由於某些原因,我們的 Internet 供應商對我們的專用網路中託管的電腦與 Internet 之間同時開啟的連線數量有限制,約 4000 個同時連線。 (具體來說,它們的限制來自於同時允許的 NAT 會話數量)。
我們無法存取網路供應商的路由器,也沒有關於這個限制的狀態或我們離最大限制有多近,但是當達到限制時,基本上內部機器有一個非常慢網路存取(如果可以的話),我們必須花費數小時與供應商的熱線聯繫以說服他們重新初始化該表。
我想在我們這邊設置同樣的限制,這樣我們就可以密切關注它的發展情況,實施更小的限制,這樣我們就不必再調用它們,並希望保持每個人的連接順利。
我手邊有一台Linux 機器,配置為網橋(有2 個網路介面)和/或RouterOS 6 路由器,位於我們的內部專用網路和我們的網路供應商提供的路由器之間(兩者都是可選的,我只是想看看有什麼將是我目前最方便的配置):
INTERNET
^
|
|
+-------+------+
| Cisco Router |
+-------+------+
|
|
|
+-----+----+
| RouterOS |
+-----+----+
|
|
|
+-------+------+
| Linux Bridge |
+-------+------+
+------------+----^ ^ ^-----+-------------+
| | | | |
+---+---+ +----+--+ +---+---+ +--+----+ +----+--+
| Clt 1 | | Clt 2 | | Clt 3 | | Clt 4 | | Clt 5 |
+-------+ +-------+ +-------+ +-------+ +-------+
(目前我們有60多個“客戶端”,包括電腦、IP電話、伺服器、虛擬機器等)
很容易找到有關如何使用iptables或限制伺服器上的流量頻寬或連接的文檔,tc但我找不到太多關於同時連接數。據我了解,這將是控制conntrack網橋或內部路由器的-ing系統,並在達到限制時阻止新的連接,但我找不到任何有關如何做到這一點的資訊。
我有興趣獲得一些有關 Linux 解決方案的指導,我可以嘗試將其轉換為 RouterOS,因為它可能更普遍地適用於其他配置。
更多詳細資訊:
- 內部網路位於 192.168.101.0/24 子網路內
- 橋接器和 RouterOS 路由器機器都有來自該子網路的 IP 位址
- 網際網路供應商路由器正在執行 DHCP 伺服器,其專用 IP 位址 (192.168.101.254) 被設定為通往網際網路的預設路由
- 我們可以對互聯網提供商路由器做的唯一事情就是重新啟動它並調整網路電纜:)