VLAN bridge (max 500 IP ?!)

[Inzevision]

Загадочная ситуация происходит.
Есть 20 вланов. Я их собираю в бридж.
На бридж вешаю группу ИП адресов.

Код: Выделить всё

[root@stat /home/admin]# ifconfig bridge0
bridge0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        ether c2:5c:b3:f0:ea:16
        inet 172.16.0.1 netmask 0xfffff800 broadcast 172.16.7.255
        inet 172.16.100.1 netmask 0xffffff00 broadcast 172.16.100.255
        inet 192.168.5.1 netmask 0xffffff00 broadcast 192.168.5.255
        id 00:00:00:00:00:00 priority 32768 hellotime 2 fwddelay 15
        maxage 20 holdcnt 6 proto rstp maxaddr 4092 timeout 1200
        root id 00:00:00:00:00:00 priority 32768 ifcost 0 port 0
        member: vlan49 flags=143<LEARNING,DISCOVER,AUTOEDGE,AUTOPTP>
                ifmaxaddr 0 port 32 priority 128 path cost 20000
        member: vlan48 flags=143<LEARNING,DISCOVER,AUTOEDGE,AUTOPTP>
                ifmaxaddr 0 port 31 priority 128 path cost 20000
...

Превращаю бридж в тупой свич

Код: Выделить всё

sysctl net.link.bridge.pfil_member=0
net.link.bridge.pfil_member: 1 -> 0
sysctl net.link.bridge.pfil_bridge=0
net.link.bridge.pfil_bridge: 1 -> 0

Всё чудно работает до определённого момента, потом получаем в логах

Код: Выделить всё

stat named[3567]: client 195.178.157.133#55426: error sending response: not enough free resources

Код: Выделить всё

Mar  7 21:31:12 stat dhcpd: DHCPACK to 192.168.156.240 (04:7d:7b:d2:37:23) via bridge0
Mar  7 21:31:12 stat dhcpd: send_packet: No buffer space available
Mar  7 21:31:12 stat dhcpd: dhcp.c:1323: Failed to send 300 byte long packet over fallback interface.

Приблизительно до 500 абонентов работало стабильно (возможно совпадение). Потом начались глюки.
В момент глюков нетстат практически такой же как и при стабильной работе.

Код: Выделить всё

[root@stat /home/admin]# netstat -m
8840/9460/18300 mbufs in use (current/cache/total)
8649/5567/14216/262144 mbuf clusters in use (current/cache/total/max)
8648/1848 mbuf+clusters out of packet secondary zone in use (current/cache)
0/1207/1207/16512 4k (page size) jumbo clusters in use (current/cache/total/max)
0/0/0/8256 9k jumbo clusters in use (current/cache/total/max)
0/0/0/4128 16k jumbo clusters in use (current/cache/total/max)
19523K/18327K/37850K bytes allocated to network (current/cache/total)
0/0/0 requests for mbufs denied (mbufs/clusters/mbuf+clusters)
0/0/0 requests for jumbo clusters denied (4k/9k/16k)
0/0/0 sfbufs in use (current/peak/max)
0 requests for sfbufs denied
0 requests for sfbufs delayed
127 requests for I/O initiated by sendfile
0 calls to protocol drain routines

Когда исключаю влан в котором около 1000 абонентов из моста - всё стабилизируется. В мостовой группе остаётся около 50 абонентов.

Ну и собственно вопрос: Какого хрена?! Что ему мешает нормально работать?

ЗЫ

Код: Выделить всё

[root@stat /home/admin]# uname -a
FreeBSD stat.rising.net.ua 8.2-RELEASE-p10 FreeBSD 8.2-RELEASE-p10 #1: Wed Mar  6 23:46:58 EET 2013     admin@stat:/usr/src/sys/amd64/compile/002  amd64

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Inzevision]

Значит так, установил новые драйвера (были от яндекса, поставил последние от интела).
Включил на свичах port security max-mac-count 20
Как оказалось есть около 10 компов в сети, скорее всего инфицированные вирусами, которые гадили чем-то похожим на 0.0.0.0 <random MAC>.
+ Добавил ifconfig bridge0 maxaddr 16000 (было 4092).

Итог: онлайн около 600 IP. Полёт нормальный.
Нужно дождаться нагрузки около 1000 IP.

Код: Выделить всё

[root@stat /]# netstat -m
2417/5968/8385 mbufs in use (current/cache/total)
2414/4382/6796/262144 mbuf clusters in use (current/cache/total/max)
2413/3219 mbuf+clusters out of packet secondary zone in use (current/cache)
0/969/969/32512 4k (page size) jumbo clusters in use (current/cache/total/max)
0/0/0/16256 9k jumbo clusters in use (current/cache/total/max)
0/0/0/8128 16k jumbo clusters in use (current/cache/total/max)
5442K/14132K/19574K bytes allocated to network (current/cache/total)
0/0/0 requests for mbufs denied (mbufs/clusters/mbuf+clusters)
0/0/0 requests for jumbo clusters denied (4k/9k/16k)
0/0/0 sfbufs in use (current/peak/max)
0 requests for sfbufs denied
0 requests for sfbufs delayed
73 requests for I/O initiated by sendfile
0 calls to protocol drain routines

[Inzevision]

Проблема решена. Было переполнение таблицы ARP из-за вирусной активности нескольких компьютеров в сети.
Вылечилось установкой на коммутаторах доступа

Код: Выделить всё

port security max-mac-count 20