# uname -a FreeBSD nat2.tinconet.ru 8.3-STABLE FreeBSD 8.3-STABLE #0: Mon Oct 22 04:48:15 MSK 2012

4 года пашет и не жужжит. пока даже не трогал апдейтами. и проц слабый был - 4 ядра по 2.4. другие по быстрее машинки

Я не стал ipfw nat, неудобно в использовании. pf nat сильно лучше

"понятно"

Я не стал ipfw nat, неудобно в использовании. pf nat сильно лучше

не то чтобы лучше, но он удобен, 10 правил и все работает

anchor для binat-правил, например

не, у меня только чистый нат

# pfctl -sinfo Status: Enabled for 131 days 07:17:35 Debug: Urgent State Table Total Rate current entries 87917 searches 2893930130971 255091.9/s inserts 14655839092 1291.9/s removals 14655751175 1291.9/s Counters match 1471718441731 129727.9/s bad-offset 0 0.0/s fragment 40988 0.0/s short 36118501 3.2/s normalize 0 0.0/s memory 0 0.0/s bad-timestamp 0 0.0/s congestion 0 0.0/s ip-option 7 0.0/s proto-cksum 18401872 1.6/s state-mismatch 7938619 0.7/s state-insert 10111 0.0/s state-limit 0 0.0/s src-limit 0 0.0/s synproxy 0 0.0/s

кривой тг(

выше графики на pf нате?

выше графики на pf нате?

да.

а с ipfw nat не сравнивал по производительности?

неа. работает и ладно

я ж не в пф упираюсь

а в физику

там 4 порта на материнке всего

Видимо, всё же вынос ng_netflow и шейпера помог

ipfw да, сильно может проц есть

а полисер на фре есть? чтобы не шейпить а полисить? нагрузка должна быть меньше вроде

По профайлингу он не настолько сильно ел

Ну dummynet может работать и полисером, насколько я помню

По профайлингу он не настолько сильно ел

сам профайл и все такое отжирают тоже

hwpmc ничего не отжирает

Ну dummynet может работать и полисером, насколько я помню

ну на кор2 с кучей пайпов с трудом 500мбит поржевывал с даминетом

Тогда печаль.

А, не

Есть же ещё ng_car

А можешь systat -v 1 показать ещё?

ну у меня на тазиках только нат остался, остальное мх делает

А как ты на нём шейпер делал? Или он у тебя сначала BRAS'ит?

А как ты на нём шейпер делал? Или он у тебя сначала BRAS'ит?

BRAS

фактически я гоняю трафик серых сетей наружу и обратно

уже после навешенны сервисов

По сравнению с тем, что показывает линуксятина на nat-серверах, у меня и у тебя бросается в глаза высокое значение сontext switching

Но это так, замечание в скобках

Ну там еще есть остатки ipfw

я не выпиливал его пока

может свичит на него

Дык он же вроде не должен пакет в user-space переводить?

там 2 правила - блокировка 25 порта и разрешение всего остального

Дык он же вроде не должен пакет в user-space переводить?

сложн сказать. по идее нет. хотя еще был одно время там ipfw tee + ipcad

Я, кстати, ipfw отключал

у меня для этого надо ядро пепресобрать

Я забодался в своё время пересобирать ядра и в какой-то момент остался на GENERIC

А до этого другой крайностью стало minimalistic и подгрузка всего модулями

я выпиливаю все лишние драйвера и модули, а что надо - держу в ядре

я выпиливаю все лишние драйвера и модули, а что надо - держу в ядре

зачем?

вот скоро буду с 10.3 и 82599 развлекаться

Будешь 82599 крутить, уделяй внимание SFPхам

зачем?

а нафига мне поддержка рейдов и сетевых

Будешь 82599 крутить, уделяй внимание SFPхам

у меня силиком и DA

Он с Direct-Attach не всеми дружит

так она же ни на что не влияет

Мы купили HP-шные, а они, суки этакие, не завелись

Он с Direct-Attach не всеми дружит

3м от нага норм, прошитые под джун

вот 5м говорят проблемные

и карта не чистый интел

Supermicro, небось?

хотя джуновские в чистом интеле тоже работают

Supermicro, небось?

Silicom

http://shop.nag.ru/catalog/02273.Setevye-karty/20414.Setevye-karty-10G/15343.PE210G2SPi9A-XR

И ещё 82599 периодически на 10.0 терял линк намертво, сцука этакая

у меня в тестах линки гасли только при втыкивании кривых сфп, пока не передернешь драйвер

на оригинальных картах

Я уже не помню, чьи у меня были

Много экспериментировали и пробовали

ща кстати есть отдельный тазик под нетфлоу с зфс, со спан снимаю

ERROR: S client not available

там чота типа 10.3 тоже вроде

с 82599

ща кстати есть отдельный тазик под нетфлоу с зфс, со спан снимаю

Зачем зфс?

Зачем зфс?

а куда хранить то

ng_netflow?

да

опять буду в карты упираться

А чего не ipfix с самого MX?

А чего не ipfix с самого MX?

там и так в полку все загружено

а так еще на биллинг зеркалирую и пишу

ясно

ipt_netflow в Линуксе хорош

Особенно мне нравится, что он на моём NAT-тазике умеет делать а-ля цисковский SEL

потенциально будет еще один такиз к 82599

могу на нем попробоват на линуксе потыкать

но так зоопарк будет(

ISP без зоопарков не бывает )

причесать бы все

это не зоопарк

Это гетерогенные среды и системы

ГГГ

Чувствуется большой опыт объяснений )

Можно просто

чувствуется, большой )

"Фрейд, лежать сейчас!"

А что, у кого-то восстал? )

Насторожился, да )

dtrace умеешь пользоваться?