[GTER] Dimensionamento Gateway Linux

Fabricio Lima listas at fabriciolima.com.br
Thu Mar 26 14:41:57 -03 2015


cada sessao de rede, utiliza um descritor em memoria...
e sao temporarias...

chegou o pacote, pego, roteio, tchau....

o seu NAT é diferente... eu recebo, monto tabela NAT (ip origem, porta
origem, ip destino, porta destino)
mantenho a conexao aberta... envio o pacote pro destino...espero retorno...
recebo, remonto pacote, entrego, e entao fecho (retiro) da tabela NAT.

por isso fico limitado a 65mil
eh literalmente uma aplicaçao cliente/servidor..
eu viro um servidor de acessos TCP.

se nao entendeu, pergunte novamente, precisamos q vc tenha isso bem claro.

rotear é diferente de 'natear'.

[ ]'s
Fabricio Lima
When your hammer is C++, everything begins to look like a thumb.

Em 26 de março de 2015 13:49, Diego Spinola Castro <spinolacastro at gmail.com>
escreveu:

> Ainda sobre a limitação de portas, como uma solução pfSense suporta até 8
> milhões de conexões ativas?
>
> https://www.pfsense.org/hardware/#pfsense-store
>
>
>
> Em 26 de março de 2015 11:05, Emiliano Martins <emiliano at informatio.com.br
> >
> escreveu:
>
> > Diego,
> >
> > Apenas uma observação, os 2 MB de tráfego mensal serão consumidos pela
> > sinalização da VPN ( já tive esse tipo de problema em um cliente que
> tinha
> > uma conexão por satélite e pagava por MB trafegado). Melhor rever esses
> > números.
> >
> > Abs
> >
> > Emiliano
> >
> > Emiliano Martins
> >
> > 11-97150-6756
> >
> > Em 26 de março de 2015 10:52, Diego Spinola Castro <
> > spinolacastro at gmail.com>
> > escreveu:
> >
> > > Fabricio, eu sei que a solução não é para nuvem, mas o cliente precisa
> > que
> > > seja exatamente assim.
> > > Quanto a VPN eu só vou abrir uma conexão com a operadora de celular
> > abrindo
> > > assim um caminho para os chips se conectarem ao meu equipamento.
> > > De qualquer forma obrigado pelos esclarecimentos, assim que tudo
> estiver
> > no
> > > ar eu dou mais informações.
> > >
> > > Em 26 de março de 2015 10:39, Fabricio Lima <
> listas at fabriciolima.com.br>
> > > escreveu:
> > >
> > > > somado q seu servidor de vpn é quem vai iniciar o trafego
> > > > sugiro fazer um pool de servidores de vpn... eles sim, podem sofrer
> com
> > > > limitaçao..
> > > >
> > > > mas vc está entregando uma solucao ano 2000 num mundo cloud
> > > > talvez seja possivel usar amazon SNS ou SQS para isso, visto q sao
> > > > aplicaçoes moveis, pequenas mensagens, etc.
> > > >
> > > > mas isso é mudar completamente sua arquitetura... isso seria planos
> > > futuros
> > > > pra uma versao 2.0
> > > >
> > > > mas dê uma atençao ao concentrador de vpn!!! se for um peer pra 50mil
> > > > clientes, pode dar m...
> > > >
> > > > [ ]'s
> > > > Fabricio Lima
> > > > When your hammer is C++, everything begins to look like a thumb.
> > > >
> > > > Em 26 de março de 2015 10:31, Otavio Augusto <otavioti at gmail.com>
> > > > escreveu:
> > > >
> > > > > Agora ficou mais claro, viu que não é difícil da maneira como foi
> > > > > feita a pergunta inicialmente as deduções que todos fizeram levavam
> > > > > para outro cenário e as respostas não te ajudariam.
> > > > >
> > > > > Pelo tipo e cliente que passará pela sua rede não irá vários
> serviços
> > > > > ao mesmo tempo eles irão abrir somente uma conexão, considerando o
> > > > > pior cenário em que vc tem 50.000 conectados simultaneamente ( algo
> > > > > improvável mas possível ) uma máquina virtual com 2 nucleos de
> 1GHz e
> > > > > 1G de RAM daria conta do recado tranquilo, vc vai precisar de um
> > > > > tunning com relação a quantidade de portas abertas simultaneamente
> no
> > > > > linux só para garantir.
> > > > >
> > > > > Em 26 de março de 2015 10:18, Diego Spinola Castro
> > > > > <spinolacastro at gmail.com> escreveu:
> > > > > > Vamos lá, o cenário seria um autenticador de chips para celular (
> > > > RADIUS
> > > > > ),
> > > > > > então meus clientes seriam equipamentos de telemetria em
> veículos ,
> > > com
> > > > > uma
> > > > > > quota mensal de 2MB isso mesmo dois megabytes por mês.
> > > > > >
> > > > > > A arquitetura proposta pela operadora seria algo mais ou menos
> > assim:
> > > > > >
> > > > > >
> > > > > > CHIP --> OPERADORA --> | VPN | --> AWS --> INTERNET
> > > > > >
> > > > > > Dito isso, uma vez os chips autenticados, eles receberiam um ip
> > > > inválido
> > > > > e
> > > > > > o default gateway é o servidor na AWS, por isso perguntei do
> limite
> > > de
> > > > > > conexões. As questões de dimensionamento de rede não são
> relevantes
> > > já
> > > > > que
> > > > > > a AWS me entrega até 10gbit numa interface de rede, eu só preciso
> > > usar
> > > > > sem
> > > > > > me preocupar com redundância de link de internet e etc.
> > > > > >
> > > > > >
> > > > > >
> > > > > >
> > > > > >
> > > > > > Em 26 de março de 2015 10:04, Otavio Augusto <otavioti at gmail.com
> >
> > > > > escreveu:
> > > > > >
> > > > > >> A questão do ip foi respondida pelos colegas volto a frisar na
> > > questão
> > > > > >> pq o roteador que faz nat deve estar na nuvem, de qq maneira vc
> > > > > >> precisa rotear seu tráfego para a AWS isto implica em ips
> validos
> > ou
> > > > > >> NAT ou VPN,
> > > > > >> Pela lógica se seus servidores estão na nuvem provavelmente vc
> não
> > > tem
> > > > > >> apenas 1 acesso a internet ( ou pelo menos não deveria ) e isto
> > > > > >> implica em ter gerenciar os acessos a internet localmente
> > > balanceando
> > > > > >> link ou monitorando a estabilidade para habilitar a redundância.
> > > Para
> > > > > >> fazer isto vc deve fazer o gateway  na sua rede e não na nuvem.
> > > > > >>
> > > > > >> Ainda seguinte este raciocínio vc poderia ter um firewall na AWS
> > > para
> > > > > >> filtrar o que acessa os servidores mas não precisa de NAT. Mas
> ai
> > a
> > > > > >> AWS já tem algumas soluções prontas com balanceamento de carga
> que
> > > > > >> atendem pelo menos 90% dos casos ou até mais.
> > > > > >>
> > > > > >> Porque vc não diz mais do teu cenário para que possa ser melhor
> > > > > auxiliado.
> > > > > >>
> > > > > >>
> > > > > >>
> > > > > >> Em 25 de março de 2015 17:07, Diego Spinola Castro
> > > > > >> <spinolacastro at gmail.com> escreveu:
> > > > > >> > O gateway roda na nuvem porque todos os servidores já roda na
> > > nuvem.
> > > > > >> > Qual o problema de usar 1 ip? não entendi
> > > > > >> >
> > > > > >> >
> > > > > >> > Em 25 de março de 2015 16:49, Otavio Augusto <
> > otavioti at gmail.com>
> > > > > >> escreveu:
> > > > > >> >
> > > > > >> >> 50.000 clientes usando internet geral um serviço específico ?
> > > > > >> >> Se for sim primeiro recomendo tirar este gateway da nuvem,
> > > segundo
> > > > 1
> > > > > >> >> ip só pode não ser o suficiente para o masquerade,
> > > > > >> >> segundo 10M é muito pouco para toda esta galera,
> > > > > >> >> terceiro não rede isto numa nuvem,
> > > > > >> >> quarto para esta galera um XEON com 2G RAM.
> > > > > >> >>
> > > > > >> >> Não entendi porque o gateway que faz NAT de uma rede ficaria
> na
> > > > > nuvem.
> > > > > >> >>
> > > > > >> >>
> > > > > >> >> Em 25 de março de 2015 16:39, Diego Spinola Castro
> > > > > >> >> <spinolacastro at gmail.com> escreveu:
> > > > > >> >> > A rede iniciará com aproximadamente 50.000 clientes, a
> minha
> > > > > dúvida é
> > > > > >> se
> > > > > >> >> > por ser Linux eu teria alguma limitação de clientes ou não?
> > > Posso
> > > > > >> >> > ultrapassar os 65535 ?
> > > > > >> >> >
> > > > > >> >> > Tudo isso rodará na AWS, o consumo do link hoje é cerca de
> > > > 10mb/s.
> > > > > >> >> >
> > > > > >> >> >
> > > > > >> >> >
> > > > > >> >> > Em 25 de março de 2015 16:29, Otavio Augusto <
> > > otavioti at gmail.com
> > > > >
> > > > > >> >> escreveu:
> > > > > >> >> >
> > > > > >> >> >> Para o masquerade o Conntrack deverá estar ativo.
> > > > > >> >> >> A quantidade de máquinas para um só gateway é relativo  e
> > > > depende
> > > > > do
> > > > > >> >> >> hardware e o dimensionamento do
> > > > > >> >> >> hardware vai depender da quantidade de pps e regras
> > stateful.
> > > > > >> >> >>
> > > > > >> >> >> De mais detalhes da rede como tamanho do link e quanto pps
> > ja
> > > > > passa
> > > > > >> na
> > > > > >> >> >> rede.
> > > > > >> >> >>
> > > > > >> >> >>
> > > > > >> >> >>
> > > > > >> >> >> Em 25 de março de 2015 16:12, Diego Spinola Castro
> > > > > >> >> >> <spinolacastro at gmail.com> escreveu:
> > > > > >> >> >> > Olá pessoal.
> > > > > >> >> >> > Preciso dimensionar um gateway rodando Linux que servirá
> > > como
> > > > > >> Gateway
> > > > > >> >> >> para
> > > > > >> >> >> > uma rede privada.
> > > > > >> >> >> >
> > > > > >> >> >> > A idéia é descobrir quantos servidores (na rede LAN) uma
> > > > maquina
> > > > > >> Linux
> > > > > >> >> >> > consegue processar, existe alguma limitação levando em
> > > > > consideração
> > > > > >> >> que
> > > > > >> >> >> > será apenas um gateway (MASQUERADE)?
> > > > > >> >> >> >
> > > > > >> >> >> > PS: Redirecionamento de portas ou conntrack não serão
> > > > > utilizados.
> > > > > >> >> >> > --
> > > > > >> >> >> > gter list
> > https://eng.registro.br/mailman/listinfo/gter
> > > > > >> >> >>
> > > > > >> >> >>
> > > > > >> >> >>
> > > > > >> >> >> --
> > > > > >> >> >> Otavio Augusto
> > > > > >> >> >> ---------------------
> > > > > >> >> >> Consultor de TI
> > > > > >> >> >> Citius Tecnologia
> > > > > >> >> >> 31 37761866
> > > > > >> >> >> 31 88651242
> > > > > >> >> >> http://www.citiustecnologia.com.br
> > > > > >> >> >> --
> > > > > >> >> >> gter list
> https://eng.registro.br/mailman/listinfo/gter
> > > > > >> >> >>
> > > > > >> >> > --
> > > > > >> >> > gter list    https://eng.registro.br/mailman/listinfo/gter
> > > > > >> >>
> > > > > >> >>
> > > > > >> >>
> > > > > >> >> --
> > > > > >> >> Otavio Augusto
> > > > > >> >> ---------------------
> > > > > >> >> Consultor de TI
> > > > > >> >> Citius Tecnologia
> > > > > >> >> 31 37761866
> > > > > >> >> 31 88651242
> > > > > >> >> http://www.citiustecnologia.com.br
> > > > > >> >> --
> > > > > >> >> gter list    https://eng.registro.br/mailman/listinfo/gter
> > > > > >> >>
> > > > > >> > --
> > > > > >> > gter list    https://eng.registro.br/mailman/listinfo/gter
> > > > > >>
> > > > > >>
> > > > > >>
> > > > > >> --
> > > > > >> Otavio Augusto
> > > > > >> ---------------------
> > > > > >> Consultor de TI
> > > > > >> Citius Tecnologia
> > > > > >> 31 37761866
> > > > > >> 31 88651242
> > > > > >> http://www.citiustecnologia.com.br
> > > > > >> --
> > > > > >> gter list    https://eng.registro.br/mailman/listinfo/gter
> > > > > >>
> > > > > > --
> > > > > > gter list    https://eng.registro.br/mailman/listinfo/gter
> > > > >
> > > > >
> > > > >
> > > > > --
> > > > > Otavio Augusto
> > > > > ---------------------
> > > > > Consultor de TI
> > > > > Citius Tecnologia
> > > > > 31 37761866
> > > > > 31 88651242
> > > > > http://www.citiustecnologia.com.br
> > > > > --
> > > > > gter list    https://eng.registro.br/mailman/listinfo/gter
> > > > >
> > > > --
> > > > gter list    https://eng.registro.br/mailman/listinfo/gter
> > > >
> > > --
> > > gter list    https://eng.registro.br/mailman/listinfo/gter
> > --
> > gter list    https://eng.registro.br/mailman/listinfo/gter
> >
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>



More information about the gter mailing list