[GTER] Dimensionamento Gateway Linux

Diego Spinola Castro spinolacastro at gmail.com
Thu Mar 26 13:49:56 -03 2015


Ainda sobre a limitação de portas, como uma solução pfSense suporta até 8
milhões de conexões ativas?

https://www.pfsense.org/hardware/#pfsense-store



Em 26 de março de 2015 11:05, Emiliano Martins <emiliano at informatio.com.br>
escreveu:

> Diego,
>
> Apenas uma observação, os 2 MB de tráfego mensal serão consumidos pela
> sinalização da VPN ( já tive esse tipo de problema em um cliente que tinha
> uma conexão por satélite e pagava por MB trafegado). Melhor rever esses
> números.
>
> Abs
>
> Emiliano
>
> Emiliano Martins
>
> 11-97150-6756
>
> Em 26 de março de 2015 10:52, Diego Spinola Castro <
> spinolacastro at gmail.com>
> escreveu:
>
> > Fabricio, eu sei que a solução não é para nuvem, mas o cliente precisa
> que
> > seja exatamente assim.
> > Quanto a VPN eu só vou abrir uma conexão com a operadora de celular
> abrindo
> > assim um caminho para os chips se conectarem ao meu equipamento.
> > De qualquer forma obrigado pelos esclarecimentos, assim que tudo estiver
> no
> > ar eu dou mais informações.
> >
> > Em 26 de março de 2015 10:39, Fabricio Lima <listas at fabriciolima.com.br>
> > escreveu:
> >
> > > somado q seu servidor de vpn é quem vai iniciar o trafego
> > > sugiro fazer um pool de servidores de vpn... eles sim, podem sofrer com
> > > limitaçao..
> > >
> > > mas vc está entregando uma solucao ano 2000 num mundo cloud
> > > talvez seja possivel usar amazon SNS ou SQS para isso, visto q sao
> > > aplicaçoes moveis, pequenas mensagens, etc.
> > >
> > > mas isso é mudar completamente sua arquitetura... isso seria planos
> > futuros
> > > pra uma versao 2.0
> > >
> > > mas dê uma atençao ao concentrador de vpn!!! se for um peer pra 50mil
> > > clientes, pode dar m...
> > >
> > > [ ]'s
> > > Fabricio Lima
> > > When your hammer is C++, everything begins to look like a thumb.
> > >
> > > Em 26 de março de 2015 10:31, Otavio Augusto <otavioti at gmail.com>
> > > escreveu:
> > >
> > > > Agora ficou mais claro, viu que não é difícil da maneira como foi
> > > > feita a pergunta inicialmente as deduções que todos fizeram levavam
> > > > para outro cenário e as respostas não te ajudariam.
> > > >
> > > > Pelo tipo e cliente que passará pela sua rede não irá vários serviços
> > > > ao mesmo tempo eles irão abrir somente uma conexão, considerando o
> > > > pior cenário em que vc tem 50.000 conectados simultaneamente ( algo
> > > > improvável mas possível ) uma máquina virtual com 2 nucleos de 1GHz e
> > > > 1G de RAM daria conta do recado tranquilo, vc vai precisar de um
> > > > tunning com relação a quantidade de portas abertas simultaneamente no
> > > > linux só para garantir.
> > > >
> > > > Em 26 de março de 2015 10:18, Diego Spinola Castro
> > > > <spinolacastro at gmail.com> escreveu:
> > > > > Vamos lá, o cenário seria um autenticador de chips para celular (
> > > RADIUS
> > > > ),
> > > > > então meus clientes seriam equipamentos de telemetria em veículos ,
> > com
> > > > uma
> > > > > quota mensal de 2MB isso mesmo dois megabytes por mês.
> > > > >
> > > > > A arquitetura proposta pela operadora seria algo mais ou menos
> assim:
> > > > >
> > > > >
> > > > > CHIP --> OPERADORA --> | VPN | --> AWS --> INTERNET
> > > > >
> > > > > Dito isso, uma vez os chips autenticados, eles receberiam um ip
> > > inválido
> > > > e
> > > > > o default gateway é o servidor na AWS, por isso perguntei do limite
> > de
> > > > > conexões. As questões de dimensionamento de rede não são relevantes
> > já
> > > > que
> > > > > a AWS me entrega até 10gbit numa interface de rede, eu só preciso
> > usar
> > > > sem
> > > > > me preocupar com redundância de link de internet e etc.
> > > > >
> > > > >
> > > > >
> > > > >
> > > > >
> > > > > Em 26 de março de 2015 10:04, Otavio Augusto <otavioti at gmail.com>
> > > > escreveu:
> > > > >
> > > > >> A questão do ip foi respondida pelos colegas volto a frisar na
> > questão
> > > > >> pq o roteador que faz nat deve estar na nuvem, de qq maneira vc
> > > > >> precisa rotear seu tráfego para a AWS isto implica em ips validos
> ou
> > > > >> NAT ou VPN,
> > > > >> Pela lógica se seus servidores estão na nuvem provavelmente vc não
> > tem
> > > > >> apenas 1 acesso a internet ( ou pelo menos não deveria ) e isto
> > > > >> implica em ter gerenciar os acessos a internet localmente
> > balanceando
> > > > >> link ou monitorando a estabilidade para habilitar a redundância.
> > Para
> > > > >> fazer isto vc deve fazer o gateway  na sua rede e não na nuvem.
> > > > >>
> > > > >> Ainda seguinte este raciocínio vc poderia ter um firewall na AWS
> > para
> > > > >> filtrar o que acessa os servidores mas não precisa de NAT. Mas ai
> a
> > > > >> AWS já tem algumas soluções prontas com balanceamento de carga que
> > > > >> atendem pelo menos 90% dos casos ou até mais.
> > > > >>
> > > > >> Porque vc não diz mais do teu cenário para que possa ser melhor
> > > > auxiliado.
> > > > >>
> > > > >>
> > > > >>
> > > > >> Em 25 de março de 2015 17:07, Diego Spinola Castro
> > > > >> <spinolacastro at gmail.com> escreveu:
> > > > >> > O gateway roda na nuvem porque todos os servidores já roda na
> > nuvem.
> > > > >> > Qual o problema de usar 1 ip? não entendi
> > > > >> >
> > > > >> >
> > > > >> > Em 25 de março de 2015 16:49, Otavio Augusto <
> otavioti at gmail.com>
> > > > >> escreveu:
> > > > >> >
> > > > >> >> 50.000 clientes usando internet geral um serviço específico ?
> > > > >> >> Se for sim primeiro recomendo tirar este gateway da nuvem,
> > segundo
> > > 1
> > > > >> >> ip só pode não ser o suficiente para o masquerade,
> > > > >> >> segundo 10M é muito pouco para toda esta galera,
> > > > >> >> terceiro não rede isto numa nuvem,
> > > > >> >> quarto para esta galera um XEON com 2G RAM.
> > > > >> >>
> > > > >> >> Não entendi porque o gateway que faz NAT de uma rede ficaria na
> > > > nuvem.
> > > > >> >>
> > > > >> >>
> > > > >> >> Em 25 de março de 2015 16:39, Diego Spinola Castro
> > > > >> >> <spinolacastro at gmail.com> escreveu:
> > > > >> >> > A rede iniciará com aproximadamente 50.000 clientes, a minha
> > > > dúvida é
> > > > >> se
> > > > >> >> > por ser Linux eu teria alguma limitação de clientes ou não?
> > Posso
> > > > >> >> > ultrapassar os 65535 ?
> > > > >> >> >
> > > > >> >> > Tudo isso rodará na AWS, o consumo do link hoje é cerca de
> > > 10mb/s.
> > > > >> >> >
> > > > >> >> >
> > > > >> >> >
> > > > >> >> > Em 25 de março de 2015 16:29, Otavio Augusto <
> > otavioti at gmail.com
> > > >
> > > > >> >> escreveu:
> > > > >> >> >
> > > > >> >> >> Para o masquerade o Conntrack deverá estar ativo.
> > > > >> >> >> A quantidade de máquinas para um só gateway é relativo  e
> > > depende
> > > > do
> > > > >> >> >> hardware e o dimensionamento do
> > > > >> >> >> hardware vai depender da quantidade de pps e regras
> stateful.
> > > > >> >> >>
> > > > >> >> >> De mais detalhes da rede como tamanho do link e quanto pps
> ja
> > > > passa
> > > > >> na
> > > > >> >> >> rede.
> > > > >> >> >>
> > > > >> >> >>
> > > > >> >> >>
> > > > >> >> >> Em 25 de março de 2015 16:12, Diego Spinola Castro
> > > > >> >> >> <spinolacastro at gmail.com> escreveu:
> > > > >> >> >> > Olá pessoal.
> > > > >> >> >> > Preciso dimensionar um gateway rodando Linux que servirá
> > como
> > > > >> Gateway
> > > > >> >> >> para
> > > > >> >> >> > uma rede privada.
> > > > >> >> >> >
> > > > >> >> >> > A idéia é descobrir quantos servidores (na rede LAN) uma
> > > maquina
> > > > >> Linux
> > > > >> >> >> > consegue processar, existe alguma limitação levando em
> > > > consideração
> > > > >> >> que
> > > > >> >> >> > será apenas um gateway (MASQUERADE)?
> > > > >> >> >> >
> > > > >> >> >> > PS: Redirecionamento de portas ou conntrack não serão
> > > > utilizados.
> > > > >> >> >> > --
> > > > >> >> >> > gter list
> https://eng.registro.br/mailman/listinfo/gter
> > > > >> >> >>
> > > > >> >> >>
> > > > >> >> >>
> > > > >> >> >> --
> > > > >> >> >> Otavio Augusto
> > > > >> >> >> ---------------------
> > > > >> >> >> Consultor de TI
> > > > >> >> >> Citius Tecnologia
> > > > >> >> >> 31 37761866
> > > > >> >> >> 31 88651242
> > > > >> >> >> http://www.citiustecnologia.com.br
> > > > >> >> >> --
> > > > >> >> >> gter list    https://eng.registro.br/mailman/listinfo/gter
> > > > >> >> >>
> > > > >> >> > --
> > > > >> >> > gter list    https://eng.registro.br/mailman/listinfo/gter
> > > > >> >>
> > > > >> >>
> > > > >> >>
> > > > >> >> --
> > > > >> >> Otavio Augusto
> > > > >> >> ---------------------
> > > > >> >> Consultor de TI
> > > > >> >> Citius Tecnologia
> > > > >> >> 31 37761866
> > > > >> >> 31 88651242
> > > > >> >> http://www.citiustecnologia.com.br
> > > > >> >> --
> > > > >> >> gter list    https://eng.registro.br/mailman/listinfo/gter
> > > > >> >>
> > > > >> > --
> > > > >> > gter list    https://eng.registro.br/mailman/listinfo/gter
> > > > >>
> > > > >>
> > > > >>
> > > > >> --
> > > > >> Otavio Augusto
> > > > >> ---------------------
> > > > >> Consultor de TI
> > > > >> Citius Tecnologia
> > > > >> 31 37761866
> > > > >> 31 88651242
> > > > >> http://www.citiustecnologia.com.br
> > > > >> --
> > > > >> gter list    https://eng.registro.br/mailman/listinfo/gter
> > > > >>
> > > > > --
> > > > > gter list    https://eng.registro.br/mailman/listinfo/gter
> > > >
> > > >
> > > >
> > > > --
> > > > Otavio Augusto
> > > > ---------------------
> > > > Consultor de TI
> > > > Citius Tecnologia
> > > > 31 37761866
> > > > 31 88651242
> > > > http://www.citiustecnologia.com.br
> > > > --
> > > > gter list    https://eng.registro.br/mailman/listinfo/gter
> > > >
> > > --
> > > gter list    https://eng.registro.br/mailman/listinfo/gter
> > >
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>



More information about the gter mailing list