Jake zelezo na router (UP nebo DP)
Dan Lukes
dan at obluda.cz
Tue Feb 28 12:03:32 CET 2006
Petr Bezděk napsal/wrote, On 02/28/06 11:27:
>> Je to opravdu velmi velky pocet pravidel a mam urcite pochybnosti o
>> tom, ze jejich pocet opravdu nelze zmensit. Nicmene, nemaje jinych
>> informaci, nezbyva nez prijmout autoritativni tvrzeni, ze to nejde.
>>
>
> Nejvice pravidel predstavuji pravidla pro dummynet. Pro kazdou IP adresu
> se musi projit 3 pipe/queue v kazdem smeru a registrovanych IP adres
> mame nekolik set. A dalsi registrovane IP adresy kazdy mesic pribyvaji.
> Pravidla se generuji z informacniho systemu.
>
> Pravidla jsou organizovana do binarniho stromu. Jednou za cas, kdyz je
> nektera vetev binarniho stromu moc dlouha, tak se snazim strom
> preskladat tak, aby se prochazelo v kazde vetvi co nejmin pravidel (mene
> nez 300).
To je opravdu podivne. Pro kazdou IP se musi projit tri pravidla.
Rekneme, ze spolecnych pravidel, tech, ktere tedy nejsou "per IP" je
200. To je pomerne hodne, ale rekneme, ze jich je opravdu potreba takhle moc
Jestlize tedy pro konkretni paket je treba projit az 300 pravidel, tak
to mame 200 na spolecnou cast, tri na zaverecne pipe, nedno pravidlo
deli pakety podle smeru (prichozi/odchozi) a 96 pravidel tvori binarni
rozeskakovaci strom. Takovy strom dokaze obslouzit 2**96 adres, coz je
priblizne miliadkrat vic, nez kolik je IP adres celkem v IPv4 prostoru.
To tedy znamena, ze poskytujete sluzby na IPv6. Nebo je pocet
prochazenych pravidel pro jeden paket opravdu naprosto neprimerene velky.
Znovu ovsem opakuji, ze neznam detalne konkretni konfiguraci a tak
nemohu nez opakovat podezreni, ze pruchod jednoho paketu trista pravidly
je podezrely, ale nemohu tvrdit s jistotou, ze to je pravda ...
>> Navic ziskate tu vyhodu, ze kdyz vam jeden z obou stroju zdechne, tak
>> po urcite rekonfiguraci funkce obou prevezme ten, ktery nezdechl - i
>> kdyz za cenu urciteho omezeni provozu.
>>
>
> Tohle planuji do budoucna (na dalsi rok ?), zajistit nejakym zpusobem
> failover (pomoci VRRP, Heartbeat) mezi dvema smerovaci. Letos to ale
> nepujde.
No, nemohu vyslovene rict, ze vam tohle reseni mohu doporucit, ale budiz.
> nebo DP stroj, kdyz vim, ze dost velkou zatez zpusobuje natd, ktery by
> snad vyuzil druhy procesor.
Pokud zatizeni nezpusobuje pruchod firewallem, ale NATem (bohuzel jste
nerekl, jestli jestli je velke zatizeni v userlandu nebo v kernelu a
jestli jste to rekl, tak jsem to zrejme prehledl a omlouvam se) pak by
MP konfigurace pomoci mohla - za predpokladu, ze v systemu pojedete ty
NATy dva a kazdou cast site budete prekladat pres jeden z nich.
Dan
--
Dan Lukes SISAL MFF UK
AKA: dan at obluda.cz, dan at freebsd.cz,dan at kolej.mff.cuni.cz
More information about the Users-l
mailing list