Proposta de Roteamento independente (separado) do NAT e suas implicações

[flaviomreis]

https://under-linux.org/forums/data:...AAAElFTkSuQmCC

Boa tarde galera!

Desde já adianto que não estou repassando aqui a solução para nada e sim iniciando (ou tentando iniciar) a discussão sobre uma possível estrutura de roteamento e servidores que permitam realizar:

• QoS para download e upload, para tanto egress nas duas interfaces de saída. Nada de ingress ou marcação de pacotes ou muito menos a total falta de QoS para upload;
• WebCache (proxy cache) e se possível a full, ou com Squid/ZPH ou marcação de pacotes com iptables/CONNMARK.

A ilustração do que penso como possibilidade está na figura anexa.

Contribuindo com um pouco de teoria, não é possível fazer controle de upload com egress em um gateway que faça NAT, pois o controle de tráfego é feito na interface de saída e como o mascaramento ocorre antes do controle de tráfego este encherga tudo como pacotes enviados pelo gateway e não individualmente pelas máquinas clientes. Sendo assim, penso que o controle de tráfego para funcionar a contento (com htb e egress), deve ser realizado em um roteador que não faça NAT.

Da mesma forma, não podemos colocar o Squid neste roteador, pois o controle de tráfego não conseguiria identificar individualmente os pacotes enviados pelo squid, pareceriam todos do roteador, então este deve estar em um servidor independente (separado).

A princípio a solução parece simples, um roteador realizando o controle de tráfego onde seu gateway é uma máquina que está ligada à internet e tem o Squid e o cache dns.

Como ainda não implementei cache a full, mas pareceu-me não tão complexo quando o Squid está no mesmo servidor que faz QoS, agora em um servidor em separado não consigo pensar como fazer ou mesmo se é possível.

Tenho idéia de utilizar uma RB450 (por isto o questionamento em outro post sobre a capacidade de processamento deste) como roteador e QoS e um gateway Debian com Squid e cache DNS fazendo NAT (ou não dependendo ser vou ter outro router para balanceamento de carga).

A pergunta é: Esta seria uma boa proposta?

Obrigado gente, desculpe tomar-lhes sempre o tempo.

[alexandrecorrea]

use um computador comum para fazer o gateway.. e um outro para o proxy...

eh perfeitamente possivel fazer o cache-full tendo o squid fora do gateway (faço aqui) ...

[flaviomreis]

https://under-linux.org/forums/data:...AAAElFTkSuQmCC

Valeu Alexandre!

A idéia é justamente essa, comentários sobre a arquitetura, demonstrando postos fracos e fortes. Pelo que entendi a proposta é válida

Quer dizer então que a RB450 não aguentaria a carga? Pensei nela por ser um equipamento de baixo consumo, isto é, se realmente aguentar a carga.

[]'s