PfSense не использует весь канал.



  • Здравствуйте. Используем pfSense для раздачи интернета студентам в общежития. Входящий канал 200 Мбит. Для авторизации использует Captive portal. Каждому студенту отдаём по 3 Мбита. Канал режем с помощью лимитеров. Возникла следующая проблема: днём пока мало юзеров используют интернет всё нормально работает. Вечером же когда подключается большая часть юзеров интернет начинает жутко тормозить. Из отведённых 3 Мбит юзер получает 0,8-1,5 Мбита, при этом канал забит только на 90-120 Мбит. Ночью когда большая часть включает торренты канал забит на 150-170 Мбит.  Если оключить лимитеры, то студенты забивают все 200 Мбит. Не пойму в чём проблема? Почему pfSense не использует весь канал?

    Скрины лимитеров и правила:









  • Возможно не хватает ресурсов компьютера? Процессор, память, сетевая карта..



  • @dvserg:

    Возможно не хватает ресурсов компьютера? Процессор, память, сетевая карта.

    pfSense установлен на vmware ESXi 5.5. Под него выделено 4 Гб RAM и 1 виртуальный процессор (4 ядра). VMWare стоит на HP серваке (два 4-х ядерных проца Intel Xeon CPU E5-2609, 16 Гб DDR, винты 15 000 rpm, 4 гигабитные сетевые карты). Мне кажется этого должно быть достаточно.

    Кстати, забыл написать: всего 360 юзеров.




  • Может ли быть это из-за того что установлен 32 битный pfSense а не 64?



  • Вы при полной загрузке на Дачборд смотрели?
    Обратите внимание на параметры, которые подползают к максимуму.
    К примеру, на размер таблицы States.

    Upd.:
    И еще - необходимо обеспечить достаточный резерв пропускной способности для служебного трафика (DNS, ICMP, AH, EX).
    Если служебный трафик будет идти с затыком, то и основной естественно будет страдать.



  • @dvserg:

    Вы при полной загрузке на Дачборд смотрели?
    Обратите внимание на параметры, которые подползают к максимуму.
    К примеру, на размер таблицы States.

    Upd.:
    И еще - необходимо обеспечить достаточный резерв пропускной способности для служебного трафика (DNS, ICMP, AH, EX).
    Если служебный трафик будет идти с затыком, то и основной естественно будет страдать.

    Вечером выложу данные при полной загрузке, точнее в момент тормазов. По поводу служебного трафика: в момент когда инет тормозит канал забит максимум на 150 Мбит (пиковый скачок 173). Вроде бы запас есть (канал 200 Мбит). Причём наблюдал такую картину: если во время тормазов проверить спидтестом до Москвы, то скорость 0,8-1,5 из 3 Мбит, если проверить спидтест до Астрахани, то выдаёт все 3 Мбита. Мы физически находимся в Волгограде. Я вначале думал что провайдер косячит. Подключил кабель от провайдер напрямую в ноут - выдаёт 190-197 Мбит как до Москвы так и до Астрахани. Получается что то не так с pfSense.



  • скриншот vSwitch-а в студию))) И график загрузки (Performanse kB/sec) с интрефейса в vSphere.



  • @pochkaev:

    скриншот vSwitch-а в студию))) И график загрузки (Performanse kB/sec) с интрефейса в vSphere.

    Тут вроде тоже всё ОК.






  • Прелагаю след. вариант.

    Выгружаете бэкап конфига. А лучше - бэкап виртуальной машины и конфига.

    Меняете политику Лимитера на динамическое деление канала между всеми пользователями. Естественно, отдаете им не весь канал, а ,скажем,
    50 Мбит\с для начала. Я бы еще кол-во сессий TCP и , особенно,  UDP ограничил на пол-ля.

    И настоятельно рекомендую создавать правила Лимитера во Floating rules.

    После этого мониторите пару дней ситуацию и делаете выводы.

    И самый важный вопрос - у вас точно "чистые" 200 Мбит\с в мир или же провайдер гарантирует (?) только российский\европейский каналы на такой скорости ? Я вот в этом не уверен . Тогда нужно рисовать несколько Лимитеров. А неверное указание скорости для резания - это проблемы (особенно при большом кол-ве пол-лей) .

    Как вариант - подключайте еще одного\двух провайдеров - будет и балансировка и феиловер.

    P.s. Советую прикрутить IDS (ту же Suricata - http://pfsensesetup.com/tag/suricata/) и "натравить" ее на LAN - интерфейс(-ы) . Вирусы у пол-ей , знаете, тоже трафик кушать любят.

    Иначе залюбитесь объяснять всяким сервисам непонятную активность с ваших IP.

    P.p.s. Вы ,случаем, не из Воронежа будете?


Log in to reply