一共有50个学校通过NAT上网。实际使用?.........

拿来用用先。感谢，再次感谢！
要是能有人解释一下最好。

happyhunter

[quote]原帖由 "fushuyong"]很久没来CU看看了，呵呵。我说下我的看法。使用Linux做NAT，带动800用户是绝对没问题的。但是，要注意几个问题。第一，系统本身要经过调整，即使你不对ipv4中的相关阀值进行调整，你最起码要停掉不必要的服务。第二?.........[/quote 发表：


同意.谈谈我的看法,我这里也是用linux+iptables+nat+squid带动上网的,节点在1000左右,应该说速度是令人满意的,我的机器是dl580,和你的机器配置应该差不多,
首先,这个规模的网络,没有三层交换机是不可想象的,利用三层交换机和linux联合做配置是保证网络质量的前提.
其次,你应该在linux前面的三层交换机上应该做一些流量过滤或qos的设置,比如把linux单独设到一个vlan里,对流进行分类,首先要保证到nat的流量都是要出去的流量,
第三,如果你的网内病毒主机太多,也应该在交换机里做acl来控制,在nat里用iptables是没有效果的,比如,去年9月冲击波发作的时候,我就是在三层交换机里写acl禁掉所有断口的icmp包来避免网络瘫痪的.

jiangxiyou

原来是这样，真是增长见识啊，可惜LINUX不是那么很轻松就搞懂了，所以太深奥了。

supercctv

建议用freeBSD

platinum

原帖由 "happyhunter" 发表：

同意.谈谈我的看法,我这里也是用linux+iptables+nat+squid带动上网的,节点在1000左右,应该说速度是令人满意的

2000没问题，跑的好好的
其实主要和优化、管理有很大关系

KindGeorge

linux+iptables+nat+squid 是个好方法,最好配合 tc ,做流量控制.这样就会把你的网络效率提高数十倍.
我们应该了解导致网络慢的原因,是机器慢,还是系统慢,还是网络堵塞.
近日研究了linux的tc流量控制后.发觉造成慢的原因重点是网络堵塞.
实践证明,如果有一个机器在上传或下载大文件,将导致整个网络上网变得很慢.
但用tc做了流量控制后,效果明显改善.就算很多人一起上时网络速度也面不改容.
建议研究一下<<Linux的高级路由和流量控制HOWTO>;>;,你的网络一定会快起来.
tc能实现终极的流量控制：低延迟、高速上/下载
让交互数据包保持较低的延迟时间
也就是说上载或下载文件不会互相打扰
上载或下载期间有合理的速率用于网页浏览
上载数据流会影响下载的速率，这是相当普遍的现象。
只要花费一点点带宽就可以实现它们。用linux的tc吧.
建议用 htb 和cbq

顺风_飞扬

我看了你说在linux服务器上做MAC地址帮定，那你的网络肯定没有划分VLAN。800用户都在同一网段，广播风暴都不得了。建议采用三层交换机划分VLAN，做冲击波等数据包的过滤。选择台两万的服务器就OK了。

tlm009

个人感觉BSD要比LINUX稳定，如果比较熟的话可以试试FREEBSD！另外就是楼上几位兄弟说的，用三层交换机划分VLAN实在是太有必要了

四海

happyhunter的方法最好，用三层交换作端口限制和qos，用linux/bsd作nat或代理。
对于三层交换机来说，端口限制和qos等全部都是硬件实现的，速度飞快，转发速率动辄上千万包/秒。但做nat就还不如pc机，因为nat纯粹是软件功能，需要cpu在内存中维护一个庞大的并发连接表，而交换机的cpu和内存都很一般。所以cisco的中低档三层交换机、华为6500以下的交换机都不支持做nat，因为太消耗cpu资源。反而最小的路由器却都可以，因为路由器是纯软件转发的，但中低端路由器的性能同样远远不能跟现在的pc相比。
最标准的nat设备是防火墙，大部分都是基于pc/linux/bsd架构，高档点的能实现近百万并发连接。
前面几位都提到网卡的重要性，这一点极其关键。