мах пропускная способность pfSense



  • собственно вопрос интересует сколько pfSense может пропустить через себя максимально трафика ? т.е предполагается его использовать в качестве ядра сети.



  • я склонен доверять тому что написано на
    http://www.pfsense.org/index.php?option=com_content&task=view&id=52&Itemid=49



  • я склонен доверять тому что написано на

    а может стоит прислушаться к тому, что реальные люди говорят?
    http://forum.pfsense.org/index.php/topic,45261.msg251749.html#msg251749
    http://rutracker.org/forum/viewtopic.php?p=34872022#34872022



  • Intel(R) Celeron(R) CPU 2.53GHz
    оперативки может 1 гб, вряд ли больше
    винт какой то ide 7200 rpm (т.е. взяли, который ближе лежал)

    3 сетевые карты, все реалтеки 100 мб/сек, два провайдера, качают примерно 60 гб в месяц.
    интернет прямой (не ВПН)

    Дома pfsense стоит на виртуальной машине (virtual box), посмотрел vnstat - 400 гб в месяц.
    (интернет для сенса прямой, ВПН поднимает роутер)



  • Пропускная способность будет сильно зависеть от установленных дополнительных сервисов.



  • Серверная мамка HP с двумя Pentium III EB 1 GHz, два гигабитных 3Com 995 кажись в слотах PCI-X, соединяющих два сегмента LAN - скорость 45-50 Мбайт/сек для SMB между сегментами  ;)

    Думаю более-менее соответствует действительности вот эта табличка, которую выше указали - http://www.pfsense.org/index.php?option=com_content&task=view&id=52&Itemid=49



  • я имел ввиду может ли он пропустить через себя 2, 3 и более гигабит информации .. соответственно сетевые будут стоять 10Г



  • @nomeron:

    Пропускная способность будет сильно зависеть от установленных дополнительных сервисов.

    из дополнительных сервисов.. будет  BGP ну и какой нибудь крон бекап



  • Раскажу свою историю.
    Помогаю знакомому админу у местного провайдера.
    Все началось более полутора лет тому назад.
    Он поступил на работу и началось.
    Досталось нам сетка из 50 пользователей и канал на 25Мбит, подключающихся через PPTP, через машину билинга (UTM5)
    Нам сразу не понравилось и решили все перекроить, IPoE-рулит.
    Был поставлен pfSense 2 в то время еще beta или RC какой-то.
    Забились костыли для включения отключения пользователям инета.

    Проходит полгода трафик постепенно растет, меняется одна, вторая машина, начинает расти сеть, появляется своя AS и пиринг к провайдерамсоседнего города.
    Переходим на внутренню схему распространения маршрутов через OSPF, ну и конечно внешний через BGP, причем все ставиться на pfSense да и машинка не слабая появилась неслабая 2xX5650.

    Все продолжает работать трафик начинает доходить до 250Mbit и тут мы упираемся в какую-то непонятную планку. Начинаются вдруг резкие потери маршрутов через OSFP и BGP.
    Видим что netisr не справляется с раскидываение пакетиков.
    Убирали с машины OSPF(оставили его на удел железных коммутаторов) и BGP (Поставили еще один pfSense на машинку на порядок слабее там уже 2xX3430), все продолжает работать.

    Следующее планка наступила при 400Mbit - стал дохнуть pfSense обслуживающий BGP, поступили радикально просто выключили на нем файрвол, пересобрали из репозитария pfSense (проблемы с большим количеством маршрутов остались), чтобы netisr мог работать на нескольких ядрах. Нагрузка снизилась до 10~20% при трафике в пике до 1200MBit.

    Но все не бывает вечным сейчас машина, обслуживающая пользователей дохнет на 700-900Mbit входящего трафика, просто напросто прерывания на сетевых картах забиваю полностью процессоры.

    При этом на самом деле по нашим расчетам машинка может прожевать намного больше трафика поскольку основная проблема, как мы выяснили все-таки не Мбит, а количество пакетов проходящих через машину, сейчас пик 170кпакетов и больше просто не вытягивает сетевая подсистема(ненавижу глупых качальшиков торентов).

    То есть сейчас машина которая раздает инет пользователям, нарезая его на полосы до 30Мбит в зависимости от тарифного плана (спасибо тюнингу kern.hz ), прожовывает в пике около 1200Mbit, не было бы торрентов - прожевали еще больше бы.

    В машине две 4-х портовых карточки от Intel, на каждой все 4 порта сгрупированы в один интерфейс.

    Теперь ждем когда к нам приедет нормальный билинг, чтоб пропустить через железный BRAS.



  • 2 PbIXTOP

    Отлично описано.
    Смею предложить ограничивать кол-во соединений с одного IP для всех пол-ей вашей сетки. Pf это позволяет и в нем это отлично работает.



  • Это тоже пробовали и шейпер даже был, пока скорость не достигла 150Мбит
    сейчас одна из необъяснимых проблем переодически через 1-4 суток срывается ядро системы, но благо само тут же востанавливается, то что приклыдывается к дампу ядра вроде говорит о нехватке прерываний для обработки очередей сетевых карт на процессоре.
    Сейчас получается таких очередей 64 (8 очередей на кадждый сетевой порт igb)
    Кстати от NAT тоже пришлось отказать и переложить его работу на другую машину, дает еще прирост в 100Мбит потока.
    Вот еще думаю уговорить отказаться от стейтов, поскольку сейчас их около 300-400 тысяч, а пользовательских таблиц всего 50.
    Правда не знаю как это скажется на dummynet - Limiter, а проводить эксперименты при потоке почти в гигабит боязно, абоненнты некоторые нас задолбали, когда мы две ночи подряд, с 2 до 4 ночи меняли оборудование.
    Простой в 30 секунд, и начинаются звонки.
    Вот поэтому и смотрим уже на большие железки.



  • @ PbIXTOP С определенного момента роста каждому провайдеру рано или поздно приходится переходить на "профессиональные" железки.
    По моему мнению pfSense применим для soho и средней величины организации.
    В "больших организациях" (у нас по крайней мере так) также, как и у Вас, применяют разделение функционала на разные серверы чтобы снизить нагрузку в ответственных местах.

    Кстати, смотрели опции System: Advanced: Networking - Device polling и рядом лежащие ?
    Так же тонкая подстройка системы в System: Advanced: System Tunables.





  • "В машине две 4-х портовых карточки от Intel, на каждой все 4 порта сгрупированы в один интерфейс."

    Попробайте схема на работа с 2х2 порта. Ето i386 или amd64,какая версия на пфс,как распределяете нагрузке на ядра/карточки ?
    Как я понял вы выключили Firewall/NAT ?

    Можно увидем:
    netstat -i
    netstat -hw 1 -I lagX
    vmstat -z | egrep 'ITEM|mbuf'
    netstat -s output | grep drop
    sysctl -a | egrep -i 'hw.machine|hw.model|hw.ncpu'
    pciconf -lvcb
    ipfw show
    ipfw pipe show
    pfctl -sr
    pfctl -sn

    п.п
    У меня для торентов global rules

    add allow  tcp from "table(Х)" to any setup limit src-addr 200
    add allow udp from "table(Х)" to any limit src-addr 200


Locked