UTM 5 + VPN(pptp): очень много программных прерываний на CPU

[andretty]

Доброго времени суток всем!

Вот какая оказия приключается:
Использую биллинг UTM 5.0 и NAS сервер на основе gentoo linux (ядро linux-2.6.29-r5, 2-х ядерный intel Core2, подробно конфигурацию можно посмотреть тут) для подключения клиентов при помощи VPN соединений. На NAS сервере работают только демон pptpd, считалка трафика (ipcad) и утилита управления файерволом (rfwclient). Одновременно активных VPN сессий даже в часы пик насчитывается не более 400, загрузка процессора в это время не превышает 10%, load average тоже в норме - 3.0-4.0%, но вот очень смущают показатели загрузки процессора программными прерываниями (показатель %si в утилите top) - при загрузке одной VPN сессии на 100% (25 Мбит) наблюдается загрузка процессора прерываниями на 8-10%, при таком значении уже наблюдается падение процессов pppd в следствии чего происходят разъединения у клиентов, но вообще при таком ахтунге достаточно всего 4-х клиентов чтобы загрузить процессор одними только прерываниями на ~40%... Подскажите кто сталкивался, как можно полечить эту проблему с VPN и уменьшить нагрузку на процессор? Также буду очень признателен за примеры, у кого и на какой нагрузке такая (или подобная) конфигурация работала нормально?

В случае, если проблема не лечится, посоветуйте, на какой протокол коммутируемой связи лучше перейти в этом случае для достижения стабильной работы?

Еще хочу поинтересоваться у тех, кто использует для соединений клиентов протокол PPPoE: подскажите пожалуйста, присутствует ли на нем подобная проблема?

[gil]

м.б., стоит посмотреть на связку freebsd+mpd5+ng_car+ng_netflow+pf?

[Витька]

Как ведут себя процессы ksoftirqd?
Посмотрите профайлером oprofile, кто конкретно даёт нагрузку.
Основные причины тому обычно: проблема с драйверами сетевой карты, проблема с самой сетевой картой, большое число правил в файрволе, косяки в правилах файрвола.
Главную роль обычно играет не количество соединений как таковых, а число пакетов в секунду, пролетающих по интерфейсам.

[andretty]

м.б., стоит посмотреть на связку freebsd+mpd5+ng_car+ng_netflow+pf?

Спасибо, учту на будующее, но пока не исчерпаны варианты хотелось бы существующее на текущей платформе довести до ума

Как ведут себя процессы ksoftirqd?
Посмотрите профайлером oprofile, кто конкретно даёт нагрузку.
Основные причины тому обычно: проблема с драйверами сетевой карты, проблема с самой сетевой картой, большое число правил в файрволе, косяки в правилах файрвола.
Главную роль обычно играет не количество соединений как таковых, а число пакетов в секунду, пролетающих по интерфейсам.

ksoftirqd загружает проц на 3-6% даже в часы пик, всего таких процессов 2. С сетевой картой и с её драйверами проблем нет - загрузку аппаратными прерываниями мы уже проходили пофиксилось сперва применением Polling'а а затем и вовсе установкой intel'овской карты с поддержкой Adaptive interrupts moderation. Сейчас даже в самое острое время загрузка аппаратными прерываниями не превышает 2%. Здесь беда именно в программных прерываниях - их от 17% до 25% - что черезчур многовато. Опытным путем я установил, что генерируются эти прерывания ppp туннелями, но вот как лечить это никак немогу понять.

[mikkey finn]

accel-pptp

[Vadimus]

Действительно, нужно использовать accel-pptp, а еще лучше PPPoE (пакет rp-pppoe), на такой машине может работать значительно большее количество одновременных сессий. Да и трафик считать ipcad'ом не стоит, лучше для этого использовать модуль ipt-netflow http://sourceforge.net/projects/ipt-netflow/files/

[andretty]

accel-pptp

Точно Уже опробовал, спс, это решило проблему. PPPoE тоже бы конечно неплохо, но много телодвижений (в т.ч. со стороны клиента) нужно совершить чтобы осуществить переход...

Единственное, что мучит это откуда ни возьмись появившееся ограничение на продолжительность: каждые 24 часа сессия рвется, в лог падает мессага типа LCP terminated by peer (Connection time expired) подскажите, что можно сделать чтобы отключить это ограничение? Доки по этому продукту практически отсутствуют поэтому нет даже возможности узнать список поддерживаемых опций. Еще в случае если accel-pptp является клиентом то не срабатывает опция persist, тоже очень хотелось бы пофиксить, но это уже второстепенно...

[Vadimus]

Обрыв сессии через 24 часа происходит, скорее всего, из-за настроек радиуса.

[andretty]

Обрыв сессии через 24 часа происходит, скорее всего, из-за настроек радиуса.

Не думал об этом... Вообще на обычно pptp такого не наблюдалось, сессия могла висеть неделями ато и месяцами. Но может быть Вы и правы. Подскажете где подкрутить?

[dwemer]

radius_max_session_age в параметрах

[mikkey finn]

лучше в радиус-параметрах для NAS/услуги добавить 0/27/0