LINUX.ORG.RU
ФорумAdmin

Тюнинг CentOS 5.5 под конкретную задачу


0

0

Дано: сервер INTEL SR1600UR, 2 х Xeon E5503 2.00GHz, 6Гб RAM, сетевые карты - гигабитная 2-х портовая PCI-ex Intel 82576.
ОС - CentOS 5.5, собрано с ядром 2.6.34, iptables 1.4.8.
Задача железки:
1. роутинг
2. NAT
3. фаервол.
Интересует тюнинг ядра (sysctl) и сетевой подсистемы в свете поставленной задачи.
Предположительная нагрузка:
трафик ~200 Мбит при ~50-60 Kpps
NAT ~ 1000 он-лайн соединений.



Последнее исправление: KovAl (всего исправлений: 3)

А какой смысл в центосе если туда ставить кастомное ядро и возможно другой софт? Бери Генту и тюнингуй под конкретную задачу.

GoNaX ★★★
()
Ответ на: комментарий от GoNaX

А какой смысл в центосе если туда ставить кастомное ядро и возможно другой софт? Бери Генту и тюнингуй под конкретную задачу.

Смысл «религиозный» - 5 лет на Fedora Core никуда не деть.. :)
Да, еще один момент забыл - на машине будет крутиться RIP на quagga.

KovAl
() автор топика
Ответ на: комментарий от KovAl

Просто кастомизация очень легко любой CentOS\RHEL превращает в Fedora.

Смысл «религиозный» - 5 лет на Fedora Core никуда не деть.. :)

Ты имеешь в виду что привык к RedHat-based дистрбутивам?

GoNaX ★★★
()
Ответ на: комментарий от KovAl

квагга говно, рип говно тем более, на кой ляд он тебе?
при такой нагрузке и таком железе ничего тюнить тебе не надо

val-amart ★★★★★
()

По-моему, на дефолтных настройках потянет. Время жизни соединений в conntrack уменьши до часа и макс. кол-во правил увеличь.

true_admin ★★★★★
()

С такой нагрузкой ничего делать не нужно

mikki
()
Ответ на: комментарий от true_admin

По-моему, на дефолтных настройках потянет. Время жизни соединений в conntrack уменьши до часа и макс. кол-во правил увеличь.


Ну это понятно и уже сделано. Хотелось бы еще где-нибудь «соломку подложить» на будущее ;)

квагга говно, рип говно тем более, на кой ляд он тебе?

Надо.. У меня несколько NAS-ов (сейчас пока два, но скорее всего будет еще), кроме как рип-ом не нашел другого способа роутить клиентов (PPTP) с NAS-ов..

KovAl
() автор топика
Ответ на: комментарий от gserg

рип говно

А поподробнее можно?

Согласен. Твои NASы OSPF умеют?

Еще не умеют, но «научить» думаю, не проблема. NASы на FreeBSD, zebra на них уже работает («в паре» с rip).
И чем ospf лучше rip в свете поставленной задачи (проброс маршрутов с NAS-ов на роутер)?
Что-то мне кажется, что ospf здесь будет из пушки по воробьям..

KovAl
() автор топика
Ответ на: комментарий от true_admin

Кстати,

Время жизни соединений в conntrack уменьши до часа

- из каких соображений 1 час, торрентоводы не завопят?
У меня сейчас на рабочем роутере установлено 8 час. именно из соображений не задеть «качков».

KovAl
() автор топика
Ответ на: комментарий от KovAl

OSPF меньше нагружает сеть и учитывает «толщину» каналов, а не только количество хопов в маршруте.

gserg ★★
()

В iptables делай деревья по подсеткам или может как-то подробить сможешь. Нагрузка падает в разы. А больше ничего вроде и не надо тюнить... только максимальное количество соединений. И кстати, у тебя карточка 2-портовая или 2-чиповая? Если на них прерывания разные для портов, то можно по разным ядрам проца разнести и выключить irqbalance.

oxumorron
()
Ответ на: комментарий от KovAl

из каких соображений 1 час, торрентоводы не завопят?

1час это таймаут для установленных соединений пока по ним данные не передаются. Для активных соединений это роли не играет, но при DDOS это существенно.

true_admin ★★★★★
()
Ответ на: комментарий от oxumorron

В iptables делай деревья по подсеткам или может как-то подробить сможешь.

Согласен. Лучше группировать правила в цепочки.

tux2002
()
Ответ на: комментарий от oxumorron

И кстати, у тебя карточка 2-портовая или 2-чиповая? Если на них прерывания разные для портов, то можно по разным ядрам проца разнести и выключить irqbalance.


Сетевуха по фамилии E1G42ETBLK, сколько чипов не знаю, но прерываний юзает кучу

 cat /proc/interrupts | grep eth
 70:          2          0          0          0   PCI-MSI-edge      eth2
 71:       4579          0       1974          0   PCI-MSI-edge      eth2-TxRx-0
 72:       2021         10       4390          0   PCI-MSI-edge      eth2-TxRx-1
 73:          2          0          0          0   PCI-MSI-edge      eth3
 74:       2675          0       5950          0   PCI-MSI-edge      eth3-TxRx-0
 75:       5250          0       2720         55   PCI-MSI-edge      eth3-TxRx-1

Попробую приколотить прерывания к ядрам.

1час это таймаут для установленных соединений пока по ним данные не передаются. Для активных соединений это роли не играет, но при DDOS это существенно.

Это 100% так? Не так давно пытался прокатиться с вот такими параметрами:

net.ipv4.netfilter.ip_conntrack_tcp_timeout_close = 30
net.ipv4.netfilter.ip_conntrack_tcp_timeout_time_wait = 30
net.ipv4.netfilter.ip_conntrack_tcp_timeout_last_ack = 120
net.ipv4.netfilter.ip_conntrack_tcp_timeout_close_wait = 30
net.ipv4.netfilter.ip_conntrack_tcp_timeout_fin_wait = 60
net.ipv4.netfilter.ip_conntrack_tcp_timeout_established = 30
net.ipv4.netfilter.ip_conntrack_tcp_timeout_syn_recv = 30
net.ipv4.netfilter.ip_conntrack_tcp_timeout_syn_sent = 30

так активные соединения повалились только в путь, одна icq лишь выдержала. :) Правда, 30 сек. это не 1 час, но все же.. И автор сего произведения тоже утверждал, что ничего отваливаться не будет. ;)
P.S. Насчет OSPF подумаю.. Не охота пока заморачиваться с настройками (слабо знаю сей предмет ;)).

KovAl
() автор топика
Ответ на: комментарий от KovAl

И? Никто ничего не скажет в защиту "... детёныша"? ;)

KovAl
() автор топика
Ответ на: комментарий от KovAl

> net.ipv4.netfilter.ip_conntrack_tcp_timeout_established = 30

ты хоть приблизительно понимаешь, как tcp работает?
убери это нафиг. ну и, тру_админ дело говорит.

насчет рипа/оспф - ты сказал там квагга?
извини, но получается какой-то бред. NAS'у роутинг, тем более динамический, вообще не нужен. обьясни по-нормальному, какая у тебя топология и что ты пытаешься сделать. или это не насы, ты их просто так назвал? (для справки: NAS - это network attached storage, сетевое хранилище)

val-amart ★★★★★
()
Ответ на: комментарий от val-amart

Абревиатура NAS также означает Network Access Server. Встречается очень много где и не мы первые в таком значении эти буковки употребляем.

oxumorron
()
Ответ на: комментарий от oxumorron

уйблин, извините. я последнее время занимаюсь аппликейшн-левел и архитектурой, для меня у НАСа только одно теперь значение =)

а для вас вполне подойдет оспф. даже если сеть небольшая. не люблю рип

val-amart ★★★★★
()
Ответ на: комментарий от val-amart

net.ipv4.netfilter.ip_conntrack_tcp_timeout_established = 30

ты хоть приблизительно понимаешь, как tcp работает? убери это нафиг. ну и, тру_админ дело говорит.

Ну я уже писАл о том, что сиё НЕ МОЁ и о том, что АВТОР утверждал, что такое у него работает в продакшен..

насчет рипа/оспф - ты сказал там квагга? извини, но получается какой-то бред. NAS'у роутинг, тем более динамический, вообще не нужен. обьясни по-нормальному, какая у тебя топология и что ты пытаешься сделать. или это не насы, ты их просто так назвал? (для справки: NAS - это network attached storage, сетевое хранилище)

Как бы не совсем так оно.. NAS в данном случае - это именно то самое

val-amart 21.06.2010 12:48:10

Абревиатура NAS также означает Network Access Server. Встречается очень много где и не мы первые в таком значении эти буковки употребляем.

Насчет OSPF вместо RIP пока не решил, ИМХО в моём случае RIP логичнее, да и проще (для меня во всяком случае) он в понимании и настройке.
Собственно, эта «схема» тоже не моя. На подобной связке работает мой коллега с гораздо большим кол-вом NAS-ов (13 шт вроде) и гораздо большим кол-вом потребителей.

KovAl
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin