Pfsense производительность
-
Народ, кто как тюнингует производительность пфсенса? проблема следующая: стоит 1.2.2 версия, на ней - около 150 ipsec клиентов, в каждой подсети - 2-3 пк, в офисе - десятка два серверов, в том числе и система мониторинга whatsup, в ней - около 230 обектов мониторинга, которые за пфсенсом, так вот когда он проходит проверку на доступность обектов (пингует) - создается впечатление что пинги теряются, при этом с паралельной машинки -все пингуется, icmp limit увеличил с 500 до 2000 - немного помогло, когда поменяли на циску (правда слабую) - еще больше помогло, но циску не можем ставить по некоторым причинам, винду пробовал "тюнинговать", и то и то стоит на виртуалках (и разные сервера и один пробовал), ресурсов хватает… загрузка не более 30-60(в пике) %,
жду советов :)
-
что в это время показывает top?
и подробно железо все
-
какие именно надо данные от top?
железо - виртуалка, двухпроцессорный оптерон, 16 гб памяти, скази рейд, под пфсенс выделено четверть процессорного времени, оперы -2гб
-
какие именно надо данные от top?
железо - виртуалка, двухпроцессорный оптерон, 16 гб памяти, скази рейд, под пфсенс выделено четверть процессорного времени, оперы -2гбвсе, это большой секрет?
Просвятите, что значит четверть процессорного времени?
-
Просвятите, что значит четверть процессорного времени?
Вы с vmware работали? суммарная частота, двух двухядерных оптеронов - 4х2592Ghz, на пфсенс выделено 2592Ghz, т.е. одно полное ядро. я считаю этого более чем достаточно для него. так как загрузка в пике не превышала 1000Ghz
ап Добавил два скрина, на них видны настройки и загрузки, в т.ч. по количеству пакетов проходящих через пфсенс, думаю затык там….
-
Вы с vmware работали? суммарная частота, двух двухядерных оптеронов - 4х2592Ghz, на пфсенс выделено 2592Ghz, т.е. одно полное ядро. я считаю этого более чем достаточно для него. так как загрузка в пике не превышала 1000Ghz
и не только, но такой термин услышал в первые
я просил что за железо на пфсенс, ждал ответа типа: 1х2600Mhz (чисто по секрету 4х2592Ghz - таких процессоров пока нет =) ну и 2Gb памяти
потом что за сетевые карты, раз дело идет про сеть, не правда ли?и очень жду вывод top в момент нагрузки, чтобы понять, что именно у вас проседает и что именно ее так грузит, спасибо
-
и не только, но такой термин услышал в первые
обяснил своими словами
(чисто по секрету 4х2592Ghz - таких процессоров пока нет =)
2,592 запятые не поставил :) нервы…
память - оперативки... не кэш :)сетевушки в аттаче...
топ - тоже... загрузки как таковой нет, так как момент пика очень кратковременный, выследить тяжело...
-
нагрузка процессора никакая, память и кеш пустые, следовательно обрабатывается все pfsense'ом на ура
может сетевые не поспевают? может что-то еще такое жутко сетевое висит в виртуалке?
-
в том то и дело - что тушил все остальное - не помогает :(
-
в том то и дело - что тушил все остальное - не помогает :(
меня два нижних сетевых адаптера смущают, пробовал использовать только два верхних?
-
чем они могут смущать? если общей загрузкой - то на них только пфсенс и висит, это для инета, причем один из них интел - вмварь к адаптерам переборчива….
-
не советник я в вмваре, но всё-таки топ лучше запускать с ключом -S
Что показывают РРД графики pfSense для трафика и пакетов в секунду?
-
скрины, top -S
-
wan1 - основной инет канал
wan2 - вторичный инет канал
-
lan 1 -основная локалка
lan 2 -локалка ко второму офису
-
Это не нагрузка, это так - посмеяться, дело в чем-то другом ИМХО
-
Это не нагрузка, это так - посмеяться, дело в чем-то другом ИМХО
Я понимаю что для него это не нагрузка…
Меня интерисует - нет ли ограничения\ затыка в количестве пакетов, так как ICMP лимита в 500 - было мало, возможно что то еще подобное ограничивается...
-
когда он проходит проверку на доступность обектов (пингует) - создается впечатление что пинги теряются
Можно по-подробнее - откуда такое странное впечатление? может показалось?
icmp limit увеличил с 500 до 200 - немного помогло
что это за лимит?
-
Впечатление - правой кнопкой на софтинке -пинг - не идет, с соседнего пк - проблем нет
/etc/sysctl.conf
Set a reasonable ICMPLimit def 500
net.inet.icmp.icmplim=2000
-
Впечатление - правой кнопкой на софтинке -пинг - не идет, с соседнего пк - проблем нет
/etc/sysctl.conf
Set a reasonable ICMPLimit def 500
net.inet.icmp.icmplim=2000
tcpdump на pfSense и правой кнопкой на софтинке - сразу будет видно, что и куда не идёт.
-
пробовал, на интерфейс пофсенса пакеты попадают….
-
пробовал, на интерфейс пофсенса пакеты попадают….
Уходит в IPSec tunnel и приходит назад?
-
во! вот тут и загвоздка - как узнать какой именно тунель, если интерфейсов тунельных я не вижу (или не нашел как посмотреть, но помоему - один общий), а тунелей около 150…
-
И что все тоннели имеют одинаковые Remote Peer's IPs? т.е. все 150 между двумя сайтами?
-
нет.
через вебморду я вижу тонели отдельно.ifconfig - следующая картина:
em0:
em1:
em2:
em3:
plip0: flags=108810 <pointopoint,simplex,multicast,needsgiant>metric 0 mtu 1500
pflog0: flags=100 <promisc>metric 0 mtu 33204
lo0: flags=8049 <up,loopback,running,multicast>metric 0 mtu 16384
inet 127.0.0.1 netmask 0xff000000
inet6 ::1 prefixlen 128
inet6 fe80::1%lo0 prefixlen 64 scopeid 0x7
enc0: flags=41 <up,running>metric 0 mtu 1536
pfsync0: flags=141 <up,running,promisc>metric 0 mtu 1460
pfsync: syncdev: lo0 syncpeer: 224.0.0.240 maxupd: 128
ng0: flags=8890 <pointopoint,noarp,simplex,multicast>metric 0 mtu 1500
ng1: flags=88d1 <up,pointopoint,running,noarp,simplex,multicast>metric 0 mtu 1396
inet6 fe80::250:56ff:fe91:250e%ng1 prefixlen 64 scopeid 0xb
inet 172.23.255.1 –> 172.23.255.200 netmask 0xffffffff
ng2: flags=8890 <pointopoint,noarp,simplex,multicast>metric 0 mtu 1500
inet6 fe80::250:56ff:fe91:250e%ng2 prefixlen 64 scopeid 0xc
ng3: flags=8890 <pointopoint,noarp,simplex,multicast>metric 0 mtu 1500
inet6 fe80::250:56ff:fe91:250e%ng3 prefixlen 64 scopeid 0xd
ng4: flags=8890 <pointopoint,noarp,simplex,multicast>metric 0 mtu 1500
inet6 fe80::250:56ff:fe91:250e%ng4 prefixlen 64 scopeid 0xe
ng5: flags=8890 <pointopoint,noarp,simplex,multicast>metric 0 mtu 1500
ng6: flags=8890 <pointopoint,noarp,simplex,multicast>metric 0 mtu 1500
ng7: flags=8890 <pointopoint,noarp,simplex,multicast>metric 0 mtu 1500
.......
ng80: flags=8890 <pointopoint,noarp,simplex,multicast>metric 0 mtu 1500как увидеть где какой тунельный интерфейс, если это IPsec Mobile clients</pointopoint,noarp,simplex,multicast></pointopoint,noarp,simplex,multicast></pointopoint,noarp,simplex,multicast></pointopoint,noarp,simplex,multicast></pointopoint,noarp,simplex,multicast></pointopoint,noarp,simplex,multicast></pointopoint,noarp,simplex,multicast></up,pointopoint,running,noarp,simplex,multicast></pointopoint,noarp,simplex,multicast></up,running,promisc></up,running></up,loopback,running,multicast></promisc></pointopoint,simplex,multicast,needsgiant>
-
Стоп. Какая связь между IPSec и ngХ интерфейсами?
IPSec tunnel не имеет отдельного интерфейса. А определять какому тоннелю относятся ESP-пакеты на WAN можно только зная удалённый PublicIP.
-
IPSec tunnel не имеет отдельного интерфейса. А определять какому тоннелю относятся ESP-пакеты на WAN можно только зная удалённый PublicIP.
и я об чем….
как тогда увидеть трафик внутри нужного тонеля?
-
Я смею предположить, что тоннели натянуты от одной коробки (концентратора) к разным удалённым офисам, т.е. мы должны видеть разные IP-адреса для разных удалённых офисов. Т.о. можно трассировать только ESP трафик между этой центральной коробкой (пфСэнс) и одним удалённым офисом.
-
так и есть - пфсенс один, клиентов более 150…
-
Отлично. Один клиент - один IP.