Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти
 
Страницы: 1
RSS
Два НАТ - минусы и плюсы.
 
Добрый день.
есть корпоративная сеть. Были Подключены к провайдеру через Cisco EPC 3212 по коаксиалу.
Циска работает в режиме моста. За ней стоит Juniper SS5 - в режиме NAT работает.
Всё работало.

Сейчас заменили Cisco на FritzBox, а провайдер там обновляет прошивку и удалил из неё режим мост.
И у нас получается - два НАТ. Т.к. я не могу общаться с провайдером на прямую, я пытаюсь объяснить все минусы сотруднику, который с ними общается.
На прошлой неделе заметил такую ситуацию:
если у нас идёт раздача, которая полностью загружает исходящий канал, что нормально.
так вот во время раздачи невозможно работать через SSHб и пинг увеличивается с 20 до 300-1000 - что не нормально.
Когда был один НАТ - такого не было, все могли работать при активной раздаче.

Теперь задача - мне нужно предоставить доказательства того, что два НАТа для нас нехорошо. Нужно это доказать техническим языком, а не так "тогда всё работало".

Вообщем, как то так.

Спасибо!
 
на вскидочку...


1) Проброска портов занимает больше времени
2) пинг увеличивается (замеряешь через какой-нить pathping %gate1_ip% затем pathping %gate2_ip%), далее из второго первое значение и получаешь реальное уменьшение которое получишь при убирании одного ната
 
1) мы не используем проброс портов. Мы ВПН пользуем.
2) мне нужно в теории это показать, а не на замерах. Т.е. мне нужно тыкнуть в "стандарт", RFC, или ещё куда, чтобы подтвердить, что второй NAT действительно вносит "помехи". Ибо замер пинга это как раз и будет - раньше всё работало отлично.

у меня уже в черновике лежит письмо для начальства, но мне был материал какой об ухудшении качества связи в случае с двумя НАТ.
 
- что второй NAT действительно вносит "помехи

Он вносит тормоза, но не помехи
 
Цитата
Alex P пишет:
Он вносит тормоза, но не помехи
вот и мне нужна компетентная статья про это.
 
В теории, двойной НАТ - это зло. :) Даже чисто из технических соображений. Если НАТ statefull - таблица сетевых соединений (которые надо отслеживать, чтобы "транслировать потом взад") занимает определенный объем памяти сетевого устройства, которая имеет свойство заполняться. Если подобных соединений будет немного и процессор сетевого устройства будет справляться с нагрузкой - все будет хорошо. А вот если не будет справляться - соединения могут банально "дропаться" (все зависит от политики софта сетевого устройства). Естественно, двойной НАТ приводит к тому, что вероятность возникновения подобной ситуации увеличивается в 2 раза. Фактически - будем иметь не одно "бутылочное горлышко", а два. Ну вот где-то так.  :)
 
SOLDIER,  Значит при большой сессионной нагрузке получаем трудности. А т.к. у нас компания занимается веб-разработками, то такая ситуация вполне вероятна. Спасибо.
 
Все вышесказанное для убедительности - конечно же не мешало бы подтвердить статистиской. Ну например, прикрутить какти во внутренней сети и в него вкорячить пинг куда-нибудь внаружу. И апеллировать в качестве аргумента к увеличению времени отклика внешнего IP. Хотя это и не совсем объективный показатель (обработка пакетов ICMP никогда не являлась приоритетной на маршрутизаторах), но хоть какой-то.
 
а как правильно вкорячить пинг в какти?
 
Я уже не помню. Тогда, когда этим занимался - на форуме кактусоводов читал.  :)
 
Цитата
Алекс М пишет:
Сейчас заменили Cisco на FritzBox, а провайдер там обновляет прошивку и удалил из неё режим мост.
Коль уж ты не указал модели киски и фрица, то беру на вскидку. Процессор явно слабоватый, а размер оперативки в 32MiB потянет в лучшем случае NAT таблицу в 200000 соединений - 160 байт на каждое (см. к примеру кисковое описалово), минус ОП отъеденная под загруженные сервисы и ядро. Можешь аргументировать, что для работы используете торренты с нескольких компов, для которых такой таблицы мало.
 
Цитата
RU_LIDS пишет:
Коль уж ты не указал модели киски
а это что?
Цитата
Алекс М пишет:
Были Подключены к провайдеру через Cisco EPC 3212 по коаксиалу
Фриц да, не указал. Такой 6360 Cable.

но вот торрентами мы не пользуемся. Я написал письмо руководству, что предупредил их о последствиях двух натов. Что могут быть сложности, в том числе и с ВПН-ом. Я предупредил их.
Изменено: Алекс М - 26.10.2012 16:37:15
 
вообще, проблема с double nat не столько в производительности(чтобы её заметить, надо гонять уж очень приличные объёмы трафика или иметь очень слабое железо), сколько в кривости самого подхода.
nat сам по себе не очень хорошая штука, ломающая кучу протоколов, да ещё если где-то забыли keep-alive пакетик послать - всё, стейт удаляется.
Страницы: 1
Читают тему