Propustnost routeru

[Zbyněk Burget]

Preinstalovavam hlavní router a na dobu, nez to bude hotovo jsem tam 
umistil starsi, zalozni. Jenze se objevil probelm s jeho propustnosti 
nebo vykonem. Snazil jsem se hledat, kde je uzke hrdlo, ale nejak se mi 
nedari. Proste se nedivam do pravneho mista.
situace je nasledujici:
Router, se kterym vse bezelo bez problemu byl:
MB Intel S3200SHC
CPU Xeon X3330 (2.66 GHz)
2GB RAM
FreeBSD 7.4 i386

No a ted tam je (docasne):
MB Intel S3000AHX
CPU Core2 Duo E6300 (1.8 GHz)
4GB RAM
FreeBSD 10.1 amd64

Pres stavajici router mi v maximu neprotece vic, nez cca 180 - 190 mbit, 
pres bezproblemovy router bez potizi protekalo 250 mbit.
Mimo "zariznuteho" grafu toku pozoruju, ze se zvedne latence do vnejsi 
site. Do vnitrni site je odezva bez kratka.
V prvnim okamziku mne napadlo, ze bude zdrzeni na firewallu (IPFW) na 
shapingu (DUMMYNET), ale pravidla, ktera provoz posilaji do DUMMYNETu 
jsou navazana pouze na provoz do vnitrni site. Takze bych tady cekal 
zvysenou latenci dovnitr site, ne ven.
Pravidel, ktera vstupuji do provoz na venkovnim interface je minimum, 
konkretne to jsou tato:

00010 allow ip from any to any via lo0
01000 skipto 10000 tag tablearg ip from { table(0) or table(1) or 
table(9) or table(2) or table(4) or table(5) or table(10) or table(3) or 
table(6) or table(7) or table(8) or table(11) or table(21) or table(29) 
or table(22) or table(24) or table(25) or table(30) or table(23) or 
table(26) or table(27) or table(28) or table(31) or table(51) or 
table(59) or table(52) or table(54) or table(55) or table(60) or 
table(53) or table(56) or table(57) or table(58) or table(61) } to any 
in recv em1 // tohle je sice odskok pro zpracovani provozu z vnitrni 
site, ale pravidlo stoji v ceste i packetu zvenci
01010 skipto 25000 ip from any to any in recv em0 // odskok na 
zpravcovani prichoziho provozu zvenci
01020 skipto 30000 ip from any to any out xmit em0 // odskok na 
zpracovani odchoziho provozu ven

<snip>

25000 deny log logamount 100 ip from any to 127.0.0.0/8
25000 deny log logamount 100 ip from 127.0.0.0/8 to any
25010 deny ip from table(124) to any
25020 allow ip from any to { ${inetpub} } // NF in
25030 nat 123 ip4 from any to any
29999 allow ip from any to any

30020 nat 123 ip4 from { ${inetpriv} } to any // N out
30060 allow ip from any to any

Jak je videt,
prichozi provoz je filtrovan pravidlem 25010 (tabulka o velikosti cca 
500 polozek)
nasledne jsou propusteny vsechny packety z vnitrnich verejnych podsiti, 
kde v ${inetpub} je seznam verejnych podsiti,
a je ve tvaru 1.2.3.4/24 or ... or 9.10.11.12/24 - tech podsiti je tam 5
a pak uz je preklad adres vseho ostatniho = privatnich podsiti

u odchoziho provozu jsou pak do NATu odeslany veskere packety z 
privatnich podsiti, kde v ${inetpriv} je jejich seznam

172.16.1.0/24 or 172.16.2.0/24 or 172.16.3.0/24 or 172.16.4.0/24 or 
172.16.5.0/24 or 172.16.6.0/24 or 172.16.7.0/24 or 172.16.8.0/24 or 
172.16.9.0/24 or 172.16.10.0/24 or 172.16.11.0/24 or 10.48.210.0/24 or 
10.48.211.0/24 or 10.48.212.0/24 or 10.48.213.0/24 or 10.48.214.0/24 or 
10.48.215.0/24 or 10.48.216.0/24 or 10.48.217.0/24 or 10.48.218.0/24 or 
10.48.219.0/24 or 10.48.220.0/24 or 10.48.221.0/24

-- 
Zbyněk Burget
Mlýnská 397
798 26 Nezamyslice

tel: 588 580 000, 739 930 931
http://www.burgnet.cz
IČ:  606 88 220; DIČ: CZ7210184674