ＬＩＮＵＸ做代理服务器，８００个客户端，经常出现系统崩溃

andyliu

原帖由 "q1208c" 发表：
那为什么一定要用三层的交换机呢？ 有二层交换机加路由器不行么？

三层交换好象很贵吧？

在功能上基本相同,但费用上的确是后者更高.高出的部分应该就是技术上的整合性吧,不清楚.

peng

三层交换机的原理是中心路由，所有的数据都可以交换机的自身策略，在不同的端口之间路由。充分的体现了交换的功能。

二层交换机＋路由器，应该叫做边界路由吧。所有需要转发的包，都要先通过和路由器连接的交换机端口，通过路由器的策略，再返回到各个端口。很显然，网络数据传输的瓶颈现实出来了。

如果交换的数据频繁，而且数据量大，问题更加突出。
所以，三层交换机应该是边界路由的一个技术升级的产品。

unixyeah

DOS 可以把内部拖垮吗

moomoon

iptable 的条件有点太多了，综合一下看看。

coolgg

根据我的经验呢,即使是一个PIX525防火墙做NAT,在ip spoofing的tcp syn flood面前如果acl没有配置好的话也是几秒钟就死翘翘,连console都没反应.
所以出现问题的时候最好能用另一台机器抓下包看看,是不是有很多伪装的源地址在发起连接.
用防火墙规则先把源地址进行限制,然后再让nat的源地址限制生效,否则cpu就被胀死了.
如果伪装的源地址就是合法地址你就惨了,除了高速cpu或硬件没有什么好办法解决的.
BTW,2年前我一个同事用一个简易的软盘版linux系统做nat带过2000以上并发用户,流量超过60Mbps.很久没有联系过了,不知道是不是还在跑.

tma

顶

abc3w

PC：PII260M，96M内存，双D-Link网卡，RH9，双ADSL，NAT网关100台机，跑的很好。

emylekao

好贴，感觉应该精华。

看下来，长见识了。

ecloud

给几个建议：
1、用好一点的网卡，至少也得是老板530TX，3C905就更好了，8139本质上就是10M卡
2、划分一下VLAN，网关上装几块网卡就画几个VLAN，个人感觉2-3个足矣
3、如果条件允许，建议再使用一台机器作为透明防火墙，也就是网桥+IP过滤（同时也可以加入IDS），机器不设IP地址，原来那台机器只做NAT

laoheimao

帮别人装过一台nat服务器, 用了六块8139网卡,连六栋楼,因为没有三层设备呀.
大概带了600台pc.硬件是p4 1.6G, 256M内存,有时候会死机.感觉是网卡差了点,经常有pci检测不到网卡.
我觉得1) 需要好一些的网卡,比如intel pro
2) 稳定一点的主板和电源  应该可以支持住