LINUX.ORG.RU
ФорумAdmin

AMD2000 + 1024 Gb оперативы не справляется с трафиком !


0

0

Стоит у нас серверок на базе АМД2000 и 1024 гб оперативы , сервер выполняет тупой форвард в зависимости от источника трафика - и подсчет его для каждого клиента - примерно 750 правил iptables. Таблица source роутинга примерно из 150 записей.

Все работало классно и на ура, пока не достигли 6000 пакетов в секунду ! И все - сам сервер начал отвечать резко с задержкой до 35-40 мс, телнет , пинг с самого сервера тупит вплоть до полсекунды , при этом сервер умудряется пока справлятся с форвардом трафика - пинг для проходящего трафика растет не так страшно, но видать не долго еще осталось.

ОС - федора коре 4 со всеми апдейтами.

Железо 2 интеловские карты 100е, и встроенная сетевуха нвдидиевская - драйвер forcedeth. Мамка - нфорс какой-то , проц АМД2000. Оперативка 1024 , вот: Mem: 1035288k total, 381368k used, 653920k free, 46784k buffers

Из процессов - да ничего там больше нет ... статистику снимаем со счетчиков иптеблес, там и увидели - что машина раком становится аккурат когда 6000 пакетов в секунду перепрыгивает...

Вопрос - что сейчас можно предпринять ? Как можно тюнингануть ядро ? Может какие параметры для сетевых драйверов нужны ? Может встроенная сетевуха - это большущий минус, и заменить ее на интел ?

Кошку бежать купить не предлагать. Да и бежать новый проц покупать, и соответственно под него собирать новую систему - тоже мне кажеться, не верный шаг - АМД 2000 это разве слабый проц ?

anonymous

Здесь я был http://www.opennet.ru/tips/info/273.shtml

Не помогает. Я так понял - это все для сервера который не занимается форвардом, т.е. тюнинг самой машины. А мне нужно умудриться как-то увеличить пропускную способность пакетов в секунду , сохранив при этом учет трафика для каждого нашего клиента

anonymous
()

а покажи:

1.вывод top
2.пример правил iptables
3.чем считается трафик?

dreamer ★★★★★
()
Ответ на: комментарий от anonymous

Наверное ответа не будет. Сам понимаешь что угодно может быть. Оптимизация правил какаято есть ? Хотя бы по отделам разные цепочки поделать. Ведь прохождение 600 правил для одного совпадения зло.

Убедись что все остальное справляется с обьемом. В смысле если при нагрузке все правила сбросить и оставить только pass all from any to any - что будет.

Может дело в записи логов. Тогда посоветую ULOG.

Пробуй. И не забудь сказать (когда тормозить перестанет :)) в чем проблема была.

paranormal ★★
()
Ответ на: комментарий от paranormal

топ - полностью или шапку ?
top - 20:44:34 up 3 days, 6:19, 1 user, load average: 1.73, 1.45, 1.47
Tasks: 62 total, 1 running, 61 sleeping, 0 stopped, 0 zombie
Cpu(s): 0.0% us, 19.6% sy, 0.0% ni, 80.4% id, 0.0% wa, 0.0% hi, 0.0% si
Mem: 1035288k total, 388820k used, 646468k free, 46788k buffers
Swap: 265068k total, 0k used, 265068k free, 247076k cached

Просто я не представляю как сюда все запихать что бы не попортить вид.


По поводу правил иптеблес:

никакой замороченности - один сплошной ipac-ng, именно изза него мы и остались на FC4, т.к. все более новейшие системы имеют глобальное отличие в коде ядра и исходников иптеблес - и злобный ипак-нг отказывается работать.

На сервере существуют скрипты которые скидывают в базу статистику ипак-нг , и банальные скрипты пингов - что бы провайдера было чем пинать на случай тупого пропадания интернета - все поминутно.

Вебсервер для себя ( его никто кроме меня лично не дергает )

А - еще ограничение трафика - забыл написать. При помощи HTB дисциплин, для каждого ип адреса соответственно.

По поводу ULOG - если он со счетчиками иптеблес еле дышит - то ULOG наверняка порастеряет всё нафиг.

Посоветовали вырубить нафиг ip_conntrack, т.е. я так понял достаточно выгрузить модуль ip_conntrack ?

А вот сохраниться ли NAT при этом для внутренних адресов - 192.168.0* ? У меня на них днс , и пара внутренних ресурсов внутри сети - которым нужен интернет.

+ я же ограничиваю пиринг ! Я забыл ;) ipp2p модулем и правилами

iptables -t mangle -A PREROUTING -p tcp -j CONNMARK --restore-mark
iptables -t mangle -A PREROUTING -p tcp -m mark ! --mark 0 -j ACCEPT
iptables -t mangle -A PREROUTING -p tcp -m ipp2p --edk --kazaa --gnu --dc --bit -j MARK --set-mark 11
iptables -t mangle -A PREROUTING -p tcp -m mark ! --mark 0 -j CONNMARK --save-mark

А значит придеться пожертвовать маркировкой пиринга ?

Блин мне бы хотя бы нат сохранить - и черт с ним с ip_conntrack .

Проц кстати 2 ггц , вот его название полное:
model name : AMD Athlon(tm) 64 Processor 3000+

anonymous
()
Ответ на: комментарий от anonymous

Поминутно - пинги , ипак-нг раз в пять минут , а сервак тупит стабильно аккурат как 6000 pps перепрыгивает , не зависимо от скриптов. Кстати я заметил что в такие моменты банальное скидывание статистики пинга в базу - достигает нагрузки проца 7% !!! База данных на соседней машине. Тогда как при обычной нагрузке - статистика по пингам не больше 1% от проца !!!

anonymous
()
Ответ на: комментарий от anonymous

Вылечил ! cpuspeed походу кривой , или в мамке кривой QnQ - EPOX долбаный ( это та мамка в которой вторую линейку памяти втыкаешь и QnQ вырубается ) .

Сча все гут !

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.