Linux ရှိ အမြန်လမ်းကြောင်းနှင့် NAT

IPv4 လိပ်စာများ ကုန်ဆုံးလာသည်နှင့်အမျှ တယ်လီကွန်းအော်ပရေတာများစွာသည် လိပ်စာဘာသာပြန်ခြင်းကို အသုံးပြု၍ ၎င်းတို့၏ဖောက်သည်များအား ကွန်ရက်ဝင်ရောက်ခွင့်ကို ပေးဆောင်ရန် လိုအပ်မှုနှင့် ရင်ဆိုင်နေရသည်။ ဤဆောင်းပါးတွင် ကုန်စည်ဆာဗာများတွင် Carrier Grade NAT စွမ်းဆောင်ရည်ကို သင်မည်သို့ရနိုင်သည်ကို ကျွန်ုပ်ပြောပြပါမည်။

အနည်းငယ်သောသမိုင်း

IPv4 လိပ်စာနေရာကုန်ခန်းခြင်း၏ ခေါင်းစဉ်သည် အသစ်မဟုတ်တော့ပါ။ တစ်ချိန်ချိန်တွင်၊ စောင့်ဆိုင်းစာရင်းများသည် RIPE တွင်ပေါ်လာပြီး မည်သည့်လိပ်စာတုံးများကို ရောင်းဝယ်ဖောက်ကားပြီး ၎င်းတို့ကို ငှားရမ်းရန် သဘောတူညီချက်များ ကောက်ချက်ချကာ ဖလှယ်မှုများ ထွက်ပေါ်လာသည်။ တဖြည်းဖြည်း၊ တယ်လီကွန်းအော်ပရေတာများသည် လိပ်စာနှင့် ဆိပ်ကမ်းဘာသာပြန်ခြင်းကို အသုံးပြု၍ အင်တာနက်အသုံးပြုခွင့်ဝန်ဆောင်မှုများကို စတင်ပေးကြသည်။ အချို့က စာရင်းသွင်းသူတိုင်းအတွက် “အဖြူ” လိပ်စာထုတ်ပေးရန် လုံလောက်သောလိပ်စာများ မရရှိကြသော်လည်း အချို့မှာ ဒုတိယစျေးကွက်တွင် လိပ်စာများဝယ်ယူရန် ငြင်းဆန်ခြင်းဖြင့် ငွေစုကြသည်။ အဘယ်ကြောင့်ဆိုသော် ဤအယူအဆကို ကွန်ရက်စက်ပစ္စည်းထုတ်လုပ်သူများမှ ထောက်ခံခဲ့ကြသည်။ ဤလုပ်ဆောင်ချက်သည် အများအားဖြင့် အပိုထပ်ဆောင်း modules သို့မဟုတ် လိုင်စင်များ လိုအပ်ပါသည်။ ဥပမာအားဖြင့်၊ Juniper ၏ MX routers လိုင်းတွင် (နောက်ဆုံးထွက် MX104 နှင့် MX204 မှလွဲ၍) သင်သည် သီးခြား MS-MIC ဝန်ဆောင်မှုကတ်တွင် NAPT လုပ်ဆောင်နိုင်သည်၊ Cisco ASR1k သည် CGN လိုင်စင်လိုအပ်သည်၊ Cisco ASR9k သည် သီးခြား A9K-ISM-100 module တစ်ခု လိုအပ်သည် နှင့် A9K-CGN လိုင်စင် -LIC ကို သူ့အား။ ယေဘူယျအားဖြင့် ပျော်ရွှင်မှုဟာ ပိုက်ဆံအများကြီးကုန်ပါတယ်။

iptables

NAT လုပ်ဆောင်ရန်တာဝန်သည် အထူးပြုကွန်ပျူတာအရင်းအမြစ်များမလိုအပ်ပါ၊ ဥပမာ၊ မည်သည့်အိမ်ရောက်ရောက်တာတွင်မဆို တပ်ဆင်ထားသည့် ယေဘုယျရည်ရွယ်ချက်ပရိုဆက်ဆာများဖြင့် ဖြေရှင်းနိုင်ပါသည်။ တယ်လီကွန်းအော်ပရေတာ၏စကေးတွင်၊ FreeBSD (ipfw/pf) သို့မဟုတ် GNU/Linux (iptables) အသုံးပြုသည့် ကုန်စည်ဆာဗာများကို အသုံးပြု၍ ဤပြဿနာကို ဖြေရှင်းနိုင်သည်။ ကျွန်ုပ်တို့သည် FreeBSD ကိုထည့်သွင်းစဉ်းစားမည်မဟုတ်သောကြောင့် ... ကျွန်တော် ဒီ OS ကို သုံးနေတာ တော်တော်ကြာပါပြီ၊ ဒါကြောင့် GNU/Linux ကို ကပ်ထားမယ်။

လိပ်စာ ဘာသာပြန်ခြင်းကို ဖွင့်ရန် လုံးဝ မခက်ခဲပါ။ ဦးစွာ nat table ရှိ iptables တွင် စည်းကမ်းတစ်ခု မှတ်ပုံတင်ရန် လိုအပ်သည်-

iptables -t nat -A POSTROUTING -s 100.64.0.0/10 -j SNAT --to <pool_start_addr>-<pool_end_addr> --persistent

လည်ပတ်မှုစနစ်သည် nf_conntrack မော်ဂျူးကို တင်မည်ဖြစ်ပြီး၊ ၎င်းသည် လက်ရှိချိတ်ဆက်မှုများအားလုံးကို စောင့်ကြည့်ပြီး လိုအပ်သော ပြောင်းလဲမှုများကို လုပ်ဆောင်ပေးမည်ဖြစ်သည်။ ဤနေရာတွင် ပရိယာယ်များစွာရှိသည်။ ပထမဦးစွာ၊ ကျွန်ုပ်တို့သည် တယ်လီကွန်းအော်ပရေတာ၏စကေးပေါ်တွင် NAT အကြောင်းပြောနေသောကြောင့်၊ ဘာသာပြန်ဇယား၏ အရွယ်အစားသည် ပုံသေတန်ဖိုးများနှင့်အတူ ကပ်ဆိုးတန်ဖိုးများ လျင်မြန်စွာတိုးလာသောကြောင့် အချိန်ကုန်ချိန်များကို ချိန်ညှိရန် လိုအပ်ပါသည်။ အောက်တွင်ကျွန်ုပ်၏ဆာဗာများတွင်အသုံးပြုခဲ့သောဆက်တင်များ၏ဥပမာတစ်ခုဖြစ်သည်။

net.ipv4.ip_forward = 1
net.ipv4.ip_local_port_range = 8192 65535

net.netfilter.nf_conntrack_generic_timeout = 300
net.netfilter.nf_conntrack_tcp_timeout_syn_sent = 60
net.netfilter.nf_conntrack_tcp_timeout_syn_recv = 60
net.netfilter.nf_conntrack_tcp_timeout_established = 600
net.netfilter.nf_conntrack_tcp_timeout_fin_wait = 60
net.netfilter.nf_conntrack_tcp_timeout_close_wait = 45
net.netfilter.nf_conntrack_tcp_timeout_last_ack = 30
net.netfilter.nf_conntrack_tcp_timeout_time_wait = 120
net.netfilter.nf_conntrack_tcp_timeout_close = 10
net.netfilter.nf_conntrack_tcp_timeout_max_retrans = 300
net.netfilter.nf_conntrack_tcp_timeout_unacknowledged = 300
net.netfilter.nf_conntrack_udp_timeout = 30
net.netfilter.nf_conntrack_udp_timeout_stream = 60
net.netfilter.nf_conntrack_icmpv6_timeout = 30
net.netfilter.nf_conntrack_icmp_timeout = 30
net.netfilter.nf_conntrack_events_retry_timeout = 15
net.netfilter.nf_conntrack_checksum=0

ဒုတိယအနေနှင့်၊ ဘာသာပြန်ဇယား၏ ပုံသေအရွယ်အစားသည် တယ်လီကွန်းအော်ပရေတာ၏ အခြေအနေများအောက်တွင် အလုပ်လုပ်ရန် ဒီဇိုင်းထုတ်ထားခြင်းမဟုတ်သောကြောင့်၊ ၎င်းကို တိုးမြှင့်ရန် လိုအပ်သည်-

net.netfilter.nf_conntrack_max = 3145728

ထုတ်လွှင့်မှုအားလုံးကို သိမ်းဆည်းသည့် hash table အတွက် ပုံးအရေအတွက်ကို တိုးမြှင့်ရန်လည်း လိုအပ်သည် (၎င်းသည် nf_conntrack module တွင် ရွေးချယ်မှုတစ်ခုဖြစ်သည်)။

options nf_conntrack hashsize=1572864

ဤရိုးရှင်းသော ခြယ်လှယ်မှုများပြီးနောက်၊ ဖောက်သည်လိပ်စာအများအပြားကို ပြင်ပရေကန်ထဲသို့ ဘာသာပြန်ပေးနိုင်သည့် လုံး၀အလုပ်လုပ်သော ဒီဇိုင်းကို ရရှိခဲ့သည်။ သို့သော် ဤဖြေရှင်းချက်၏ စွမ်းဆောင်ရည်သည် များစွာ လိုလားတောင့်တနေပါသည်။ NAT အတွက် GNU/Linux ကိုအသုံးပြုရန် ကျွန်ုပ်၏ပထမဆုံးကြိုးစားမှုတွင် (2013 ခုနှစ်ဝန်းကျင်)တွင် ဆာဗာတစ်ခုလျှင် 7Mpps (Xeon E0.8-5v1650) ဖြင့် 2Gbit/s ဝန်းကျင်စွမ်းဆောင်ရည်ကို ရနိုင်ခဲ့သည်။ ထိုအချိန်မှစ၍၊ GNU/Linux kernel network stack တွင် မတူညီသော ပိုမိုကောင်းမွန်အောင်ပြုလုပ်မှုများ ပြုလုပ်ခဲ့ပြီး၊ တူညီသောဟာ့ဒ်ဝဲရှိ ဆာဗာတစ်ခု၏စွမ်းဆောင်ရည်သည် 18-19 Mpps တွင် 1.8-1.9 Gbit/s နီးပါးအထိ တိုးလာပါသည် (၎င်းတို့သည် အမြင့်ဆုံးတန်ဖိုးများဖြစ်သည်) ဒါပေမယ့် ဆာဗာတစ်ခုက လုပ်ဆောင်တဲ့ traffic volume အတွက် ဝယ်လိုအားက ပိုမြန်လာပါတယ်။ ရလဒ်အနေဖြင့်၊ မတူညီသောဆာဗာများတွင် ဝန်ကိုချိန်ခွင်လျှာညှိရန် အစီအစဥ်များကို တီထွင်ခဲ့ကြသော်လည်း၊ ဤအရာအားလုံးသည် ဝန်ဆောင်မှုများ၏ အရည်အသွေးကို တပ်ဆင်ခြင်း၊ ထိန်းသိမ်းခြင်းနှင့် ထိန်းသိမ်းခြင်းဆိုင်ရာ ရှုပ်ထွေးမှုကို တိုးပွားစေသည်။

NFTables များ

ယနေ့ခေတ်တွင်၊ ဆော့ဖ်ဝဲလ် “ရွှေ့ပြောင်းအိတ်များ” တွင် ခေတ်စားလာသော ခေတ်ရေစီးကြောင်းမှာ DPDK နှင့် XDP တို့ကို အသုံးပြုခြင်းဖြစ်သည်။ ဤအကြောင်းအရာအတွက် ဆောင်းပါးများစွာကို ရေးသားခဲ့ပြီး၊ မတူညီသော မိန့်ခွန်းများစွာကို ပြုလုပ်ခဲ့ပြီး စီးပွားဖြစ်ထုတ်ကုန်များ ပေါ်လာသည် (ဥပမာ၊ VasExperts မှ SKAT)။ သို့သော် တယ်လီကွန်းအော်ပရေတာများ၏ အကန့်အသတ်ဖြင့် ပရိုဂရမ်ရေးဆွဲခြင်းဆိုင်ရာ အရင်းအမြစ်များ ကြောင့် ဤဘောင်များကို သင့်ကိုယ်ပိုင်အပေါ်အခြေခံ၍ မည်သည့် "ထုတ်ကုန်" ကိုမဆို ဖန်တီးရန်မှာ ပြဿနာတစ်ရပ်ဖြစ်သည်။ အနာဂတ်တွင် ထိုသို့သောအဖြေကိုလုပ်ဆောင်ရန်မှာ ပိုမိုခက်ခဲလိမ့်မည်၊ အထူးသဖြင့်၊ ရောဂါရှာဖွေရေးကိရိယာများကို တီထွင်ရမည်ဖြစ်ပါသည်။ ဥပမာအားဖြင့်၊ DPDK နှင့် စံ tcpdump သည် ထိုကဲ့သို့ အလုပ်မလုပ်ပါ၊ နှင့် XDP ကို ​​အသုံးပြု၍ ဝါယာများဆီသို့ ပြန်ပို့သည့် ပက်ကေ့ခ်ျများကို "မြင်ရလိမ့်မည် မဟုတ်ပါ။ အသုံးပြုသူနေရာသို့ packet forwarding ထုတ်ပေးခြင်းအတွက် နည်းပညာအသစ်များအကြောင်း ဆွေးနွေးပြောဆိုမှုများကြားတွင် ၎င်းတို့သည် သတိမပြုမိခဲ့ကြပေ။ အစီရင်ခံစာများ и ဆောင်းပါးများ Pablo Neira Ayuso ၊ iptables ထိန်းသိမ်းသူ ၊ nftables တွင် flow offloading ဖွံ့ဖြိုးတိုးတက်မှုအကြောင်း။ ဒီယန္တရားကို အနီးကပ်လေ့လာကြည့်ရအောင်။

အဓိက အယူအဆမှာ Router သည် flow ၏ ဦးတည်ရာနှစ်ခုလုံးတွင် session တစ်ခုမှ packet များကို ကျော်သွားပါက (TCP session သည် ESTABLISHED state သို့ရောက်ရှိသွားသည်) ဆိုလျှင် firewall စည်းမျဉ်းများအားလုံးကို ကျော်ဖြတ်ရန် မလိုအပ်သောကြောင့်၊ ဤစစ်ဆေးမှုများအားလုံးသည် packet ကို routing သို့ ထပ်မံလွှဲပြောင်းပေးခြင်းဖြင့် အဆုံးသတ်ပါမည်။ ကျွန်ုပ်တို့သည် အမှန်တကယ်တွင် လမ်းကြောင်းတစ်ခုကို ရွေးချယ်ရန်မလိုအပ်ပါ - ကျွန်ုပ်တို့သည် မည်သည့် interface နှင့် မည်သည့် host ကို ဤစက်ရှင်အတွင်း packet များပေးပို့ရန် လိုအပ်သည်ကို ကျွန်ုပ်တို့ သိထားပြီးဖြစ်သည်။ ကျန်တာအားလုံးက ဒီအချက်အလက်တွေကို သိမ်းဆည်းပြီး packet processing ရဲ့ အစောပိုင်းအဆင့်မှာ လမ်းကြောင်းပြောင်းဖို့အတွက် အသုံးပြုပါတယ်။ NAT ကိုလုပ်ဆောင်သောအခါ၊ nf_conntrack module မှပြန်ဆိုထားသောလိပ်စာများနှင့် port များဆိုင်ရာပြောင်းလဲမှုများနှင့်ပတ်သက်သောအချက်အလက်များကိုထပ်မံသိမ်းဆည်းရန်လိုအပ်သည်။ ဟုတ်ပါတယ်၊ ဤကိစ္စတွင်၊ iptables ရှိ ရဲတပ်ဖွဲ့ဝင်များနှင့် အခြားအချက်အလက်နှင့် ကိန်းဂဏန်းစည်းမျဉ်းများသည် အလုပ်မလုပ်တော့ဘဲ သီးခြားရပ်တည်နေသော NAT သို့မဟုတ် ဥပမာအားဖြင့် နယ်ခြားတစ်ခု၏ လုပ်ငန်းတာဝန်၏ဘောင်အတွင်းတွင် ဤမျှအရေးကြီးသော ဝန်ဆောင်မှုများဖြစ်သောကြောင့်၊ စက်ပစ္စည်းများအနှံ့ ဖြန့်ဝေကြသည်။

configuration များ

ဤလုပ်ဆောင်ချက်ကိုအသုံးပြုရန် ကျွန်ုပ်တို့ လိုအပ်သည်-

• လတ်ဆတ်သော kernel ကိုသုံးပါ။ လုပ်ဆောင်ချက်သည် kernel 4.16 တွင် သူ့ကိုယ်သူ ပေါ်လာခဲ့သော်လည်း၊ ၎င်းသည် အချိန်အတော်ကြာ "ကုန်ကြမ်း" ဖြစ်ပြီး ပုံမှန် kernel အထိတ်တလန့် ဖြစ်စေသည်။ LTS kernels 2019 နှင့် 4.19.90 ကို ထုတ်ပြန်လိုက်သောအခါ 5.4.5 ခုနှစ် ဒီဇင်ဘာလဝန်းကျင်တွင် အရာအားလုံးတည်ငြိမ်သွားသည်။
• nftables ၏ လတ်တလောဗားရှင်းကို အသုံးပြု၍ iptables စည်းမျဉ်းများကို nftables ဖော်မတ်တွင် ပြန်လည်ရေးသားပါ။ ဗားရှင်း 0.9.0 တွင် အတိအကျအလုပ်လုပ်သည်။

မူအရအရာအားလုံးသည် ပထမအချက်ဖြင့် ရှင်းလင်းပါက၊ အဓိကအချက်မှာ တပ်ဆင်မှုအတွင်း တပ်ဆင်မှုအတွင်း module ကို ထည့်သွင်းရန် မမေ့ပါနှင့် (CONFIG_NFT_FLOW_OFFLOAD=m)၊ ထို့နောက် ဒုတိယအချက်မှာ ရှင်းလင်းချက် လိုအပ်ပါသည်။ nftables စည်းမျဉ်းများကို iptables နှင့် လုံးဝကွဲပြားစွာ ဖော်ပြထားပါသည်။ စာရွက်စာတမ်းများ အချက်အားလုံးနီးပါးကို ထုတ်ပြပေးတာမျိုးလည်း ရှိပါတယ်။ converters များ iptables မှ nftables အထိ စည်းမျဉ်းများ။ ထို့ကြောင့်၊ ကျွန်ုပ်သည် NAT စနစ်ထည့်သွင်းခြင်းနှင့် စီးဆင်းမှု offload ၏ ဥပမာတစ်ခုကိုသာ တင်ပြပါမည်။ ဥပမာအားဖြင့် ဒဏ္ဍာရီလေးတစ်ခု၊ ၊ - ၎င်းတို့သည် အသွားအလာ ဖြတ်သန်းသည့် ကွန်ရက်ကြားခံများဖြစ်သည်၊ လက်တွေ့တွင် ၎င်းတို့ထဲမှ နှစ်ခုထက်ပိုနိုင်သည်။ ၊ — “အဖြူ” လိပ်စာများ၏ အကွာအဝေး၏ အစနှင့်အဆုံး လိပ်စာ။

NAT ဖွဲ့စည်းမှုပုံစံသည် အလွန်ရိုးရှင်းပါသည်။

#! /usr/sbin/nft -f

table nat {
        chain postrouting {
                type nat hook postrouting priority 100;
                oif <o_if> snat to <pool_addr_start>-<pool_addr_end> persistent
        }
}

flow offload ဖြင့်၎င်းသည်အနည်းငယ်ပိုရှုပ်ထွေးသည်၊ သို့သော်နားလည်နိုင်သည်-

#! /usr/sbin/nft -f

table inet filter {
        flowtable fastnat {
                hook ingress priority 0
                devices = { <i_if>, <o_if> }
        }

        chain forward {
                type filter hook forward priority 0; policy accept;
                ip protocol { tcp , udp } flow offload @fastnat;
        }
}

တကယ်တော့ အဲဒါဟာ အလုံးစုံပြင်ဆင်မှုပါပဲ။ ယခု TCP/UDP အသွားအလာအားလုံးသည် fastnat ဇယားထဲသို့ကျလာပြီး ပိုမိုမြန်ဆန်စွာ လုပ်ဆောင်နိုင်မည်ဖြစ်သည်။

ရလဒ်များကို

၎င်းသည် မည်မျှပိုမိုမြန်ဆန်ကြောင်း ရှင်းရှင်းလင်းလင်းသိစေရန်၊ တူညီသောဟာ့ဒ်ဝဲ (Xeon E5-1650v2) ဖြင့် စစ်မှန်သောဆာဗာနှစ်ခုတွင် load ၏စခရင်ပုံတစ်ပုံကို ပူးတွဲဖော်ပြမည်ဖြစ်ပြီး၊ တူညီသော Linux kernel ကိုအသုံးပြုကာ တူညီသောပုံစံတူဖြင့် ပုံဖော်ထားသော်လည်း iptables များတွင် NAT လုပ်ဆောင်နေပါသည်။ (NAT4) နှင့် nftables (NAT5) တို့တွင်။

ဖန်သားပြင်ဓာတ်ပုံတွင် တစ်စက္ကန့်လျှင် ပက်ကတ်ဂရပ်မရှိသော်လည်း ဤဆာဗာများ၏ ဝန်ပရိုဖိုင်တွင် ပျမ်းမျှပက်ကတ်အရွယ်အစားသည် 800 bytes ဝန်းကျင်ဖြစ်သောကြောင့် တန်ဖိုးများသည် 1.5Mpps အထိ ရောက်ရှိသည်။ သင်တွေ့မြင်ရသည့်အတိုင်း၊ nftables ပါသောဆာဗာတွင်ကြီးမားသောစွမ်းဆောင်ရည်အရံရှိသည်။ လောလောဆယ်တွင်၊ ဤဆာဗာသည် 30Gbit/s အထိ 3Mpps ဖြင့် လုပ်ဆောင်နိုင်ပြီး အခမဲ့ CPU အရင်းအမြစ်များပါရှိစဉ်တွင် ရုပ်ပိုင်းဆိုင်ရာ ကွန်ရက်ကန့်သတ်ချက် 40Gbps ကို ပြည့်မီနိုင်မည်ဖြစ်သည်။

ဤအကြောင်းအရာသည် ၎င်းတို့၏ဆာဗာများ၏ စွမ်းဆောင်ရည်ကို မြှင့်တင်ရန် ကြိုးစားနေသော ကွန်ရက်အင်ဂျင်နီယာများအတွက် အသုံးဝင်လိမ့်မည်ဟု မျှော်လင့်ပါသည်။

source: www.habr.com