VYRESENO: Re: Vysoky load pri vetsi zatezi routeru

Peter Surda surda na shurdix.com
Pondělí Červen 12 18:16:03 CEST 2006 

On Monday 12 June 2006 14:45, Ing. Pavel PaJaSoft Janoušek wrote:
> 	Mám historicky poměrně značné zkušenosti s routingem na opravdových
> vykopávkách od I80386DX a tak si dovolím tvrdit, že to už by musela být
> fela jak Brno, aby díky pravidlům a rychlosti 100base-HD šla mašina do
> kolen s výkonem.
Dovolim si nesuhlasit. Blbo naorganizovanymi pravidlami sa da vykon riadne 
dobabrat.

> 	Poslední zkušenost podobného charakteru byla ta, že pro každý
> packet, který prošel řetězcem cca 2.500 firewallových pravidel
> nepředstavoval bandwidth okolo 4Mbps vůbec žádný výkonostní problém i pro
> nejstarší Intel Celerony s 128K cache.
Staci aby jeden pocitiac chytil cerva a zacal floodovat a router je 
nepouzitelny (myslene doslovne, nereaguje ani na klavesnicu dokym nevytiahnes 
sietovy kabel). V normalnom stave (experimentalne zisteny priemerny packet 
size okolo 500 bytov) dava 4Mbps linka ca 1000 paketov za sekundu, co taka 
konfiguracia este zvladne (zda sa mi nepravdepodobne, ze skutocne kazdy paket 
prejde 2500 pravidiel, ak su v jednom chaine tak pri cisto nahodnom prenose 
to bude statisticky polovica, navyse linka mozno nie je stale plna). Ked vsak 
nastane nejaky vykyv a pride vela malych paketov, mas problem, nastava 
podobny efekt ako pri rtl8139 (neumerne vysoke zatazenie CPU).

Skus si vypocitat nejakeho floodera s 10000 "zlymi" paketami za sekundu (zle 
== nematchuju ziadne pravidlo). Teda za sekundu musi router vyhodnotit 25 
milionov pravidiel a to uz taka sranda nie je.

Klucovy pojem je predvidatelnost. Pokial mas na routri podobne problematicke 
miesta, predpovedatelnost chovania prenosu je stazena. Pri dizajnovani 
shurdixu sa snazim na to dohliadat, a merania ukazuju, ze napriklad vyvoj 
latencie je skoro gaussova krivka a linearna korelacia medzi zatazenim linky 
a latenciou je (len) 0.09.

Ako vzdy, poziadavky su individualne. Niekomu vysoke zatazenie CPU nevadi 
resp. berie do uvahy, ze to moze z casu na cas "zblbnut", a potom nech kludne 
pouziva aj tie realteky aj miliony pravidiel v jednom chaine.

PS. obligatorne linky (rozsirena verzia):
http://ipset.netfilter.org/
http://lartc.org/howto/lartc.adv-filter.hashing.html
http://www.hipac.org/
http://www.nufw.org/

S pozdravom,
Peter

-- 
http://www.shurdix.org - Linux distribution for routers and firewalls

Další informace o konferenci Linux