Jake zelezo na router (UP nebo DP)

[Petr Bezděk]

Dan Lukes wrote:
> Petr Bezděk napsal/wrote, On 02/27/06 23:16:
> 
>>Kamen urazu je v poctu pravidel firewallu IPFW (cca 3000) pro 
>>internetovy provoz. V nejhorsim pripade se prochazi az nekolik set 
>>pravidel. Snizovat pocet prochazenych pravidel uz moc nejde, pouzivam 
>>skoky, kde to jen jde. Dale v kazdem smeru paket musi projit pres 3 
>>pipe/queue kvuli shapingu rychlosti. A jeste k tomu se musi provadet NAT 
>>pomoci natd.
> 
> 
> 	Je to opravdu velmi velky pocet pravidel a mam urcite pochybnosti o 
> tom, ze jejich pocet opravdu nelze zmensit. Nicmene, nemaje jinych 
> informaci, nezbyva nez prijmout autoritativni tvrzeni, ze to nejde.
> 

Nejvice pravidel predstavuji pravidla pro dummynet. Pro kazdou IP adresu 
se musi projit 3 pipe/queue v kazdem smeru a registrovanych IP adres 
mame nekolik set. A dalsi registrovane IP adresy kazdy mesic pribyvaji. 
Pravidla se generuji z informacniho systemu.

Pravidla jsou organizovana do binarniho stromu. Jednou za cas, kdyz je 
nektera vetev binarniho stromu moc dlouha, tak se snazim strom 
preskladat tak, aby se prochazelo v kazde vetvi co nejmin pravidel (mene 
nez 300).

Otazka: je opravdu nutne mit pro kazdou IP adresu zvlast pravidla?
Odpoved: ano je, pro kazdou IP adresu musim byt schopen individualne 
menit vlastnosti v case (rychlost, agregace, ...)

Pouziti tabulek mi moc zivot neulehci - spis mi to vic omezuje moznosti 
konfigurace. Linearniho prochazeni IP adres v tabulce se take zrejme 
nezbavim (predpokladam, ze indexovani IP adres v tabulce se deje na 
zaklade prefixu jednotlivych IP adres).

> 
>>V cem vaham je volba: zda 1 procesor na vysoke frekvenci (nejake Pentium 
>>4) nebo 2 procesory system (Xeon, Opteron)? Vim, ze smerovani na FreeBSD 
>>se moc paralelizovat neda. Ale zase na druhou stranu vidim ze 
>>stavajiciho zatizeni, ze proces natd bere temer polovinu z vytizeni 
>>procesoru. A pokud by se na 2-procesorovem reseni natd, jako user-space 
>>proces, povesil na jeden procesor a zbytek (smerovani) by resil druhy 
>>procesor, tak bych snad mohl dosahovat lepsiho vykonu nez u 
>>1-procesoroveho reseni? Pro 2-procesorove reseni mi dale hovori provoz 
>>dalsich procesu jako ospfd, SIP proxy, mozna i squid, ty vsak nemaji 
>>velke naroky na vykon procesoru.
> 
> 
> 	... a krome toho, by bylo daleko lepsi, kdyby router byl router a 
> vetsina tehle veci se odstehovala na zmineny aplikacni server, kam patri.

Jelikoz rok zpet jsme meli cca 10krat mensi prenosy, tak jeden stroj 
jako router a aplikacni server bohate stacil. Tezko odhadnout co prijde 
za dalsi rok. Sit se stale rozrusta a klientu je kazdy mesic vic.

> 	Osobne vam doporucuji dva procesory - jenze jinak nez myslite. Poridte 
> dva identicke jednoprocesorove stroje a zatez na ne rozlozte. Sice 
> opravdu nevim, co v tom firewallu vsechno mate, proc a jak udelane, ale 
> vychazim z predpokladu, ze se vam i firewall v zasade podari rozlozit na 
> oba stroje.
> 

Rozdelit smerovani na dva stroje by mi nedelalo protize. Problem je v 
tom, ze letos uz na dalsi (druhy) router nebudou asi finance (nebo aspon 
ne hned), take ani neni kam umistnit (3 stroje uz mi do stavajiciho 
racku nevlezou, zatizeni UPSky je taky nadoraz, ... :().

> 	Navic ziskate tu vyhodu, ze kdyz vam jeden z obou stroju zdechne, tak 
> po urcite rekonfiguraci funkce obou prevezme ten, ktery nezdechl - i 
> kdyz za cenu urciteho omezeni provozu.
> 

Tohle planuji do budoucna (na dalsi rok ?), zajistit nejakym zpusobem 
failover (pomoci VRRP, Heartbeat) mezi dvema smerovaci. Letos to ale 
nepujde.

Chtel jsem proste jen znat nazor nekoho jineho, zda pouzit radeji UP 
nebo DP stroj, kdyz vim, ze dost velkou zatez zpusobuje natd, ktery by 
snad vyuzil druhy procesor.

Nejak se s tim budu muset poprat. Ale i tak diky za reakci.
-- 
Petr Bezděk