VYRESENO: Re: Vysoky load pri vetsi zatezi routeru
Peter Surda
surda na shurdix.com
Pondělí Červen 12 18:16:03 CEST 2006
On Monday 12 June 2006 14:45, Ing. Pavel PaJaSoft Janoušek wrote:
> Mám historicky poměrně značné zkušenosti s routingem na opravdových
> vykopávkách od I80386DX a tak si dovolím tvrdit, že to už by musela být
> fela jak Brno, aby díky pravidlům a rychlosti 100base-HD šla mašina do
> kolen s výkonem.
Dovolim si nesuhlasit. Blbo naorganizovanymi pravidlami sa da vykon riadne
dobabrat.
> Poslední zkušenost podobného charakteru byla ta, že pro každý
> packet, který prošel řetězcem cca 2.500 firewallových pravidel
> nepředstavoval bandwidth okolo 4Mbps vůbec žádný výkonostní problém i pro
> nejstarší Intel Celerony s 128K cache.
Staci aby jeden pocitiac chytil cerva a zacal floodovat a router je
nepouzitelny (myslene doslovne, nereaguje ani na klavesnicu dokym nevytiahnes
sietovy kabel). V normalnom stave (experimentalne zisteny priemerny packet
size okolo 500 bytov) dava 4Mbps linka ca 1000 paketov za sekundu, co taka
konfiguracia este zvladne (zda sa mi nepravdepodobne, ze skutocne kazdy paket
prejde 2500 pravidiel, ak su v jednom chaine tak pri cisto nahodnom prenose
to bude statisticky polovica, navyse linka mozno nie je stale plna). Ked vsak
nastane nejaky vykyv a pride vela malych paketov, mas problem, nastava
podobny efekt ako pri rtl8139 (neumerne vysoke zatazenie CPU).
Skus si vypocitat nejakeho floodera s 10000 "zlymi" paketami za sekundu (zle
== nematchuju ziadne pravidlo). Teda za sekundu musi router vyhodnotit 25
milionov pravidiel a to uz taka sranda nie je.
Klucovy pojem je predvidatelnost. Pokial mas na routri podobne problematicke
miesta, predpovedatelnost chovania prenosu je stazena. Pri dizajnovani
shurdixu sa snazim na to dohliadat, a merania ukazuju, ze napriklad vyvoj
latencie je skoro gaussova krivka a linearna korelacia medzi zatazenim linky
a latenciou je (len) 0.09.
Ako vzdy, poziadavky su individualne. Niekomu vysoke zatazenie CPU nevadi
resp. berie do uvahy, ze to moze z casu na cas "zblbnut", a potom nech kludne
pouziva aj tie realteky aj miliony pravidiel v jednom chaine.
PS. obligatorne linky (rozsirena verzia):
http://ipset.netfilter.org/
http://lartc.org/howto/lartc.adv-filter.hashing.html
http://www.hipac.org/
http://www.nufw.org/
S pozdravom,
Peter
--
http://www.shurdix.org - Linux distribution for routers and firewalls
Další informace o konferenci Linux