FREEBSD vs MIKROTIK

[Kucher2 122]

Ну выключите нат и посморите

Да ну, съедят.

Вы когда нибудь пробовали натить иперф 1G? А сравнивали разные виды натов в фри? Из кстати по меньшей мере 5

Я знаю. рассматривал несколько их к применению.

возьмите старший P3 поставте 2 гиговых сетевушки и покачайте нат

Это где ж такое чудо найти, чтоб на нём PCIEx стоял... обычные PCI не признаю, намучался уже.

 

iftop -i <> -F <ip/32>.

...

ipfw -ad l |grep <ip>

 

а вот в нг_кар действительно никакого мониторинга сессий нет.

Да, действительно, ipfw -ad - увы не работает.

А iftop неудобный какой-то. Вот если бы аналог ifstat...

[adeep 212]

ну и какие действия (с)? использовать юзер-левел ng_nat? который грузит также точно, как natd? приплыли

если ipfw nat это нода, как послать ей msg?

вынос на отдельный тазик как-то решит проблему загрузки от прерываний сетевых?

грузит не нат, а тупо интеррупты.

natd - это юзерлевел решение, ибо обработка трафика ведется в обычном юзер-левел демоне, обмен с файрволом происходит через divert сокеты (которые созданы для передачи траффика с уровня ядра в уровень приложений).

ng_nat - это не юзер-левел, это нода NETGRAPH, которая вешается на хуки либо сетевой карты, либо на хуки ipfw. И естественно выполняется в режиме ядра. Нагрузка NETGRAPH нод падает на потоки вида emХ_rx_kthread_Х (при использовании яндекс-дров). И отлично видно как нагрузка падает при том же траффике, но без ната.

 

ipfw nat - это та же самая ng_nat нода, просто с удобным интерфейсом. Аналог использования ipfw netgraph XXX и создание ноды ng_nat с привязкой к этом хуку ipfw

 

И да, все эти три варианта используют одну и ту же библиотеку для реализации NAT.

Да, вынос на отдельный тазик позволит выделить траффик, нужный для ната. С учетом того, что на нем не будет других функций, ему будет легче Но проблема с загрузками прерываний перейдет на него (если мы используем NETGRAPH варианты NAT)

 

ipnat вообще не трогаем, ибо смысла нет.

 

iftop/ifstat находятся в портах.

 

в первый раз вижу конструкцию: ipfw -ad

может у вас фря модифицированная?

[Kucher2 122]

Теперь я поясню.

Про natd от ng_nat я хоть и поверхностно, но догадываюсь что это два немного разных решения - уровень пользователя и уровень ядра.

Я хотел сказать о том, что нагрузка никуда не девается, ибо если есть процесс, грузящий систему или заменяющие его прерывания по TOP -SHP, занимающиеся тем же - в итоге всё сводится именно к загрузке сервера.

Всё равно каким образом мы его нагрузим - через pf или ng_nat, ибо в итоге получаем примерно одно и то же, потому что если железка не успевает - ну НЕ УСПЕВАЕТ ОНА! Примерно так.

 

iftop/ifstat находятся в портах.

 

в первый раз вижу конструкцию: ipfw -ad

может у вас фря модифицированная?

Вы видимо недочитали чего-то: об этих утилитах я знаю, я говорил об отслеживании кол-ва сессий и желательно pps для конкретного ip какой-то утилитой, похожей например на ifstat.

А то всё остальное неудобное какое-то. А так можно б было статистику собирать - какая зараза излишне грузит сервер например.

 

А про ipfw -ad это мне выше написали, но не работает для этого. Жаль trafshow тяжёл для таких задачек.

[natiss 16]

 

natd - это юзерлевел решение, ибо обработка трафика ведется в обычном юзер-левел демоне, обмен с файрволом происходит через divert сокеты (которые созданы для передачи траффика с уровня ядра в уровень приложений).

ng_nat - это не юзер-левел, это нода NETGRAPH, которая вешается на хуки либо сетевой карты, либо на хуки ipfw. И естественно выполняется в режиме ядра. Нагрузка NETGRAPH нод падает на потоки вида emХ_rx_kthread_Х (при использовании яндекс-дров). И отлично видно как нагрузка падает при том же траффике, но без ната.

 

ipfw nat - это та же самая ng_nat нода, просто с удобным интерфейсом. Аналог использования ipfw netgraph XXX и создание ноды ng_nat с привязкой к этом хуку ipfw

 

И да, все эти три варианта используют одну и ту же библиотеку для реализации NAT.

Да, вынос на отдельный тазик позволит выделить траффик, нужный для ната. С учетом того, что на нем не будет других функций, ему будет легче Но проблема с загрузками прерываний перейдет на него (если мы используем NETGRAPH варианты NAT)

 

ipnat вообще не трогаем, ибо смысла нет.

 

Между тем разницы в загрузке ng_nat natd почти нет. Парадокс?

 

iftop/ifstat находятся в портах.

 

Да в портах.

 

 

в первый раз вижу конструкцию: ipfw -ad

может у вас фря модифицированная?

 

man ipfw

если у вас есть mask ...

 

Вообще конечно фри крайне неаккуратно показывает нагрузку по top. Да и тот же драйвер em генерирует прерываний меньше, чем хваленный igb. Вот как это объяснить? В синтетическоим иперфовом гигосе em - 80 000 прерываний, а igb 8 000, а при практических 3kps: em - 1 500, igb - 5 000 ...

а тот же чмошный реалтек с пуллингом при гигабите показывает 0% по топу...

вот чем объективно мониторить?

[natiss 16]

Теперь я поясню.

Про natd от ng_nat я хоть и поверхностно, но догадываюсь что это два немного разных решения - уровень пользователя и уровень ядра.

Я хотел сказать о том, что нагрузка никуда не девается, ибо если есть процесс, грузящий систему или заменяющие его прерывания по TOP -SHP, занимающиеся тем же - в итоге всё сводится именно к загрузке сервера.

Всё равно каким образом мы его нагрузим - через pf или ng_nat, ибо в итоге получаем примерно одно и то же, потому что если железка не успевает - ну НЕ УСПЕВАЕТ ОНА! Примерно так.

 

iftop/ifstat находятся в портах.

 

в первый раз вижу конструкцию: ipfw -ad

может у вас фря модифицированная?

Вы видимо недочитали чего-то: об этих утилитах я знаю, я говорил об отслеживании кол-ва сессий и желательно pps для конкретного ip какой-то утилитой, похожей например на ifstat.

А то всё остальное неудобное какое-то. А так можно б было статистику собирать - какая зараза излишне грузит сервер например.

 

А про ipfw -ad это мне выше написали, но не работает для этого. Жаль trafshow тяжёл для таких задачек.

формально то оно так, а фактически пф загрузку не показыает, а натд и нг_нат показывают одинаково большую.. также не бывает

pps - это вам ng_car, но грузит адски, удобное, но грузит, мама не горюй, если б сволочи думминет в 8,1/8,2 не укокошили...

 

# ngctl msg 114: getstats

Rec'd response "getstats" (1) from "[4b41]:":

Args: { upstream={ passed=11679704 droped=107 green=11672055 yellow=3789 red=107 } downstream={ passed=7716952 droped=47 green=7714539 yellow=1723 red=47 } }

 

цыська-лайк, ваше благородие

[Kucher2 122]

Между тем разницы в загрузке ng_nat natd почти нет. Парадокс?

Говоря откровенно я толком не видел разницы в итоге - стоит ли там natd или ng_nat. Т.е. для конечного пользователя.

Разумеется я не насиловал сервер экспериментами, мне просто посоветовали и я перешёл на ng_nat.

 

а тот же чмошный реалтек с пуллингом при гигабите показывает 0% по топу...

Вы будете смеяться, но я ушёл с pf именно потому, что всё началось с Реалтеков - у меня тогда загрузка interrupt прыгала до 60% и терялись пакеты.

В итоге пришёл к сетевой Intel Pro и ng_nat.

 

Подозреваю, что тогда меня тупо ДОСили, но из-за недостатка знаний и опыта я этого просто не понял.

Вот почему мне хотелось бы иметь такую утилитку, которая покажет число сессий и пакетов на конкретный IP.

 

вот чем объективно мониторить?

Чёрт его знает...

 

man ipfw

если у вас есть mask ...

Я не знаю английского. Честно. Думаю может китайский надо будет учить, зачем 2 раза напрягаться. Шутка, но не по поводу английского.

Спасибо за совет и разъяснения.

[adeep 212]

формально то оно так, а фактически пф загрузку не показыает, а натд и нг_нат показывают одинаково большую.. также не бывает

pps - это вам ng_car, но грузит адски, удобное, но грузит, мама не горюй, если б сволочи думминет в 8,1/8,2 не укокошили...

 

# ngctl msg 114: getstats

Rec'd response "getstats" (1) from "[4b41]:":

Args: { upstream={ passed=11679704 droped=107 green=11672055 yellow=3789 red=107 } downstream={ passed=7716952 droped=47 green=7714539 yellow=1723 red=47 } }

 

цыська-лайк, ваше благородие

Странно что у вас natd и ng_nat одинаковую нагрузку показывают. Между ними разница видна невооруженным глазом. И с учетом того, как оно написано - однозначно разница должна быть. Хотя бы из-за непереключающихся контекстов для каждого пакета (natd-divert).

А вот за даминет обидно. Может починят) к 9 версии))

[Kucher2 122]

Не одинаковую, а одинаково бОльшую, наверное.

И кстати, pf её не показывает, потому что во FreeBSD эта нагрузка скрыта в нагрузке по прерываниям, я так понял.

Опять же речь о дурацком мониторинге, по которому толком ничего понять нельзя.

Я потому себе zabbix и ткнул на роутер и сервер.

[natiss 16]

Не одинаковую, а одинаково бОльшую, наверное.

И кстати, pf её не показывает, потому что во FreeBSD эта нагрузка скрыта в нагрузке по прерываниям, я так понял.

Опять же речь о дурацком мониторинге, по которому толком ничего понять нельзя.

конечно сиентетика, я как делал брал 2 хоста через маршрутизатор с интелом соточкой и трикомом гигом и процом п3 1,13 туалантин

причем гонял как один тест, так и 100 сразу )они позволяют запустится на разных айпи), шопжеш было 100 сессии

 

натд юзера 

natd -a 192.168.133.1
Loading /lib/libalias_cuseeme.so
Loading /lib/libalias_ftp.so
Loading /lib/libalias_irc.so
Loading /lib/libalias_nbt.so
Loading /lib/libalias_pptp.so
Loading /lib/libalias_skinny.so
Loading /lib/libalias_smedia.so

00101 1590172   89835968 divert 8668 ip from any to 192.168.133.1 in recv sk0
00102 3160950  178564296 allow ip from any to 192.168.8.0/24
00103 1637830 2440354649 divert 8668 ip from 192.168.8.0/24 to any out xmit sk0
65535 3064492 4562162867 allow ip from any to any


3842 root          1 103    0  3564K  1356K RUN      0:46 35.06% natd

                                                         ozfod       atkbd0 1
43.8%Sys  49.2%Intr  7.0%User  0.0%Nice  0.0%Idle        %ozfod       ppc0 irq7
|    |    |    |    |    |    |    |    |    |    |       daefr   129 rtc irq8
======================++++++++++++++++++++++++>>>>        prcfr  6822 fxp0 irq10
                                        3 dtbuf          totfr  7580 skc0 uhci0
Namei     Name-cache   Dir-cache     35083 desvn          react       ata0 irq14

---------------------------------------------------------------------------------
4099 root          1 106    0  3564K  1316K RUN      1:02 48.49% natd

free2 (local)               │      Rate         #   % │      Rate         #   %
 0   fxp0                  │    9.56MiB     6.50K    │  444.70KiB     6.31K
 1   sk0                   │  447.50KiB     6.34K    │    8.21MiB     5.59K
 2   lo0                   │       0 B         0     │       0 B         0
 Total                     │   10.00MiB    12.84K    │    8.64MiB    11.91K

39.1%Sys  55.5%Intr  5.5%User  0.0%Nice  0.0%Idle        %ozfod       ppc0 irq7
|    |    |    |    |    |    |    |    |    |    |       daefr   129 rtc irq8
====================+++++++++++++++++++++++++++>>>        prcfr  7104 fxp0 irq10
                                        7 dtbuf          totfr  7160 skc0 uhci0
Namei     Name-cache   Dir-cache     35083 desvn          react       ata0 irq14

 

ng_nat

free2# ngctl  list
There are 4 total nodes:
 Name: sk0             Type: ether           ID: 00000003   Num hooks: 0
 Name: ipfw            Type: ipfw            ID: 00000001   Num hooks: 0
 Name: ngctl4592       Type: socket          ID: 00000005   Num hooks: 0
 Name: fxp0            Type: ether           ID: 00000002   Num hooks: 0
free2# ngctl mkpeer ipfw: nat 60 out 
free2# ngctl name ipfw:60 nat0
free2# ngctl connect ipfw: nat0: 61 in
free2# ngctl msg nat0: setaliasaddr 192.168.133.128/29
free2# ngctl show nat0
ngctl: send msg: No such file or directory
free2# ngctl show nat0:
 Name: nat0            Type: nat             ID: 00000007   Num hooks: 2
 Local hook      Peer name       Peer type    Peer ID         Peer hook      
 ----------      ---------       ---------    -------         ---------      
 in              ipfw            ipfw         00000001        61             
 out             ipfw            ipfw         00000001        60  

free2# ngctl list
There are 5 total nodes:
 Name: sk0             Type: ether           ID: 00000003   Num hooks: 0
 Name: ipfw            Type: ipfw            ID: 00000001   Num hooks: 2
 Name: ngctl4614       Type: socket          ID: 0000000d   Num hooks: 0
 Name: nat0            Type: nat             ID: 00000007   Num hooks: 2
 Name: fxp0            Type: ether           ID: 00000002   Num hooks: 0


 0   fxp0                  │   11.43MiB     8.83K    │  630.84KiB    10.10K
 1   sk0                   │  630.37KiB     9.55K    │   11.44MiB     8.39K
 2   lo0                   │       0 B         0     │       0 B         0
 Total                     │   12.04MiB    18.38K    │   12.05MiB    18.49K

 PID USERNAME   PRI NICE   SIZE    RES STATE    TIME   WCPU COMMAND
  13 root        76    -     0K     8K sleep    0:30 42.77% [ng_queue]
  12 root       -68    -     0K   120K WAIT    11:51 33.25% {irq10: fxp0}
  12 root       -68    -     0K   120K WAIT    11:34 18.16% {irq12: skc0 uhci}

40.6%Sys  59.4%Intr  0.0%User  0.0%Nice  0.0%Idle        %ozfod       ppc0 irq7
|    |    |    |    |    |    |    |    |    |    |       daefr   128 rtc irq8
====================++++++++++++++++++++++++++++++        prcfr  8085 fxp0 irq10
                                       11 dtbuf          totfr  5819 skc0 uhci0

[  5]  0.0-40.4 sec    430 MBytes  89.4 Mbits/sec

 

а вот pf

 

pf

 

free2 (local)               │      Rate         #   % │      Rate         #   %
 0   fxp0                  │   11.66MiB     8.64K    │  649.50KiB     9.32K
 1   sk0                   │  649.63KiB     9.84K    │   11.66MiB     9.33K
 2   lo0                   │       0 B         0     │       0 B         0
 Total                     │   12.29MiB    18.48K    │   12.29MiB    18.66K

                                                         ozfod       atkbd0 1
0.0%Sys  67.9%Intr  0.0%User  0.0%Nice 32.1%Idle        %ozfod       ppc0 irq7
|    |    |    |    |    |    |    |    |    |    |       daefr   128 rtc irq8
++++++++++++++++++++++++++++++++++                        prcfr  7728 fxp0 irq10
                                        1 dtbuf          totfr  7079 skc0 uhci0
 PID USERNAME   PRI NICE   SIZE    RES STATE    TIME   WCPU COMMAND
  11 root       171 ki31     0K     8K RUN    299:16 41.99% [idle]
  12 root       -68    -     0K   120K WAIT     8:47 30.08% {irq12: skc0 uhci}
  12 root       -68    -     0K   120K WAIT     9:03 29.79% {irq10: fxp0}
  12 root       -44    -     0K   120K WAIT     2:41  0.00% {swi1: netisr 0}


------------------------------------------------------------------------------------
free2 (local)               │      Rate         #   % │      Rate         #   %
 0   fxp0                  │   11.71MiB     7.95K    │  551.23KiB     8.35K
 1   sk0                   │  551.38KiB     8.35K    │   11.71MiB     7.93K
 2   lo0                   │       0 B         0     │       0 B         0
 Total                     │   12.25MiB    16.30K    │   12.25MiB    16.28K

1.5%Sys  74.6%Intr  0.0%User  0.0%Nice 23.8%Idle        %ozfod       ppc0 irq7
|    |    |    |    |    |    |    |    |    |    |       daefr   128 rtc irq8
=+++++++++++++++++++++++++++++++++++++                    prcfr  7916 fxp0 irq10
                                        3 dtbuf          totfr  7503 skc0 uhci0

 PID USERNAME   PRI NICE   SIZE    RES STATE    TIME   WCPU COMMAND
  11 root       171 ki31     0K     8K RUN    291:55 34.77% [idle]
  12 root       -68    -     0K   120K WAIT     8:44 34.18% {irq10: fxp0}
  12 root       -68    -     0K   120K WAIT     8:27 32.67% {irq12: skc0 uhci}

NFO:
Status: Enabled for 0 days 00:09:29           Debug: Urgent

State Table                          Total             Rate
 current entries                      100               
 searches                         7543811        13258.0/s
 inserts                              100            0.2/s
 removals                               0            0.0/s
Counters
 match                            3773015         6631.0/s
 bad-offset                             0            0.0/s

------------------------------------------------------------------------------------

а вот айпинат

 

# ipnat -l
List of active MAP/Redirect filters:
map sk0 192.168.8.0/24 -> 192.168.133.1/32

List of active sessions:
MAP 192.168.8.2     18832 <- -> 192.168.133.1   18832 [192.168.133.101 5001]
MAP 192.168.8.2     18831 <- -> 192.168.133.1   18831 [192.168.133.102 5001]
MAP 192.168.8.2     18830 <- -> 192.168.133.1   18830 [192.168.133.100 5001]
MAP 192.168.8.98    5001  <- -> 192.168.133.1   5001  [192.168.133.98 5001]
MAP 192.168.8.2     18829 <- -> 192.168.133.1   18829 [192.168.133.99 5001]
MAP 192.168.8.97    5001  <- -> 192.168.133.1   5001  [192.168.133.97 5001]
MAP 192.168.8.96    5001  <- -> 192.168.133.1   5001  [192.168.133.96 5001]
MAP 192.168.8.2     18828 <- -> 192.168.133.1   18828 [192.168.133.94 5001]
MAP 192.168.8.95    5001  <- -> 192.168.133.1   5001  [192.168.133.95 5001]


ipnat -s
mapped	in	2604470	out	2542489
added	103	expired	2
no memory	0	bad nat	0
inuse	99
orphans	0
rules	1
wilds	0
hash efficiency	93.94%
bucket usage	4.54%
minimal length	0
maximal length	2
average length	1.065


Proc:                                                            Interrupts
 r   p   d   s   w   Csw  Trp  Sys  Int  Sof  Flt        cow   17453 total
            28       29k   24  660  17k  619    1        zfod   1004 clk irq0
                                                         ozfod       atkbd0 1
0.0%Sys  58.9%Intr  0.8%User  0.0%Nice 40.3%Idle        %ozfod       ppc0 irq7
|    |    |    |    |    |    |    |    |    |    |       daefr   128 rtc irq8
+++++++++++++++++++++++++++++>                            prcfr  8596 fxp0 irq10
                                        2 dtbuf          totfr  7725 skc0 uhci0
Namei     Name-cache   Dir-cache     35083 desvn          react       ata0 irq14
  Calls    hits   %    hits   %       603 numvn          pdwak
                                     109 frevn          pdpgs
-------------------------------------------------------------------------------

────────────────────────────┬─────────────────────────┬─────────────────────────────────────────────────────────────────────────────────
free2 (local)               │      Rate         #   % │      Rate         #   %
 0   fxp0                  │   11.71MiB     7.94K    │  535.60KiB     8.19K
 1   sk0                   │  535.64KiB     8.12K    │   11.71MiB     7.92K
 2   lo0                   │       0 B         0     │       0 B         0
 Total                     │   12.23MiB    16.06K    │   12.23MiB    16.11K

 r   p   d   s   w   Csw  Trp  Sys  Int  Sof  Flt        cow   17374 total
            33       30k   42  698  17k  599   19        zfod   1006 clk irq0
                                                         ozfod       atkbd0 1
1.6%Sys  45.7%Intr  0.0%User  0.0%Nice 52.7%Idle        %ozfod       ppc0 irq7
|    |    |    |    |    |    |    |    |    |    |       daefr   129 rtc irq8
=+++++++++++++++++++++++                                  prcfr  8124 fxp0 irq10
                                        3 dtbuf          totfr  8115 skc0 uhci0
Namei     Name-cache   Dir-cache     35083 desvn          react       ata0 irq14

  11 root       171 ki31     0K     8K RUN    189:43 49.46% [idle]
  12 root       -68    -     0K   120K WAIT     4:04 27.69% {irq12: skc0 uhci}
  12 root       -68    -     0K   120K WAIT     4:54 25.10% {irq10: fxp0}
  12 root       -44    -     0K   120K WAIT     2:41  0.00% {swi1: netisr 0}

 

а вот ipfw nat

 

ipfw nat

00101   796563 1004153372 nat 101 ip from 192.168.8.0/24 to any out xmit sk0
00102   829906   43172357 nat 101 ip from any to 192.168.129.68 in recv sk0

Proc:                                                            Interrupts
 r   p   d   s   w   Csw  Trp  Sys  Int  Sof  Flt        cow   17516 total
            28       29k   25  665  17k  619    1        zfod   1004 clk irq0
                                                         ozfod       atkbd0 1
2.3%Sys  58.1%Intr  1.6%User  0.0%Nice 38.0%Idle        %ozfod       ppc0 irq7
|    |    |    |    |    |    |    |    |    |    |       daefr   128 rtc irq8
=+++++++++++++++++++++++++++++>                           prcfr  8615 fxp0 irq10
                                        3 dtbuf          totfr  7769 skc0 uhci0
Namei     Name-cache   Dir-cache     35083 desvn          react       ata0 irq14

[  3]  0.0-60.0 sec    652 MBytes  91.2 Mbits/sec

-------------------------------------------------------------------------------
00101  1967749  2934189626 nat 101 ip from 192.168.8.0/24 to any out xmit sk0
00102  2040368   106100536 nat 101 ip from any to 192.168.133.1 in recv sk0
65535 13054984 13577919639 allow ip from any to any


free2 (local)               │      Rate         #   % │      Rate         #   %
 0   fxp0                  │   11.71MiB     7.95K    │  556.74KiB     8.44K
 1   sk0                   │  556.88KiB     8.44K    │   11.71MiB     7.95K
 2   lo0                   │       0 B         0     │       0 B         0
 Total                     │   12.25MiB    16.39K    │   12.25MiB    16.39K

                                                         ozfod       atkbd0 1
0.8%Sys  60.8%Intr  0.0%User  0.0%Nice 38.5%Idle        %ozfod       ppc0 irq7
|    |    |    |    |    |    |    |    |    |    |       daefr   128 rtc irq8
+++++++++++++++++++++++++++++++                           prcfr  8020 fxp0 irq10

 PID USERNAME   PRI NICE   SIZE    RES STATE    TIME   WCPU COMMAND
  11 root       171 ki31     0K     8K RUN    268:45 47.27% [idle]
  12 root       -68    -     0K   120K WAIT     7:06 28.56% {irq12: skc0 uhci}
  12 root       -68    -     0K   120K WAIT     7:28 24.66% {irq10: fxp0}


-------------------------------------------------------------------------------

 

 

и, наконец, просто роутинг

 

Proc:                                                            Interrupts
 r   p   d   s   w   Csw  Trp  Sys  Int  Sof  Flt        cow   17713 total
            28       31k   22  660  17k  610    1        zfod   1001 clk irq0
                                                         ozfod       atkbd0 1
3.1%Sys  47.3%Intr  0.0%User  0.0%Nice 49.6%Idle        %ozfod       ppc0 irq7
|    |    |    |    |    |    |    |    |    |    |       daefr   128 rtc irq8
==+++++++++++++++++++++++                                 prcfr  8136 fxp0 irq10
                                        5 dtbuf          totfr  8448 skc0 uhci0
Namei     Name-cache   Dir-cache     35083 desvn          react       ata0 irq14


[  3]  0.0-60.0 sec    662 MBytes  92.5 Mbits/sec

 

старичок п3 погибает под соточкой

ну не важно, давайте попробуем проанализировать эти числа.

обманывать мне вас нет смысла, на реальных машинах я видел подобные картины,так торент поток на ppp соединении с опцией -nat грузит корэ дуо 1,8 ггц аж на 5%, pf дает 0 при нате 200 мбит/с, правда есть какие-то глюки, в влане с натом число пакетов между натилкой и шлюзом почему-то утраивается и соотвественно большая загрузка по систему.. впрочем на другом хосте нате-пф ртакой проблемы нет. первый хост фри 8,0 + em, второй - 8.2 + igb...

 

Вот что делать?

[adeep 212]

Не одинаковую, а одинаково бОльшую, наверное.

И кстати, pf её не показывает, потому что во FreeBSD эта нагрузка скрыта в нагрузке по прерываниям, я так понял.

Опять же речь о дурацком мониторинге, по которому толком ничего понять нельзя.

Я потому себе zabbix и ткнул на роутер и сервер.

Эта нагрузка не выделена в отдельные процессы. Она идет либо в системную, либо в прерывания в зависимости от драйверов и настроек системы.

[natiss 16]

Не одинаковую, а одинаково бОльшую, наверное.

И кстати, pf её не показывает, потому что во FreeBSD эта нагрузка скрыта в нагрузке по прерываниям, я так понял.

Опять же речь о дурацком мониторинге, по которому толком ничего понять нельзя.

Я потому себе zabbix и ткнул на роутер и сервер.

Эта нагрузка не выделена в отдельные процессы. Она идет либо в системную, либо в прерывания в зависимости от драйверов и настроек системы.

Это понятно. Посмотрите результаты теста. Я думаю, что если повторить на более слабом процессоре, когда нг_нат уже не сможет переопатить соточку, а пф сможет, уже нельзя будет валить на мониторинг.

Да, мониторинг показывают неадекватные цифры, одноядерный проц может быть заггружен и на 200 и на 500% по топу. В данном случае - критерии реально проначенный трафик. Я по свободе повторю эксперимент на п2 400 . Посмотрм, что будет.

[adeep 212]

Это понятно. Посмотрите результаты теста. Я думаю, что если повторить на более слабом процессоре, когда нг_нат уже не сможет переопатить соточку, а пф сможет, уже нельзя будет валить на мониторинг.

Да, мониторинг показывают неадекватные цифры, одноядерный проц может быть заггружен и на 200 и на 500% по топу. В данном случае - критерии реально проначенный трафик. Я по свободе повторю эксперимент на п2 400 . Посмотрм, что будет.

по тестам аномальная нагрузка при ng_nat. вы случаем не забыли ipfw правила почистить?

Можете показать что происходит по top -SHP при ng_nat/ipfw nat/natd?

 

Смущает разница в прерываниях между тестами на fxp0/skc0.

[Kucher2 122]

Посмотрите результаты теста. Я думаю, что если повторить на более слабом процессоре, когда нг_нат уже не сможет переопатить соточку, а пф сможет, уже нельзя будет валить на мониторинг.

Ну, я вижу что все примеры показывают высокий interrupt.

Это Вы очень хорошую работу проделали, кому-то здорово поможет.

Я думаю, что если повторить на более слабом процессоре, когда нг_нат уже не сможет переопатить соточку, а пф сможет, уже нельзя будет валить на мониторинг.

Откуда такое мнение? У Вас pf между прочим в примере выше отжирает 70+% по interrupt, а многострадальный ipfw nat - менее 60%, равно как и ng_nat. Или я чего-то не вижу?

 

и, наконец, просто роутинг

 

Proc:                                                            Interrupts
 r   p   d   s   w   Csw  Trp  Sys  Int  Sof  Flt        cow   17713 total
            28       31k   22  660  17k  610    1        zfod   1001 clk irq0
                                                         ozfod       atkbd0 1
3.1%Sys  47.3%Intr  0.0%User  0.0%Nice 49.6%Idle        %ozfod       ppc0 irq7
|    |    |    |    |    |    |    |    |    |    |       daefr   128 rtc irq8
==+++++++++++++++++++++++                                 prcfr  8136 fxp0 irq10
                                        5 dtbuf          totfr  8448 skc0 uhci0
Namei     Name-cache   Dir-cache     35083 desvn          react       ata0 irq14


[  3]  0.0-60.0 sec    662 MBytes  92.5 Mbits/sec

 

Очень похожая картинка у меня на роутере: ничего не НАТится, просто роутер + samba, a interrupt 20% де-то. Роутер P-2,8. FreeBSD 8. 4 сетевые, причём одна бортовая, остальные Реалтеки.

А вот на шлюзе в этот момент interrupt 30% на одном ядре и 16% на другом. Шлюз - это двухядерный целерончик и сетевая Intel Pro.

Жаль машины разного поколения, можно б было сделать выводы.

[mr.Scamp 41]

Эта нагрузка не выделена в отдельные процессы. Она идет либо в системную, либо в прерывания в зависимости от драйверов и настроек системы.

а именно net.isr.direct и fastforwarding

 

алсо вы проделали большую работу, сравнивая дохлые корчи,

но попробуйте повторить, но уже хотя бы с PCI-ным em.

[adeep 212]

Эта нагрузка не выделена в отдельные процессы. Она идет либо в системную, либо в прерывания в зависимости от драйверов и настроек системы.

а именно net.isr.direct и fastforwarding

 

алсо вы проделали большую работу, сравнивая дохлые корчи,

но попробуйте повторить, но уже хотя бы с PCI-ным em.

ну да, либо пакет обрабатывается сразу в прерывании, либо складируется в очередь isr и обрабатывается в системной нагрузке

top -S собственно отобразит эти различия.

[Kucher2 122]

Мне все эти тюнинги практически ничего не дали. Ну перетекала нагрузка из interrupt на system или user, всё авно были высокие пинги и дропы.

Думаю причина в другом была просто.

[MastDaj 2]

Даю плюс фрясі !!!

Тепер давайте помислемо логічно =). На фрясі Ти можеш зробити усе, що душі завгодно, білінг, апач, пхп, мускул, люба кількість веланів.

У мене знайомий каже так три рази в день сім днів на тиждень у всіх напрямках=). Про що це я думаю мене зрозуміють =).

Що ж може мікротік ? А що таке мікротік ? . Кусок лінукса який вкрутили для нюбів =).

Просто тицни там і там а далі ? Сапорт захворів немає а в таких випадках шось сталося...

Тому раджу учити мат.частину, і не користуватися обрубками і не платити страшні кошти за це =)

Чи це фряха чи лінукс немає значення, обидві системи юніксові, і обидві справляються з необхідними задачами.

Мікротік мінус

 

Хоча як завжди це лише моє імхо і твоя сорочка ближче до тіла =).

[rsst 406]

Микротик это более менее стандартно. И если ушел один сисадмин и пришел другой, то ему проще разобраться в стандартном конфиге, чем в том, что (и хз где, бо предыдущий админ делал как ему было удобно) напихано в скриптах фри.

[natiss 16]

Микротик это более менее стандартно. И если ушел один сисадмин и пришел другой, то ему проще разобраться в стандартном конфиге, чем в том, что (и хз где, бо предыдущий админ делал как ему было удобно) напихано в скриптах фри.

фри намнрого стандартнее linux-ов.В нем захочешь, не сделаешь через ж..

[keshaLG 5]

вот только не надо про "linux -> через Ж", как сказали тот же *nix, отличный синтаксисом

 

по теме: *nix +

микротик -

хотя морды у него прикольные, но если вспомнить, что за них "недешево" берут - я лучше в конфигах поковыряюсь, чем в гуи

[t0ly 3]

к чему этот хоуливар?

хороша та дорога которую знаеш.

[Sandorik 21]

Добавлю, хороша для той или иной задаче! Как грится все по потребностям!

[bonhead 0]

Хоть один умный человек появился.... потому что эта борьба кто лучше уже надоела

 

Скажу просто я работаю с ФРЕЙ за два года проблем не было... главное не трогать, обновил биллинг и забыл

 

Использую связку Freebsd+Nodeny( ПФ в качестве ната и ИПФВ в качестве нарезки скоростей.. нодени это делает конечно сам).... к чему привыкнуть то и испльзовать.... потому что гадание на кофейной гуще это не по адресу....

 

Что еще добавить???!!!!!

 

По поводу производительности ничего не могу сказать, что лучше потому как с микротиком лично не знаком, мониторинг???- во фре zabbix, cacti, ng_, netflow, MRTG..... главное хорошо порыться, а там все можно найти...Линукс тоже хорошо очень много софтин под него написано... если чесно начинаю потихоньку вьезжать в него только для других целей ( Хостинг ) ..... а так только Вам выбирать с чем работать... пропускные способности, гибкость, понятливый КЛИ, мониторинг, маршрутизация, Вланы и т.д.... сядьте и просто подумайте что Вам нужно... и тогда выбирайте себе подобный аналог ;-)

[weekend 2]

Все твердят что МТ хорош тем, что есть винбокс и тд. Так на Фре тоже есть, такая вот софтина, но в отличии от МТ она бесплатна. http://www.pfsense.org/

[bit 58]

Сейчас сильно думаю про FreeBSD и свою схему.

 

1карта вход потом шейп, нат, 2я карта выход.

 

Доростая до потока в пике 900М, 80К ррs на одну карточку, разделяю поток, доставляю еще одну машину.

 

Может доставить еще 2 карты и суммировать? Кто-то делал?

 

Какую можно сделать проозводительность? Есть ли у кого работающая схема?