Проблемы со скоростью интернета

[vobbs]

Добрый день.

Вопрос не к админам, а к участникам форума.

Стоит последняя версия UTM на FreeBSD 7.2. Локальная сеть - 4000 клиентов.

Скорость режется на ipfw пайпами.

Для каждого тарифа создается таблица, куда заносятся все клиенты и пайп для нее.

Код: Выделить всё

ipfw add 666 drop ip from "table(66)" to any
...
ipfw pipe 7 config mask src-ip 0xffffffff bw 5120Kbit/s queue 40Kbytes
ipfw pipe 8 config mask dst-ip 0xffffffff bw 5120Kbit/s queue 40Kbytes
ipfw add 1007 pipe 7 ip from "table(4)" to any out
ipfw add 1008 pipe 8 ip from any to "table(4)" in
...

Клиенты добавляются динамически. В 66 таблице заблокированные.
Скорость загрузку (download) режется нормально, а вот с upload какой-то косяк - выше чем на 2/3 от выставленной скорости в пайпах, скорость не поднимается ни днем, ни вечером в пике.

Например, для 4-ой таблицы и скорости в 5Мбит, speedtest.net показывает следующее - download 6.99, upload 4.2

Нагрузка по systat 1 -ifstat при этом в половину канала в 280Мбит.

Помогите найти лучшее решение. Бьемся с проблемой 4-ый месяц. Будем рады любым советам.

[Pulse]

natd?

[JAO]

Пакеты со статусом in вообще зачем в трубу ставить? резать только out и по возможности явно указав интерфейс, с которого out.

[vobbs]

Пакеты со статусом in вообще зачем в трубу ставить? резать только out и по возможности явно указав интерфейс, с которого out.

In режется входящий трафик или не так ?

Интерфейс указывали - толку ноль.

[vobbs]

natd?

Нет, ната нет. Айпишники прямые.

[zat]

natd?

Нет, ната нет. Айпишники прямые.

а я думал что 4к клиентов с натом так легко на таких скоростях обрабатываются. Уж хотел спросить, что за железо.

[JAO]

Трафик делится на два потока. Исходящий - от клиента в инет через роутер. Входящий - из инета к клиенту через тот же роутер. Для роутера исходящий от клиента пакет будет сначала in на внутреннем интерфейсе, а потом out на внешнем. А входящий для клиента будет у роутера сначала in на внешнем, а потом out на внутреннем. Так вот исходящий трафик подрезается по признаку out xmit "внешний интерфейс", а входящий - по признаку out xmit "внутренний".

[vobbs]

то есть in везде заменить на out и выставить интерфейсы ? Вход и выход через один интерфейс. Прописать одинаковые или вообще оставить одно правило ?

[vobbs]

а я думал что 4к клиентов с натом так легко на таких скоростях обрабатываются. Уж хотел спросить, что за железо.

Код: Выделить всё

set optimization aggressive
set limit states 300000
set limit src-nodes 1000
set timeout tcp.established 1800

500Мбит натится совершенно спокойно через pf.

[JAO]

Да, везде где трафик заворачивается в pipe.

[vobbs]

Да, везде где трафик заворачивается в pipe.

а как быть, если один интерфейс и на вход и на выход ?

[vobbs]

Код: Выделить всё

01011           0             0 pipe 11 ip from table(6) to any out xmit igb0
01012        6055       4821024 pipe 12 ip from any to table(6) out xmit igb0

И как результат - исходящая скорость в два раза выше заявленных 7Мбит. Вход - ровно 7Мбит

[JAO]

Через один? Это у вас что за отражатель? Тогда только out без имени интерфейса, а различие будет по адресам.

[vobbs]

Без интерфейса - download 7, upload - 6. Больше похоже на правду, но все равно не идеально.

На безлимитном канале показывает 280 и 50 соответственно. Непонятно почему исход такой на незагруженном канале.

Посоветуйте куда смотреть.

От вышестоящего оператора, по их заверениям канал приходит в оба конца 280...

[NShut]

хотелось бы уточнений:
1. на момент тестирования как загружена система
2. чем вообще скорость мерится и чем загрузка канала создается
3. метод проб. если повысить скорость в два раза, как меняется ситуация

сам же давно использую pf altq хотя можно и ipfw + altq
скорость in зарезать нельзя, но по out режется на ура. если проблема больше 3 мес. думаю стоит подумать о варианте пробы и переходе