今天去我们教委做了个NAT服务器,带大约4000台机器。
刚换了三个防火墙,一个实达的“龙马卫士”,一个神码的1800E-G,最后一个是神码的1800E-G-UMT,都不堪重负,两三天以后就变慢,只好重启。今天过去考验一下BSD的能力。
服务器是曙光的,至强3。0。不过内在稍小一些,才512M,原来是FTP服务器,临时改代理试试。
重新编译内核,加上ipfw等参数,一切正常。
切换线路的时候,发现NAT无法使用,修改了N次策略,也无济于事。表现是内网网卡没有流出的数据。用systat
-ifstat也可以看到这一点,内网网卡的流量是零。最后把polling和dumm去掉,又重新编译内核,还是不行。没办法,丢在一边了。(编译超
快,不用10分钟!)
中午回家在床上,突然想起一个问题:局域网太大,走的是路由模式,最后一个是172.16.0.153,NAT服务器是172.16.0.154,默认路由是:221.2.x.x。那么机器怎么发现返回数据的IP呢?也就是没有路径可走,最后又走外网卡出去了。
应该再加上内网的路由:route add 172.16.0.0/16 172.16.0.253。
好象应该找到原因,明天再去试一试。
(好不容易找回来了,但愿CU的博客不再出问题!接着写:)
ipfw+natd有些吃力,把udp禁止掉速度还可以,流量能在50M左右,但是不能带状态保持,如果加上keep-state,则十分钟就要清一次状态才行。而传说中的ipnat效果比ipfw还要差,ipf好象带状态保持,两分钟后就死掉。有些搞不懂。
最后还是硬防的nat功能强一些,但是也要把udp禁掉。但要注意先把udp 53打开,否则就会都不能上网(DNS解析不到)。测试,可以到70-80M。不禁udp的话,在50-60M上,cpu就到100%。
(注:到写本篇后半部分时,已经过去了一个多月时间,硬件防火墙运行一直正常。顺便BS一下神码的部分技术人员,书本上说的,不一定是正确的,实践才最重要!)
阅读(2439) | 评论(0) | 转发(0) |