fdboss
Junior Member | Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Цитата:
вопрос к тебе как к знатоку, ROS 3.2 и ROS 3.3, между этими двумя системами, не было никаких изменений в принципе маркировки пакетов?
перешел с 3.2 на 3.3 загрузка CPU с 15%, выросла до 80-90%, без изменения конфига, полагаю это произошло из за mangle, в 3.22 добавляя правила для маркировки пакетов, которое еще не работает, то есть пакеты не маркирует, (в правиле мангла указан адрес лист, которого еще нет в адрес листах) микрот не реагировал на это, то есть можно было воткнуть 50 правил маркировки, и при этом загрузка не менялась, а вот в 3.3 почему то даже если правило не работает, не маркирует пакеты,(адрес листа еще нет, в адрес листах) то загрузка все равно увеличивается не замечал такого.?
По идее если правило не маркирует пакеты но присутствует в мангле, то загрузка проца не должна повышаться, ?
и еще один момент, в мангле я не маркирую коннекшн, знаю что не правильно, знаю что это влияет на загрузку проца, но почему то 3.2 нормально реагировал на это, а вот 3.3 как то не очень. Этот момент как то настораживает, нет ли каких проблем у версии 3.3 с манглом.?
Добавлено:
Chupaka
и еще есть несколько вопросов, по маркировке connection.
предположим есть микрот с 3 входящими портами(клиентскими) и 1 исходящим портом (интернет), скажем есть 100 пользователей у каждого по /29 адресов, то есть получается что бы микрот не грузился надо маркировать connection для каждого пользователя и внутри connection маркировать пакеты пользователя на ин и аут, так ?? , то есть в теории получим 100 маркировок connection и соотвественно 200 маркировок пакетов или я что то не правильно понимаю.??
и второй перечитывая форум, наткнулся на вот такое сообщение от тебя
Цитата: Neym
самое главное заблуждение при составлении вышеприведённых правил: connection - существо на самом деле двунаправленное. то есть "chain=prerouting action=mark-connection new-connection-mark=tornado-out passthrough=yes src-address=10.10.0.13 dst-address-list=od-ix" метит соединение, по которому пакетики бегают уже в обе стороны: как от клиента к серверу, так и обратно. соответственно, src-address можно убрать, а метку заменить на просто "tornado"
дальше как раз наоборот: когда помечаем пакеты коннекшена "tornado", то для пакетов с src-address=10.10.0.13 ставим метку "tornado-out", а для dst-address=10.10.0.13 - соответственно "tornado-in". после этого всё должно заработать |
исходя из твоих слов connection-mark попадает трафик как ин так и аут, но для меня не понятно каким образом, что должно являться критерием для маркировки connection, ??, есть сорс и дест который по идее должен определять правила поведения маркировки, по твоим словам если я укажу в правиле "chain=prerouting action=mark-connection new-connection-mark=internet passthrough=yes dst-address-list=client5" то в это правило попадет трафик client5 и ин и аут? для меня непонятно каким образом, если четко указано что попадать должны пакеты только DST то есть адресованные клиенту.
или все таки если брать выше приведенный пример для 100 абонентов создавать всего два connection-mark один на ин второй на аут
"chain=prerouting action=mark-connection new-connection-mark=in passthrough=yes src-address=0.0.0.0/0"
"chain=prerouting action=mark-connection new-connection-mark=out passthrough=yes dst-address=0.0.0.0/0"
и внутри этих двух маркировок connection, маркировать пакеты всех 100 клиентов??
|
Всего записей: 76 | Зарегистр. 21-07-2009 | Отправлено: 12:01 12-10-2010 | Исправлено: fdboss, 13:44 12-10-2010 |
|
