Перейти к содержимому
Local
cetim

Балансировка каналов на FreeBSD

Рекомендованные сообщения

Доброго времени суток. Подскажите пожалуйста как произвести балансировку двух равных каналов на FreeBSD. Балансировку необходимо сделать src dst ip. В данный момент агрегация работает но все идет через один порт.  Пробовал сделать ifconfig lagg0 lagghash l2,l3 ничего не дало .

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Входящий канал не балансируется, а исходящий уходит с балансировкой.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
4 минуты назад, cetim сказал:

Входящий канал не балансируется, а исходящий уходит с балансировкой.

Входящий канал балансируется на отправителе - свиче или соседнем сервере, все правильно. Там колдуйте с алгоритмами LAGGa.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Входящий канал у магистрала. Что я там наколдую ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
3 часа назад, cetim сказал:

Входящий канал у магистрала. Что я там наколдую ?

дано:  cisco <--> server

со стороны сервера в сторону циски балансировка регулируется на сервере. в этом случае это ваш upload

со тороны циски в сторону сервера балансировка регулируется на циске. это download

если балансировка не устраивает со стороны магистрала, пинаем магистрала.

Изменено пользователем l1ght

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.

Войти сейчас

  • Сейчас на странице   0 пользователей

    Нет пользователей, просматривающих эту страницу.

  • Похожие публикации

    • Автор: MazaXaka
      Добрий вечір форумчанам, є питання яке час від часу мучить сервер і не дає клієнтам бути щасливими.
       
      Сервер на freebsd + ubilling на борту, NAS тут же, інколи (раз в пів року або декілька разів на тиждень) "вішається" ну в сенсі не з кінцями, а до того моменту поки з нього не відключити інтернет.
      Відповідно коли таке стається фаєрволом блокуємо діапазон портів, який звужуємо методом виключення, або при можливості ідентифікуємо порт через trafshow
      наприклад в цьому випадку заблокували 61855 сервер ожив, життя прекрасне.
       
      Так от питання хто і як з цим бореться? Настройка BSD чи вище стоячого маршрутизатора/комутатора ?
    • Автор: bot
      Следом за выявленной на прошлой неделе DoS-уязвимости SegmentSmack в TCP-стеках различных операционных систем, опубликована информация о другой похожей уязвимости (CVE-2018-5391, кодовое имя FragmentSmack), которая также позволяет организовать отказ в обслуживании через отправку специально оформленного набора сетевых пакетов, при обработке которого будут заняты все реcурсы CPU. Если первая уязвимость была связана с неэффективностью алгоритма обработки TCP-сегментов, то новая проблема затрагивает алгоритм пересборки фрагментированных IP-пакетов.
       
      Атака осуществляется через отправку потока фрагментированных IP-пакетов, в каждом из которых смещение фрагмента установлено случайным образом. В отличие от прошлой уязвимости SegmentSmack, в FragmentSmack возможно совершение атаки с использованием спуфинга (отправки пакетов с указанием несуществующего IP). При этом для новой атаки требуется большая интенсивность отправки: для полной утилизации ресурсов одного ядра CPU Intel Xeon [email protected] необходим поток на уровне 30 тысяч пакетов в секунду, в то время как для SegmentSmack было достаточно 2 тысячи пакетов в секунду.
       
      Наличие проблемы подтверждено в TCP стеках Linux и FreeBSD. В ядре Linux проблема проявляется начиная с выпуска ядра 3.9. Обновления с устранением проблемы подготовлены для Debian, Fedora, SUSE/openSUSE, Ubuntu, RHEL и FreeBSD. В качестве обходного пути защиты в Linux можно снизить значения sysctl net.ipv4.ipfrag_high_thresh и net.ipv4.ipfrag_low_thresh до 256kB и 192kB или ещё меньших значений.
      sysctl -w net.ipv4.ipfrag_low_thresh=262144 sysctl -w net.ipv4.ipfrag_high_thresh=196608 sysctl -w net.ipv6.ip6frag_low_thresh=262144 sysctl -w net.ipv6.ip6frag_high_thresh=196608  
      Во FreeBSD в качестве обходного пути защиты рекомендовано отключить пересборку фрагментированных пакетов:
      sysctl net.inet.ip.maxfragpackets=0 sysctl net.inet6.ip6.maxfrags=0 Источник: opennet
    • Автор: bot
      В TCP-стеке ядра Linux выявлена опасная уязвимость (CVE-2018-5390), которая позволяет удалённо вызвать отказ в обслуживании из-за исчерпания доступных ресурсов CPU. Для совершения атаки достаточно отправить поток специальным образом оформленных пакетов на любой открытый TCP-порт. Атака может быть совершена только с реального IP-адреса (спуфинг невозможен так как требуется установка TCP-соединения).

      Суть проблемы в том, что при определённых параметрах сегментирования ядро при поступлении каждого пакета вызывает достаточно ресурсоёмкие функции tcp_collapse_ofo_queue() и tcp_prune_ofo_queue(). Из-за неэффективности применяемого алгортима, необходимые для обработки сегментов ресурсы CPU линейно возрастают в зависимости от числа сегментов в очереди пересборки пакетов. При выполнении операции пересборки большого числа сегментов, cоздаваемой нагрузки достаточно, чтобы полностью загрузить процессор при обработке потока с незначительной интенсивностью. Например, для появления существенных задержек в обработке запросов системой для каждого ядра CPU достаточно потока интенсивностью всего 2 тысячи пакетов в секунду.

      Уязвимость проявляется на всех ядрах Linux, начиная с выпуска 4.9 (атака может быть проведена и против более старых ядер, но требует существенного более интенсивного потока пакетов). Проблема устранена в обновлении ядра 4.17.12. Обновления пакетов подготовлены для Debian, SUSE и Fedora, и ожидаются для Ubuntu и RHEL.

      Дополнение: Проблема также проявляется во FreeBSD и вероятно в других операционных системах. Во FreeBSD проблема пока временно решена через ограничение размера очереди пересборки пакетов (net.inet.tcp.reass.maxqueuelen).

      Источник: Opennet
    • Автор: bot
      Спустя год после прошлого значительно выпуска доступен релиз FreeBSD 11.2, который подготовлен для архитектур amd64, i386, powerpc, powerpc64, sparc64, aarch64 и armv6 (BEAGLEBONE, CUBIEBOARD, CUBIEBOARD2, CUBOX-HUMMINGBOARD, Raspberry Pш B, Raspberry Pi 2, PANDABOARD, WANDBOARD). Дополнительно подготовлены образы для систем виртуализации (QCOW2, VHD, VMDK, raw) и облачных окружений Amazon EC2.

      Ключевые новшества:

      Компоненты Clang, libc++, compiler-rt, LLDB, LLD и LLVM обновлены до версии 6.0.0, из новых возможностей в которой можно отметить включение в Clang по умолчанию стандарта C++14 ("-std=gnu++14" вместо "-std=gnu++98"), обеспечение поддержки некоторых возможностей будущего стандарта C++2a, интеграцию патчей retpoline для блокирования второго варианта уязвимости Spectre, включение по умолчанию фреймворка GlobalISel для архитектуры AArch64 при сборке с уровнем оптимизации "-O0", добавление новых предупреждений компилятора.

      Обновлены версии поставляемых в базовой системе сторонних проектов: libarchive 3.3.2, libxo 0.9.0, Subversion 1.9.7, OpenSSH 7.5p1, tcpdump 4.9.2, NTP 4.2.8p11, bmake 20180222, OpenSSL 1.0.2o, LLVM (clang, lld, lldb, compiler-rt) 6.0.0.

      Обновлены драйверы устройств cxgbe, ixl и ng_pppoe. Добавлены новые драйверы mlx5io для сетевых адаптеров Connect-X 4 и Connect-X 5, ocs_fc для хост-адаптеров Fibre Channel от компании Emulex и smartpqi для SCSI-контроллеров Microsemi;

      В портах доступны графические окружения KDE 4.14.3 и GNOME 3.18.0;

      Добавлена новая утилита efibootmgr для настройки менеджера загрузки EFI;

      Добавлена новая утилита dwatch для наблюдения за процессами с использованием механизма трассировки DTrace;

      Добавлена новая утилита etdump для просмотра информации из загрузочного каталога El Torito;

      Из OpenBSD импортирован вариант утилиты diff, распространяемый под лицензией BSD. Данная утилита не устанавливается по умолчанию, для её установки при пересборке системы следует указать WITHOUT_GNU_DIFF в src.conf;

      В утилите zfsd появилась возможность работы с любыми типами провайдеров GEOM, включая md, geli, glabel и gstripe;

      В прослойке для совместимости с Linux добавлена поддержка системной библиотеки musl;

      В реализации файловой системы fdescfs добавлена поддержка специфичных для Linux файловых дескрипторов /dev/fd и /proc/self/fd;

      В ядре появилась возможность использования нескольких часов реального времени;

      В пакетном фильтре ipfw обеспечена идентификация покетов 2 и 3 уровней OSI, устранены проблемы с пометкой пакетов AQM в dummynet;

      Устранена проблема с загрузкой на системах с CPU Intel Apollo Lake;

      В утилиту crontab добавлена опция "-f" для принудительного удаления файла crontab при использовании опции "-r" в неинтерактивном режиме (предотвращает случайное удаление при ошибочном указании "-r" в командной строке);

      В утилиту diskinfo добавлены флаги "-s" для отображения идентификатора диска (серийного номера) и "-p" для вывода физического пути (physpath) к диску в системе хранения;

      В umount добавлен флаг "-N" для принудительного отмонтирования NFS-раздела;

      В утилите ps обеспечено отображение приоритетов realtime и idle среди флагов состояния. Также добавлен признак "C", позволяющий определить , что процесс выполняется с использованием ограничений capsicum;

      В утилите pw реализована корректная обработка периодов истечения срока работы учётной записи и добавлена возможность использования символов "@" и "!" в поле GECOS;

      В утилите top добавлена возможность фильтрации нескольких имён пользователей через опцию "-U";

      Обновлена утилита bsdgrep, в которой через жесткую ссылку добавлена команда rgrep, эквивалентная "grep -r";

      В утилиту getconf добавлен флаг "-a" для вывода имён и значений всех системных путей;

      Прекращена сборка по умолчанию утилиты lint (для сборки требуется указать WITH_LINT в src.conf);

      В утилите mount реализован режим, позволяющий примонтировать носитель в режиме только для чтения в случае сбоя при монтировании в с поддержкой записи. Данное поведение включает при указании опции "autoro";

      В утилите makefs размер блока и фрагмента по умолчанию заменён на 32K и 4K, для соответствия поведению newfs;

      В утилите pwd_mkdb добавлено предупреждение о прекращении поддержи классической базы паролей в FreeBSD 12 в случае использования флага "-l";
      В утилите mdmfs появилась поддержка tmpfs;

      В утилиту service добавлен флаг "-j" для выполнения команды в контексте указанного jail-окружения;

      В утилиту sysctl добавлена поддержка присвоения параметрам массивов числовых значений;

      В ipfw возобновлена поддержка sysctl net.inet.ip.fw.dyn_keep_states;

      Для систем на базе процессоров Intel Ice Lake и Cannon Lake по умолчанию активирована поддержка Wake On LAN;

      Установщики memstick-сборок для архитектуры amd64 переведены на использование MBR вместо GPT для улучшения совместимости с оборудованием, поддерживающим MBR и GPT, но не способным загрузиться в режиме с BIOS при использовании GPT;

      С целью сокращения размера проведена чистка окружения Live CD для образа disc1.iso, который теперь опять умещается на 700MB CD-ROM;

      В ifconfig добавлена поддержка опции "random" для случайной генерации MAC-адреса;

      Инсталлятор bsdinstall по умолчанию настроен на использование на системах arm64 только загрузки в режиме UEFI;

      Добавлена поддержка многопротокольных адаптеров TAIO USB (TUMPA);

      Для гипервизора bhyve реализован драйвер виртуальной консоли virtio_console;

      Источник: Opennet
    • Автор: DAnEq
      загнал тюнинг кое что в лоадер кое что в сисцтл
      перегрузил, смотрю
       
      [email protected]:/root# sysctl -a | grep hw.em hw.em.eee_setting: 1 hw.em.rx_process_limit: 100 hw.em.enable_msix: 1 hw.em.sbp: 0 hw.em.smart_pwr_down: 0 hw.em.txd: 4096 hw.em.rxd: 4096 hw.em.rx_abs_int_delay: 66 hw.em.tx_abs_int_delay: 66 hw.em.rx_int_delay: 0 hw.em.tx_int_delay: 66 [email protected]:/root# sysctl -a | grep dev.em.1.rx_int_delay dev.em.1.rx_int_delay: 200 [email protected]:/root# sysctl -a | grep dev.em.1.tx_int_delay dev.em.1.tx_int_delay: 200 [email protected]:/root# sysctl -a | grep dev.em.1.tx_abs_int_delay dev.em.1.tx_abs_int_delay: 4000 [email protected]:/root# sysctl -a | grep dev.em.1.rx_abs_int_delay dev.em.1.rx_abs_int_delay: 4000 [email protected]:/root# sysctl -a | grep dev.em.0.rx_abs_int_delay dev.em.0.rx_abs_int_delay: 4000 [email protected]:/root# sysctl -a | grep dev.em.0.tx_abs_int_delay dev.em.0.tx_abs_int_delay: 4000 [email protected]:/root# sysctl -a | grep dev.em.0.tx_int_delay dev.em.0.tx_int_delay: 200 [email protected]:/root# sysctl -a | grep dev.em.0.rx_int_delay dev.em.0.rx_int_delay: 200 [email protected]:/root# смущен немного
      может правильнее было все загнать в лоадер ?
×