spravny smer pri upgradu gw

whiteagle

zdravim panove,

po delsi dobe zase stojime pred tematem, jak povysit hlavni gw, ted tam mame CCR 16 jader a ve spičce některá jádra skákají kolem 95 procent.

Pravdou je, že žádné z jader se tam nefláká úplně na nule.

Otázka zní, jestli má smysl pošilhávat po upgradu na CCR 36 jádro a nebo zvolit jinou alternativu.

600 simple queues ( to je podle meho kamen urazu, mozna by pomohlo z nich vyrobit queue tree, ale uz jsme si na to zvykli, je to prehledne a menit se mi to moc nechce:))

provoz do 350Mbit FD

cca 200 pravidel v NATu

odesila netflow

dns cache

ospf

varianta A/ presun do queue tree a par mesicu nam jeste prezije, nez to zacneme resit zase

varianta B/ jit na 36 jádro a dle meho nazoru opet par mesicu, nez to zacneme resit zase, protoze vicejadrovost asi neni tolik zasadni

varianta C/rozdelit provoz mezi vice routeru, poroste spotreba, naroky na zalohovane napajeni atd

varianta D/ nejaka x86 - trochu se bojim spotreby, ale to bude asi cesta

varianta E/ nejaka zazracna cisco, huawei, cokoliv krabice, ktera za velke penize zazracne vyresni vsechny nase problemy

co myslite?

Diky za pomoc, V.

PS: Vim, ze se to tu uz nekolikrat resilo - ptam se proto, ze se zase nektere moznosti a zkusenosti posunuly, tak me prosim nekamenujte:)

honzam

Doporučil bych variantu /F

Oddělit shaper od routeru.

Shaper - X86 linux mašina

Router - nechat stávající CCR1016 pouze s OSPF, NAT, routing a bude si chrochtat

Zde cca 350NATů a 470 VLAN + OSPF

robotvor

queue tree to CCR zabijou na to bych ani nepomýšlel.

Volil bych rozhodně variantu D a budeš mít na dlouho vystaráno.

petrbacina

Shaper - X86 linux mašina

Čím a jak řešit shaping přímo na linuxu?

honzam

my máme E3 Xeon s Debianem

whiteagle

honzam:

jak se to fyzicky rozdeli? je potreba tam udelat nejakou smyčku, kde to budu hnat

ccr --> x86 na shaping --> zpatky do ccr?

jak resit, aby se z ty x86 nestal single point of failure?

robotvor:

nerad bych to skládal na koleni, přecejen je to kritický prvek, kde se dá koupit něco ověřeného s podporou? Abacus? když si čtu, co s tim Hapi všechno musi vymyšlet, tak bych se tomu rad vyhnul. Zároveň 12 ethernetů, co máme teďka je fajn:)

robotvor

honzam:

jak se to fyzicky rozdeli? je potreba tam udelat nejakou smyčku, kde to budu hnat

ccr --> x86 na shaping --> zpatky do ccr?

jak resit, aby se z ty x86 nestal single point of failure?

robotvor:

nerad bych to skládal na koleni, přecejen je to kritický prvek, kde se dá koupit něco ověřeného s podporou? Abacus? když si čtu, co s tim Hapi všechno musi vymyšlet, tak bych se tomu rad vyhnul. Zároveň 12 ethernetů, co máme teďka je fajn:)

No jedině Supermicro, používámě věky věků a nikdy nebyl žádný problém. Nech si od něj něco poskládat a budeš si myslím spokojen. hapi přidává jen jine sítovky pokud jsou třeba jinak tam neni velice co vymýšlet.

whiteagle

robotvor: a nejaky osvedceny dodavatel? nikdy jsem to neobjednaval, tak at se hned nekde nespalim:)

robotvor

robotvor: a nejaky osvedceny dodavatel? nikdy jsem to neobjednaval, tak at se hned nekde nespalim:)

Napiš hapimu jistě ti rád porádí a stroj i poskládá.

hapi

ne ne já si ještě počkám s čim přijdete :-)

samozřejmě 12 ethernetů v x86... ne že by to nešlo ale jak chceš takovou krabici s 12 porty nějakym způsobem failbackovat když už si to nakousnul?

ludvik

Nejzajímavější na tom je, že někde u těchto rychlostí jsme my kdysi končili s nějakým Pentiem 4. Dělal jak NAT pro stovky lidí, tak i QOS. Vcelku mu to šlo. Ale nebyl na tom ROS ...

Pro shaping si můžeš pohrát s příkazy TC. Nebo použít "chroustadlo pravidel" Prometheus (k nalezení na czfree). V novějších jádrech je také IPSET s podporou změny paketů (teď v noci se asi nedokážu vyjádřit správně - metadat v jádře). Tedy ho lze použít jak třeba pro markování, tak i pro určení CLASSID (tedy jako v netfilteru target CLASSIFY). Ještě jsem to nezkoušel, ale výkon takového řešení bude skvělý (oproti stromečku markování v mangle tabulkách, nebo i toho CLASSIFY které také výkon šetří "jak sviňa"). O jednoduchosti generování IPSETů ani nemluvě.

Jenom ten NAT tam ještě neudělali ... což bych možná i radši.

Ale je fakt, že i ROS s optimalizací trochu pokročil a simple queues jsou poměrně použitelné, slušně škálovatelné na jádra CPU.

Pro <1Gbit ti stačí vcelku libovolný servřík s Xeonem E3 (cenově a výbavou asi nemá moc konkurenci Supermicro). Paměti je prakticky skoro fuk co tam bude, stejně je za babku. K tomu intel síťové karty. Jen dvě. Routing až za ním něčím jiným.

Ale s ROS na x86 ti neporadím.

crazyape

Mame shaper mikrotik cca 1400 pravidel queue tree, 1400 pravidel 1 NAT, je to hlavni GW na jednom stroji X86 server nejaky xenon 4jadra 2Ghz/jadroa ve spicce kdyz tam tece 450 Mbit tak cpu 30-40%. Do budoucna pocitam ze pouze oddelim routovani od shapingu. Do cca 1500 lidi +- se to da v pohode delat na mikrotiku.(3000 pravidel) dal nemam zkusenost.

hapi

Xeon E3v3

konekt 400Mbit

800 zákazníků

cpu 20-30 procent

QT 1000up/1000down

mangle 2000

filtr 900

nat 850

ludvik

Intel(R) Xeon(R) CPU X3470 @ 2.93GHz, síťovka duální s čipem i82576

5367 IP adres, 3105 uživatelských tříd v HTB. Generováno zmíněným software Prometheus za využití CLASSIFY targetu v mangle. Strom pravidel má dva kmeny - do jednoho padají sítě dostupné v NIXu (definováno v ipset, podřízeno jen SFQ) a v tom druhém je "klasický" QOS na uživatele. Každý má svoji třídu s minimálním garantovaným spodkem a nějakým maximem. Všechny IP uživatele padají do stejné třídy.

NAT se mi počítat nechce, ale definice tabulky nat (přes iptables-save) má 5715 řádků. Je to stromeček se sítěmi /24 teprve tam jednotlivé SNAT/DNAT (asi by šlo ještě optimalizovat). Každý uživatel (resp. naprostá většina) má jen jednu veřejnou IP, tedy je to poměrně rozsáhlý PAT M.

Přibližně 90kkps na inputu v době grafu z přílohy.

Pořád mám pocit, že má ROS někde dost výkonové rezervy ...

erotel

Za mě určitě x86 .U nás NAT,shaping,ospf a ibgp,

Máme 1U supermikro s Intel(R) Xeon(R) CPU E3-1270 V2 @ 3.50GHz a k tomu Intel Corporation 82576 Gigabit Network Connection ,ale asi už budou lepší na výběr.

Ta karta má 4x1Gbit port,ve stroji je bonding.

Co se týče shapingu na linuxu,bohužel prometheus už je 3 roky mrtvý projekt.My ho zatím používáme(není čas to předělat),ale nepodporuje ipv6,takže jsem musel udělat vlastní shaper.

Použil jsem IPSET,který pošle packet přímo do příslušné CLASSID v shaperu.O proti iptables (podle testů na stole) nárůst výkonu 20-25%.

dalibortoman

Použil jsem IPSET,který pošle packet přímo do příslušné CLASSID v shaperu.O proti iptables (podle testů na stole) nárůst výkonu 20-25%.

rychle shapovani se pomoci TC dela pres hash table .... Netreba znackovat packety apod

ludvik

Jenže pochopení hash tables je vyšší dívčí :-) A přes ipset je to tak krásně jednoduché ... a nevím proč by to mělo nějak výrazně snižovat výkonnost oproti hash tabulkám přímo v TC. Teoreticky nemělo.

Prometheus není až tak složitý, aby tam nešlo IPv6 dobastlit. Já tu potřebu zase tolik nemám. Kromě toho v našem pojetí sítě se to na to ani použít nedá.

erotel

Použil jsem IPSET,který pošle packet přímo do příslušné CLASSID v shaperu.O proti iptables (podle testů na stole) nárůst výkonu 20-25%.

rychle shapovani se pomoci TC dela pres hash table .... Netreba znackovat packety apod

Mohl by jsi mě trošku "nakopnout" správným směrem?

Teď používám ipset

ipset create qos hash:net family inet6 skbinfo

ipset add qos $IP skbprio 1:$CLASSID

dalibortoman

Použil jsem IPSET,který pošle packet přímo do příslušné CLASSID v shaperu.O proti iptables (podle testů na stole) nárůst výkonu 20-25%.

rychle shapovani se pomoci TC dela pres hash table .... Netreba znackovat packety apod

Mohl by jsi mě trošku "nakopnout" správným směrem?

btw jsem na to znackovani ipsetem a nevypada to marne. Problem je, ze RH like distra v ipsetu nic takoveho nemaji (alespon man ipset to nepopisuje)..

K hash tabulkam se da neco malo najit na WWW ale dopatrat se srozumitelnych iNformaci na jednom miste je trosku problem. NeJLEPSI POPIS JE ASI TADY:

http://linux-tc-notes.sourceforge.net/t ... ls_u32.txt - Hledat kapitolu 'Hashing'

Nejaky example tady:

http://www.tldp.org/HOWTO/Adv-Routing-H ... shing.html

Ja napriklad mam 2 urovne hash tabulek. Nejprve skacu z defaultni hash tabuly 800 pomoci hodnoty 3tiho bytu adresy do jedne z 255 tabulek, kde jsou pak v kazde bunce jiz filtry na konkretni adresu (rozliseni stavu, kdy IP adresy maji posledni 2 byty stejne)

pro jeden smer:

...

filter add dev eth0 parent 1 prio 100 handle 10: protocol ip u32 divisor 256

...

filter add dev eth0 protocol ip parent 1 prio 100 u32 ht 800:: match ip src 213.19.0.0/17 hashkey mask 0x0000ff00 at 12 link 10:

filter add dev eth0 protocol ip parent 1 prio 100 u32 ht 800:: match ip src 213.250.192.0/18 hashkey mask 0x0000ff00 at 12 link 10:

...

filter add dev eth0 parent 1 prio 100 handle 100: protocol ip u32 divisor 256

filter add dev eth0 protocol ip parent 1 prio 100 u32 ht 10: match ip src 0.0.0.0/0 hashkey mask 0x000000ff at 12 link 100:

filter add dev eth0 parent 1 prio 100 handle 101: protocol ip u32 divisor 256

filter add dev eth0 protocol ip parent 1 prio 100 u32 ht 10: match ip src 0.0.0.0/0 hashkey mask 0x000000ff at 12 link 101:

...

filter add dev eth0 parent 1 prio 100 handle 1ff: protocol ip u32 divisor 256

filter add dev eth0 protocol ip parent 1 prio 100 u32 ht 10: match ip src 0.0.0.0/0 hashkey mask 0x000000ff at 12 link 1ff:

# vlastni zakaznik:

# 39 = 0x27 (hexa) => has tabulka ma id 100+27=127

# 219 = 0xdb (index do hash tabulky v hexa)

class add dev eth0 parent 1 classid 1 htb rate 2040kbit ceil 8620kbit prio 5

filter add dev eth0 protocol ip parent 1 prio 100 u32 ht 127: match ip src 213.19.39.219 flowid 1

erotel

No pokud to chápu dobře,tak podle mě tam ten ipset bude výkonově na stejný úrovni.Sice používám iptables,ale jsou to jen 4 řádky.

root@78-ipv6gw:~# ip6tables -t mangle -L --lin -v -n

Chain FORWARD (policy ACCEPT 3194 packets, 2310K bytes)

num pkts bytes target prot opt in out source destination

1 1801 2146K CLASSIFY all vlan1000 * ::/0 ::/0 CLASSIFY set 1:9000

2 1393 164K CLASSIFY all vlan0105 * ::/0 ::/0 CLASSIFY set 1:9000

3 1801 2146K SET all vlan1000 * ::/0 ::/0 map-set qos src map-prio

4 1393 164K SET all vlan0105 * ::/0 ::/0 map-set qos dst map-prio

První označí všechny packety do classid 1 (freezone 512kbit),pokud je ip v databázi,tak další pravidlo v ipsetu ho pošle do dané classid.

http://ipset.netfilter.org/ipset.man.html ipset musí být 6,22 nebo vyšší a ip6tables v1.6.0

skbinfo, skbmark, skbprio, skbqueue

All set types support the optional skbinfo extension. This extension allow to store the metainfo (firewall mark, tc class and hardware queue) with every entry and map it to packets by usage of SET netfilter target with --map-set option. skbmark option format: MARK or MARK/MASK, where MARK and MASK are 32bit hex numbers with 0x prefix. If only mark is specified mask 0xffffffff are used. skbprio option has tc class format: MAJOR:MINOR, where major and minor numbers are hex without 0x prefix. skbqueue option is just decimal number.

ipset create foo hash:ip skbinfo

ipset add foo skbmark 0x1111/0xff00ffff skbprio 1:10 skbqueue 10

Zde jsme našel inspiraci http://forum.nag.ru/forum/index.php?showtopic=101191

Další stránka »