👩🏽‍🏭 😎 ✡️ लिनक्स पर फास्ट रूटिंग और NAT 👨🏽‍💼 🎦 🐃

जैसा कि IPv4 पते समाप्त हो गए हैं, कई दूरसंचार ऑपरेटरों को पता अनुवाद का उपयोग करके नेटवर्क तक अपने ग्राहकों की पहुंच को व्यवस्थित करने की आवश्यकता होती है। इस लेख में मैं आपको बताऊंगा कि कमोडिटी सर्वर पर कैरियर ग्रेड NAT स्तर का प्रदर्शन कैसे प्राप्त करें।

इतिहास का हिस्सा

IPv4 एड्रेस स्पेस से बाहर निकलने का विषय अब नया नहीं है। कुछ बिंदु पर, प्रतीक्षा सूची RIPE में दिखाई दी, फिर ऐसे एक्सचेंज थे, जिन पर उन्होंने पते के ब्लॉक का कारोबार किया और अपने किराए के लेनदेन का निष्कर्ष निकाला। धीरे-धीरे, दूरसंचार ऑपरेटरों ने पते और बंदरगाहों के अनुवाद के माध्यम से इंटरनेट एक्सेस सेवाएं प्रदान करना शुरू कर दिया। किसी ने प्रत्येक ग्राहक को "श्वेत" पता देने के लिए पर्याप्त पते प्राप्त करने का प्रबंधन नहीं किया, जबकि किसी ने द्वितीयक बाजार में पते खरीदने से इनकार करके पैसे बचाने शुरू कर दिए। नेटवर्क उपकरण निर्माताओं ने इस विचार का समर्थन किया, जैसा कि इस कार्यक्षमता के लिए आमतौर पर अतिरिक्त विस्तार मॉड्यूल या लाइसेंस की आवश्यकता होती है। उदाहरण के लिए, MX राउटर लाइनअप (नवीनतम MX104 और MX204 को छोड़कर) में जुनिपर के साथ, NAPT को एक अलग MS-MIC सेवा कार्ड पर किया जा सकता है, सिस्को ASR1k को एक GN लाइसेंस की आवश्यकता होती है,सिस्को ASR9k पर, एक अलग A9K-ISM-100 मॉड्यूल और इसके लिए A9K-CGN-LIC लाइसेंस। सामान्य तौर पर, खुशी में बहुत पैसा खर्च होता है।

iptables

NAT प्रदर्शन करने के कार्य के लिए विशेष कंप्यूटिंग संसाधनों की आवश्यकता नहीं होती है, सामान्य प्रयोजन प्रोसेसर जो स्थापित हैं, उदाहरण के लिए, किसी भी होम राउटर में, इसे हल कर सकते हैं। एक वाहक पैमाने पर, FreeBSD (ipfw / pf) या GNU / Linux (iptables) चलाने वाले कमोडिटी सर्वर का उपयोग करके इस समस्या को हल किया जा सकता है। हम FreeBSD पर विचार नहीं करेंगे, क्योंकि मैंने लंबे समय तक इस ओएस का उपयोग करने से इनकार कर दिया, इसलिए जीएनयू / लिनक्स पर ध्यान केंद्रित करें।

पते का अनुवाद चालू करना बिल्कुल भी मुश्किल नहीं है। सबसे पहले आपको नेट टेबल में iptables में नियम लिखना होगा:

iptables -t nat -A POSTROUTING -s 100.64.0.0/10 -j SNAT --to <pool_start_addr>-<pool_end_addr> --persistent

ऑपरेटिंग सिस्टम nf_conntrack मॉड्यूल को लोड करेगा, जो सभी सक्रिय कनेक्शनों की निगरानी करेगा और आवश्यक रूपांतरण करेगा। कई सूक्ष्मताएं हैं। सबसे पहले, चूंकि हम वाहक के पैमाने पर NAT के बारे में बात कर रहे हैं, इसलिए टाइमआउट को कसने के लिए आवश्यक है, क्योंकि डिफ़ॉल्ट मानों के साथ, अनुवाद तालिका का आकार जल्दी से भयावह मूल्यों तक बढ़ जाएगा। नीचे उन सेटिंग्स का एक उदाहरण है जो मैंने अपने सर्वर पर उपयोग किए थे:

net.ipv4.ip_forward = 1
net.ipv4.ip_local_port_range = 8192 65535

net.netfilter.nf_conntrack_generic_timeout = 300
net.netfilter.nf_conntrack_tcp_timeout_syn_sent = 60
net.netfilter.nf_conntrack_tcp_timeout_syn_recv = 60
net.netfilter.nf_conntrack_tcp_timeout_established = 600
net.netfilter.nf_conntrack_tcp_timeout_fin_wait = 60
net.netfilter.nf_conntrack_tcp_timeout_close_wait = 45
net.netfilter.nf_conntrack_tcp_timeout_last_ack = 30
net.netfilter.nf_conntrack_tcp_timeout_time_wait = 120
net.netfilter.nf_conntrack_tcp_timeout_close = 10
net.netfilter.nf_conntrack_tcp_timeout_max_retrans = 300
net.netfilter.nf_conntrack_tcp_timeout_unacknowledged = 300
net.netfilter.nf_conntrack_udp_timeout = 30
net.netfilter.nf_conntrack_udp_timeout_stream = 60
net.netfilter.nf_conntrack_icmpv6_timeout = 30
net.netfilter.nf_conntrack_icmp_timeout = 30
net.netfilter.nf_conntrack_events_retry_timeout = 15
net.netfilter.nf_conntrack_checksum=0

और दूसरी बात, चूंकि टेलीकॉम ऑपरेटर की शर्तों में अनुवाद तालिका के डिफ़ॉल्ट आकार को काम करने के लिए डिज़ाइन नहीं किया गया है, इसे बढ़ाया जाना चाहिए:

net.netfilter.nf_conntrack_max = 3145728

सभी अनुवादों को संग्रहीत करने वाली हैश तालिका के लिए बाल्टी की संख्या में वृद्धि करना भी आवश्यक है (यह nf_conntrack मॉड्यूल का एक विकल्प है):

options nf_conntrack hashsize=1572864

इन सरल जोड़तोड़ के बाद, एक पूरी तरह से काम करने वाला निर्माण प्राप्त किया जाता है, जो बड़ी संख्या में क्लाइंट पते को बाहरी पूल में अनुवाद कर सकता है। हालाँकि, इस समाधान का प्रदर्शन खराब है। एनएटी (2013 के आसपास) के लिए जीएनयू / लिनक्स का उपयोग करने के मेरे पहले प्रयास में, मैं प्रति सर्वर (एक्सोन ई 5-1650 वी 2) 0.8Mpps पर लगभग 7Gbit / s प्रदर्शन प्राप्त करने में सक्षम था। उस समय से, GNU / Linux कर्नेल नेटवर्क स्टैक में कई अलग-अलग अनुकूलन किए गए हैं, एक ही हार्डवेयर पर एक सर्वर का प्रदर्शन लगभग 1.8-1.9 Mpps पर 18-19 Gbit / s तक बढ़ गया है (ये सीमा मान थे), लेकिन ट्रैफ़िक वॉल्यूम की आवश्यकता, एक एकल सर्वर द्वारा संसाधित, बहुत तेजी से बढ़ा। नतीजतन, विभिन्न सर्वरों के लिए लोड संतुलन योजनाएं विकसित की गईं, लेकिन इन सभी ने सेटअप की जटिलता को बढ़ा दिया,प्रदान की गई सेवाओं की गुणवत्ता की सेवा और रखरखाव।

Nftables

आजकल, DPDK और XDP का उपयोग सॉफ्टवेयर "पैकेट ट्रांसफर" में एक फैशनेबल दिशा है। इस विषय पर बहुत सारे लेख लिखे गए हैं, कई अलग-अलग प्रस्तुतिकरण किए गए हैं, वाणिज्यिक उत्पाद दिखाई देते हैं (उदाहरण के लिए, वासपेर्ट्स से SKAT)। लेकिन दूरसंचार ऑपरेटरों से प्रोग्रामरों के सीमित संसाधनों की शर्तों में, इन रूपरेखाओं के आधार पर किसी प्रकार के "शेयर" में कटौती करना काफी समस्याग्रस्त है। भविष्य में इस तरह के समाधान को संचालित करना अधिक कठिन होगा, विशेष रूप से, नैदानिक उपकरण विकसित करना आवश्यक होगा। उदाहरण के लिए, DPDK के साथ एक नियमित tcpdump सिर्फ काम नहीं करता है, और यह XDP का उपयोग करके तारों को वापस "भेजे गए" पैकेट नहीं मिला है। उपयोगकर्ता-अंतरिक्ष को पैकेट अग्रेषित करने के लिए नई तकनीकों के बारे में सभी चर्चाओं के बीच, रिपोर्ट और लेख किसी का ध्यान नहीं गयापाब्लो नीरा अयुसो, iptables अनुचर, nftables में फ्लो ऑफ़लोडिंग विकसित करने पर। आइए इस तंत्र को अधिक विस्तार से देखें।

मुख्य विचार यह है कि यदि राउटर स्ट्रीम के दोनों किनारों पर एक सत्र के पैकेट पारित कर देता है (टीसीपी सत्र स्थापित स्थिति में चला गया है), तो इस सत्र के बाद के पैकेटों को सभी फ़ायरवॉल नियमों के माध्यम से पारित करने की आवश्यकता नहीं है, क्योंकि इन सभी जाँचों को पैकेट को आगे राउटिंग के लिए स्थानांतरित करके सभी समान अंत होंगे। हां, और वास्तव में मार्ग का चयन करने की आवश्यकता नहीं है - हमें पहले से ही पता है कि इस सत्र के दौरान कौन से इंटरफ़ेस और कौन से होस्ट को पैकेट को अग्रेषित करना चाहिए। यह केवल इस जानकारी को सहेजने और पैकेट प्रसंस्करण के एक प्रारंभिक चरण में मार्ग के लिए उपयोग करने के लिए बनी हुई है। NAT प्रदर्शन करते समय, इसके अलावा nf_conntrack मॉड्यूल द्वारा परिवर्तित पते और बंदरगाहों में परिवर्तन पर जानकारी को बचाने के लिए आवश्यक है। हां, इस मामले में, iptables में विभिन्न पॉलिसर्स और अन्य सूचना-सांख्यिकीय नियम काम करना बंद कर देते हैं,लेकिन एक अलग खड़े NAT के कार्य के भाग के रूप में या, उदाहरण के लिए, एक सीमा, यह इतना महत्वपूर्ण नहीं है, क्योंकि सेवाओं को उपकरणों में वितरित किया जाता है।

विन्यास

इस फ़ंक्शन का उपयोग करने के लिए हमें चाहिए:

एक ताजा गिरी का उपयोग करें। इस तथ्य के बावजूद कि कार्यक्षमता केवल 4.16 कर्नेल में दिखाई देती है, लंबे समय तक यह बहुत "कच्चा" था और नियमित रूप से कर्नेल आतंक कहा जाता था। दिसंबर 2019 के आसपास सब कुछ स्थिर हो गया, जब एलटीएस गुठली 4.19.90 और 5.4.5 जारी की गई।
Nftables के एक हाल के संस्करण का उपयोग करके nftables प्रारूप में iprables नियम फिर से लिखें। संस्करण 0.9.0 में ठीक काम करता है

यदि पहले पैराग्राफ के साथ सिद्धांत में सब कुछ स्पष्ट है, तो मुख्य बात यह है कि असेंबली के दौरान कॉन्फ़िगरेशन में मॉड्यूल को शामिल करना न भूलें (CONFIG_NFT_FLOW_OFFLOAD = m), तो दूसरे पैराग्राफ को स्पष्टीकरण की आवश्यकता है। Nftables नियमों को iptables की तुलना में काफी अलग तरीके से वर्णित किया गया है। प्रलेखन लगभग सभी बिंदुओं को प्रकट करता है, iptables से nftables में विशेष नियम कन्वर्टर्स भी हैं । इसलिए, मैं केवल NAT स्थापित करने और ऑफलोड करने का एक उदाहरण दूंगा। उदाहरण के लिए एक छोटी किंवदंती: <i_if>, <o_if> नेटवर्क इंटरफेस हैं जिसके माध्यम से ट्रैफ़िक गुजरता है, वास्तव में दो से अधिक हो सकते हैं। <pool_addr_start>, <pool_addr_end> - "सफेद" पतों की श्रेणी का आरंभ और अंत पता।

NAT विन्यास बहुत सरल है:

#! /usr/sbin/nft -f

table nat {
        chain postrouting {
                type nat hook postrouting priority 100;
                oif <o_if> snat to <pool_addr_start>-<pool_addr_end> persistent
        }
}

फ्लो ऑफ़लोड थोड़ा अधिक जटिल है, लेकिन समझने योग्य है:

#! /usr/sbin/nft -f

table inet filter {
        flowtable fastnat {
                hook ingress priority 0
                devices = { <i_if>, <o_if> }
        }

        chain forward {
                type filter hook forward priority 0; policy accept;
                ip protocol { tcp , udp } flow offload @fastnat;
        }
}

वास्तव में, यह पूरा सेटअप है। अब सभी टीसीपी / यूडीपी ट्रैफिक फास्टनैट टेबल पर जाएंगे और बहुत तेजी से संसाधित होंगे।

परिणाम

यह स्पष्ट करने के लिए कि यह "कितना तेज" है, मैं एक ही हार्डवेयर (Xeon E5-1650v2) के साथ दो वास्तविक सर्वरों पर लोड के स्क्रीनशॉट को समान रूप से कॉन्फ़िगर करूंगा, समान लिनक्स कर्नेल का उपयोग करके, लेकिन iptables (NAT4) में NAT चल रहा है और में nftables (NAT5)।

स्क्रीनशॉट में प्रति सेकंड कोई पैकेट ग्राफ नहीं है, लेकिन इन सर्वरों के लोड प्रोफाइल में औसत पैकेट का आकार लगभग 800 बाइट्स है, इसलिए मान 1.5Mpps तक जाते हैं। जैसा कि आप देख सकते हैं, nftables के साथ सर्वर का प्रदर्शन मार्जिन बहुत बड़ा है। वर्तमान में, यह सर्वर 3Gpps पर 30Gbit / s तक की प्रक्रिया करता है और मुफ्त CPU संसाधनों के होते हुए 40Gbps नेटवर्क की भौतिक सीमा में स्पष्ट रूप से चलने में सक्षम है।

मुझे उम्मीद है कि यह सामग्री नेटवर्क इंजीनियरों के लिए उपयोगी होगी जो अपने सर्वर के प्रदर्शन को बेहतर बनाने की कोशिश करेंगे।

लिनक्स पर फास्ट रूटिंग और NAT

इतिहास का हिस्सा

iptables

Nftables

विन्यास

परिणाम

More articles: