URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 68648
[ Назад ]
Исходное сообщение
"Вопрос по организации сети"
Отправлено Alexoid , 02-Сен-06 17:36 
Есть сервер компании (сервер1), на котором установлен pptp-сервер, и на нем же осуществляется NAT. В последнее время он перестал справляться с нагрузкой.
Я хочу разнести нагрузку на два сервера: сервер VPN (сервер1) и сервер NAT/ipfw/shape (сервер2), вот так: Интернет<->сервер2<->сервер1<-><Отделы>

Подскажите, как "прокинуть" пользователя, авторизовавшегося на сервере1 в сторону сервера2? Достаточно ли будет прописать на сервере1 сервер2 как default_gateway?

P.S. Я понимаю, что самый простой вариант взять да попробовать, но экспериментировать на рабочей системе мне никто не даст :)

Содержание
Сообщения в этом обсуждении
"Вопрос по организации сети"
Отправлено Doc , 02-Сен-06 22:01 
>Есть сервер компании (сервер1), на котором установлен pptp-сервер, и на нем же
>осуществляется NAT. В последнее время он перестал справляться с нагрузкой.
>Я хочу разнести нагрузку на два сервера: сервер VPN (сервер1) и сервер NAT/ipfw/shape (сервер2), вот так: Интернет<->сервер2<->сервер1<-><Отделы>
>
>Подскажите, как "прокинуть" пользователя, авторизовавшегося на сервере1 в сторону сервера2? Достаточно ли
>будет прописать на сервере1 сервер2 как default_gateway?
>
>P.S. Я понимаю, что самый простой вариант взять да попробовать, но экспериментировать
>на рабочей системе мне никто не даст :)


а смысл?
первый сервер всё рано будет и маршрутизатором и VPN...

"Вопрос по организации сети"
Отправлено Alexoid , 03-Сен-06 04:24 
>>Есть сервер компании (сервер1), на котором установлен pptp-сервер, и на нем же
>>осуществляется NAT. В последнее время он перестал справляться с нагрузкой.
>>Я хочу разнести нагрузку на два сервера: сервер VPN (сервер1) и сервер NAT/ipfw/shape (сервер2), вот так: Интернет<->сервер2<->сервер1<-><Отделы>
>>
>>Подскажите, как "прокинуть" пользователя, авторизовавшегося на сервере1 в сторону сервера2? Достаточно ли
>>будет прописать на сервере1 сервер2 как default_gateway?
>>
>>P.S. Я понимаю, что самый простой вариант взять да попробовать, но экспериментировать
>>на рабочей системе мне никто не даст :)
>
>
>а смысл?
>первый сервер всё рано будет и маршрутизатором и VPN...

Смысл в двух вещах:
а) в данный момент снять нагрузку от NATа на сервере1 (она там уже запредельная)
б) оптимизировать размещение сервисов на серверах. Появится еще один сервер доступа - не придется городить NAT/файрвол опять на новом сервере.

"Вопрос по организации сети"
Отправлено Doc , 03-Сен-06 10:49 
>>>Есть сервер компании (сервер1), на котором установлен pptp-сервер, и на нем же
>>>осуществляется NAT. В последнее время он перестал справляться с нагрузкой.
>>>Я хочу разнести нагрузку на два сервера: сервер VPN (сервер1) и сервер NAT/ipfw/shape (сервер2), вот так: Интернет<->сервер2<->сервер1<-><Отделы>
>>>
>>>Подскажите, как "прокинуть" пользователя, авторизовавшегося на сервере1 в сторону сервера2? Достаточно ли
>>>будет прописать на сервере1 сервер2 как default_gateway?
>>>
>>>P.S. Я понимаю, что самый простой вариант взять да попробовать, но экспериментировать
>>>на рабочей системе мне никто не даст :)
>>
>>
>>а смысл?
>>первый сервер всё рано будет и маршрутизатором и VPN...
>
>Смысл в двух вещах:
>а) в данный момент снять нагрузку от NATа на сервере1 (она там
>уже запредельная)
>б) оптимизировать размещение сервисов на серверах. Появится еще один сервер доступа -
>не придется городить NAT/файрвол опять на новом сервере.

помоему проще нароститьп амять у машины....

хотя непойму каким местом он у тебя не спровляеться, у меня, у мен 250 человек ходило через п3 500 с 256 мегами и ное колличество на vpn сидело да плюс почтовик и веб сайт крутился на этойже тачки и всё хвотало (правда стоял там линукс ASP7.1)
по логам что у тбя там так забивает ресурсы?
и машина то какая?

"Вопрос по организации сети"
Отправлено Alexoid , 04-Сен-06 03:36 
>помоему проще нароститьп амять у машины....

   Память практически не используется.

>хотя непойму каким местом он у тебя не спровляеться, у меня, у
>мен 250 человек ходило через п3 500 с 256 мегами и
>ное колличество на vpn сидело да плюс почтовик и веб сайт
>крутился на этойже тачки и всё хвотало (правда стоял там линукс
>ASP7.1)
>по логам что у тбя там так забивает ресурсы?

   Вот такая картина в час пик при ~200 подключенных по VPN, 1-3Mbit/s, 3kpps:

load averages:  2.08,  2.20,  2.15

  PID USERNAME  PRI NICE   SIZE    RES STATE    TIME   WCPU    CPU COMMAND
  891 root      102    0 16848K 16176K RUN    673:33 21.28% 21.28% natd
26875 root      101    0  8500K  6092K RUN    570:32 19.81% 19.81% mpd
   35 root      -44 -163     0K     8K RUN    503:05 14.11% 14.11% swi1: net
   36 root      -28 -147     0K     8K RUN    398:52  8.45%  8.45% swi5: clock

   Все остальные процессы вообще незаметны на фоне этих.

   При такой загрузке она начинает терять пакеты, причем жестко, 5-7 из 10ти.

>и машина то какая?

   FreeBSD 5.4 / Athlon XP 2000+ / 256Mb / 2*Intel Pro 10/100

"Вопрос по организации сети"
Отправлено Doc , 04-Сен-06 13:06 
>>помоему проще нароститьп амять у машины....
>
>   Память практически не используется.
>
>>хотя непойму каким местом он у тебя не спровляеться, у меня, у
>>мен 250 человек ходило через п3 500 с 256 мегами и
>>ное колличество на vpn сидело да плюс почтовик и веб сайт
>>крутился на этойже тачки и всё хвотало (правда стоял там линукс
>>ASP7.1)
>>по логам что у тбя там так забивает ресурсы?
>
>   Вот такая картина в час пик при ~200 подключенных
>по VPN, 1-3Mbit/s, 3kpps:
>
>load averages:  2.08,  2.20,  2.15
>
>  PID USERNAME  PRI NICE   SIZE  
> RES STATE    TIME   WCPU  
>  CPU COMMAND
>  891 root      102  
> 0 16848K 16176K RUN    673:33 21.28% 21.28%
>natd
>26875 root      101    0
> 8500K  6092K RUN    570:32 19.81% 19.81%
>mpd
>   35 root      -44 -163
>    0K     8K RUN
>   503:05 14.11% 14.11% swi1: net
>   36 root      -28 -147
>    0K     8K RUN
>   398:52  8.45%  8.45% swi5: clock
>
>   Все остальные процессы вообще незаметны на фоне этих.
>
>   При такой загрузке она начинает терять пакеты, причем жестко,
>5-7 из 10ти.
>
>>и машина то какая?
>
>   FreeBSD 5.4 / Athlon XP 2000+ / 256Mb /
>2*Intel Pro 10/100


ну для начала это кощунство ставить на сервер атлон (это по моему мнению)

короче советую тебе добавить мазгов до 512, плюс ко всему попробуй поменять сетевухи (у меня была проблемма с интеами , они начинали терять пакеты на большой загрузки
ты проверь пинг до самой машины, а не через нат если идёт с такимиже потерями меняй сетевую

просто разтянуть на два сервака только если
1) канал inet - VPN cthfr - локальная сеть
2) канал inet - NAT - локальная сеть

но для этого тебе понадобиться два внешних ип

цепочка как нарисовал её ты проблеммы нерешит так как второй сервер всёрано будет нести на себе всю нагрузку

"Вопрос по организации сети"
Отправлено Alexoid , 04-Сен-06 13:55 
>ну для начала это кощунство ставить на сервер атлон (это по моему
>мнению)

    Почему?

>короче советую тебе добавить мазгов до 512, плюс ко всему попробуй поменять
>сетевухи (у меня была проблемма с интеами , они начинали терять
>пакеты на большой загрузки
>ты проверь пинг до самой машины, а не через нат если идёт
>с такимиже потерями меняй сетевую

    Память добавим, а с сетевухами нормально все, на них ни одной ошибки. Это система (софт) под такой нагрузкой теряет пакеты, точно.

>просто разтянуть на два сервака только если
>1) канал inet - VPN cthfr - локальная сеть
>2) канал inet - NAT - локальная сеть
>
>но для этого тебе понадобиться два внешних ип
>
>цепочка как нарисовал её ты проблеммы нерешит так как второй сервер всёрано
>будет нести на себе всю нагрузку

    Так почему? На сервере1 останется только mpd. На нем же указываем маршрут по-умолчанию "route add default сервер2", на сервере2 поднимаем NAT. Авторизовавшийся товарищ на сервере1 получает маршрут по-умолчанию на сервер2, где его натят и выпускают в инет.

    С сервера1 снимается довольно большой процент загрузки: NAT и ipfw/shaper.

    В чем я не прав?

"Вопрос по организации сети"
Отправлено Doc , 04-Сен-06 16:12 
>>ну для начала это кощунство ставить на сервер атлон (это по моему
>>мнению)
>
>    Почему?
>
>>короче советую тебе добавить мазгов до 512, плюс ко всему попробуй поменять
>>сетевухи (у меня была проблемма с интеами , они начинали терять
>>пакеты на большой загрузки
>>ты проверь пинг до самой машины, а не через нат если идёт
>>с такимиже потерями меняй сетевую
>
>    Память добавим, а с сетевухами нормально все, на
>них ни одной ошибки. Это система (софт) под такой нагрузкой теряет
>пакеты, точно.
>
>>просто разтянуть на два сервака только если
>>1) канал inet - VPN cthfr - локальная сеть
>>2) канал inet - NAT - локальная сеть
>>
>>но для этого тебе понадобиться два внешних ип
>>
>>цепочка как нарисовал её ты проблеммы нерешит так как второй сервер всёрано
>>будет нести на себе всю нагрузку
>
>    Так почему? На сервере1 останется только mpd. На
>нем же указываем маршрут по-умолчанию "route add default сервер2", на сервере2
>поднимаем NAT. Авторизовавшийся товарищ на сервере1 получает маршрут по-умолчанию на сервер2,
>где его натят и выпускают в инет.
>
>    С сервера1 снимается довольно большой процент загрузки: NAT
>и ipfw/shaper.
>
>    В чем я не прав?


а ты думаеш при этом загрузка уменьшиться, сильно сомниваюсь ибо ему вёрано придёться обрабатвать пакеты
работать то такая цепочка будет ...
но чесно говоря я бы усилил сервер и всё

"Вопрос по организации сети"
Отправлено Н , 04-Сен-06 17:42 
А какой пропускной способности канал тебе выделяет провайдер? Может тут проблема?
"Вопрос по организации сети"
Отправлено Alexoid , 04-Сен-06 19:02 
Дело точно не в этом. Провайдер отдает честные 10Мбит.

И пинги с внешнего интерфейса на наш гейтвей идут беспроблемно. Пакеты падают именно на нашем сервере.

"Вопрос по организации сети"
Отправлено Alexoid , 04-Сен-06 19:00 
>>>цепочка как нарисовал её ты проблеммы нерешит так как второй сервер всёрано
>>>будет нести на себе всю нагрузку
>>
>>    Так почему? На сервере1 останется только mpd. На
>>нем же указываем маршрут по-умолчанию "route add default сервер2", на сервере2
>>поднимаем NAT. Авторизовавшийся товарищ на сервере1 получает маршрут по-умолчанию на сервер2,
>>где его натят и выпускают в инет.
>>
>>    С сервера1 снимается довольно большой процент загрузки: NAT
>>и ipfw/shaper.
>>
>>    В чем я не прав?
>
>
>а ты думаеш при этом загрузка уменьшиться, сильно сомниваюсь ибо ему вёрано
>придёться обрабатвать пакеты
>работать то такая цепочка будет ...

      Елки-моталки... ну он так и будет прокидывать через себя пакетики. Обрабатывать ему их не надо будет: ни ната, ни файрвола же не будет.

>но чесно говоря я бы усилил сервер и всё

      Это понятно. Вопрос был: работоспособна ли схема из первого поста или нет.

"Вопрос по организации сети"
Отправлено Doc , 04-Сен-06 19:36 
>>>>цепочка как нарисовал её ты проблеммы нерешит так как второй сервер всёрано
>>>>будет нести на себе всю нагрузку
>>>
>>>    Так почему? На сервере1 останется только mpd. На
>>>нем же указываем маршрут по-умолчанию "route add default сервер2", на сервере2
>>>поднимаем NAT. Авторизовавшийся товарищ на сервере1 получает маршрут по-умолчанию на сервер2,
>>>где его натят и выпускают в инет.
>>>
>>>    С сервера1 снимается довольно большой процент загрузки: NAT
>>>и ipfw/shaper.
>>>
>>>    В чем я не прав?
>>
>>
>>а ты думаеш при этом загрузка уменьшиться, сильно сомниваюсь ибо ему вёрано
>>придёться обрабатвать пакеты
>>работать то такая цепочка будет ...
>
>      Елки-моталки... ну он так и будет
>прокидывать через себя пакетики. Обрабатывать ему их не надо будет: ни
>ната, ни файрвола же не будет.
>
>>но чесно говоря я бы усилил сервер и всё
>
>      Это понятно. Вопрос был: работоспособна ли
>схема из первого поста или нет.
схема работоспособна...