Загрузка сетевой подсистемы FreeBSD (swi1:net)

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
hm
ефрейтор
Сообщения: 59
Зарегистрирован: 2008-08-13 12:15:32

Загрузка сетевой подсистемы FreeBSD (swi1:net)

Непрочитанное сообщение hm » 2009-12-10 11:14:59

Столкнулся недавно с траблой.
Имеется система - vpn гейт, откуда юзеры выходят инет посрудством pptp. ( IPFW NAT+MPD5 )
И недавно у людей начались жуткие тормоза в дневное и вечернее время.
Онлайн юзеров бывает в этот момент около 800, хотя канал не загружается.
На тачке 2 ксеона, 8 гиг озу.

Проверено, что тормоза начинаются, когда процесс swi1:net начинает съедать 40 процентов процессора.

И куда копать?

Спасибо.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
hizel
дядя поня
Сообщения: 9032
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: Загрузка сетевой подсистемы FreeBSD (swi1:net)

Непрочитанное сообщение hizel » 2009-12-10 11:50:43

в сторону man polling
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

Аватара пользователя
terminus
майор
Сообщения: 2305
Зарегистрирован: 2007-10-29 11:27:35
Откуда: Рига

Re: Загрузка сетевой подсистемы FreeBSD (swi1:net)

Непрочитанное сообщение terminus » 2009-12-10 12:13:16

swi1:net это ipfw. оптимизируйте правила.
Модель: AST-PM-105/0044; Тип: Универсальный, ремонтный; Название: Терминус; Род повреждения: Распад функций; Выводы: Сдать на слом.

Аватара пользователя
hm
ефрейтор
Сообщения: 59
Зарегистрирован: 2008-08-13 12:15:32

Re: Загрузка сетевой подсистемы FreeBSD (swi1:net)

Непрочитанное сообщение hm » 2009-12-16 9:12:40

похоже, что проблема в ipfw.

на серваке в acl нат прописан первым в списке правил. Когда же я попытался просто переместить его в конец, то он не работал, более того счетчики на нате работали, но пакеты не шли.

ща вот думаю перенести нат на другую тачку, и поднять его при помощи pf.
кто как думает?

спасибо.

Аватара пользователя
hizel
дядя поня
Сообщения: 9032
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: Загрузка сетевой подсистемы FreeBSD (swi1:net)

Непрочитанное сообщение hizel » 2009-12-16 10:07:28

думаю надо поведать нам что за нат и почитать man ipfw о порядке прохождения пакетов и как работает kernel nat или divert сокеты
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

Аватара пользователя
Dog
лейтенант
Сообщения: 723
Зарегистрирован: 2006-09-21 10:34:36
Откуда: Kharkiv, Ukraine
Контактная информация:

Re: Загрузка сетевой подсистемы FreeBSD (swi1:net)

Непрочитанное сообщение Dog » 2009-12-17 18:33:57

Переводить на pf однозначно не стоит - в интернете я несколько раз встречал результаты разнообразных тестов, которые, которые были очень сильно не в пользу pf на многопроцессорных машинах, ipfw в этом плане лучше.
divert socket'ы тут тоже, думаю, не при чем - nat-то ядерный.
А вот посмотреть конфигурацию файрвола, пускай и без конкретных айпишников, просто схему построения и порядок правил, было бы очень желательно - а то лечение по фотографии получается.
Oh my God, they killed init! Bastards!

Аватара пользователя
hm
ефрейтор
Сообщения: 59
Зарегистрирован: 2008-08-13 12:15:32

Re: Загрузка сетевой подсистемы FreeBSD (swi1:net)

Непрочитанное сообщение hm » 2010-01-08 15:21:59

дело было в схеме.
выгружалось много правил, сейчас же правила шейпинга работатют на MPD5, соответственно правил стало поменьше.
А правила разрешающие хостам выход в сеть вынесли в таблицу. И нагрузка спала в разы.

Спасибо всем помогавшим :smile:

yuryd2006
проходил мимо
Сообщения: 3
Зарегистрирован: 2010-05-05 14:54:18

Re: Загрузка сетевой подсистемы FreeBSD (swi1:net)

Непрочитанное сообщение yuryd2006 » 2010-08-10 14:08:40

Вдогонку, столкнулся с этой проблемой. Дело в ipfw, причем даже не в количестве правил у меня было.
Просто до правила divert были размещены 3 правила fwd, чтобы не натить траффик до nas-ов...
swi1:net отьедал 80-90% одного из ядер и общие сетевые тормоза налицо. Простая замена fwd на allow (при one pass)
привела swi1:net в ничтожно малую величину 3%. Траффик при этом за 100Мбит тормозов нет...