Linux作為校園網(wǎng)出口的優(yōu)化PPT課件_第1頁(yè)
Linux作為校園網(wǎng)出口的優(yōu)化PPT課件_第2頁(yè)
Linux作為校園網(wǎng)出口的優(yōu)化PPT課件_第3頁(yè)
Linux作為校園網(wǎng)出口的優(yōu)化PPT課件_第4頁(yè)
Linux作為校園網(wǎng)出口的優(yōu)化PPT課件_第5頁(yè)
已閱讀5頁(yè),還剩13頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

付費(fèi)下載

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、1張煥杰Tel: 3601897(O)2l功能要求l系統(tǒng)優(yōu)化3l區(qū)分國(guó)內(nèi)國(guó)外地址利用netfilter/iptables實(shí)現(xiàn)校內(nèi)IP分3種權(quán)限:校內(nèi)、國(guó)內(nèi)、國(guó)際l國(guó)內(nèi)地址有300多條目(大于8IP的條目)l策略路由利用ip rule 實(shí)現(xiàn)服務(wù)器要永遠(yuǎn)走教育網(wǎng)出去用戶的IP根據(jù)情況選擇l科大有7種選擇4l校內(nèi)IP的狀態(tài)避免針對(duì)每個(gè)IP增加iptables的條目,因?yàn)檫@樣做iptables規(guī)則很多,性能非常低可以考慮使用ippool或后續(xù)的ipset,他們的優(yōu)點(diǎn)都是利用單獨(dú)的數(shù)據(jù)結(jié)構(gòu)存放一個(gè)IP的狀態(tài)(屬于一個(gè)pool或set,可以認(rèn)為對(duì)應(yīng)0和1)使用ippool或ipset后,一條iptable

2、s規(guī)則就可以起到原來(lái)iptables幾千條規(guī)則的作用,避免了iptables順序查找的低效率,執(zhí)行速度能快幾百倍/5l建立類型為nethash的cernetfree ipsetl建立類型為ipmap的cernetip ipset,并缺省綁定cernetfreelCernetfree中加入免費(fèi)地址列表l如果為出校IP,增加到cernetip既可以l如果為出國(guó)IP,增加到cernetip,并解除與cernetfree的缺省綁定6l科大用的是自己寫的,每個(gè)IP在內(nèi)存中有1個(gè)字節(jié)用來(lái)存放IP的權(quán)限(0-255)l有一個(gè)數(shù)據(jù)結(jié)構(gòu)用來(lái)存放網(wǎng)絡(luò)的權(quán)限(0-255),目前僅僅存

3、放教育網(wǎng)免費(fèi)地址列表,權(quán)限都是50l增加了一個(gè)iptables規(guī)則處理:如果校內(nèi)IP的權(quán)限=對(duì)方網(wǎng)絡(luò)的權(quán)限,允許轉(zhuǎn)發(fā)數(shù)據(jù)包7l/proc/iprightmap/netright50 50 l/proc/iprightmap/_50 750 9100 050 28l性能問(wèn)題路由時(shí),順序查找路由規(guī)則表如果表的項(xiàng)目太多(現(xiàn)在有3000個(gè)用戶在線,有3000條規(guī)則,平均一次要查1500

4、項(xiàng)才會(huì)找到),效率不高因此需要優(yōu)化,用其他方式替換順序查找9l建立若干個(gè)ipset,對(duì)應(yīng)不同的路由方式l在mangle表中,對(duì)不同的ipset設(shè)置不同的fwmarklIp rule 根據(jù)fwmark進(jìn)行路由選擇10l由于決定使用哪個(gè)路由表的關(guān)鍵詞是源地址,而校內(nèi)的源地址有限(即使256個(gè)C也就是64KB個(gè))l因此可以用一個(gè)或多個(gè)數(shù)組來(lái)存放這些信息l數(shù)組的大小為校內(nèi)IP的個(gè)數(shù),內(nèi)容為該IP使用哪個(gè)路由表11 100 101 102 100 .100 1

5、01 102 100 .100 101 102 100 .長(zhǎng)度 256*32長(zhǎng)度 256*16長(zhǎng)度 256*16一個(gè)數(shù)組存放校內(nèi)的IP段信息每段有個(gè)數(shù)組存放該段的策略信息修改路由時(shí)查找規(guī)則表的處理過(guò)程,利用以上結(jié)構(gòu)來(lái)查12l為了方便,kernel和應(yīng)用程序采用/proc文件系統(tǒng)通信,文件/proc/iprule/control為控制文件l寫 A 202 38 64 0 255 255 224 0到control增加一段內(nèi)部地址l增加地址后/proc/iprule下會(huì)增加2個(gè)文件_和B_讀這兩個(gè)文件可

6、以得到某個(gè)IP的策略信息前面一個(gè)是ASCII的后面一個(gè)是binary的,偏移量0的字節(jié)就是的策略13l寫 C XXX 202 38 64 1到control修改策略,xxx為路由表l如lecho “C 101 202 38 64 51” control l設(shè)定1使用路由表10114lP4 2.4G的CPUl進(jìn)出通信達(dá)到850Mbps,每秒處理16萬(wàn)個(gè)數(shù)據(jù)包lCPU利用率接近100%15l更高性能可以通過(guò)以下途徑獲得多臺(tái)負(fù)載分擔(dān)l兩臺(tái)并行,可以提高一倍的性能結(jié)構(gòu)調(diào)整l如用3角路由,從NAT設(shè)備進(jìn)入校園網(wǎng)校園網(wǎng)的數(shù)據(jù)包直通(這部分不需要權(quán)限檢查)l從校內(nèi)發(fā)出到CERNET的數(shù)據(jù)包直接出去16教育網(wǎng)出口校內(nèi)

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論