Gå til innhold

Valg av router/lag-3 switch

simrem

Av simrem
i Datamaskiner

Anbefalte innlegg

simrem

simrem

Skrevet
Skrevet (endret)

Hei,

 

Er nettverksansvarlig på et hybelhus fullt av studenter (50) der mange har lyst å bruke bittorrent. Dette blir et problem ettersom routeren/gateway blir overbelastet grunnet at omaddresseringtabellen (NAT tabellen) blir meget stor. Bittorrent bruker som kjent ganske mange tilkoblinger.

 

Visst studentene skal få tilgang til bruke bittorrent må vell routern byttes ut.

Har hørt at lag-3 switcher skal ver flinke på slikt, men tenkte å spøre om noen har erfaring eller kunnskap om dette temaet.

 

Hva bør anskaffes?

 

Routeren som står der idag er en Zyxel Prestige 650R.

Endret av SIR83
Lenke til kommentar

Videoannonse

Videoannonse
Annonse
lohelle

lohelle

Skrevet
Skrevet (endret)
Spørs behovet ditt.

Lag3-switcher eller en router.

Alternativt en Linux-boks med en brannmur/ruter distro.

 

Kommer an på eget kunnskapsnivå, budsjett og hvordan den tekniske løsningen ser ut. Med andre ord: mer informasjon kreves :)

7104631[/snapback]

 

hva med en brukt cisco router? der kan du også sette antall nat translations tillatt pr bruker...

Husk at L3-switcher ikke kan NAT'e, så hver "bruker" må få egen public IP..

En Cisco 26XXXM vil vel gjøre jobben.. eller en Cisco 1841-router kanskje?

 

Ellers så bruker jeg Cisco 3550 L3-switch til mine public adresser (96 stk)

Endret av lohelle
Lenke til kommentar
simrem

simrem

Skrevet
  • Forfatter
Skrevet
Spørs behovet ditt.

Lag3-switcher eller en router.

Alternativt en Linux-boks med en brannmur/ruter distro.

 

Kommer an på eget kunnskapsnivå, budsjett og hvordan den tekniske løsningen ser ut. Med andre ord: mer informasjon kreves :)

7104631[/snapback]

 

Kunnskapsnivået mitt er ganske greitt når det gjelder generelt datakommunikasjon (osi-modellen og etc.) og har grei teknisk innsikt for nettverksløsninger. Men er heller litt grønn når det gjelder hva hardware som er å satse på.

 

Budsjettet... BILLIG ;)

 

Oppsettet idag er en Zyxel router, koblet i en linuxbox som fungerer som brannmur, som igjen er koplet i noen 24 porters unmanaged switcher.

 

Routeren er levert av ISP og har en statisk offentlig IP-adresse.

 

Linuxboxen har to ethernetkort med en brannmurdistro, Clarkconnect.

 

Slik jeg ser for meg ei ny løsning er:

-En mer avansert router med muligheter som større NAT-tabell, sette grenser på maks tilkoblinger, pakkefiltrering(lag3), god logging osv.

-managed switcher

-mulighet for å spore ip til spesifikk port på switchen.

-mulighet til å angi maks antall ip-adressen pr port på switchene.

 

Mer info? :)

Lenke til kommentar
tyldum

tyldum

Skrevet
Skrevet

Vel, jeg ville ha benyttet Linux-boksen til NAT også.

Med en managed switch som f.eks Cisco Catalyst 2950 får du det meste du trenger (god administrasjon, qos, snmp). Du kan også konfigurere maks antall MAC per port (du har også 'sticky' MAC hvor du kan be switchen glemme MAC etter en viss periode slik at du slipper å resette porten dersom en beboer flytter ut).

 

Jeg bruker 2950 som kantsvitcher og via SNMP så henter jeg ut MAC-adresser som loggføres i Cacti (med MacTrack plugin). Da ser jeg hvilke porter MAC opptrer på. Grafer også trafikken på hver port (både bits/sek og pakker/sek).

 

MacTrack mapper også opp IP mot MAC, så det er god sporbarhet.

 

Koster deg en managed switch (4-5000 for 2950) og noen timer innsats.

 

Har selv en slik linux-router for å betjene omlag 500 brukere bak NAT, en løsning mange misunner da den er ekstremt fleksibel og billig.

Lenke til kommentar
simrem

simrem

Skrevet
  • Forfatter
Skrevet (endret)
Vel, jeg ville ha benyttet Linux-boksen til NAT også.

Med en managed switch som f.eks Cisco Catalyst 2950 får du det meste du trenger (god administrasjon, qos, snmp). Du kan også konfigurere maks antall MAC per port (du har også 'sticky' MAC hvor du kan be switchen glemme MAC etter en viss periode slik at du slipper å resette porten dersom en beboer flytter ut).

 

Jeg bruker 2950 som kantsvitcher og via SNMP så henter jeg ut MAC-adresser som loggføres i Cacti (med MacTrack plugin). Da ser jeg hvilke porter MAC opptrer på. Grafer også trafikken på hver port (både bits/sek og pakker/sek).

 

MacTrack mapper også opp IP mot MAC, så det er god sporbarhet.

 

Koster deg en managed switch (4-5000 for 2950) og noen timer innsats.

 

Har selv en slik linux-router for å betjene omlag 500 brukere bak NAT, en løsning mange misunner da den er ekstremt fleksibel og billig.

7114735[/snapback]

 

Ja da må jeg forske litt på det å sette opp NAT på boksen og bridge modemet :)

Det skal vell ikke ver problem å sette grense på maks antall connections pr ip?

Mener å ha lest en eller annen plass at bittorrentbruk kneler lett en linux-router.

Endret av SIR83
Lenke til kommentar
tyldum

tyldum

Skrevet
Skrevet

Du tenker sikkert på testen Toms Hardware gjorde på Linksys, men dette er en litt annen liga. Disse småruterne har 200MHz-prosessorer og mellom 2 og 16MB RAM, du har forhåpentligvis litt mer i din Linux-boks. Testen viste problemer med 32 simultane forbindelser. Jeg gjorde en ytelsestest med bittorrent hvor jeg klarte 70mbit gjennom den (vi har en 100mbit linje levert over radiolinje). Jeg vil tro det dreide seg om flere tusen forbindelser.

 

En kommersiell løsning som overgår Linux-ruteren din vil nok koste deg betydelig mer enn en Elkjøp-ruter.

 

Jeg betviler at du klarerå tyne boksen din på noe særlig, men et tips for høy ytelse (lav latency) er å ha nettverkskortene på egne IRQ'er.

Lenke til kommentar
lohelle

lohelle

Skrevet
Skrevet (endret)

Jeg styrer en firewall (firewall/nat) som styrer nett-tilgangen til et næringsbygg. Her snakker vi om ca 60 subnets som går via L3 switch og gjennom denne firewall-en.

Vi hadde problemer med stabiliteten da vi først brukte linux/shorewall. Dette prøvde vi faktisk på 3 forskjellige servere, men stabilitet uteble. Dette var skikkelige servere med dedikerte pci(-x) bus pr slot osv.

 

Så satte vi opp en Cisco 2621XM. Denne fungerte meget bra i starten, men så hang den av og til. Problemet fant jeg da jeg kjørte "show ip nat translations" og over 60000 samtidige translations lå der. Omtrent alle kom fra 15-20 brukere og dette viste seg å være bittorrent. Enkelte brukere hadde over 6000 samtidige translations!

Det blir da rett og slett ikke nok porter tilgjengelig til translation (med en public ip i hvert fall)

 

Løsningen ble å sette max antall translations pr bruker til 1000 og sette timeout på disse til 2 timer.

ip nat translation max-entries all-host 1000

ip nat translation tcp-timeout 7200

Cpu load ligger nå på omtrent 10% i snitt (litt over om natten og litt under om dagen. Mer om natten pga flere nedlastinger med bittorrent da)

Om du går for en Cisco router så pass på at du har nok minne i denne! for det er "det som gjelder" om du har mange translations.

 

edit: Skype (av alle ting) bruker faktisk også ganske mange translations.

Endret av lohelle
Lenke til kommentar
tyldum

tyldum

Skrevet
Skrevet (endret)

NAT vil kreve minne. På Linux vil 1GiB RAM gi deg rom for omlag 65536 forbindelser. Mer ram vil gi rom for flere forbindelser (standardformel er: MiB RAM * 16 = NAT-forbindelser). Om det skulle bli en flaskehals så kan man nok trygt øke denne ytterligere. Økning av hashsize kan også gi forbedringer.

 

Jeg føler meg forøvrig trygg på at dette lille nettet ikke vil være noen stor utfording for noe utstyr som er beregnet på seriøs bruk.

 

Skype er faenskap, intet mindre. Du har gode odds for å ende opp som supernode og da ruter du trafikken for folk som sitter bak brannmurer. Resultatet er at du både lesses ned med forbindelser, men også trafikk.

 

Skype som ligger i bakgrunnen er svært ofte årsak til at folk klager over tregt nett...

 

Edit:

Skader ikke å liste opp hvordan man definerer grenser for antall forbindelser også i Linux:

Grense med 1000 per IP:
  iptables -p tcp --syn -s lokaltsubnett/24 -m connlimit --connlimit-above 1000 -j REJECT
Grense med 15000 per subnett (med 24-nett)
  iptables -p tcp --syn -s lokaltsubnett/24 -m connlimit --connlimit-above 15000 --connlimit-mask 24  -j REJECT

Endret av tyldum
Lenke til kommentar
lohelle

lohelle

Skrevet
Skrevet
NAT vil kreve minne. På Linux vil 1GiB RAM gi deg rom for omlag 65536 forbindelser. Mer ram vil gi rom for flere forbindelser (standardformel er: MiB RAM * 16 = NAT-forbindelser). Om det skulle bli en flaskehals så kan man nok trygt øke denne ytterligere. Økning av hashsize kan også gi forbedringer.

 

Jeg føler meg forøvrig trygg på at dette lille nettet ikke vil være noen stor utfording for noe utstyr som er beregnet på seriøs bruk.

 

Skype er faenskap, intet mindre. Du har gode odds for å ende opp som supernode og da ruter du trafikken for folk som sitter bak brannmurer. Resultatet er at du både lesses ned med forbindelser, men også trafikk.

 

Skype som ligger i bakgrunnen er svært ofte årsak til at folk klager over tregt nett...

 

Edit:

Skader ikke å liste opp hvordan man definerer grenser for antall forbindelser også i Linux:

Grense med 1000 per IP:
  iptables -p tcp --syn -s lokaltsubnett/24 -m connlimit --connlimit-above 1000 -j REJECT
Grense med 15000 per subnett (med 24-nett)
  iptables -p tcp --syn -s lokaltsubnett/24 -m connlimit --connlimit-above 15000 --connlimit-mask 24  -j REJECT

7118744[/snapback]

 

interessant! kan man HINDRE skype i å "gjøre dette" uten å ødelegge for den vanlige bruken av skype ? ser at skype titalls (og ofte ENDA flere) translations pr bruker.. Kan ikke skjønne at så mange er nødvendig..

Lenke til kommentar
tyldum

tyldum

Skrevet
Skrevet

I oppsettet til Skype kan du be om å ikke bli supernode, hvis jeg husker rett. Ellers har jeg ikke studert andre måter å gjøre seg mindre attraktiv på... Men om du har NAT selv kan det høye antallet skyldes at dine brukere må benytte seg av andre supernoder, mer eller mindre slik som bittorrent virker.

Lenke til kommentar
simrem

simrem

Skrevet
  • Forfatter
Skrevet
NAT vil kreve minne. På Linux vil 1GiB RAM gi deg rom for omlag 65536 forbindelser. Mer ram vil gi rom for flere forbindelser (standardformel er: MiB RAM * 16 = NAT-forbindelser). Om det skulle bli en flaskehals så kan man nok trygt øke denne ytterligere. Økning av hashsize kan også gi forbedringer.

 

 

Da må jeg oppgradere minnet :)

Det brukes en AMD K6-2 500MHz maskin med 128MB :cry: minne.

Er hastigheten på prosessoren for treg?

Lenke til kommentar
tyldum

tyldum

Skrevet
Skrevet

Hvor rask linje har du?

NAT + høy hastighet = CPUforbruk.

Jeg flatet ut på 40mbit med NAT på min midlertidige ruter som da var på 233 MHz, men det var en kunstig test. Med hard NAT-ing på 50 brukerle ville det nok blitt trøbbel før.

 

I og med at du har den ZyXel'en tipper jeg du ikke har noen halsbrekkende hastighet og at den skal holde. Jeg tror heller minnet blir flaskehals for din del, 128MB er alt for lite til dette.

Det beste er å få seg 1GiB, og disker i RAID1 (ille om nettet skulle tryne fordi en HD trynet). Trenger ikke RAID-kontroller, bare software RAID mellom to IDE-harddisker på ulike kanaler.

Lenke til kommentar
simrem

simrem

Skrevet
  • Forfatter
Skrevet
Hvor rask linje har du?

NAT + høy hastighet = CPUforbruk.

Jeg flatet ut på 40mbit med NAT på min midlertidige ruter som da var på 233 MHz, men det var en kunstig test. Med hard NAT-ing på 50 brukerle ville det nok blitt trøbbel før.

 

I og med at du har den ZyXel'en tipper jeg du ikke har noen halsbrekkende hastighet og at den skal holde. Jeg tror heller minnet blir flaskehals for din del, 128MB er alt for lite til dette.

Det beste er å få seg 1GiB, og disker i RAID1 (ille om nettet skulle tryne fordi  en HD trynet). Trenger ikke RAID-kontroller, bare software RAID mellom to IDE-harddisker på ulike kanaler.

7119874[/snapback]

 

Har en adsl linje på 8Mbit/700kBit.

Det blir vell litt feil å sammenligne prosessorhastighet på en router og en linuxbox. En router er vell mindre kompleks enn en linuxbox.

 

Det beste hadde vell vert å putta i masse RAM og ordnet en RAM-disk, slik at harddisken ikke blir ibruk :) ?

Lenke til kommentar
tyldum

tyldum

Skrevet
Skrevet

Mange hjemmeløsninger bruker CompactFlash o.l for lagring. Du trenger ikke noen ytelse på diskene. Personlig foretrekker jeg jeg raid1 på ordinære disker.

 

Spesialiserte rutere koster flesk, man kan under visse omstendigheter yte bedre da de ofte inneholder spesielle prosessorer for sppesifikke oppgaver.

 

Siden vi er innom emnet kan jeg jo legge ved en god ressurs på netfilter-ytelse:

http://www.wallfire.org/misc/netfilter_conntrack_perf.txt

Lenke til kommentar
simrem

simrem

Skrevet
  • Forfatter
Skrevet

.....

 

Edit:

Skader ikke å liste opp hvordan man definerer grenser for antall forbindelser også i Linux:

Grense med 1000 per IP:
  iptables -p tcp --syn -s lokaltsubnett/24 -m connlimit --connlimit-above 1000 -j REJECT
Grense med 15000 per subnett (med 24-nett)
  iptables -p tcp --syn -s lokaltsubnett/24 -m connlimit --connlimit-above 15000 --connlimit-mask 24  -j REJECT

7118744[/snapback]

 

Har problemer med å angi grense pr IP.

 

eth0: offentlig IP

eth1: lokalt subnett (192.168.0.0/24)

 

Prøvde med denne kommandoen, men det feilet.

Er ikke helt stødig på iptables...

[root@gateway /]# iptables -A OUTPUT -p tcp -s 192.168.0.0/24 --syn -m connlimit --connlimit-above 500 -j REJECT

iptables: No chain/target/match by that name

 

Noen forslag? :whistle::)

Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
Gå til emneliste

  • Hvem er aktive   0 medlemmer

    • Ingen innloggede medlemmer aktive
×
×
  • Opprett ny...