PfSense не использует весь канал.
-
Здравствуйте. Используем pfSense для раздачи интернета студентам в общежития. Входящий канал 200 Мбит. Для авторизации использует Captive portal. Каждому студенту отдаём по 3 Мбита. Канал режем с помощью лимитеров. Возникла следующая проблема: днём пока мало юзеров используют интернет всё нормально работает. Вечером же когда подключается большая часть юзеров интернет начинает жутко тормозить. Из отведённых 3 Мбит юзер получает 0,8-1,5 Мбита, при этом канал забит только на 90-120 Мбит. Ночью когда большая часть включает торренты канал забит на 150-170 Мбит. Если оключить лимитеры, то студенты забивают все 200 Мбит. Не пойму в чём проблема? Почему pfSense не использует весь канал?
Скрины лимитеров и правила:
-
Возможно не хватает ресурсов компьютера? Процессор, память, сетевая карта..
-
Возможно не хватает ресурсов компьютера? Процессор, память, сетевая карта.
pfSense установлен на vmware ESXi 5.5. Под него выделено 4 Гб RAM и 1 виртуальный процессор (4 ядра). VMWare стоит на HP серваке (два 4-х ядерных проца Intel Xeon CPU E5-2609, 16 Гб DDR, винты 15 000 rpm, 4 гигабитные сетевые карты). Мне кажется этого должно быть достаточно.
Кстати, забыл написать: всего 360 юзеров.
-
Может ли быть это из-за того что установлен 32 битный pfSense а не 64?
-
Вы при полной загрузке на Дачборд смотрели?
Обратите внимание на параметры, которые подползают к максимуму.
К примеру, на размер таблицы States.Upd.:
И еще - необходимо обеспечить достаточный резерв пропускной способности для служебного трафика (DNS, ICMP, AH, EX).
Если служебный трафик будет идти с затыком, то и основной естественно будет страдать. -
Вы при полной загрузке на Дачборд смотрели?
Обратите внимание на параметры, которые подползают к максимуму.
К примеру, на размер таблицы States.Upd.:
И еще - необходимо обеспечить достаточный резерв пропускной способности для служебного трафика (DNS, ICMP, AH, EX).
Если служебный трафик будет идти с затыком, то и основной естественно будет страдать.Вечером выложу данные при полной загрузке, точнее в момент тормазов. По поводу служебного трафика: в момент когда инет тормозит канал забит максимум на 150 Мбит (пиковый скачок 173). Вроде бы запас есть (канал 200 Мбит). Причём наблюдал такую картину: если во время тормазов проверить спидтестом до Москвы, то скорость 0,8-1,5 из 3 Мбит, если проверить спидтест до Астрахани, то выдаёт все 3 Мбита. Мы физически находимся в Волгограде. Я вначале думал что провайдер косячит. Подключил кабель от провайдер напрямую в ноут - выдаёт 190-197 Мбит как до Москвы так и до Астрахани. Получается что то не так с pfSense.
-
скриншот vSwitch-а в студию))) И график загрузки (Performanse kB/sec) с интрефейса в vSphere.
-
скриншот vSwitch-а в студию))) И график загрузки (Performanse kB/sec) с интрефейса в vSphere.
Тут вроде тоже всё ОК.
-
Прелагаю след. вариант.
Выгружаете бэкап конфига. А лучше - бэкап виртуальной машины и конфига.
Меняете политику Лимитера на динамическое деление канала между всеми пользователями. Естественно, отдаете им не весь канал, а ,скажем,
50 Мбит\с для начала. Я бы еще кол-во сессий TCP и , особенно, UDP ограничил на пол-ля.И настоятельно рекомендую создавать правила Лимитера во Floating rules.
После этого мониторите пару дней ситуацию и делаете выводы.
И самый важный вопрос - у вас точно "чистые" 200 Мбит\с в мир или же провайдер гарантирует (?) только российский\европейский каналы на такой скорости ? Я вот в этом не уверен . Тогда нужно рисовать несколько Лимитеров. А неверное указание скорости для резания - это проблемы (особенно при большом кол-ве пол-лей) .
Как вариант - подключайте еще одного\двух провайдеров - будет и балансировка и феиловер.
P.s. Советую прикрутить IDS (ту же Suricata - http://pfsensesetup.com/tag/suricata/) и "натравить" ее на LAN - интерфейс(-ы) . Вирусы у пол-ей , знаете, тоже трафик кушать любят.
Иначе залюбитесь объяснять всяким сервисам непонятную активность с ваших IP.
P.p.s. Вы ,случаем, не из Воронежа будете?