NAT на freebsd

ramsess · 12 лютого, 2019

А как у pf_nat обстоят дела с многоядерными системами ? Все еще печалька ?

PraS · 4 листопада, 2019

В 12.02.2019 в 20:02, ramsess сказал:

А как у pf_nat обстоят дела с многоядерными системами ? Все еще печалька ?

C 10 версии FreeBSD SMP работает на PF

так что все нормально паралелиться.

WideAreaNetwork · 18 лютого, 2020

может кто подскажет, как на FreeBSD посмотреть сколько съедает ресурсов проца PF ?

ISK · 18 лютого, 2020

top -HPS (К.О), а вообще, исходя из Ваших мощностей и нагрузок. Скажу сразу - совсем немного (раза в 3, так) по сравнению с ipwf NAT. Даже на старенькой оборудке, да.

P. S.: Сам использовал связку ipwf+pfnat...

WideAreaNetwork · 18 лютого, 2020

3 часа назад, ISK сказав:

top -HPS

pf не видел в списке потому и спросил может быть есть другой способ увидеть, а получилось что он настолько мало ест ресурсов что просто не попадает в список

ISK · 19 лютого, 2020

9 часов назад, WideAreaNetwork сказал:

pf не видел в списке потому и спросил может быть есть другой способ увидеть, а получилось что он настолько мало ест ресурсов что просто не попадает в список

Забыл сказать - если pf у Вас в ядре, то никак...

WideAreaNetwork · 19 лютого, 2020

47 минут назад, ISK сказав:

если pf у Вас в ядре, то никак

нет не в ядре, но хочу скомпилить ядро с ним

KaYot · 19 лютого, 2020

18 минут назад, WideAreaNetwork сказал:

нет не в ядре, но хочу скомпилить ядро с ним

А смысл? В *nix-мире не важно в ядре модуль или отдельно, на скорость это не влияет.

ISK · 19 лютого, 2020

1 час назад, WideAreaNetwork сказал:

нет не в ядре, но хочу скомпилить ядро с ним

Смотрите в kldstat, есть ли он там? Если да, то все равно не увидите...

44 минуты назад, KaYot сказал:

А смысл? В *nix-мире не важно в ядре модуль или отдельно, на скорость это не влияет.

Смотря какой модуль. Возьмите хотя бы ущербный однопоточный dummynet в ipfw...

Відредаговано 19 лютого, 2020 ISK

Baneff · 19 лютого, 2020

11 минут назад, ISK сказал:

Смотря какой модуль. Возьмите хотя бы ущербный однопоточный dummynet в ipfw...

От же ж. Ну почему он ущербный? Однопоточность его - это единственный недостаток, который работе не мешает. Он и в один поток шейпит прекрасно. Чем шейпить-то будете?

Baneff · 19 лютого, 2020

И ещё, на всякий случай напомню, что dummynet - это только одна из частей ipfw, которая занимается только шейпингом, всё остальное в ipfw прекрасно параллелится.

ISK · 19 лютого, 2020

1 минуту назад, Baneff сказал:

Чем шейпить-то будете?

Вот то-то же и оно, что больше нечем...

6 минут назад, Baneff сказал:

всё остальное в ipfw прекрасно параллелится.

Вот, расскажу из собственного субъективного опыта:

3 года назад юзал ipfw kernel nat, который работал как часы. Но когда абонов резко прибавилась, а нагрузки возросли до 120 kpps (при скорости более 600 Мбит/сек) он начал перманентно загинаться на ровном месте. При этом dummynet, резко начинал грузить 1 ядро CPU в 100% и с ним ничего нельзя было сделать, даже прибить. Остальные 7 ядер тоже были на 98-99%. В общем беда-печаль. Решилось все переходом на связку ipfw+pf_nat. Тянет и по сей день, причем с той поры нагрузка возросла почти в 2 раза. И dummynet теперь 0,1 - 0,5%.

Так-то...

Baneff · 19 лютого, 2020

16 минут назад, ISK сказал:

Вот, расскажу из собственного субъективного опыта:

Ну вы пошли в обход вместо того, чтобы разобраться в чём дело. Я тоже из своего опыта: за много лет никогда не возникало необходимости включать pf и нагрузка как бы давно не 600кбит/с. Большую роль играет правильность составления правил ipfw. Всё должно быть логично, всё что можно - паковать в таблицы, минимум правил. А я встречал конфигурации, где были тысячи правил, так чего ж удивляться. Вот, например ниже график загрузки процессора (зелёный) и отдельно dummynet (синий) на довольно таки нагруженной машинке на боевом дежурстве. Никаких костылей, всё штатно.

ISK · 19 лютого, 2020

2 часа назад, Baneff сказал:

Большую роль играет правильность составления правил ipfw. Всё должно быть логично, всё что можно - паковать в таблицы, минимум правил.

Ну как бы не первый раз с ipfw дело имел. Набор правил, 2 пайпа для шейпера и таблицы были стандартные от Ubilling + блокировка входящего трафика и всё - всего где-то 17 - 18 правил. Ничего особенного...

Baneff · 19 лютого, 2020

1 час назад, ISK сказал:

Ну как бы не первый раз с ipfw дело имел. Набор правил, 2 пайпа для шейпера и таблицы были стандартные от Ubilling + блокировка входящего трафика и всё - всего где-то 17 - 18 правил. Ничего особенного...

Ну спорить не буду, у каждого свои ньюансы, всякое может быть.

WideAreaNetwork · 19 лютого, 2020

5 часов назад, ISK сказав:

Смотрите в kldstat, есть ли он там?

естественно есть) просто модулем загружается

5 часов назад, ISK сказав:

И dummynet теперь 0,1 - 0,5%

можно узнать что использовалось из железа?

4 часа назад, Baneff сказав:

отдельно dummynet (синий) на довольно таки нагруженной машинке

интересует железо, и какой трафик бежал (pps, mbit)

ISK · 19 лютого, 2020

9 минут назад, WideAreaNetwork сказал:

можно узнать что использовалось из железа?

Старое: HP Proliant DL360G5 2x Intel Xeon 5430 4@2.60GHZ, 8GB DDR2, дополнительно бралась 2-port Intel 82576 (igb).

17 минут назад, WideAreaNetwork сказал:

и какой трафик бежал (pps, mbit)

110-130 kpps, 600-700 Mbit/sec...

blackjack · 19 лютого, 2020

В 08.02.2019 в 13:45, Sоrk сказал:

ipfw kernel nat

на Xeon E5-1650 v4 + Intel X520 + FreeBSD 12.0-RELEASE-p1 результат такой.

Реально ли на PF NAT получить меньшую нагрузку?

На чому сьогодні модно шейпити і натити 10г трафіка? Маю на увазі залізо, система фря.

KaYot · 19 лютого, 2020

1 час назад, Конденсат Бозе-Эйнштейна сказал:

На чому сьогодні модно шейпити і натити 10г трафіка? Маю на увазі залізо, система фря.

Неверно задан вопрос. Правильнее - на какой системе это делать.

Мой NAT-box, centos 6.9 с ядром 4.9.50, Xeon E3-1220 v1, X520-DA2.

Разительная разница c картинками выше на BSD? E3-1220v1 слабее чем e5-1650v4 раза в 3.

WideAreaNetwork · 19 лютого, 2020

10 минут назад, KaYot сказав:

Разительная разница c картинками выше на BSD? E3-1220v1 слабее чем e5-1650v4 раза в 3

да тут надо точно сравнивать, кроме ната есть еще что-то на машинах или нет, может не все озвучили

KaYot · 19 лютого, 2020

Ну человек писал что кроме НАТа ничего нет. У меня тоже, разве что Quagga с RIPом маршруты гоняет.

Dimkers · 19 лютого, 2020

Дайте и я писюном померяюсь. 2*X5672 @ 3.20GHz Старое говнецо HP Proliant DL360G6, а тащит. В ЧНН выдает тариф 200М без соплей. НАТ, Терминация с шейпом, птичка для маршрутов, блокировка запрщенных сайтов. Debian c kernel'ом 4,0,9

Відредаговано 19 лютого, 2020 Dimkers

blackjack · 19 лютого, 2020

1 час назад, Dimkers сказал:

Дайте и я писюном померяюсь. 2*X5672 @ 3.20GHz Старое говнецо HP Proliant DL360G6, а тащит. В ЧНН выдает тариф 200М без соплей. НАТ, Терминация с шейпом, птичка для маршрутов, блокировка запрщенных сайтов. Debian c kernel'ом 4,0,9

А яка мережева карточка?

Dimkers · 20 лютого, 2020

Ну ясно что не гиговая 2-х портовка. Интел х520-da2

Відредаговано 20 лютого, 2020 Dimkers

sanyadnepr · 20 лютого, 2020

10 часов назад, KaYot сказал:

Неверно задан вопрос. Правильнее - на какой системе это делать.

Мой NAT-box, centos 6.9 с ядром 4.9.50, Xeon E3-1220 v1, X520-DA2.

Разительная разница c картинками выше на BSD? E3-1220v1 слабее чем e5-1650v4 раза в 3.

На BSD, на почти аналогичном Вашему трафику 3.5Г в пике и почти аналогичном камне литография 22nm, не Xeon, на x520-DA2 на NAT-е ровно такие же цифры загрузки проца 30% в пике.

Відредаговано 20 лютого, 2020 sanyadnepr

Увійти

NAT на freebsd

Рекомендованные сообщения

Top Posters In This Topic

Popular Days

Top Posters In This Topic

Popular Days

Popular Posts

KaYot

Dimkers

Sоrk

Posted Images

Создайте аккаунт или войдите в него для комментирования

Создать аккаунт

Вхід

Зараз на сторінці 0 користувачів

Схожий контент