41 | 案例篇:如何优化 NAT 性能?(上)
倪朋飞
该思维导图由 AI 生成,仅供参考
你好,我是倪朋飞。
上一节,我们探究了网络延迟增大问题的分析方法,并通过一个案例,掌握了如何用 hping3、tcpdump、Wireshark、strace 等工具,来排查和定位问题的根源。
简单回顾一下,网络延迟是最核心的网络性能指标。由于网络传输、网络包处理等各种因素的影响,网络延迟不可避免。但过大的网络延迟,会直接影响用户的体验。
所以,在发现网络延迟增大的情况后,你可以先从路由、网络包的收发、网络包的处理,再到应用程序等,从各个层级分析网络延迟,等到找出网络延迟的来源层级后,再深入定位瓶颈所在。
今天,我再带你来看看,另一个可能导致网络延迟的因素,即网络地址转换(Network Address Translation),缩写为 NAT。
接下来,我们先来学习 NAT 的工作原理,并弄清楚如何优化 NAT 带来的潜在性能问题。
NAT 原理
NAT 技术可以重写 IP 数据包的源 IP 或者目的 IP,被普遍地用来解决公网 IP 地址短缺的问题。它的主要原理就是,网络中的多台主机,通过共享同一个公网 IP 地址,来访问外网资源。同时,由于 NAT 屏蔽了内网网络,自然也就为局域网中的机器提供了安全隔离。
你既可以在支持网络地址转换的路由器(称为 NAT 网关)中配置 NAT,也可以在 Linux 服务器中配置 NAT。如果采用第二种方式,Linux 服务器实际上充当的是“软”路由器的角色。
公开
同步至部落
取消
完成
0/2000
荧光笔
直线
曲线
笔记
复制
AI
- 深入了解
- 翻译
- 解释
- 总结
本文深入介绍了如何优化 NAT(网络地址转换)的性能,包括其工作原理和在Linux中的实现方法。文章首先解释了NAT的不同类型,如静态 NAT、动态 NAT和NAPT,并重点介绍了在Linux中通过iptables工具配置NAT规则的方法,包括SNAT、DNAT和双向地址转换的配置。此外,文章还提到了需要开启Linux的IP转发功能来转发其他IP的网络包。最后,文章指出NAT技术能够解决公网IP地址短缺的问题,但也会带来性能成本。下一步将继续学习NAT性能问题的分析方法。整体而言,本文内容全面涵盖了NAT的原理、在Linux中的实现方法以及性能问题的提及,对读者快速了解NAT的概念和相关知识提供了全面的指导。
仅可试看部分内容,如需阅读全部内容,请付费购买文章所属专栏
《Linux 性能优化实战》,新⼈⾸单¥68
《Linux 性能优化实战》,新⼈⾸单¥68
立即购买
© 版权归极客邦科技所有,未经许可不得传播售卖。 页面已增加防盗追踪,如有侵权极客邦将依法追究其法律责任。
登录 后留言
全部留言(28)
- 最新
- 精选
- 我来也[D41打卡] 在已有的项目经验中,还未涉及到过NAT. 倒是本地的虚拟机环境下,或者路由器上,会看到nat相关选项. 问题一:当多个内网 IP 地址的端口号相同时,MASQUERADE 还可以正常工作吗? 我觉得是可以正常工作的,要不然就不会允许设置ip地址段了.😁[纯属猜测哈] 在路由器上做端口映射时,一个外网端口只能对应一个内网的IP. 但是反方向,nat在转换源地址时,应该会记录原来的连接信息吧.要不然收到包该给谁发呢. 问题二:如果内网 IP 地址数量或请求数比较多,这种方式有没有什么隐患呢? 根据之前的经验,在请求数过多时,会导致CPU软中断上升. 再谷歌了下,有看到说: iptables的conntrack表满了导致访问网站很慢.[https://my.oschina.net/jean/blog/189935] ```kernel 用 ip_conntrack 模块来记录 iptables 网络包的状态,并保存到 table 里(这个 table 在内存里),如果网络状况繁忙,比如高连接,高并发连接等会导致逐步占用这个 table 可用空间。``` 优化Linux NAT网关[https://tech.youzan.com/linux_nat/] ```net.netfilter.nfconntrackbuckets 这个参数,默认有点小,连接数多了以后,势必造成“哈希冲突”增加,“哈希处理”性能下降。( 是这样吗?)```
作者回复: 👍两个回答都是正确的,第二个还不完整,可以再考虑深入一点(提示:还有其他很多内核资源限制)
2019-02-25313 - 腾达大伙儿都掉队了吗?有深度的问题留言越来越少,有价值的问题回答也少了。
作者回复: 嗯,有深度的留言还是前面多一些
2019-02-256 - wwjnat的三种类型有什么本质的区别、和链接追踪的联系有是什么
作者回复: 主要是管理方式的区别,比如静态肯定比动态管理要简单的多;跟连接跟踪没有直接关系(只是Linux使用了连接跟踪)。
2019-02-283 - 李逍遥有个疑问, 看了访问baidu.com的例子,发包和收报都是需要NAT的,那是不是只配置SNAT或DNAT,就不能正常访问外网或被访问了呢?
作者回复: 不是的,内核有连接跟踪,知道每个请求的来源和目的
2019-02-263 - honnkyou"再来看 DNAT,显然,DNAT 需要在 nat 表的 PREROUTING 或者 OUTPUT 链中配置,其中, PREROUTING 链更常用一些(因为它还可以用于转发的包)。" DNAT不是转换到达包的目的地址吗?也可以在OUTPUT链中配置吗?
作者回复: 嗯嗯,可以的,OUTPUT用于从本机发出的包
2019-03-182 - 小庄.Jerry最近我们的一个客户,遇到问题2的问题了。该公司很多用户同时加入我们的会议系统,一般来说,客户会访问我们部署在当地数据中心的服务器,结果很多用户访问到我们数据美国数据中心的服务器了,导致糟糕的体验。 我们的网络team给的解决方案:禁用了我们服务器的tcp_tw_recycle。 看了man tcp的介绍,对于NAT网络中,要求禁掉tcp_tw_recycle。但是对于个中的原理还不是很明白,希望老师可以帮忙解释下
作者回复: tcp_tw_recycle本身的实现就有问题,一定要禁止掉,并且在新的内核(4.1以后)里也被直接删除了
2019-02-272 - 陳先森第一个问题是可以的,外网端口映射内网端口是一对多。就跟之前老师留言的一样,服务端对端口没有65535个端口限制但是客户端有。 第二个问题会有隐患,请求数量多的时候会导致软路由服务器的资源和性能下降,甚至延时和超时都有可能以至于达到系统资源的瓶颈系统的软连接数达到瓶颈或者无法正常工作
作者回复: 👍
2019-04-291 - 曾经的十字镐我们有部分业务需要向外同步数据,但又必须保证内网服务器的安全,所以我就使用了nat网络,单纯知道外网ip是无法攻击的
作者回复: 并不是这样的,通过NAT还是可以访问内部服务的,如果服务本身设计有问题,还是一样受到攻击
2019-03-011 - ninuxer打卡day43 工作场景没用到nat,基本都是基于4层或7层的反代 针对第一个问题,是可以的,第二个问题不可以,我认为是有连接追踪表,文件数量,端口数量的限制
作者回复: 嗯
2019-02-271 - 夜空中最亮的星第一个问题:是可以正常工作的,是由(源地址:源端口 目的地址:目的端口 )来标记的 第二个问题:会把这台linux主机撑爆了
作者回复: 👍
2019-02-251
收起评论