fet4

Прошивка 46085 решает вопрос с загрузкой cpu, иных косяков не было замечено.

Ребята посоветуйте что-нибудь. 3310C. Клиенты по dhcp без relay. Не могу почти в консоли работать. Есть еще один 3310С все то же только vlan другие, так же пинги скачут. Стоит рядом же 3310B конф аналогичный все в норме цпу 20% #show cpu CPU utilization for one second: 100%; one minute: 100%; five minutes: 99% 64 bytes from 172.19.0.7: icmp_seq=392 ttl=255 time=3319 ms 64 bytes from 172.19.0.7: icmp_seq=393 ttl=255 time=2322 ms 64 bytes from 172.19.0.7: icmp_seq=394 ttl=255 time=1314 ms 64 bytes from 172.19.0.7: icmp_seq=395 ttl=255 time=307 ms 64 bytes from 172.19.0.7: icmp_seq=396 ttl=2

А зачем вы 125 влан транком и антагом отдаете?

Все оказалось гораздо проще. Сравнив показания conntrack -C на бордере и брасе, разница была огромна примерно 300 000/30 000 соответственно в тот момент, я понял что нужно искать проблему где-то в транзите. Т.к. фаервол был не дописан, ограничив на бордере FORWARD исключительно клиентам, сразу же количество conntrack -C выровнялось. Вот уже 3-ий день все тихо. :FORWARD DROP [24852758:1686709141] :forward_new - [0:0] -A FORWARD -m conntrack --ctstate INVALID -j DROP -A FORWARD -p tcp -m set --match-set blacklist dst -j REJECT --reject-with tcp-reset -A FORWARD -m set --match-set blacklist d

Чего боялся то и произошло. nf_conntrack_tuple_taken снова вылез в 100% загрузки нового проца. На брасе все окей никаких аномалий не видно. Даже не знаю уже что и думать. Может ядро обновить/откатить?

Вовсе не обязательно.Весь блок IP уже смаршрутизирован на ваш бордер аплинкером, а может сервер работать без прописанных адресов или нет - сугубо ограничение софта и вашей конфигурации. Допустим аплинкер смаршрутизировал блок 192.168.1.0/24 на 192.168.0.1, на 192.168.0.1 натится этот блок. -A POSTROUTING -o vlan2000 -j SNAT --to-source 192.168.1.1-192.168.1.254 --persistent Как аплинкер понимает что сначеный блок прилетает именно от 192.168.0.1 если весь трафик с интерфейса натится в блок ? Или где-то в пакете есть адрес маршрутизатора ?

Вчера купил новый проц из того что было по месту и поставил. Надеюсь это решит проблему. Architecture: x86_64 CPU op-mode(s): 32-bit, 64-bit Byte Order: Little Endian CPU(s): 4 On-line CPU(s) list: 0-3 Thread(s) per core: 1 Core(s) per socket: 4 Socket(s): 1 NUMA node(s): 1 Vendor ID: GenuineIntel CPU family: 6 Model: 158 Model name: Intel(R) Core(TM) i7-7700 CPU @ 3.60GHz Stepping: 9 CPU MHz: 4000.122 CPU max MHz: 4200,0000 CPU min MHz

Завтра буду проц ехать брать, ничего не поменялось. Стоит ли за i7 переплачивать? ноудени+ , dhcp + pppoe, от pppoe потихоньку избавляюсь. Нынешняя балансировка по src работает адекватно, разнится в загрузке каналов примерно 50-100Мбит что для меня в принципе подходит.

Установил я в груб. processor.max_cstate=1 intel_idle.max_cstate=0 Перезагрузился и в биосе отключил c-state_ы, установил max-perfomance на память. Потом увеличил в 25-раз conntrack относительно default. Получилось. net.netfilter.nf_conntrack_buckets = 409600 net.netfilter.nf_conntrack_count = 765844 net.netfilter.nf_conntrack_max = 1638400 net.nf_conntrack_max = 1638400 Моментально вылез в топы cpu nf_conntrack_tuple_taken но быстро в теч 5 мин. попустило сервак. Видимо из-за уменьшенной таблицы conntrack. Наблюдаю и параллельно думаю о новом проце. Что посоветуете на LGA1151

вывод top но уже когда глюк прошел. надо будет посмотреть память в момент глюка. top - 20:29:05 up 10 days, 1:32, 2 users, load average: 0,00, 0,00, 0,00 Tasks: 104 total, 1 running, 103 sleeping, 0 stopped, 0 zombie %Cpu(s): 0,0 us, 0,0 sy, 0,0 ni, 90,1 id, 0,0 wa, 0,0 hi, 9,9 si, 0,0 st KiB Mem : 3935492 total, 2734828 free, 789892 used, 410772 buff/cache KiB Swap: 1951740 total, 1951740 free, 0 used. 2870248 avail Mem PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND 28560 root 20 0 300236 130960 7960 S 0,3 3,3 0:08

to Kayot Если не может тогда поменяю. Просто смотрю загрузка не большая проца, а как еще понять что он уже на подходе хз. intel_idle.max_cstate=0 processor.max_cstate=1 уже добавил сейчас перегружусь посмотрим. Какой запас контрак таблицы и таблицы хешей 2-х кратный сделать? И контрак таблица=таблица хешей или контрак таблица в 4 раза больше хешей?

Найдем если проблема в нем будет. А чего ждать от бюджетного оборудования для десктопов? Я бы взял что то из "серверного". Вы думаете процесс nf_conntrack_tuple_taken, на другом проце не будет его так съедать? Как по мне это программный бок.

Найдем если проблема в нем будет.

Спасибо всем за подсказки, как говорится век живи век учись! Сделал echo performance > /sys/devices/system/cpu/cpu0/cpufreq/scaling_governor echo performance > /sys/devices/system/cpu/cpu1/cpufreq/scaling_governor Нагрузка упала на 20%. Стоял режим powersaving. Сделал еще некоторые рекомендации с мануала на первой странице. Потом вылез баг о котором я говорил, но теперь машинка доступна, лагает но доступна. perf-top показывает 81,93% [kernel] [k] nf_conntrack_tuple_taken 3,80% [kernel] [k] hash_conntrack_raw 1,50% [kernel] [k] nf_nat_c

Сложно вам что-то посоветовать, потому что больше данных в теме не стало. Крутить там можно много чего с разными результатами. ITR можно увидеть в логах ядра при инициализации драйвера, но если вы не трогали настройки, то там 1 по-умолчанию. Конкретное значение количества прерываний выбранные драйвером в конкретный момент посмотреть нельзя, только через всякие dstat/vmstat высчитывать. Как вы заметили по теме, я, например, рекомендую прибивать статические значения, если настройки драйвера по-умолчанию не работают. Мне это помогло справиться с проблемой. Но является ли это решением в вашем

Как сейчас с ifAlias ? У меня почему то пусто на дебиан под snmpd. IF-MIB::ifAlias.1 = STRING: IF-MIB::ifAlias.2 = STRING: IF-MIB::ifAlias.3 = STRING: IF-MIB::ifAlias.4 = STRING: Хотя алиас присутствует. 3: vlan10@eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc noqueue state UP mode DEFAULT group default qlen 1000 link/ether 44:87:fc:52:4f:3b brd ff:ff:ff:ff:ff:ff alias lan

# lscpu Architecture: x86_64 CPU op-mode(s): 32-bit, 64-bit Byte Order: Little Endian CPU(s): 2 On-line CPU(s) list: 0,1 Thread(s) per core: 1 Core(s) per socket: 2 Socket(s): 1 NUMA node(s): 1 Vendor ID: GenuineIntel CPU family: 6 Model: 158 Model name: Intel(R) Celeron(R) CPU G3930 @ 2.90GHz Stepping: 9 CPU MHz: 799.871 CPU max MHz: 2900,0000 CPU min MHz: 800,0000 BogoMIPS: 5808.00 Virtualizati

Ну там же вроде пакеты обрабатываются, которые от сетевой карты прилетели, сетевой стэк. У вас как бы не много выбора в любом случае: тюнить производительность стэка, но это не решит проблему в корне или дробить нагрузку на больше машин, вместо одной, что в общем-то единственный праведный путь с ядерным линуксовым натом. Я с Вами согласен насчет дробить на больше машин, но я думал это делать когда будет хотя бы 70% загрузки по ядрам. А у меня допустим вчера в чнн было 600мбит и 120кппс и загрузка цпу 35%. Моя проблема может говорить о какой-то недостаточности ресурсов? Вроде за всем

Перечитал тему на наге, понял что не крутил только ITR. Вообще имеет смысл его трогать и как увидеть текущие значения его?

В момент проблемы ппс падает. Не успел физически добежать до сервера, чтобі запустить перф-топ.

А какая зависимость должна быть между pps и прерываниями? ППС рисуется, в пиках на данный момент около 130к.

Ну там же вроде пакеты обрабатываются, которые от сетевой карты прилетели, сетевой стэк. У вас как бы не много выбора в любом случае: тюнить производительность стэка, но это не решит проблему в корне или дробить нагрузку на больше машин, вместо одной, что в общем-то единственный праведный путь с ядерным линуксовым натом. Не могу понять просто, если слабое железо, тогда в час пик был бы затык, а так в час пик загрузка в районе 30%, эти всплески происходят рандомно и пока не объяснимо. Покритикуйте мой фаервол, не знаю вроде все оптимизировал что можно. # Generated by iptables-save

Спасибо за советы попробую отловить что-нибудь. 3 root 20 0 0 0 0 R 96,4 0,0 39:08.06 ksoftirqd/0 16 root 20 0 0 0 0 R 96,4 0,0 44:47.19 ksoftirqd/1 7 root 20 0 0 0 0 S 1,7 0,0 12:37.07 rcu_sched ksoftirqd. не могу понять что его грузит.

Ребята скажите а у всех пинги скачут до ОЛТ под нагрузкой на 3310с? Стоит один 3310с и второй b, c включен каскадом в b. До b пинг в норме, до с в среднем 100мс.

Где именно? На свиче куда включен сервер? В принципе везде управляемое оборудование откуда ей взяться?