Zohan

Увеличь max_servers.

Так можно уже 8-ку обновленную до STABLE выводить в продакшн как ВПН сервер, валиться в kernel trap 12 из-за netgraph'a не будет? :)

Сколько pptp/l2tp сессий? Сколько pps/s, Mbit/s? C 7.2-Release невозможно работать с >200 сессий на mpd5.5 периодически сваливается в kernel trap 12, current process: ng_queue

Естественно установлено в 500000.

FreeBSD 7.2-p7 + pf + NAT MPD 5.5, NAT с фэйковых адресов и маршрутизация с реальных. Внешняя 2-х портовая сетевая интеловская карта. Когда доходит до 100-120к записей в таблице NAT - pfctl -si система начинает лагать - ошибки на интерфейсах, дропы пакетов, задержки во всей сетевой системе :( Неужели pf такое не может прокачать? Рядом стоящий Линукс прокачивает 160-200к спокойно без напряга.

Пересобрать модуль(/sys/modules/ipfw) ipfw c прописанным в /etc/make.conf CFLAGS+= -DIPFIREWALL_DEFAULT_TO_ACCEPT и потом уже штатно: kldload ipfw kldload ng_ipfw kldload .... порядок работы будет зависеть от порядка загрузки модулей фаерволов. можно в /usr/src/sys/modules/ipfw/Makefile? потом make && make install? можно и так, но при cvsup потрётся.остальное верно. Хм, такой фильтр не работает Работает такой: /usr/sbin/ngctl -f- <<-SEQ mkpeer ipfw: bpf 61 ipfw_hook61 name ipfw:61 bpf_utp_filter mkpeer bpf_utp_filter: tag matched tag_utp name bpf_utp_filter:matched tag_utp_tagger SEQ ngctl msg bpf_utp_filter: setprogram { thisHook=\"ipfw_hook61\" ifNotMatch=\"ipfw_hook61\" ifMatch=\"matched\" bpf_prog_len=12 bpf_prog=[ { code=48 jt=0 jf=0 k=0 } { code=84 jt=0 jf=0 k=240 } { code=21 jt=0 jf=8 k=64 } { code=48 jt=0 jf=0 k=9 } { code=21 jt=0 jf=6 k=17 } { code=40 jt=0 jf=0 k=6 } { code=69 jt=4 jf=0 k=8191 } { code=177 jt=0 jf=0 k=0 } { code=64 jt=0 jf=0 k=20 } { code=21 jt=0 jf=1 k=2147483647 } { code=6 jt=0 jf=0 k=65535 } { code=6 jt=0 jf=0 k=0 } ] } ngctl msg bpf_utp_filter: setprogram { thisHook=\"matched\" ifMatch=\"ipfw_hook61\" bpf_prog_len=1 bpf_prog=[ { code=6 jt=0 jf=0 k=96 } ] } ngctl msg tag_utp_tagger: sethookin { thisHook=\"tag_utp\" ifNotMatch=\"tag_utp\" } ngctl msg tag_utp_tagger: sethookout { thisHook=\"tag_utp\" tag_cookie=1148380143 tag_id=61 } ipfw add netgraph 61 udp from any to any iplen 0-61 ipfw add deny udp from any to any tagged 0-61 и обязательно: sysctl net.inet.ip.fw.one_pass=0

Пересобрать модуль(/sys/modules/ipfw) ipfw c прописанным в /etc/make.conf CFLAGS+= -DIPFIREWALL_DEFAULT_TO_ACCEPT и потом уже штатно: kldload ipfw kldload ng_ipfw kldload .... порядок работы будет зависеть от порядка загрузки модулей фаерволов. можно в /usr/src/sys/modules/ipfw/Makefile? потом make && make install?

# kldload ng_ipfw # ngctl mkpeer ipfw: bpf 127 ipfw # ngctl name ipfw:127 utp_filter # ngctl name ipfw:127 pptp_utp_filter # ngctl msg pptp_utp_filter: setprogram '{ thisHook="ipfw" ifMatch="matched" ifNotMatch="ipfw" bpf_prog_len=36 bpf_prog=[ { code=0xb1 } { code=0x40 } { code=0x54 k=4286578687 } { code=0x15 jf=31 k=805406731 } { code=0x50 k=1 } { code=0x54 k=128 } { code=0x74 k=5 } { code=0x4 k=12 } { code=0xc } { code=0x7 } { code=0x48 } { code=0x15 jf=3 k=65283 } { code=0x87 jf=3 } { code=0x4 k=2 } { code=0x7 } { code=0x50 } { code=0x15 jf=3 } { code=0x87 jf=3 } { code=0x4 k=1 } { code=0x7 } { code=0x50 } { code=0x15 jf=13 k=33 } { code=0x87 jf=3 } { code=0x4 k=1 } { code=0x7 } { code=0x50 k=9 } { code=0x15 jf=8 k=17 } { code=0x50 } { code=0x54 k=15 } { code=0x64 k=2 } { code=0xc } { code=0x7 } { code=0x40 k=20 } { code=0x15 jf=1 k=2147483647 } { code=0x6 k=65535 } { code=0x6 } ] }' # sysctl net.inet.ip.fw.one_pass=0 # ipfw add 127 netgraph 127 gre from any to any via ng0 # ngctl msg pptp_utp_filter: getstats '"ipfw"' если я использую на сервере pf, то как мне это прикрутить?

CPU: Intel® Xeon® CPU E5310 @ 1.60GHz (1597.53-MHz K8-class CPU) Origin = "GenuineIntel" Id = 0x6f7 Stepping = 7 Features=0xbfebfbff<FPU,VME,DE,PSE,TSC,MSR,PAE,MCE,CX8,APIC,SEP,MTRR,PGE,MCA,CMOV,PAT,PSE36,CLFLU SH,DTS,ACPI,MMX,FXSR,SSE,SSE2,SS,HTT,TM,PBE> Features2=0x4e33d<SSE3,DTES64,MON,DS_CPL,VMX,TM2,SSSE3,CX16,xTPR,PDCM,DCA> AMD Features=0x20100800<SYSCALL,NX,LM> AMD Features2=0x1<LAHF> TSC: P-state invariant Cores per package: 4 em1@pci0:14:0:0: class=0x020000 card=0x135e8086 chip=0x105e8086 rev=0x06 hdr=0x00 vendor = 'Intel Corporation' device = 'HP NC360T PCIe DP Gigabit Server Adapter (n1e5132)' class = network subclass = ethernet em2@pci0:14:0:1: class=0x020000 card=0x135e8086 chip=0x105e8086 rev=0x06 hdr=0x00 vendor = 'Intel Corporation' device = 'HP NC360T PCIe DP Gigabit Server Adapter (n1e5132)' class = network subclass = ethernet em1: <Intel® PRO/1000 Network Connection 6.9.6> port 0xdce0-0xdcff mem 0xfc3e0000-0xfc3fffff,0xfc3c0000-0xfc3dffff irq 16 at device 0.0 on pci14 em1: Using MSI interrupt em1: [FILTER] em2: <Intel® PRO/1000 Network Connection 6.9.6> port 0xdcc0-0xdcdf mem 0xfc3a0000-0xfc3bffff,0xfc380000-0xfc39ffff irq 17 at device 0.1 on pci14 em2: Using MSI interrupt em2: [FILTER]

Выключен.

Имеется Dell Power Edge 1950 II 2xXeon 1.6, шина 1066, 4 Мб кэша 8 Гб ЕЦЦ ОЗУ 2 сетевые гигабитные интеловские карты FreeBSD 7.3RC2 - amd64, MPD5.5 + radius 1.8 ядро GENERIC в момент максимальной нагрузки которая для нас не должна быть максимальной происходят потери пакетов на интерфейсе: netstat -w1 -bdh -i em2 input (Total) output packets errs bytes packets errs bytes colls drops 34K 0 16M 38K 0 21M 0 0 35K 2 16M 39K 0 22M 0 0 26K 176 13M 29K 0 16M 0 0 21K 20 9.8M 23K 0 12M 0 0 16K 367 7.1M 17K 0 8.4M 0 0 21K 378 9.6M 23K 0 13M 0 0 18K 245 8.5M 20K 0 11M 0 0 20K 174 9.0M 22K 0 12M 0 0 14K 282 6.6M 15K 0 8.1M 0 0 18K 164 8.4M 20K 0 11M 0 0 22K 250 10M 24K 0 13M 0 0 23K 41 10M 25K 0 14M 0 0 28K 137 13M 30K 0 17M 0 0 23K 196 10M 25K 0 13M 0 0 19K 268 8.1M 19K 0 9.9M 0 0 20K 907 8.6M 20K 0 11M 0 0 3.5K 0 1.1M 3.0K 0 1.1M 0 0 и так до может до 1-2000 в секунду доходить :( cat /etc/sysctl.conf net.graph.maxdgram=524288 net.graph.recvspace=524288 net.inet.tcp.sendspace=65536 net.inet.tcp.recvspace=65536 kern.ipc.somaxconn=4096 kern.maxfilesperproc=200000 kern.maxvnodes=200000 kern.ipc.maxsockbuf=1048576 net.inet.ip.intr_queue_maxlen=5120 net.route.netisr_maxqlen=512 net.local.stream.recvspace=65535 net.local.stream.sendspace=65535 net.inet.tcp.blackhole=2 net.inet.udp.blackhole=1 net.inet.tcp.sendbuf_max=1048576 net.inet.tcp.recvbuf_max=1048576 cat /boot/loader.conf pf_load="YES" kern.ipc.maxpipekva=256000009 kern.ipc.maxsockets=262144 kern.ipc.nmbclusters=262144 kern.maxfiles=204800 kern.maxfilesperproc=200000 kern.ipc.maxsockbuf=524288 autoboot_delay="3" kern.maxusers=1024 net.graph.maxdata=1024 Мы понимаем что дело на такой мощной машине явно не в железе, а в настройке TCP/IP стека Кто что может сказать? Все логи или параметры системы готов в любой момент предоставить.