Отдельный железный сервер доступа

kaN5300

У нас так сделано

Несколько NAS серверов с идентичным конфигом работают параллельно (DNS раунд робин). Сам конфиг до неприличия прост: 1U, топовый интеловый камень, SDD, минимум памяти, топовая интеловая дуалпорт-сетевуха.

Ну и сервисы (это очень важно, а то некоторые сидят на natd и не понимают, почему так всё нагружено) ipfw (на таблицах, стейтлесс), kernel nat, ng_car, mpd5, rfw

RELENG_7

Как настраивать - уже миллион раз исписали весь форум.

Одна такая железка держит 30k pps на внешнем интерфейсе, 800 туннелей. Как только это показатели начинают рости (вместе с lavg и т.д.) вводим новый сервер доступа и т.д.

Makariy

и я про тоже:
хорошее, недорогое, отказоустойчивое, легко масштабируемое решение

kaN5300

Только вдогонку кину офтопик, потом может быть создам отдельный тред. При количестве NAS-серверов больше одного хитрый пользователь теоретически может установить по одному туннелю к каждому серверу доступа, т.о. помножив свою скорость по тарифу на к-во нас-серверов. Каким бы образом научить mpd давать отказ на инициализацию pptp-сессии, если такой юзер уже законнекчен на "сосенднем" NAS-сервере.

Makariy

проходили попробуй это
viewtopic.php?p=53467&highlight=#53467

Makariy

kaN5300 писал(а):У нас так сделано

Несколько NAS серверов с идентичным конфигом работают параллельно (DNS раунд робин). Сам конфиг до неприличия прост: 1U, топовый интеловый камень, SDD, минимум памяти, топовая интеловая дуалпорт-сетевуха.

а по конкретней по железу не распишеш?

kaN5300 писал(а): Ну и сервисы (это очень важно, а то некоторые сидят на natd и не понимают, почему так всё нагружено) ipfw (на таблицах, стейтлесс), kernel nat, ng_car, mpd5, rfw

натиш то чем ng_nat? ipfw?

kaN5300 писал(а): Одна такая железка держит 30k pps на внешнем интерфейсе, 800 туннелей. Как только это показатели начинают рости (вместе с lavg и т.д.) вводим новый сервер доступа и т.д.

в вечернее время не покажеш:

netstat -w1 -d
top -SPHI
ifconfig | grep ng | wc -l
systat

kaN5300

а по конкретней по железу не распишеш?

Четвертый по счету сервак будет таким:

Core i7 965 BX80601965 3.20/6.4GTsec/8M LGA1366/2048Mb
Ram/1*SSD SATA2.5" 30GB/SNV125-S2/30GB KINGSTON
Raid/2*NET1000/E1G42ETBLK

Последнее это интеловская двухпортовка. Интеграшки использоваться не будут. Как видно, на оперативке и хардах экономим.

натиш то чем ng_nat? ipfw?

ipfw nat

netstat -w1 -d
top -SPHI
ifconfig | grep ng | wc -l
systat

Uploaded with ImageShack.us

NeXuSs · Сообщение **NeXuSs** » Пн сен 20, 2010 10:58

Нда, а я все взгромоздил на циску

Теперь вот думаю как безболезненно перейти со старой схемы на новую (mpd5+pf+ng_car) и как настроить весь этот комплекс сервисов, чтобы он еще и работал.

На форуме, в основном, инфа по настройке ipfw+ng_nat или natd.

NeXuSs · Сообщение **NeXuSs** » Чт сен 30, 2010 10:18

Так, походу почти со всем разобрались, только теперь нужно понять как в динамике шейпить ng_car'ом трафик. Я так понимаю нужен скрипт.
Люди, подбросьте идею пожалуйста или хотя бы примерный скриптик.
А еще не понятно как можно сопоставить абонента из базы УТМ с интерфейсом ng, созданным для него.

Blackmore

А еще не понятно как можно сопоставить абонента из базы УТМ с интерфейсом ng, созданным для него.

- через IP адрес никак ?

NeXuSs · Сообщение **NeXuSs** » Чт сен 30, 2010 10:52

Точно!

Надо попробовать.
Скажите кто-нибудь, есть у mpd ограничение по-умолчанию на количество создаваемых ng интерфейсов?

kaN5300

В последних версиях фри семерки и мпд пятерки никаких ограничений нет. Может только loader.conf и sysctl.conf подкрутить в сторону нетграфа немного.

NeXuSs · Сообщение **NeXuSs** » Чт сен 30, 2010 12:45

А можно ткнуть в меня темой из форума или просто информацию подскажите по тюнингу (подкрутке) в сторону нетграфа.

Makariy

kaN5300 писал(а):

дружище! не поделишся шаблоном для кактуса, коим ты ifconfig | grep ng | wc -l снимаеш?
ато я сам много чего мониторю, а вот с количеством сессий на мпд косяк =)

kaN5300

Ну скрипт подсчета я думаю понятен, дальше в snmpd.conf делаешь допустим

Код: Выделить всё

exec queue /home/kan5300/scripts/tun_counter.sh

И там есть набор оидов для кастомных скриптов. И осталось Data teplate сделать для кактишки по оиду 1.3.6.1.4.1.2021.8.1.101.1 - это и есть то что скриптом выполняется в конфиге.

А как создавать свои графики в какти можно загуглить.

UPD: net-snmp-5.4.2.1_6

NeXuSs · Сообщение **NeXuSs** » Пт окт 08, 2010 09:53

Сегодня обнаружилась проблема с мпд:
новые туннели (ng) не поднимаются, пишет ошибку в Win7 - 807. в XP - 651, вэб-морда мпд не работает, мпд killall'ом не убивается, туннели, которые были подняты до зависания никуда не пропали, все остались на своих местах, помогла только перезагрузка сервера и потом рестарт сервисов rfw и pf.

Так же заметил, что начала расти NetGraph data items, до этого ошибка была равна 0

С момента подвисания мпд в его логи ничего не сыпалось и ничего странного замечено не было.

Подскажите плиз что это может быть?