Jake zelezo na router (UP nebo DP)

Petr Bezděk freebsd at ada-net.cz
Tue Feb 28 12:33:56 CET 2006

Previous message: Jake zelezo na router (UP nebo DP)
Next message: Jake zelezo na router (UP nebo DP)
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

Dan Lukes wrote:
> Petr Bezděk napsal/wrote, On 02/28/06 11:27:
> 
> 	To je opravdu podivne. Pro kazdou IP se musi projit tri pravidla. 
> Rekneme, ze spolecnych pravidel, tech, ktere tedy nejsou "per IP" je 
> 200. To je pomerne hodne, ale rekneme, ze jich je opravdu potreba takhle moc
> 
> 	Jestlize tedy pro konkretni paket je treba projit az 300 pravidel, tak 
> to mame 200 na spolecnou cast, tri na zaverecne pipe, nedno pravidlo 
> deli pakety podle smeru (prichozi/odchozi) a 96 pravidel tvori binarni 
> rozeskakovaci strom. Takovy strom dokaze obslouzit 2**96 adres, coz je 
> priblizne miliadkrat vic, nez kolik je IP adres celkem v IPv4 prostoru.
> 
> 	To tedy znamena, ze poskytujete sluzby na IPv6. Nebo je pocet 
> prochazenych pravidel pro jeden paket opravdu naprosto neprimerene velky.
> 

Tech 300 pravidel byl nejhorsi mozny pripad. Ty rozkoky ukazuji na 
posloupnost pravidel, ktere se dale musi linearne projit. Zjemnim ty 
rozkoky na mensi oblasti a zkusim porovnat, jaky to melo dopad na 
zatizeni procesoru. Prochazeni 300 pravidel mi driv nepripadalo jako nic 
strasnyho, takze prohlidnu cely FW a udelam optimalizace.

> 
>>>	Navic ziskate tu vyhodu, ze kdyz vam jeden z obou stroju zdechne, tak 
>>>po urcite rekonfiguraci funkce obou prevezme ten, ktery nezdechl - i 
>>>kdyz za cenu urciteho omezeni provozu.
>>>
>>
>>Tohle planuji do budoucna (na dalsi rok ?), zajistit nejakym zpusobem 
>>failover (pomoci VRRP, Heartbeat) mezi dvema smerovaci. Letos to ale 
>>nepujde.
> 
> 
> 	No, nemohu vyslovene rict, ze vam tohle reseni mohu doporucit, ale budiz.
> 

V praci s tim nejake zkusenosti mame, ale ne na routeru. Testovani na 
routeru nas teprve ceka. Podle vysledku se uvidi, zda to pouziji i doma.

> 
>>nebo DP stroj, kdyz vim, ze dost velkou zatez zpusobuje natd, ktery by 
>>snad vyuzil druhy procesor.
> 
> 
> 	Pokud zatizeni nezpusobuje pruchod firewallem, ale NATem (bohuzel jste 
> nerekl, jestli jestli je velke zatizeni v userlandu nebo v kernelu a 
> jestli jste to rekl, tak jsem to zrejme prehledl a omlouvam se) pak by 
> MP konfigurace pomoci mohla - za predpokladu, ze v systemu pojedete ty 
> NATy dva a kazdou cast site budete prekladat pres jeden z nich.
> 

Zatizeni procesoru je priblizne v pomeru 1:1:1 pro user, system a 
interrupt. A natd si bere vetsinou polovinu ze spotrebovaneho casu 
procesoru (tj. mam-li 70% idle, tak natd si bere cca 15% procesoru).

Priklad vytizeni procesoru mimo spicku:
CPU states: 10.9% user, 0.0% nice, 8.5% system, 8.5% interrupt, 72.1% idle

-- 
Petr Bezděk

Previous message: Jake zelezo na router (UP nebo DP)
Next message: Jake zelezo na router (UP nebo DP)
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

More information about the Users-l mailing list