Subnets.ru

Доброго времени суток !
Имеем:
Freebsd 8.2, ipfw, dummynet, pfnat.
Сетевухи: Intel ET
Траф в часы пик около 1 Gb/s
Есть желание попробовать ng_nat .
ipfw:

Код: Выделить всё

net.inet.ip.fw.one_pass: 1

Пробовал на тестовом серваке поднять ng_nat , все вроде получается за исключением dummynet.
Пайпы идущие после правил ната уже не работают. Можно ли реализовать ng_nat не меняя значение one_pass ?

Стоит ли игра свеч ( получится ли прирост производительности сменив pf_nat на ng_nat) ?
ipfw_nat пробовал ситуация только ухудшилась . Не меняя никаких настроек поднимал ноду ipfw_nat и добавлял правила в работающий конфиг ipfw , естественно сбросив правила pf . сразу начинал расти пинг, процесс swi:net выростал до 80-90 % .
Спасибо откликнувшимся .

amasis писал(а):Имеем:

а мона полюбопытсвовать на тему материнки, проца и кол-ва памяти ?

amasis писал(а):Траф в часы пик около 1 Gb/s

это full-duplex ? или это суммарно ? вообщем график MRTG есть ?

amasis писал(а):Пайпы идущие после правил ната уже не работают. Можно ли реализовать ng_nat не меняя значение one_pass ?

нет

Код: Выделить всё

man ipfw

netgraph cookie
Divert packet into netgraph with given cookie. The search termi-
nates. If packet is later returned from netgraph it is either
accepted or continues with the next rule, depending on
net.inet.ip.fw.one_pass sysctl variable.

amasis писал(а):Стоит ли игра свеч ( получится ли прирост производительности сменив pf_nat на ng_nat) ?

мы перебробовали много вариантов ната и останавились на ipfw nat

amasis писал(а):ipfw_nat пробовал ситуация только ухудшилась

а у нас наоборот по сравнению с pf_nat ситуация улудшилась, да и вечные траблы с протоколом FTP достали
юзая ipfw nat многое зависит от кол-ва правил в фаире и его строения
ессно что чем меньше правил, тем быстрее работает

amasis писал(а): естественно сбросив правила pf

лучше его выключать, а не сбрасывать правила

Мать: Asus M4A88T-V
Проц: AMD Phenom II X6 1100
ОЗУ: 4gb
Скорость in ~ 1 gb/s , out ~ 400 mb/s

amasis писал(а):Пайпы идущие после правил ната уже не работают. Можно ли реализовать ng_nat не меняя значение one_pass ?

Папйпы, как я понял прочитав ipwf, нужны для шейпирования скорости. Если так, то вопрос, есть ли на машине mpd, т.к. машина сильно похожа на сервер доступа.

Андрей писал(а):Папйпы, как я понял прочитав ipwf, нужны для шейпирования скорости. Если так, то вопрос, есть ли на машине mpd, т.к. машина сильно похожа на сервер доступа.

Сервер действительно выполняет роль "сервера доступа" , но mpd не используется.

тогда подсказать не могу. От себя скажу, что пользую pf_nat, проблем тьфу-тьфу-тьфу, нет.

Андрей писал(а):тогда подсказать не могу. От себя скажу, что пользую pf_nat, проблем тьфу-тьфу-тьфу, нет.

Какой траф ?

amasis писал(а):

Андрей писал(а):тогда подсказать не могу. От себя скажу, что пользую pf_nat, проблем тьфу-тьфу-тьфу, нет.

Какой траф ?

В пике проверяли - было около 200 входящего и примерно 50 исходящего (мбит/с) / примерно 32 kpps на ифейсе. Четверть от вашего.

root правильно сказал, что нужно смотреть оптимизацию правил.
Так же, я бы рекомендовал посмотреть за нагрузкой на проц в пиковые моменты. Ну и на число пакетов. Если тормозит, то я не удивлюсь, что у вас проблема в количестве пакетов. Пройденный этап. Сменил уже 2 сервера. последний Ксеон E56хх взял. Предыдущие два захлебывались от числа пакетов.

Кстати, тут где-то был разговор, что pf_nat использует только одно ядро проца. Я замерял - не подтвердилось.