ការកំណត់ផ្លូវលឿន និង NAT នៅក្នុងលីនុច

នៅពេលដែលអាសយដ្ឋាន IPv4 កាន់តែបាត់បង់ ប្រតិបត្តិករទូរគមនាគមន៍ជាច្រើនត្រូវប្រឈមមុខនឹងតម្រូវការក្នុងការផ្តល់ឱ្យអតិថិជនរបស់ពួកគេនូវការចូលប្រើបណ្តាញដោយប្រើការបកប្រែអាសយដ្ឋាន។ នៅក្នុងអត្ថបទនេះ ខ្ញុំនឹងប្រាប់អ្នកពីរបៀបដែលអ្នកអាចទទួលបាន Carrier Grade NAT performance នៅលើ servers ទំនិញ។

បន្តិចនៃប្រវត្តិសាស្រ្ត

ប្រធានបទនៃការហត់នឿយទំហំអាសយដ្ឋាន IPv4 លែងជារឿងថ្មីទៀតហើយ។ នៅចំណុចមួយចំនួន បញ្ជីរង់ចាំបានលេចឡើងនៅក្នុង RIPE បន្ទាប់មកការផ្លាស់ប្តូរបានលេចឡើងដែលប្លុកនៃអាសយដ្ឋានត្រូវបានជួញដូរ ហើយកិច្ចព្រមព្រៀងត្រូវបានបញ្ចប់ដើម្បីជួលពួកគេ។ បន្តិចម្ដងៗ ប្រតិបត្តិករទូរគមនាគមន៍បានចាប់ផ្តើមផ្តល់សេវាចូលប្រើអ៊ីនធឺណិតដោយប្រើអាសយដ្ឋាន និងការបកប្រែច្រក។ អ្នកខ្លះមិនបានគ្រប់គ្រងដើម្បីទទួលបានអាសយដ្ឋានគ្រប់គ្រាន់ដើម្បីចេញអាសយដ្ឋាន "ស" ដល់អតិថិជនម្នាក់ៗ ខណៈពេលដែលអ្នកផ្សេងទៀតបានចាប់ផ្តើមសន្សំប្រាក់ដោយបដិសេធមិនទិញអាសយដ្ឋាននៅលើទីផ្សារបន្ទាប់បន្សំ។ ក្រុមហ៊ុនផលិតឧបករណ៍បណ្តាញបានគាំទ្រគំនិតនេះ ពីព្រោះ មុខងារនេះជាធម្មតាទាមទារម៉ូឌុលបន្ថែម ឬអាជ្ញាប័ណ្ណ។ ឧទាហរណ៍ នៅក្នុងជួររបស់ Juniper នៃរ៉ោតទ័រ MX (លើកលែងតែ MX104 និង MX204 ចុងក្រោយបំផុត) NAPT អាចត្រូវបានអនុវត្តនៅលើកាតសេវាកម្ម MS-MIC ដាច់ដោយឡែក Cisco ASR1k ទាមទារអាជ្ញាប័ណ្ណ CGN Cisco ASR9k ទាមទារម៉ូឌុល A9K-ISM-100 ដាច់ដោយឡែក។ និងអាជ្ញាប័ណ្ណ A9K-CGN -LIC ទៅគាត់។ ជាទូទៅ ការសប្បាយត្រូវចំណាយប្រាក់ច្រើន។

អាយភីធីធី

ភារកិច្ចនៃការអនុវត្ត NAT មិនតម្រូវឱ្យមានធនធានកុំព្យូទ័រឯកទេសទេ វាអាចត្រូវបានដោះស្រាយដោយប្រព័ន្ធដំណើរការទូទៅដែលត្រូវបានដំឡើងឧទាហរណ៍នៅក្នុងរ៉ោតទ័រផ្ទះណាមួយ។ នៅលើមាត្រដ្ឋាននៃប្រតិបត្តិករទូរគមនាគមន៍ បញ្ហានេះអាចត្រូវបានដោះស្រាយដោយប្រើម៉ាស៊ីនមេទំនិញដែលកំពុងដំណើរការ FreeBSD (ipfw/pf) ឬ GNU/Linux (iptables) ។ យើងនឹងមិនពិចារណា FreeBSD ទេព្រោះ ... ខ្ញុំបានឈប់ប្រើ OS នេះយូរហើយ ដូច្នេះយើងនឹងនៅជាប់នឹង GNU/Linux។

ការបើកការបកប្រែអាសយដ្ឋានមិនពិបាកទាល់តែសោះ។ ដំបូងអ្នកត្រូវចុះឈ្មោះច្បាប់នៅក្នុង iptables នៅក្នុងតារាង nat:

iptables -t nat -A POSTROUTING -s 100.64.0.0/10 -j SNAT --to <pool_start_addr>-<pool_end_addr> --persistent

ប្រព័ន្ធប្រតិបត្តិការនឹងផ្ទុកម៉ូឌុល nf_conntrack ដែលនឹងត្រួតពិនិត្យការភ្ជាប់សកម្មទាំងអស់ និងអនុវត្តការបំប្លែងចាំបាច់។ មាន subtleties ជាច្រើននៅទីនេះ។ ទីមួយ ដោយសារយើងកំពុងនិយាយអំពី NAT នៅលើមាត្រដ្ឋាននៃប្រតិបត្តិករទូរគមនាគមន៍ វាចាំបាច់ក្នុងការកែតម្រូវពេលវេលាកំណត់ ព្រោះជាមួយនឹងតម្លៃលំនាំដើម ទំហំតារាងបកប្រែនឹងកើនឡើងយ៉ាងឆាប់រហ័សដល់តម្លៃមហន្តរាយ។ ខាងក្រោមនេះជាឧទាហរណ៍នៃការកំណត់ដែលខ្ញុំបានប្រើនៅលើម៉ាស៊ីនមេរបស់ខ្ញុំ៖

net.ipv4.ip_forward = 1
net.ipv4.ip_local_port_range = 8192 65535

net.netfilter.nf_conntrack_generic_timeout = 300
net.netfilter.nf_conntrack_tcp_timeout_syn_sent = 60
net.netfilter.nf_conntrack_tcp_timeout_syn_recv = 60
net.netfilter.nf_conntrack_tcp_timeout_established = 600
net.netfilter.nf_conntrack_tcp_timeout_fin_wait = 60
net.netfilter.nf_conntrack_tcp_timeout_close_wait = 45
net.netfilter.nf_conntrack_tcp_timeout_last_ack = 30
net.netfilter.nf_conntrack_tcp_timeout_time_wait = 120
net.netfilter.nf_conntrack_tcp_timeout_close = 10
net.netfilter.nf_conntrack_tcp_timeout_max_retrans = 300
net.netfilter.nf_conntrack_tcp_timeout_unacknowledged = 300
net.netfilter.nf_conntrack_udp_timeout = 30
net.netfilter.nf_conntrack_udp_timeout_stream = 60
net.netfilter.nf_conntrack_icmpv6_timeout = 30
net.netfilter.nf_conntrack_icmp_timeout = 30
net.netfilter.nf_conntrack_events_retry_timeout = 15
net.netfilter.nf_conntrack_checksum=0

ហើយទីពីរ ដោយសារទំហំលំនាំដើមនៃតារាងបកប្រែមិនត្រូវបានរចនាឡើងដើម្បីដំណើរការក្រោមលក្ខខណ្ឌរបស់ប្រតិបត្តិករទូរគមនាគមន៍ វាចាំបាច់ត្រូវបង្កើន៖

net.netfilter.nf_conntrack_max = 3145728

វាក៏ចាំបាច់ផងដែរក្នុងការបង្កើនចំនួនធុងសម្រាប់តារាង hash ដែលរក្សាទុកការផ្សាយទាំងអស់ (នេះគឺជាជម្រើសនៅក្នុងម៉ូឌុល nf_conntrack):

options nf_conntrack hashsize=1572864

បន្ទាប់ពីឧបាយកលសាមញ្ញទាំងនេះ ការរចនាដែលដំណើរការទាំងស្រុងត្រូវបានទទួល ដែលអាចបកប្រែអាសយដ្ឋានអតិថិជនមួយចំនួនធំទៅក្នុងក្រុមខាងក្រៅ។ ទោះជាយ៉ាងណាក៏ដោយការអនុវត្តនៃដំណោះស្រាយនេះទុកឱ្យមនុស្សជាច្រើនចង់បាន។ នៅក្នុងការប៉ុនប៉ងលើកដំបូងរបស់ខ្ញុំក្នុងការប្រើប្រាស់ GNU/Linux សម្រាប់ NAT (ប្រហែលឆ្នាំ 2013) ខ្ញុំអាចទទួលបានដំណើរការប្រហែល 7Gbit/s នៅ 0.8Mpps ក្នុងមួយ server (Xeon E5-1650v2)។ ចាប់តាំងពីពេលនោះមក ការបង្កើនប្រសិទ្ធភាពផ្សេងៗគ្នាជាច្រើនត្រូវបានធ្វើឡើងនៅក្នុងជង់បណ្តាញខឺណែល GNU/Linux ដំណើរការនៃម៉ាស៊ីនមេមួយនៅលើផ្នែករឹងដូចគ្នាបានកើនឡើងដល់ស្ទើរតែ 18-19 Gbit/s នៅ 1.8-1.9 Mpps (ទាំងនេះគឺជាតម្លៃអតិបរមា) ប៉ុន្តែតម្រូវការសម្រាប់បរិមាណចរាចរដែលដំណើរការដោយម៉ាស៊ីនមេតែមួយបានកើនឡើងលឿនជាងមុន។ ជាលទ្ធផល គ្រោងការណ៍ត្រូវបានបង្កើតឡើងដើម្បីធ្វើឱ្យមានតុល្យភាពនៃបន្ទុកនៅលើម៉ាស៊ីនមេផ្សេងៗគ្នា ប៉ុន្តែទាំងអស់នេះបានបង្កើនភាពស្មុគស្មាញនៃការដំឡើង ការថែរក្សា និងរក្សាគុណភាពនៃសេវាកម្មដែលបានផ្តល់។

NTFables

សព្វថ្ងៃនេះ និន្នាការម៉ូដទាន់សម័យនៅក្នុងកម្មវិធី "កាបូបផ្លាស់ប្តូរ" គឺការប្រើប្រាស់ DPDK និង XDP ។ អត្ថបទជាច្រើនត្រូវបានសរសេរលើប្រធានបទនេះ សុន្ទរកថាផ្សេងៗគ្នាជាច្រើនត្រូវបានធ្វើឡើង ហើយផលិតផលពាណិជ្ជកម្មកំពុងលេចឡើង (ឧទាហរណ៍ SKAT ពី VasExperts)។ ប៉ុន្តែដោយសារធនធានសរសេរកម្មវិធីមានកំណត់របស់ប្រតិបត្តិករទូរគមនាគមន៍ វាពិតជាមានបញ្ហាក្នុងការបង្កើត "ផលិតផល" ណាមួយដោយផ្អែកលើក្របខ័ណ្ឌទាំងនេះដោយខ្លួនឯង។ វានឹងកាន់តែលំបាកក្នុងដំណើរការដំណោះស្រាយបែបនេះនាពេលអនាគត ជាពិសេស ឧបករណ៍វិនិច្ឆ័យនឹងត្រូវបង្កើត។ ឧទាហរណ៍ tcpdump ស្ដង់ដារជាមួយ DPDK នឹងមិនដំណើរការដូចនោះទេ ហើយវានឹងមិន "ឃើញ" កញ្ចប់ដែលបានផ្ញើត្រឡប់ទៅខ្សភ្លើងដោយប្រើ XDP ទេ។ ចំពេលមានការពិភាក្សាទាំងអស់អំពីបច្ចេកវិទ្យាថ្មីសម្រាប់បញ្ចេញកញ្ចប់ព័ត៌មានបញ្ជូនបន្តទៅកាន់កន្លែងអ្នកប្រើប្រាស់ ពួកគេមិនមានការចាប់អារម្មណ៍ របាយការណ៍ и អត្ថបទ Pablo Neira Ayuso អ្នកថែទាំ iptables អំពីការអភិវឌ្ឍនៃលំហូរ offloading នៅក្នុង nftables ។ ចូរយើងពិនិត្យមើលឱ្យកាន់តែច្បាស់អំពីយន្តការនេះ។

គំនិតសំខាន់គឺថាប្រសិនបើរ៉ោតទ័របានឆ្លងកាត់កញ្ចប់ព័ត៌មានពីវគ្គមួយក្នុងទិសដៅទាំងពីរនៃលំហូរ (សម័យ TCP បានចូលទៅក្នុងស្ថានភាព ESTABLISHED) នោះមិនចាំបាច់ឆ្លងកាត់កញ្ចប់ព័ត៌មានជាបន្តបន្ទាប់នៃវគ្គនេះតាមរយៈច្បាប់ជញ្ជាំងភ្លើងទាំងអស់នោះទេ ព្រោះ ការត្រួតពិនិត្យទាំងអស់នេះនឹងនៅតែបញ្ចប់ដោយកញ្ចប់ព័ត៌មានត្រូវបានផ្ទេរបន្ថែមទៀតទៅកាន់ការបញ្ជូនបន្ត។ ហើយយើងមិនចាំបាច់ជ្រើសរើសផ្លូវទេ - យើងដឹងរួចហើយអំពីចំណុចប្រទាក់មួយណា និងម៉ាស៊ីនមួយណាដែលយើងត្រូវផ្ញើកញ្ចប់ព័ត៌មាននៅក្នុងវគ្គនេះ។ អ្វីដែលនៅសេសសល់គឺរក្សាទុកព័ត៌មាននេះ ហើយប្រើវាសម្រាប់កំណត់ផ្លូវនៅដំណាក់កាលដំបូងនៃដំណើរការកញ្ចប់ព័ត៌មាន។ នៅពេលដំណើរការ NAT ចាំបាច់ត្រូវរក្សាទុកព័ត៌មានបន្ថែមអំពីការផ្លាស់ប្តូរអាសយដ្ឋាន និងច្រកដែលបកប្រែដោយម៉ូឌុល nf_conntrack ។ បាទ/ចាស៎ ក្នុងករណីនេះប៉ូលីសផ្សេងៗ និងព័ត៌មាន និងច្បាប់ស្ថិតិផ្សេងទៀតនៅក្នុង iptables ឈប់ដំណើរការ ប៉ុន្តែនៅក្នុងក្របខ័ណ្ឌនៃភារកិច្ចរបស់ NAT ដាច់ដោយឡែក ឬឧទាហរណ៍ព្រំដែន វាមិនសំខាន់ទេ ពីព្រោះសេវាកម្ម ត្រូវបានចែកចាយនៅទូទាំងឧបករណ៍។

ការកំណត់​រចនាសម្ព័ន្ធ

ដើម្បីប្រើមុខងារនេះ យើងត្រូវការ៖

• ប្រើខឺណែលស្រស់។ ទោះបីជាការពិតដែលថាមុខងារខ្លួនវាបង្ហាញខ្លួននៅក្នុងខឺណែល 4.16 ក៏ដោយក៏វា "ឆៅ" អស់រយៈពេលជាយូរមកហើយហើយបណ្តាលឱ្យមានការភ័យស្លន់ស្លោរបស់ខឺណែលជាទៀងទាត់។ អ្វីគ្រប់យ៉ាងមានស្ថេរភាពនៅជុំវិញខែធ្នូ ឆ្នាំ 2019 នៅពេលដែលខឺណែល LTS 4.19.90 និង 5.4.5 ត្រូវបានចេញផ្សាយ។
• សរសេរច្បាប់ iptables ឡើងវិញជាទម្រង់ nftables ដោយប្រើកំណែ nftables ថ្មីៗនេះ។ ដំណើរការយ៉ាងពិតប្រាកដនៅក្នុងកំណែ 0.9.0

ប្រសិនបើអ្វីៗទាំងអស់ជាគោលការណ៍ច្បាស់លាស់ជាមួយនឹងចំណុចទីមួយ រឿងសំខាន់គឺកុំភ្លេចបញ្ចូលម៉ូឌុលក្នុងការកំណត់រចនាសម្ព័ន្ធកំឡុងពេលជួបប្រជុំគ្នា (CONFIG_NFT_FLOW_OFFLOAD=m) បន្ទាប់មកចំណុចទីពីរទាមទារការពន្យល់។ ច្បាប់ nftables ត្រូវបានពិពណ៌នាខុសគ្នាទាំងស្រុងជាងនៅក្នុង iptables ។ ឯកសារ បង្ហាញចំណុចស្ទើរតែទាំងអស់ ក៏មានចំណុចពិសេសផងដែរ។ កម្មវិធីបម្លែង ច្បាប់ពី iptables ទៅ nftables ។ ដូច្នេះ ខ្ញុំនឹងលើកឧទាហរណ៍នៃការដំឡើង NAT និងលំហូរ offload ប៉ុណ្ណោះ។ ឧទាហរណ៍រឿងព្រេងតូចមួយ៖ , - ទាំងនេះគឺជាចំណុចប្រទាក់បណ្តាញដែលចរាចរឆ្លងកាត់; តាមពិតវាអាចមានច្រើនជាងពីរក្នុងចំណោមពួកគេ។ , - អាសយដ្ឋានចាប់ផ្តើមនិងបញ្ចប់នៃជួរនៃអាសយដ្ឋាន "ស" ។

ការកំណត់រចនាសម្ព័ន្ធ NAT គឺសាមញ្ញណាស់៖

#! /usr/sbin/nft -f

table nat {
        chain postrouting {
                type nat hook postrouting priority 100;
                oif <o_if> snat to <pool_addr_start>-<pool_addr_end> persistent
        }
}

ជាមួយនឹងលំហូរ offload វាមានភាពស្មុគស្មាញបន្តិច ប៉ុន្តែអាចយល់បាន៖

#! /usr/sbin/nft -f

table inet filter {
        flowtable fastnat {
                hook ingress priority 0
                devices = { <i_if>, <o_if> }
        }

        chain forward {
                type filter hook forward priority 0; policy accept;
                ip protocol { tcp , udp } flow offload @fastnat;
        }
}

តាមពិតនោះគឺជាការរៀបចំទាំងមូល។ ឥឡូវនេះចរាចរណ៍ TCP/UDP ទាំងអស់នឹងធ្លាក់ចូលទៅក្នុងតារាង fastnat ហើយត្រូវបានដំណើរការលឿនជាងមុន។

Результаты

ដើម្បីធ្វើឱ្យវាច្បាស់ថាតើវាលឿនប៉ុណ្ណា ខ្ញុំនឹងភ្ជាប់រូបថតអេក្រង់នៃការផ្ទុកនៅលើម៉ាស៊ីនមេពិតពីរ ជាមួយនឹងផ្នែករឹងដូចគ្នា (Xeon E5-1650v2) ដែលត្រូវបានកំណត់រចនាសម្ព័ន្ធដូចគ្នា ដោយប្រើខឺណែលលីនុចដូចគ្នា ប៉ុន្តែដំណើរការ NAT នៅក្នុង iptables (NAT4) និងក្នុង nftables (NAT5)។

មិនមានក្រាហ្វនៃកញ្ចប់ព័ត៌មានក្នុងមួយវិនាទីនៅក្នុងរូបថតអេក្រង់នោះទេប៉ុន្តែនៅក្នុងទម្រង់ផ្ទុកនៃម៉ាស៊ីនមេទាំងនេះទំហំកញ្ចប់ព័ត៌មានជាមធ្យមគឺនៅជុំវិញ 800 បៃ ដូច្នេះតម្លៃឈានដល់ 1.5Mpps ។ ដូចដែលអ្នកអាចឃើញម៉ាស៊ីនមេដែលមាន nftables មានទុនបម្រុងប្រតិបត្តិការដ៏ធំ។ បច្ចុប្បន្ន ម៉ាស៊ីនមេនេះដំណើរការរហូតដល់ 30Gbit/s នៅល្បឿន 3Mpps ហើយច្បាស់ណាស់ថាអាចបំពេញតាមការកំណត់បណ្តាញជាក់ស្តែងនៃ 40Gbps ខណៈពេលដែលមានធនធាន CPU ឥតគិតថ្លៃ។

ខ្ញុំសង្ឃឹមថាសម្ភារៈនេះនឹងមានប្រយោជន៍ដល់វិស្វករបណ្តាញដែលកំពុងព្យាយាមកែលម្អដំណើរការនៃម៉ាស៊ីនមេរបស់ពួកគេ។

ប្រភព: www.habr.com