Bom estou com 03 Links Fulls
- 02 Mb Embratel
- 02 Mb brt
- 01 Mb Brt
O Servidor Possue 04 Placas de Rede, 1 para cada Link e 01 para o concentrador PPPOE!
Segue o expot
/ ip address
add address=200.248.XXX.XXX/24 network=XXX.XXX.XXX.XXX broadcast=XXX.XXX.XXX.XXX interface=ether1 comment="Link01 2Mb FULL Embratel " disabled=no
add address=201.16.XXX.XXX/24 network=XXX.XXX.XXX.XXX broadcast=XXX.XXX.XXX.XXX interface=ether2 comment="Link02 2Mb FULL Brt " disabled=no
add address=189.30.XXX.XXX/24 network=XXX.XXX.XXX.XXX broadcast=XXX.XXX.XXX.XXX interface=ether3 comment="Link03 1 Mb FULL Brt" disabled=no
add address= network= broadcast= interface=ether3 comment="" disabled=no
ROTAS
Citação:
/ ip route
add dst-address=0.0.0.0/0 gateway=200.XXX..XXX.XXX/24 scope=255 target-scope=10 comment="" disabled=no
add dst-address=0.0.0.0/0 gateway=200.XXX.XXX.XXX/24 scope=255 target-scope=10 routing-mark=3_rota comment="" disabled=no
add dst-address=0.0.0.0/0 gateway=201.XXX.XXX.XXX/24 scope=255 target-scope=10 routing-mark=2_rota comment="" disabled=no
add dst-address=0.0.0.0/0 gateway=189.XXX.XXX.XXX/24 scope=255 target-scope=10 routing-mark=1_rota comment="" disabled=no
MANGLE
Citação:
/ ip firewall mangle
add chain=prerouting in-interface=ether3 connection-state=new nth=2,1,0 action=mark-connection new-connection-mark=primeiro passthrough=yes comment="Loadbalance" disabled=no
add chain=prerouting in-interface=ether3 connection-mark=primeiro action=mark-routing new-routing-mark=1_rota passthrough=no comment="" disabled=no
add chain=prerouting in-interface=ether3 connection-state=new nth=2,1,1 action=mark-connection new-connection-mark=segunda passthrough=yes comment="" disabled=no
add chain=prerouting in-interface=ether3 connection-mark=segunda action=mark-routing new-routing-mark=2_rota passthrough=no comment="" disabled=no
add chain=prerouting in-interface=ether3 connection-state=new nth=2,1,2 action=mark-connection new-connection-mark=terceira passthrough=yes comment="" disabled=no
add chain=prerouting in-interface=ether3 connection-mark=segunda action=mark-routing new-routing-mark=3_rota passthrough=no comment="" disabled=no
add chain=prerouting protocol=tcp dst-port=443 action=mark-routing new-routing-mark=1_rota passthrough=yes comment="" disabled=no
Citação:
/ ip firewall nat
add chain=srcnat connection-mark=primeiro action=src-nat to-addresses=189.XXX.XXX.XXX to-ports=0-65535 comment="NAT" disabled=no
add chain=srcnat connection-mark=segunda action=src-nat to-addresses=201.XXX.XXX.XX to-ports=0-65535 comment="" disabled=no
add chain=srcnat connection-mark=terceiro action=src-nat to-addresses=200.XXX.XXX.XXX to-ports=0-65535 comment="" disabled=no
Dúvida!
Os contatores do NAT, não se modificam, o do mangle quase nada!
Algo errado?
Já possuo LB por grupo e por protocolo!
Queria testar NTH!
Obrigado
-
10-04-2008, 15:33 #1Luciana-MartinsVisitante
Lb NTH ( Dúvidas )
Última edição por Luciana-Martins; 12-04-2008 às 13:07.
-
11-04-2008, 12:37 #2
Oh locco amigo,
tem certeza que você quer implementar esse balanceamento aí? Links de operadoras diferentes tem de ser bem implementado, senão serão muitas as dores de cabeças como problemas com bancos e outros serviços que exigem autenticação em tempo real.
-
11-04-2008, 17:22 #3Moderador
- Ingresso
- Aug 2006
- Localização
- Pres. Venceslau - SP | Pres. Prudente - SP
- Posts
- 1.412
- Posts de Blog
- 10
Possivel Erro
Colega não seria esse o seu problema???
Repare onde marquei de vermelho:
/ ip firewall mangle
add chain=prerouting in-interface=ether3 connection-state=new nth=2,1,0 action=mark-connection new-connection-mark=primeiro passthrough=yes comment="Loadbalance" disabled=yes
add chain=prerouting in-interface=ether3 connection-mark=primeiro action=mark-routing new-routing-mark=1_rota passthrough=no comment="" disabled=yes
add chain=prerouting in-interface=ether3 connection-state=new nth=2,1,1 action=mark-connection new-connection-mark=segunda passthrough=yes comment="" disabled=yes
add chain=prerouting in-interface=ether3 connection-mark=segunda action=mark-routing new-routing-mark=2_rota passthrough=no comment="" disabled=yes
add chain=prerouting in-interface=ether3 connection-state=new nth=2,1,2 action=mark-connection new-connection-mark=terceira passthrough=yes comment="" disabled=yes
add chain=prerouting in-interface=ether3 connection-mark=segunda action=mark-routing new-routing-mark=3_rota passthrough=no comment="" disabled=yes
-
11-04-2008, 22:32 #4Luciana-MartinsVisitante
Desculpe, foi apenas erro de edição aqui pro post!
Postado originalmente por minelli
A regra está com a interface correta!
-
12-04-2008, 09:29 #5
- Ingresso
- Jul 2004
- Posts
- 415
Ola MarceloGOIAS,
o que voce quer dizer com:
Gostaria de ler a sua opinião sobre esse tema. Postado originalmente por MarceloGOIAS
Obrigado.
----------------------------
Ola Martins,
==> tem mais erros de edição que voce cometeu no POST INICIAL. Postado originalmente por Martins
==> tem regras com disable=yes
Abraços,
-
12-04-2008, 10:15 #6
- Ingresso
- Feb 2006
- Posts
- 315
Marcelo Goias
Também gostaria de ler sua opinião para saber porque não aconselha essa solução.
-
12-04-2008, 11:25 #7
Bom dia, Postado originalmente por liandrocarniel
o problema maior de links de operadoras diferentes é que eles usam gatewaies diferentes, rotas diferentes e DNS diferentes (menos importante, mas influi). Exemplo bem simples: se você for fazer uma viagem e escolher um intinerário diferente da primeira viagem você encontrará coisas diferentes e pessoas diferentes no novo caminho. Isso ocorre com trafégo de dados: rotas diferentes dá "desencontro" de pacotes e aumentará o tráfego na rede, além de problema de latência, pois no procotolo TC/IP há reenvio de pacotes quando os anteriores são perdidos. Em bancos principalmente em que há mudanças de portas (da 80 para a 443, por exemplo) isso é muito problemático, pois o requisito segurança dos bancos poderá desconectar o navegador por interpretar tentativas na capturas de dados e informações sigilosas. Um "racker" pega uma conexão que é de outro, um proxy mal configurado por exemplo, e tenta furar sistemas de seguranças, pois se as suas tentativas forem descobertas o internauta invadido poderá ser identificado como o invasor, enquanto que o verdadeiro invasor geralmente sai "ileso" da tentativa, pois não foi descoberto por estar usando a identidade de outro.
Por esse motivo os sistemas dos bancos desconectam navegadores que mudam de rotas e de IPs, pois links diferentes tem rotas, gateway e IPs diferentes.
Links de duas ou operadoras são recomendáveis quando se quer dar ou ter garantia de 100% de funcionamento 24hs por dia, 365 dias por ano, etc.
Resumindo: pega-se dois links, 1 como principal e o outro como secundário. Caso um caia o outro segurará até que o principal volte, ou seja, uma espécie de reserva ou sombra. Para somar links e ter incremento de velocidade jamais funcionará corretamente. Serviço como esse não pode ser vendido a terceiros, pois não há garantia de funcionamento.
-
12-04-2008, 11:37 #8
- Ingresso
- Feb 2006
- Posts
- 315
Compreensível a explicação, mas não quer dizer que não deve ser estudada e implementada.
Como você bem disse, na primeira mensagem, tem que ser muito bem estruturada e implementada, prevendo-se rotas fixas para esses casos (bancos, etc).
Se for fazer um balanceamento por rota fixa (e separando clientes para usar determinada rota) e não por NTH, creio que os problemas podem ser maiores.
Ainda indico esse tipo de balanceamento, que ao meu ver, é suficientemente eficiente.
Não é a solução 100% ideal, mas diante do que o MK oferece, é ótimo.
-
12-04-2008, 11:39 #9
- Ingresso
- Jul 2004
- Posts
- 415
Ola MarceloGOIAS,
OBRIGADO pela sua resposta.
Mas... no contexto do topico apresentado... qual sua opiniao (digo: continuidade no seu raciocinio inicial).
-------------------------
Com respeito a comunicação TCP/IP (2way-handshake)... NORMAL. E isso permite que pacotes fluam em rotas diferentes... e é por isso que existem sequence-numbers em cada sentido da comunicação/conexão.
Com respeito a site de bancos... o IP é verificado para cada conexão/protocolo. Ou seja: conexão na porta 443... um IP source fixo. Isso para garantir que a conexão está partindo do mesmo usuario/cliente do banco. OK.
--------------------------
Não entendi mesmo foi o raciocinio referente ao POST iniciado por "Luciana-Martins". Se puder dar continuidade... OBRIGADO.
Abraços,
-
12-04-2008, 13:09 #10Luciana-MartinsVisitante
Postado originalmente por mson77
Agora corrigi, é que havia dado um export, mas as regras estavam desabilitadas pq não funcionaram!
O que ocorre é que não gera trafego nas regras de nat, e na mangle, quase nada! Resumindo, não há navegação!
Lembrando que minha interface dos clientes é um concentrador PPPOE, sem endereçamento!!
Obrigada
-
17-04-2008, 22:50 #11
- Ingresso
- Jul 2007
- Posts
- 57
___________________________________ Postado originalmente por Luciana-Martins
Voce distribui IPs válidos para seus clientes????
Se não, não seria o caso de habilitar no NAT o "action=masquerade""???
-
07-05-2008, 20:12 #12
- Ingresso
- Aug 2006
- Posts
- 207
Caro mson77
Tudo bom?
Eu estava lendo sobre o Nth, e tb em suas respostas.. e me surgiram 2 dúvidas.. e gostaria de saber se vc poderia me ajudar com as mesmas.
1- Simulamos uma situação onde existem 2 Links, onde um é de 1M e outro de 8M, como ficaria a contagem e as regras?
eu teria que criar para cada contagem 1 regra?? ou serão 2, uma para o link A e outro para o link B ?
E as mesmas seria assim (9,1,0) Link A e (9,1,1) Link B ??
2- E sobre a questao dos DNS?? no caso se entrar um terceiro Link? Formando 3 Links de 3 Operadoras diferentes? Como ficaria essas configuração dos DNS??
Desde já.. agradeço sua atenção.
Abraços.
Deivyn
-
07-05-2008, 20:30 #13
- Ingresso
- Jul 2004
- Posts
- 415
-
08-05-2008, 00:52 #14
- Ingresso
- Aug 2006
- Posts
- 207
Sim tirando base exatamente desse topico q vc citou,
no qual eu ja havi lido com bastante atençao.
E efetuei a aplicaçao dessa regra, (adaptando para a situaçao indicada acima)
E o que aconteceu?
o Link que marquei ( 0 ), contou no total um maior numero de Mega do que o Link que foi adiciona para passar por (8x).
"Após deixar 3 horas fazendo essa contagem, ele está marcando nesse momento 225 mega para o (0) e 152 mega para o link que era pra passar 8x mais, com um total de pacotes 997.600 X 666.500" isso na marcaçao para rota.
Mas na marcaçao das novas conexoes. ele marca tudo igual, tanto nos pacotes e no tamanho... nas 9 regras criadas.
e foi colocado no mangle assim
(8,1,0) Link A
(8,1,1) Link B
(8,1,2) Link B
(8,1,3) Link B
(8,1,4) Link B
(8,1,5) Link B
(8,1,6) Link B
(8,1,7) Link B
(8,1,8) Link B
E ae?? será q to fazendo algo errado?
Pois se fosse para dividir igual pelos 2 links... pela marcaçao fica tudo certinho.. meio a meio para cada link.. porem para links de diferentes tamanhos.. ta mais complicado..
mais uma vez
Obrigado..
Abraços..
-
08-05-2008, 10:04 #15
- Ingresso
- Jul 2004
- Posts
- 415
Ola deivyn,
Sua nota é LOUVOR.
Parabéns.
É tudo que eu posso dizer.
Abraços,
-
09-05-2008, 22:26 #16
- Ingresso
- Aug 2006
- Posts
- 207
Olá Mson77
Tudo bom? Terei que lhe incomodar novamente com minhas duvidas..
Mas estou tendo uma tremenda dor de cabeça para implantar um load balance aqui.
Será que vc poderia me ajudar?
Bom.. dessa vez não é sobre o Nth, eu implantei conforme descrevi acima, e está rodando ok.
O meu problema está sendo com a navegação (ou a NÃO navegação), pois após ativar nos GT as Rotas que marquei no Nth... Eu simplesmente nao navego mais.
Mas se eu for no New Terminal e pingar algum site o MKT está navegando normal.
Acredito que eu esteja com algum problema no NAT ou no GT mas eu ja revisei e nao consegui encontrar nada errado.
Fora isso tb tenho a dúvida de como implantar quando se tem IP Dinamico.. que é o meu caso.. tanto o DHCP e o ADSL, me fornecer IP Dinamico, e pelo que vi.. no NAT terei redirecionar para o IP da conexão.. Teria como adaptar essa regra para alguma parecida com a Masquerade?
** CENÁRIO **
Montei uma MKT a parte para efetuar os testes de LB, e o meu cenário de teste consiste em:
** 2 Links **
1- ADSL (com o MKT fazendo a discagem do pppoe) marcado apenas para receber um IP e DNS (sem route pois colocarei o GT manualmente)
2- Link por DHCP (onde ativo na interface o DHCP cliente, recebendo apenas o IP e o DNS tb).
E possuo uma Ether (Local) que é por onde estou querendo navegar.
Segue abaixo minhas regras do firewall (estão cruas, pois essa maquina é somente para teste mesmo).
**** / ip address
# ADDRESS NETWORK BROADCAST INTERFACE
0 170.0.0.1/24 170.0.0.0 170.0.0.255 Local
1 D 205.170.0.185/24 205.170.0.0 205.170.0.255 link_DHCP
2 D 189.46.199.104/32 200.204.210.217 0.0.0.0 ADSL_Discagem
**** / ip route
add dst-address=0.0.0.0/0 gateway=200.204.210.217 scope=255 target-scope=10 \
comment="" disabled=no
add dst-address=0.0.0.0/0 gateway=200.204.210.217 scope=255 target-scope=10 \
routing-mark=LinkB comment="" disabled=no
add dst-address=0.0.0.0/0 gateway=205.170.0.2 scope=255 target-scope=10 \
routing-mark=LinkA comment="" disabled=no
Obs.: Nao tenho nada no RULES
**** / ip firewall mangle
add chain=prerouting in-interface=Local connection-state=new nth=1,0,0 \
action=mark-connection new-connection-mark=LinkA passthrough=yes \
comment="" disabled=no
add chain=prerouting connection-mark=LinkA action=mark-routing \
new-routing-mark=LinkA passthrough=no comment="" disabled=no
add chain=prerouting in-interface=Local connection-state=new nth=1,0,1 \
action=mark-connection new-connection-mark=LinkB passthrough=yes \
comment="" disabled=no
add chain=prerouting connection-mark=LinkB action=mark-routing \
new-routing-mark=LinkB passthrough=no comment="" disabled=no
--- Nao apliquei nenhuma marcação ainda referente a portas e suas saidas, pois esse é um ambiente de teste ---
**** / ip firewall nat
add chain=srcnat action=masquerade comment="" disabled=no
add chain=srcnat connection-mark=LinkA action=src-nat \
to-addresses=205.170.0.185 to-ports=0-65535 comment="" disabled=no
add chain=srcnat connection-mark=odd action=src-nat \
to-addresses=189.46.199.104 to-ports=0-65535 comment="" disabled=no
Bom.. É isso..
está me tirando o sono, e já cansei de ler e reler minhas regras.. e nao encontro o erro.
Obrigado..
Abraços...
-
10-05-2008, 07:14 #17
- Ingresso
- Jul 2004
- Posts
- 415
Olá deivyn,
Acima seguem as suas regras. Postado originalmente por deivyn
- Vou te passar 2 lições de casa.
- Tenho certeza que você irá tirar nota 10 (Louvor)!
- Não me decepcione, ok?
1) Reveja com calma o "quote" acima;
2) Clique AQUI e qualifique as ajudas até aqui recebidas. Sua vez de me ajudar, ok?
Abraços,
-
10-05-2008, 12:50 #18
- Ingresso
- Aug 2006
- Posts
- 207
Putz.. de tanto eu fazer e refazer o LB,
esse que mudei por ultimo.. nao tirei essa do NAT..
Mas vou tentar com a marcaçao certa.. e retorno com os resultados no forum..
Mas creio que nao vai funcionar.. pq o meu penultimo teste foi zerar todo o MKT no reset, e exportei o wiki internacional de LB com o nth, e mesmo assim.. ele nao navegou...
só navega o MKT mesmo.. dentro dele eu pingando algum site..
pra sair nao navega...
Ainda continuo cabreio com a questão DNS..
Ontem a noite... estava lendo alguma coisa de LB, e tinha uma msg dizendo que o DNS (que se usava na maquina cliente) era o MKT, nao estava funcionando mais... deveria colocar um DNS externo de algum dos links reais...
isso confere??
E sobre a questão do IP dinamico para colocar no NAT?? como vc resolveu Msom?? pois tb li um topico seu mais antigo.. onde vc estava com o mesmo cenário que o meu.. e vi que vc nao retornou para dizer se teve sucesso ou nao..
É.. eu estou te amolando mesmo né?? mas é fogo quando a gente pega uma coisa pra fazer.. e a mesma nao funciona.. por mais que vc acha que está certo.. ae começa a virar questao de honra ahaha..
valeu..
abraços..
-
10-05-2008, 18:11 #19
- Ingresso
- Aug 2006
- Posts
- 207
Só dando o retorno pro forum.. realmente ainda nao consegui navegar..
Nem colocando no DNS da minha maquina (cliente) o da operadora.. nao navega..
só consigo navegar.. quando desabilito os 2 GT que estao com as rotas marcadas.. e mesmo assim ele demora um pouco pra pensar (como se estivesse esperando uma resposta do DNS) fica 1 min assim.. e depois começa navegar normalmente.. sem dar essas paradas..
Alguma sugestão???
Valeu..
Abraços..
-
10-05-2008, 18:57 #20
- Ingresso
- Jul 2004
- Posts
- 415
Ola deivyn,
Deixo para a comunidade te ajudar.
Acredito que eu já fiz a minha parte com louvor e clareza.
Você não fez o 2º dever de casa.
Abraços,
Citação
