Jump to content
Калькуляторы
Блокировка веб ресурса  

536 members have voted

  1. 1. Для блокировка используем



Блокировка сайтов провайдерами маневры с DNS

4 часа назад, DenisNK сказал:

Подскажите пожалуйста в чем может быть проблема, пытаюсь поставить extfilter(os centos 7 x64, сетевая для dpdk X710), собрался успешно, но при попытке запуска выдает следующее:

А где в конфиге фильтра секция [port 0] ?

Share this post


Link to post
Share on other sites
3 часа назад, myth сказал:

А для ixgbe разве igb_uio используется?

если честно, то не знаю, делал по реадми

я правильно понимаю, что надо скомпилировать драйвер dpdk для Intel i40e?

в .config dpdk драейвер для 40e включен, но на выходе только 2 модуля:rte_kni.ko и igb_uio.ko

 

 

53 минуты назад, max1976 сказал:

А где в конфиге фильтра секция [port 0] ?

извините, не все скопировалось, добавил

Edited by DenisNK

Share this post


Link to post
Share on other sites
13 часов назад, DenisNK сказал:

если честно, то не знаю, делал по реадми

В секции:

[port 1]
queues = 1,2;

 

Вы хотите второй порт подключить для зеркала? В любом случае у вас указано 1,2 что недопустимо, т.к. нет 0 очереди. Должно быть 0,2.

Share this post


Link to post
Share on other sites
1 час назад, max1976 сказал:

В секции:

[port 1]
queues = 1,2;

 

Вы хотите второй порт подключить для зеркала? В любом случае у вас указано 1,2 что недопустимо, т.к. нет 0 очереди. Должно быть 0,2.

да, 2 порта 10г, и оба должны быть зеркалом, или исходящий трафик зеркалить лучше на один? а для двух должно выглядеть так?:

Цитата

[port 0]

queues = 0,1;

[port 1]

queues = 0,2;

 

 

Share this post


Link to post
Share on other sites
20 минут назад, DenisNK сказал:

да, 2 порта 10г, и оба должны быть зеркалом, или исходящий трафик зеркалить лучше на один? а для двух должно выглядеть так?:

Я не знаю сколько у вас суммарно исходящего трафика. Если в пределах 10Г, то второй порт не нужен. Второй порт под dpdk нужен для отправки пакетов в сторону клиентов.

Share this post


Link to post
Share on other sites

в пределах 10Г,  и по поводу отправки пакетов клиентам, я правильно понял, что если не использовать  "отправку сообщений через dpdk", то пакеты пойдет дефолтный роут?, т.е. по сути через интерфейс с ip адресом и под управлением системы?

Share this post


Link to post
Share on other sites
2 минуты назад, DenisNK сказал:

в пределах 10Г,  и по поводу отправки пакетов клиентам, я правильно понял, что если не использовать  "отправку сообщений через dpdk", то пакеты пойдет дефолтный роут?, т.е. по сути через интерфейс с ip адресом и под управлением системы?

Ветка master в ближайшее время будет заменена веткой exp, в которой отсутствует возможность отправки пакетов через linux, только через dpdk. Для отправки пакетов не обязательно использовать 10Г, достаточно i350 на 1Г.

Share this post


Link to post
Share on other sites
2 hours ago, max1976 said:

Ветка master в ближайшее время будет заменена веткой exp, в которой отсутствует возможность отправки пакетов через linux, только через dpdk. Для отправки пакетов не обязательно использовать 10Г, достаточно i350 на 1Г.

А с чем связан переход на отправку пакетов абонентам только через dpdk? Latency или еще какие-то причины?

Share this post


Link to post
Share on other sites

@max1976 

мне бы сначала просто запуститься, а так убрал [port1], ошибка вся таже:

Скрытый текст

root@extfilter usr]# /usr/local/bin/extFilter --config-file=/usr/local/etc/extfilter.ini  
EAL: Detected 4 lcore(s)
EAL: Probing VFIO support...
EAL: PCI device 0000:00:1f.6 on NUMA socket -1
EAL:   probe driver: 8086:15b7 net_e1000_em
EAL: PCI device 0000:01:00.0 on NUMA socket -1
EAL:   probe driver: 8086:1572 net_i40e
i40e_set_symmetric_hash_enable_per_port(): Symmetric hash has already been disabled
eth_i40e_dev_init(): FW 5.0 API 1.5 NVM 05.00.05 eetrack 80002927
eth_i40e_dev_init(): Failed to sync phy type: -95
EAL: Requested device 0000:01:00.0 cannot be used
EAL: PCI device 0000:01:00.1 on NUMA socket -1
EAL:   probe driver: 8086:1572 net_i40e
EAL: PCI device 0000:05:00.0 on NUMA socket -1
EAL:   probe driver: 8086:1533 net_e1000_igb
Out of range

 

Share this post


Link to post
Share on other sites
2 минуты назад, DenisNK сказал:

мне бы сначала просто запуститься, а так убрал [port1], ошибка вся таже:

В логе самого extfilter что-то есть?

 

20 минут назад, mindgen сказал:

А с чем связан переход на отправку пакетов абонентам только через dpdk? Latency или еще какие-то причины?

Да, на первом месте задержки при отправке пакетов. Да и общая унификация логика работы фильтра как в режиме зеркала, так и в режиме моста.

Share this post


Link to post
Share on other sites

запустилось, проблема была в точке с запятой

было

Цитата

[port 0]

queues = 0,1;

стало

Цитата

[port 0]

queues = 0,1

спасибо @max1976

Edited by DenisNK

Share this post


Link to post
Share on other sites

Удалось ли кому-нибудь потестить фильтр в режиме моста под нагрузкой?

Share this post


Link to post
Share on other sites

А кто-нибудь пытался завести extFilter на Виртуальной машине vmware?

Share this post


Link to post
Share on other sites
1 час назад, epollia сказал:

А кто-нибудь пытался завести extFilter на Виртуальной машине vmware?

работает на exsi 5.5 - ветка мастер нормально собирается, а вот exp уже не хочет :(

Share this post


Link to post
Share on other sites

Это вообще нормальная запись ? Указан тип blockType="domain", а по-факту внутри тегов <ipSubnet ts="2018-06-29T16:50:00+03:00">149.154.160.0/20</ipSubnet>

 

<content id="990486" includeTime="2018-04-16T11:27:55" entryType="4" blockType="domain" hash="26105D7CF3F726DE3A5DF0CD1CADE8D7" ts="2018-06-29T16:50:00+03:00">
<decision date="2018-04-13" number="2-1779/2018" org="Роскомнадзор"/>
<ipSubnet ts="2018-06-29T16:50:00+03:00">149.154.160.0/20</ipSubnet>
</content>
 
 
Edited by morf

Share this post


Link to post
Share on other sites

При проверке отчета по качеству блокировки ругается на домены:

qr.de                                                               188.40.28.36
lol_a_pochemu_v_telegu_nezahodit.fuckrkn.us   54.209.24.7
pro100farma.net                                              198.105.254.11
zrelye-prostitutki.ru                                          198.105.254.11

 

При этом данные в дампе вот такие:

qr.de                                                                148.251.139.144
lol_a_pochemu_v_telegu_nezahodit.fuckrkn.us    85.119.144.109
pro100farma.net                                               104.27.188.203, 104.27.189.203
zrelye-prostitutki.ru                                           195.123.216.7

 

Как быть с такой ситуацией? Как я замечаю такая херотень уже не в первый раз у них.

Share this post


Link to post
Share on other sites

пытался экспериментал бранч (в обычной ветке до сих пор 0.89) поставить, дабы поставить dpi в разрыв:

 

 extfilter]# make install
Making install in src
make[1]: Entering directory `/usr/local/bin/extfilter/src'
g++ -DHAVE_CONFIG_H -I. -I../include  -I/usr/src/dpdk-stable-17.05.2/build/include -I.././peafowl/src -I.././marisa/include   -std=c++11 -O3 -Wall -fno-stack-protector -pthread -MT main.o -MD -MP -MF .deps/main.Tpo -c -o main.o main.cpp
In file included from /usr/src/dpdk-stable-17.05.2/build/include/rte_ether.h:50:0,
                 from /usr/src/dpdk-stable-17.05.2/build/include/rte_ethdev.h:185,
                 from main.cpp:13:
/usr/src/dpdk-stable-17.05.2/build/include/rte_memcpy.h: In function ‘void* rte_memcpy_generic(void*, const void*, size_t)’:
/usr/src/dpdk-stable-17.05.2/build/include/rte_memcpy.h:617:98: error: ‘_mm_alignr_epi8’ was not declared in this scope
         _mm_storeu_si128((__m128i *)((uint8_t *)dst + 0 * 16), _mm_alignr_epi8(xmm1, xmm0, offset));        \
                                                                                                  ^
/usr/src/dpdk-stable-17.05.2/build/include/rte_memcpy.h:666:16: note: in expansion of macro ‘MOVEUNALIGNED_LEFT47_IMM’
     case 0x01: MOVEUNALIGNED_LEFT47_IMM(dst, src, n, 0x01); break;    \
                ^
/usr/src/dpdk-stable-17.05.2/build/include/rte_memcpy.h:820:2: note: in expansion of macro ‘MOVEUNALIGNED_LEFT47’
  MOVEUNALIGNED_LEFT47(dst, src, n, srcofs);
  ^
/usr/src/dpdk-stable-17.05.2/build/include/rte_memcpy.h:639:102: error: ‘_mm_alignr_epi8’ was not declared in this scope
             _mm_storeu_si128((__m128i *)((uint8_t *)dst + 0 * 16), _mm_alignr_epi8(xmm1, xmm0, offset));    \
                                                                                                      ^
/usr/src/dpdk-stable-17.05.2/build/include/rte_memcpy.h:666:16: note: in expansion of macro ‘MOVEUNALIGNED_LEFT47_IMM’
 

Edited by aspilot

Share this post


Link to post
Share on other sites
21 час назад, aspilot сказал:

пытался экспериментал бранч (в обычной ветке до сих пор 0.89) поставить, дабы поставить dpi в разрыв:

при запуске configure добавьте ключ --enable-native-code .

Share this post


Link to post
Share on other sites
36 minutes ago, max1976 said:

при запуске configure добавьте ключ --enable-native-code .

Похоже скомпилился. Сейчас буду тестить. Спасибо!

Share this post


Link to post
Share on other sites
1 hour ago, aspilot said:

Похоже скомпилился. Сейчас буду тестить. Спасибо!

 

2 hours ago, max1976 said:

при запуске configure добавьте ключ --enable-native-code .

Что-то маки через порты dpdk не ходят. Может неправильно схему собрал. Написал в личку

Share this post


Link to post
Share on other sites

Добрый день.

Собрал extfilter по схеме с зеркалированием трафика, запрещенные ресурсы при открытии в браузере блокируются нормально, но в отчетах ркн пропусков очень дофига:

Spoiler

а дату: 14 Июл, 2018  
Сформирован:  14 Июл, 2018  11:32:05
Категория;Количество нарушений (записей реестра);% от общего количества записей категории в реестре
Роспотребнадзор;8;2%
Роскомнадзор;135;1%
Генпрокуратура;478;3%
суд;221;<1%
ФСКН;60;2%
ФНС;324;<1%
Мосгорсуд;65;1%
МВД;91;1%
Минкомсвязь;16;<1%
Всего;1398;-

extfilter.ini

Spoiler

; Переводить имя хоста в прописные буквы. Если url_normalization установлен в true, то не имеет значения.
;lower_host = false

domainlist = /usr/local/etc/extfilter/domains
urllist = /usr/local/etc/extfilter/urls
ssllist = /usr/local/etc/extfilter/ssl_host

; файл с ip:port для блокировки
hostlist = /usr/local/etc/extfilter/hosts

; Список ip адресов/сетей для блокировки ssl если нет server_name в ssl hello пакете. Загружается если block_undetected_ssl = true.
sslips = /usr/local/etc/extfilter/ssl_ips

; если false, то будет послан ответ от сервера 403 Forbidden вместо редиректа. Default: false
http_redirect = true

# если в конце url будет указан символ ? иди &, то после этого символа будет добавлен блокированный url: redirect_url[?|&]uri=http://...
; redirect_url = http://notify.example.com
redirect_url = http://yarvolna.net/zapret-info.html

; посылать tcp rst в сторону сервера от имени клиента. Default: false
rst_to_server = true

; Default: 0 - disable
statistic_interval = 300

; Блокировать ssl по ip из файла с ip адресами в случае отсутствия SNI. Default: false
block_ssl_no_sni = false

; Какие ядра использовать. Default: все ядра, кроме management.
core_mask = 31

; файл статистики (для extfilter-cacti)
statisticsfile = /var/run/extFilter_stat

; mtu на интерфейсе для отправки пакетов в сторону абонентов. Default: 1500
; out_mtu = 1500


; CLI для управления или сбора статистики extfilter
; cli_port = 9999
; cli_address = 127.0.0.1

; Количество каналов памяти (для DPDK)
; memory_channels = 2

; Количество повторных пакетов в сторону клиента (от 1 до 3)
; answer_duplication = 1

; Режим работы фильтра. Может быть зеркало (mirror) или мост (inline)
operation_mode = mirror

; Использовать jumbo frames
; jumbo_frames = false

; Максимальная длина ethernet фрейма при включенном jumbo_frames
; max_pkt_len = 9600

; здесь задаются порты, с которых необходимо снимать трафик
; формат:
; [port n]
; queues = a,b; a1,b1...
; n - номер порта dpdk
; a - номер очереди
; b - ядро, обрабатывающее очередь a
; Пример:
;[port 0]
;queues = 0,1; 1,2

[port 1]
queues = 0,1; 1,2; 2,3; 3,4

; Порт для отправки уведомлений через dpdk
;[port 1]
;type = sender
; На какой mac адрес отправлять пакеты
;mac = 00:01:02:03:04:05

[port 0]
type = sender
mac = 90:e2:ba:84:15:80

[dpi]
; Масштабирование количества обрабатываемых потоков 1..10
; scale = 10
scale = 4

; Собирать и анализировать фрагментированные пакеты
; fragmentation_ipv6_state = true
; fragmentation_ipv4_state = true
; fragmentation_ipv4_table_size = 512
; fragmentation_ipv6_table_size = 512

; Собирать и анализировать tcp потоки с неправильными порядком
; tcp_reordering = true

[logging]
loggers.root.level = information
;loggers.root.level = debug
loggers.root.channel = fileChannel
channels.fileChannel.class = FileChannel
channels.fileChannel.path = /var/log/extFilter.log
channels.fileChannel.rotation = 1 M
channels.fileChannel.purgeCount = 4
channels.fileChannel.archive = timestamp
channels.fileChannel.formatter.class = PatternFormatter
channels.fileChannel.formatter.pattern = %Y-%m-%d %H:%M:%S.%i [%P] %p %s - %t
channels.fileChannel.formatter.times = local

/usr/lib/tuned/dpdk-tune/tuned.conf 

Spoiler

 

[main]
include=latency-performance

[bootloader]
cmdline=isolcpus=1,2,3,4,5

 

/etc/rc.local 

Spoiler

 

#!/bin/bash
# THIS FILE IS ADDED FOR COMPATIBILITY PURPOSES
#
# It is highly advisable to create own systemd services or udev rules
# to run scripts during boot instead of using this file.
#
# In contrast to previous versions due to parallel execution during boot
# this script will NOT be run after all other services.
#
# Please note that you must run 'chmod +x /etc/rc.d/rc.local' to ensure
# that this script will be executed during boot.


echo 3072 > /sys/devices/system/node/node0/hugepages/hugepages-2048kB/nr_hugepages
 

touch /var/lock/subsys/local

 

/proc/cpuinfo

Spoiler

processor    : 0
vendor_id    : GenuineIntel
cpu family    : 6
model        : 15
model name    : Intel(R) Xeon(R) CPU           E5345  @ 2.33GHz
stepping    : 11
microcode    : 0xbc
cpu MHz        : 2327.356
cache size    : 4096 KB
physical id    : 0
siblings    : 4
core id        : 0
cpu cores    : 4
apicid        : 0
initial apicid    : 0
fpu        : yes
fpu_exception    : yes
cpuid level    : 10
wp        : yes
flags        : fpu vme de pse tsc msr pae mce cx8 apic sep mtrr pge mca cmov pat pse36 clflush dts acpi mmx fxsr sse sse2 ss ht tm pbe syscall nx lm constant_tsc arch_perfmon pebs bts rep_good nopl aperfmperf eagerfpu pni dtes64 monitor ds_cpl vmx est tm2 ssse3 cx16 xtpr pdcm dca lahf_lm tpr_shadow vnmi flexpriority dtherm
bogomips    : 4654.71
clflush size    : 64
cache_alignment    : 64
address sizes    : 38 bits physical, 48 bits virtual
power management:

 

processor    : 1
vendor_id    : GenuineIntel
cpu family    : 6
model        : 15
model name    : Intel(R) Xeon(R) CPU           E5345  @ 2.33GHz
stepping    : 11
microcode    : 0xbc
cpu MHz        : 2327.356
cache size    : 4096 KB
physical id    : 1
siblings    : 4
core id        : 0
cpu cores    : 4
apicid        : 4
initial apicid    : 4
fpu        : yes
fpu_exception    : yes
cpuid level    : 10
wp        : yes
flags        : fpu vme de pse tsc msr pae mce cx8 apic sep mtrr pge mca cmov pat pse36 clflush dts acpi mmx fxsr sse sse2 ss ht tm pbe syscall nx lm constant_tsc arch_perfmon pebs bts rep_good nopl aperfmperf eagerfpu pni dtes64 monitor ds_cpl vmx est tm2 ssse3 cx16 xtpr pdcm dca lahf_lm tpr_shadow vnmi flexpriority dtherm
bogomips    : 4655.03
clflush size    : 64
cache_alignment    : 64
address sizes    : 38 bits physical, 48 bits virtual
power management:

 

processor    : 2
vendor_id    : GenuineIntel
cpu family    : 6
model        : 15
model name    : Intel(R) Xeon(R) CPU           E5345  @ 2.33GHz
stepping    : 11
microcode    : 0xbc
cpu MHz        : 2327.356
cache size    : 4096 KB
physical id    : 0
siblings    : 4
core id        : 1
cpu cores    : 4
apicid        : 1
initial apicid    : 1
fpu        : yes
fpu_exception    : yes
cpuid level    : 10
wp        : yes
flags        : fpu vme de pse tsc msr pae mce cx8 apic sep mtrr pge mca cmov pat pse36 clflush dts acpi mmx fxsr sse sse2 ss ht tm pbe syscall nx lm constant_tsc arch_perfmon pebs bts rep_good nopl aperfmperf eagerfpu pni dtes64 monitor ds_cpl vmx est tm2 ssse3 cx16 xtpr pdcm dca lahf_lm tpr_shadow vnmi flexpriority dtherm
bogomips    : 4654.71
clflush size    : 64
cache_alignment    : 64
address sizes    : 38 bits physical, 48 bits virtual
power management:

 

processor    : 3
vendor_id    : GenuineIntel
cpu family    : 6
model        : 15
model name    : Intel(R) Xeon(R) CPU           E5345  @ 2.33GHz
stepping    : 11
microcode    : 0xbc
cpu MHz        : 2327.356
cache size    : 4096 KB
physical id    : 1
siblings    : 4
core id        : 1
cpu cores    : 4
apicid        : 5
initial apicid    : 5
fpu        : yes
fpu_exception    : yes
cpuid level    : 10
wp        : yes
flags        : fpu vme de pse tsc msr pae mce cx8 apic sep mtrr pge mca cmov pat pse36 clflush dts acpi mmx fxsr sse sse2 ss ht tm pbe syscall nx lm constant_tsc arch_perfmon pebs bts rep_good nopl aperfmperf eagerfpu pni dtes64 monitor ds_cpl vmx est tm2 ssse3 cx16 xtpr pdcm dca lahf_lm tpr_shadow vnmi flexpriority dtherm
bogomips    : 4655.03
clflush size    : 64
cache_alignment    : 64
address sizes    : 38 bits physical, 48 bits virtual
power management:

 

processor    : 4
vendor_id    : GenuineIntel
cpu family    : 6
model        : 15
model name    : Intel(R) Xeon(R) CPU           E5345  @ 2.33GHz
stepping    : 11
microcode    : 0xbc
cpu MHz        : 2327.356
cache size    : 4096 KB
physical id    : 0
siblings    : 4
core id        : 2
cpu cores    : 4
apicid        : 2
initial apicid    : 2
fpu        : yes
fpu_exception    : yes
cpuid level    : 10
wp        : yes
flags        : fpu vme de pse tsc msr pae mce cx8 apic sep mtrr pge mca cmov pat pse36 clflush dts acpi mmx fxsr sse sse2 ss ht tm pbe syscall nx lm constant_tsc arch_perfmon pebs bts rep_good nopl aperfmperf eagerfpu pni dtes64 monitor ds_cpl vmx est tm2 ssse3 cx16 xtpr pdcm dca lahf_lm tpr_shadow vnmi flexpriority dtherm
bogomips    : 4654.71
clflush size    : 64
cache_alignment    : 64
address sizes    : 38 bits physical, 48 bits virtual
power management:

 

processor    : 5
vendor_id    : GenuineIntel
cpu family    : 6
model        : 15
model name    : Intel(R) Xeon(R) CPU           E5345  @ 2.33GHz
stepping    : 11
microcode    : 0xbc
cpu MHz        : 2327.356
cache size    : 4096 KB
physical id    : 1
siblings    : 4
core id        : 2
cpu cores    : 4
apicid        : 6
initial apicid    : 6
fpu        : yes
fpu_exception    : yes
cpuid level    : 10
wp        : yes
flags        : fpu vme de pse tsc msr pae mce cx8 apic sep mtrr pge mca cmov pat pse36 clflush dts acpi mmx fxsr sse sse2 ss ht tm pbe syscall nx lm constant_tsc arch_perfmon pebs bts rep_good nopl aperfmperf eagerfpu pni dtes64 monitor ds_cpl vmx est tm2 ssse3 cx16 xtpr pdcm dca lahf_lm tpr_shadow vnmi flexpriority dtherm
bogomips    : 4655.03
clflush size    : 64
cache_alignment    : 64
address sizes    : 38 bits physical, 48 bits virtual
power management:

 

processor    : 6
vendor_id    : GenuineIntel
cpu family    : 6
model        : 15
model name    : Intel(R) Xeon(R) CPU           E5345  @ 2.33GHz
stepping    : 11
microcode    : 0xbc
cpu MHz        : 2327.356
cache size    : 4096 KB
physical id    : 0
siblings    : 4
core id        : 3
cpu cores    : 4
apicid        : 3
initial apicid    : 3
fpu        : yes
fpu_exception    : yes
cpuid level    : 10
wp        : yes
flags        : fpu vme de pse tsc msr pae mce cx8 apic sep mtrr pge mca cmov pat pse36 clflush dts acpi mmx fxsr sse sse2 ss ht tm pbe syscall nx lm constant_tsc arch_perfmon pebs bts rep_good nopl aperfmperf eagerfpu pni dtes64 monitor ds_cpl vmx est tm2 ssse3 cx16 xtpr pdcm dca lahf_lm tpr_shadow vnmi flexpriority dtherm
bogomips    : 4654.71
clflush size    : 64
cache_alignment    : 64
address sizes    : 38 bits physical, 48 bits virtual
power management:

 

processor    : 7
vendor_id    : GenuineIntel
cpu family    : 6
model        : 15
model name    : Intel(R) Xeon(R) CPU           E5345  @ 2.33GHz
stepping    : 11
microcode    : 0xbc
cpu MHz        : 2327.356
cache size    : 4096 KB
physical id    : 1
siblings    : 4
core id        : 3
cpu cores    : 4
apicid        : 7
initial apicid    : 7
fpu        : yes
fpu_exception    : yes
cpuid level    : 10
wp        : yes
flags        : fpu vme de pse tsc msr pae mce cx8 apic sep mtrr pge mca cmov pat pse36 clflush dts acpi mmx fxsr sse sse2 ss ht tm pbe syscall nx lm constant_tsc arch_perfmon pebs bts rep_good nopl aperfmperf eagerfpu pni dtes64 monitor ds_cpl vmx est tm2 ssse3 cx16 xtpr pdcm dca lahf_lm tpr_shadow vnmi flexpriority dtherm
bogomips    : 4655.03
clflush size    : 64
cache_alignment    : 64
address sizes    : 38 bits physical, 48 bits virtual
power management:

/proc/meminfo

Spoiler

MemTotal:        8008964 kB
MemFree:          123040 kB
MemAvailable:      16080 kB
Buffers:            4780 kB
Cached:            41252 kB
SwapCached:       211340 kB
Active:           957336 kB
Inactive:         476220 kB
Active(anon):     948324 kB
Inactive(anon):   452192 kB
Active(file):       9012 kB
Inactive(file):    24028 kB
Unevictable:           0 kB
Mlocked:               0 kB
SwapTotal:       8388604 kB
SwapFree:        7045372 kB
Dirty:                 0 kB
Writeback:             0 kB
AnonPages:       1302028 kB
Mapped:             7348 kB
Shmem:               712 kB
Slab:              63568 kB
SReclaimable:      24892 kB
SUnreclaim:        38676 kB
KernelStack:        3520 kB
PageTables:        17556 kB
NFS_Unstable:          0 kB
Bounce:                0 kB
WritebackTmp:          0 kB
CommitLimit:     9247356 kB
Committed_AS:    3356056 kB
VmallocTotal:   34359738367 kB
VmallocUsed:      295712 kB
VmallocChunk:   34358947836 kB
HardwareCorrupted:     0 kB
AnonHugePages:     32768 kB
CmaTotal:              0 kB
CmaFree:               0 kB
HugePages_Total:    3072
HugePages_Free:        0
HugePages_Rsvd:        0
HugePages_Surp:        0
Hugepagesize:       2048 kB
DirectMap4k:      102048 kB
DirectMap2M:     8286208 kB

lspci | grep Ether

Spoiler

04:00.0 Ethernet controller: Broadcom Limited NetXtreme II BCM5708 Gigabit Ethernet (rev 12)
08:00.0 Ethernet controller: Broadcom Limited NetXtreme II BCM5708 Gigabit Ethernet (rev 12)
0d:00.0 Ethernet controller: Intel Corporation 82576 Gigabit Network Connection (rev 01)
0d:00.1 Ethernet controller: Intel Corporation 82576 Gigabit Network Connection (rev 01)

 

Раньше на этом же сервере работал nfqfilter, пропуски были, но в пределах ~70. Подскажите, как победить пропуски? Максимум проходящего через сервер трафика - около 800-900 Мб\с.

Share this post


Link to post
Share on other sites

Гигабитная сетевуха и 800-900? Вы надеюсь только исходящий трафик зеркалите?

 

Процессоры старые тоже..

Share this post


Link to post
Share on other sites
3 часа назад, zhenya` сказал:

Гигабитная сетевуха и 800-900? Вы надеюсь только исходящий трафик зеркалите?

 

Процессоры старые тоже..

Да, зеркалится только исходящий трафик, с порта, уходящего на бордер

Share this post


Link to post
Share on other sites

имхо плохая идея 800-900 мбит пихать в гигабитный порт. порт в бордер поди 10г ;-) и даунлинков далеко не на 1г.

 

п.с. в чнн скорее всего вы увидите свои пропуски.

Share this post


Link to post
Share on other sites

Логи, консоль и файл статистики можно посмотреть, там видно есть ли на самом деле пропуски, и почему. Если RX missed увеличивается, то значит не справляется проц. В остальных случаях нужно смотреть правильность настройки.

 

extfilter> show port stats 1
show port stats 1

  ======================= NIC statistics for port 1  =======================
  RX-packets:              55190119336    RX-errors:          2    RX-bytes: 23954722377200
  RX-nombuf:                        0    RX-missed:          0
  TX-packets:                       0    TX-errors:          0    TX-bytes:          0

 

Edited by SokolovS

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now