[GTER] Dimensionamento Gateway Linux
Diego Spinola Castro
spinolacastro at gmail.com
Thu Mar 26 15:01:37 -03 2015
Agora faz sentido Fabricio, a limitação de 65k por ip.
Vou verificar com o cliente se existe realmente a necessidade de fazer NAT
a alternativa seria autenticar os equipamentos e entregar ip's públicos.
Em 26 de março de 2015 14:41, Fabricio Lima <listas at fabriciolima.com.br>
escreveu:
> cada sessao de rede, utiliza um descritor em memoria...
> e sao temporarias...
>
> chegou o pacote, pego, roteio, tchau....
>
> o seu NAT é diferente... eu recebo, monto tabela NAT (ip origem, porta
> origem, ip destino, porta destino)
> mantenho a conexao aberta... envio o pacote pro destino...espero retorno...
> recebo, remonto pacote, entrego, e entao fecho (retiro) da tabela NAT.
>
> por isso fico limitado a 65mil
> eh literalmente uma aplicaçao cliente/servidor..
> eu viro um servidor de acessos TCP.
>
> se nao entendeu, pergunte novamente, precisamos q vc tenha isso bem claro.
>
> rotear é diferente de 'natear'.
>
> [ ]'s
> Fabricio Lima
> When your hammer is C++, everything begins to look like a thumb.
>
> Em 26 de março de 2015 13:49, Diego Spinola Castro <
> spinolacastro at gmail.com>
> escreveu:
>
> > Ainda sobre a limitação de portas, como uma solução pfSense suporta até 8
> > milhões de conexões ativas?
> >
> > https://www.pfsense.org/hardware/#pfsense-store
> >
> >
> >
> > Em 26 de março de 2015 11:05, Emiliano Martins <
> emiliano at informatio.com.br
> > >
> > escreveu:
> >
> > > Diego,
> > >
> > > Apenas uma observação, os 2 MB de tráfego mensal serão consumidos pela
> > > sinalização da VPN ( já tive esse tipo de problema em um cliente que
> > tinha
> > > uma conexão por satélite e pagava por MB trafegado). Melhor rever esses
> > > números.
> > >
> > > Abs
> > >
> > > Emiliano
> > >
> > > Emiliano Martins
> > >
> > > 11-97150-6756
> > >
> > > Em 26 de março de 2015 10:52, Diego Spinola Castro <
> > > spinolacastro at gmail.com>
> > > escreveu:
> > >
> > > > Fabricio, eu sei que a solução não é para nuvem, mas o cliente
> precisa
> > > que
> > > > seja exatamente assim.
> > > > Quanto a VPN eu só vou abrir uma conexão com a operadora de celular
> > > abrindo
> > > > assim um caminho para os chips se conectarem ao meu equipamento.
> > > > De qualquer forma obrigado pelos esclarecimentos, assim que tudo
> > estiver
> > > no
> > > > ar eu dou mais informações.
> > > >
> > > > Em 26 de março de 2015 10:39, Fabricio Lima <
> > listas at fabriciolima.com.br>
> > > > escreveu:
> > > >
> > > > > somado q seu servidor de vpn é quem vai iniciar o trafego
> > > > > sugiro fazer um pool de servidores de vpn... eles sim, podem sofrer
> > com
> > > > > limitaçao..
> > > > >
> > > > > mas vc está entregando uma solucao ano 2000 num mundo cloud
> > > > > talvez seja possivel usar amazon SNS ou SQS para isso, visto q sao
> > > > > aplicaçoes moveis, pequenas mensagens, etc.
> > > > >
> > > > > mas isso é mudar completamente sua arquitetura... isso seria planos
> > > > futuros
> > > > > pra uma versao 2.0
> > > > >
> > > > > mas dê uma atençao ao concentrador de vpn!!! se for um peer pra
> 50mil
> > > > > clientes, pode dar m...
> > > > >
> > > > > [ ]'s
> > > > > Fabricio Lima
> > > > > When your hammer is C++, everything begins to look like a thumb.
> > > > >
> > > > > Em 26 de março de 2015 10:31, Otavio Augusto <otavioti at gmail.com>
> > > > > escreveu:
> > > > >
> > > > > > Agora ficou mais claro, viu que não é difícil da maneira como foi
> > > > > > feita a pergunta inicialmente as deduções que todos fizeram
> levavam
> > > > > > para outro cenário e as respostas não te ajudariam.
> > > > > >
> > > > > > Pelo tipo e cliente que passará pela sua rede não irá vários
> > serviços
> > > > > > ao mesmo tempo eles irão abrir somente uma conexão, considerando
> o
> > > > > > pior cenário em que vc tem 50.000 conectados simultaneamente (
> algo
> > > > > > improvável mas possível ) uma máquina virtual com 2 nucleos de
> > 1GHz e
> > > > > > 1G de RAM daria conta do recado tranquilo, vc vai precisar de um
> > > > > > tunning com relação a quantidade de portas abertas
> simultaneamente
> > no
> > > > > > linux só para garantir.
> > > > > >
> > > > > > Em 26 de março de 2015 10:18, Diego Spinola Castro
> > > > > > <spinolacastro at gmail.com> escreveu:
> > > > > > > Vamos lá, o cenário seria um autenticador de chips para
> celular (
> > > > > RADIUS
> > > > > > ),
> > > > > > > então meus clientes seriam equipamentos de telemetria em
> > veículos ,
> > > > com
> > > > > > uma
> > > > > > > quota mensal de 2MB isso mesmo dois megabytes por mês.
> > > > > > >
> > > > > > > A arquitetura proposta pela operadora seria algo mais ou menos
> > > assim:
> > > > > > >
> > > > > > >
> > > > > > > CHIP --> OPERADORA --> | VPN | --> AWS --> INTERNET
> > > > > > >
> > > > > > > Dito isso, uma vez os chips autenticados, eles receberiam um ip
> > > > > inválido
> > > > > > e
> > > > > > > o default gateway é o servidor na AWS, por isso perguntei do
> > limite
> > > > de
> > > > > > > conexões. As questões de dimensionamento de rede não são
> > relevantes
> > > > já
> > > > > > que
> > > > > > > a AWS me entrega até 10gbit numa interface de rede, eu só
> preciso
> > > > usar
> > > > > > sem
> > > > > > > me preocupar com redundância de link de internet e etc.
> > > > > > >
> > > > > > >
> > > > > > >
> > > > > > >
> > > > > > >
> > > > > > > Em 26 de março de 2015 10:04, Otavio Augusto <
> otavioti at gmail.com
> > >
> > > > > > escreveu:
> > > > > > >
> > > > > > >> A questão do ip foi respondida pelos colegas volto a frisar na
> > > > questão
> > > > > > >> pq o roteador que faz nat deve estar na nuvem, de qq maneira
> vc
> > > > > > >> precisa rotear seu tráfego para a AWS isto implica em ips
> > validos
> > > ou
> > > > > > >> NAT ou VPN,
> > > > > > >> Pela lógica se seus servidores estão na nuvem provavelmente vc
> > não
> > > > tem
> > > > > > >> apenas 1 acesso a internet ( ou pelo menos não deveria ) e
> isto
> > > > > > >> implica em ter gerenciar os acessos a internet localmente
> > > > balanceando
> > > > > > >> link ou monitorando a estabilidade para habilitar a
> redundância.
> > > > Para
> > > > > > >> fazer isto vc deve fazer o gateway na sua rede e não na
> nuvem.
> > > > > > >>
> > > > > > >> Ainda seguinte este raciocínio vc poderia ter um firewall na
> AWS
> > > > para
> > > > > > >> filtrar o que acessa os servidores mas não precisa de NAT. Mas
> > ai
> > > a
> > > > > > >> AWS já tem algumas soluções prontas com balanceamento de carga
> > que
> > > > > > >> atendem pelo menos 90% dos casos ou até mais.
> > > > > > >>
> > > > > > >> Porque vc não diz mais do teu cenário para que possa ser
> melhor
> > > > > > auxiliado.
> > > > > > >>
> > > > > > >>
> > > > > > >>
> > > > > > >> Em 25 de março de 2015 17:07, Diego Spinola Castro
> > > > > > >> <spinolacastro at gmail.com> escreveu:
> > > > > > >> > O gateway roda na nuvem porque todos os servidores já roda
> na
> > > > nuvem.
> > > > > > >> > Qual o problema de usar 1 ip? não entendi
> > > > > > >> >
> > > > > > >> >
> > > > > > >> > Em 25 de março de 2015 16:49, Otavio Augusto <
> > > otavioti at gmail.com>
> > > > > > >> escreveu:
> > > > > > >> >
> > > > > > >> >> 50.000 clientes usando internet geral um serviço
> específico ?
> > > > > > >> >> Se for sim primeiro recomendo tirar este gateway da nuvem,
> > > > segundo
> > > > > 1
> > > > > > >> >> ip só pode não ser o suficiente para o masquerade,
> > > > > > >> >> segundo 10M é muito pouco para toda esta galera,
> > > > > > >> >> terceiro não rede isto numa nuvem,
> > > > > > >> >> quarto para esta galera um XEON com 2G RAM.
> > > > > > >> >>
> > > > > > >> >> Não entendi porque o gateway que faz NAT de uma rede
> ficaria
> > na
> > > > > > nuvem.
> > > > > > >> >>
> > > > > > >> >>
> > > > > > >> >> Em 25 de março de 2015 16:39, Diego Spinola Castro
> > > > > > >> >> <spinolacastro at gmail.com> escreveu:
> > > > > > >> >> > A rede iniciará com aproximadamente 50.000 clientes, a
> > minha
> > > > > > dúvida é
> > > > > > >> se
> > > > > > >> >> > por ser Linux eu teria alguma limitação de clientes ou
> não?
> > > > Posso
> > > > > > >> >> > ultrapassar os 65535 ?
> > > > > > >> >> >
> > > > > > >> >> > Tudo isso rodará na AWS, o consumo do link hoje é cerca
> de
> > > > > 10mb/s.
> > > > > > >> >> >
> > > > > > >> >> >
> > > > > > >> >> >
> > > > > > >> >> > Em 25 de março de 2015 16:29, Otavio Augusto <
> > > > otavioti at gmail.com
> > > > > >
> > > > > > >> >> escreveu:
> > > > > > >> >> >
> > > > > > >> >> >> Para o masquerade o Conntrack deverá estar ativo.
> > > > > > >> >> >> A quantidade de máquinas para um só gateway é relativo
> e
> > > > > depende
> > > > > > do
> > > > > > >> >> >> hardware e o dimensionamento do
> > > > > > >> >> >> hardware vai depender da quantidade de pps e regras
> > > stateful.
> > > > > > >> >> >>
> > > > > > >> >> >> De mais detalhes da rede como tamanho do link e quanto
> pps
> > > ja
> > > > > > passa
> > > > > > >> na
> > > > > > >> >> >> rede.
> > > > > > >> >> >>
> > > > > > >> >> >>
> > > > > > >> >> >>
> > > > > > >> >> >> Em 25 de março de 2015 16:12, Diego Spinola Castro
> > > > > > >> >> >> <spinolacastro at gmail.com> escreveu:
> > > > > > >> >> >> > Olá pessoal.
> > > > > > >> >> >> > Preciso dimensionar um gateway rodando Linux que
> servirá
> > > > como
> > > > > > >> Gateway
> > > > > > >> >> >> para
> > > > > > >> >> >> > uma rede privada.
> > > > > > >> >> >> >
> > > > > > >> >> >> > A idéia é descobrir quantos servidores (na rede LAN)
> uma
> > > > > maquina
> > > > > > >> Linux
> > > > > > >> >> >> > consegue processar, existe alguma limitação levando em
> > > > > > consideração
> > > > > > >> >> que
> > > > > > >> >> >> > será apenas um gateway (MASQUERADE)?
> > > > > > >> >> >> >
> > > > > > >> >> >> > PS: Redirecionamento de portas ou conntrack não serão
> > > > > > utilizados.
> > > > > > >> >> >> > --
> > > > > > >> >> >> > gter list
> > > https://eng.registro.br/mailman/listinfo/gter
> > > > > > >> >> >>
> > > > > > >> >> >>
> > > > > > >> >> >>
> > > > > > >> >> >> --
> > > > > > >> >> >> Otavio Augusto
> > > > > > >> >> >> ---------------------
> > > > > > >> >> >> Consultor de TI
> > > > > > >> >> >> Citius Tecnologia
> > > > > > >> >> >> 31 37761866
> > > > > > >> >> >> 31 88651242
> > > > > > >> >> >> http://www.citiustecnologia.com.br
> > > > > > >> >> >> --
> > > > > > >> >> >> gter list
> > https://eng.registro.br/mailman/listinfo/gter
> > > > > > >> >> >>
> > > > > > >> >> > --
> > > > > > >> >> > gter list
> https://eng.registro.br/mailman/listinfo/gter
> > > > > > >> >>
> > > > > > >> >>
> > > > > > >> >>
> > > > > > >> >> --
> > > > > > >> >> Otavio Augusto
> > > > > > >> >> ---------------------
> > > > > > >> >> Consultor de TI
> > > > > > >> >> Citius Tecnologia
> > > > > > >> >> 31 37761866
> > > > > > >> >> 31 88651242
> > > > > > >> >> http://www.citiustecnologia.com.br
> > > > > > >> >> --
> > > > > > >> >> gter list https://eng.registro.br/mailman/listinfo/gter
> > > > > > >> >>
> > > > > > >> > --
> > > > > > >> > gter list https://eng.registro.br/mailman/listinfo/gter
> > > > > > >>
> > > > > > >>
> > > > > > >>
> > > > > > >> --
> > > > > > >> Otavio Augusto
> > > > > > >> ---------------------
> > > > > > >> Consultor de TI
> > > > > > >> Citius Tecnologia
> > > > > > >> 31 37761866
> > > > > > >> 31 88651242
> > > > > > >> http://www.citiustecnologia.com.br
> > > > > > >> --
> > > > > > >> gter list https://eng.registro.br/mailman/listinfo/gter
> > > > > > >>
> > > > > > > --
> > > > > > > gter list https://eng.registro.br/mailman/listinfo/gter
> > > > > >
> > > > > >
> > > > > >
> > > > > > --
> > > > > > Otavio Augusto
> > > > > > ---------------------
> > > > > > Consultor de TI
> > > > > > Citius Tecnologia
> > > > > > 31 37761866
> > > > > > 31 88651242
> > > > > > http://www.citiustecnologia.com.br
> > > > > > --
> > > > > > gter list https://eng.registro.br/mailman/listinfo/gter
> > > > > >
> > > > > --
> > > > > gter list https://eng.registro.br/mailman/listinfo/gter
> > > > >
> > > > --
> > > > gter list https://eng.registro.br/mailman/listinfo/gter
> > > --
> > > gter list https://eng.registro.br/mailman/listinfo/gter
> > >
> > --
> > gter list https://eng.registro.br/mailman/listinfo/gter
> >
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
>
More information about the gter
mailing list