propustnost aneb data-throughput

moje moje na kalhotky.net
Úterý Květen 17 10:45:37 CEST 2005


Dalibor Toman píše v Út 17. 05. 2005 v 10:05 +0200:
> Petr Klíma <petr.klima na jihomilk.cz> wrote:
> >> Iptables to sice resi, ale pro vetsi rozsahy je lepe resit to 
> >> nejaky
> >> ma vhodnejsim nastrojem, nez mit tisice pravidel v iptables.
> >> Firewalling pri spravnem nastaveni prakticky nezpomali sit 
> >> (rozhodne
> >> ne na 100mbitu).
> 
> Co pri tom dela cpu? Mam zkusenosti, ze u ipchains na Celeronu 1.7ghz 
> s cca 1000 pravidel v chainu slo CPU chvilemi hodne do kolen (a tok 
> skrz ten stroj byl radove jen jednotky Mbps) a take zacinalo narustat 
> zpozdeni packetu. Resenim bylo predrazeni chainu, ktere rozdeli merene 
> IP  po /24 blocich (cili v nejhorsim pripade cca 256 pravidel za 
> sebou- nebo vyrazne min pokud se neprideluje merenym strojum po /32).
> 
> Pro iptables jsme pak napsali modul, ktery uctuje data pro prideleny 
> blok IPcek efektivneji - adresuje v nem jako v linearnim poli (hashi), 
> takze najde spravne 'pravidlo' v jednom kroku a zatez CPU prakticky 
> nezvysuje

Na celeronu jsem nastesti nemeril (nemam na zadnem gigove sitovky), ale
problem bude s velikosti L2 cache, ktera je tam dost mala, takze pojme
odhadem tak 500 pravidel. to pak muze byt opravdu problem.
Na uctovani (pocitani provozu) mam vlastni nastroj, ktery je schopen
celkem efektivne merit velke prutoky i na rozsahlych sitich.

MOJE

-- 
Konir Tomas
Czech Republic
Brno
ICQ 25849167




Další informace o konferenci Linux