spravny smer pri upgradu gw

[Dalibor Toman]

Použil jsem IPSET,který pošle packet přímo do příslušné CLASSID v shaperu.O proti iptables (podle testů na stole) nárůst výkonu 20-25%.

rychle shapovani se pomoci TC dela pres hash table .... Netreba znackovat packety apod

[ludvik]

Jenže pochopení hash tables je vyšší dívčí A přes ipset je to tak krásně jednoduché ... a nevím proč by to mělo nějak výrazně snižovat výkonnost oproti hash tabulkám přímo v TC. Teoreticky nemělo.

Prometheus není až tak složitý, aby tam nešlo IPv6 dobastlit. Já tu potřebu zase tolik nemám. Kromě toho v našem pojetí sítě se to na to ani použít nedá.

[erotel]

Použil jsem IPSET,který pošle packet přímo do příslušné CLASSID v shaperu.O proti iptables (podle testů na stole) nárůst výkonu 20-25%.

rychle shapovani se pomoci TC dela pres hash table .... Netreba znackovat packety apod

Mohl by jsi mě trošku "nakopnout" správným směrem?

Teď používám ipset

Kód: Vybrat vše

ipset create qos hash:net family inet6 skbinfo

        ipset add qos $IP skbprio 1:$CLASSID


[Dalibor Toman]

Použil jsem IPSET,který pošle packet přímo do příslušné CLASSID v shaperu.O proti iptables (podle testů na stole) nárůst výkonu 20-25%.

rychle shapovani se pomoci TC dela pres hash table .... Netreba znackovat packety apod

Mohl by jsi mě trošku "nakopnout" správným směrem?

btw:koukal jsem na to znackovani ipsetem a nevypada to marne. Problem je, ze RH like distra v ipsetu nic takoveho nemaji (alespon man ipset to nepopisuje)..

K hash tabulkam se da neco malo najit na WWW ale dopatrat se srozumitelnych iNformaci na jednom miste je trosku problem. NeJLEPSI POPIS JE ASI TADY:
http://linux-tc-notes.sourceforge.net/t ... ls_u32.txt - Hledat kapitolu 'Hashing'
Nejaky example tady:
http://www.tldp.org/HOWTO/Adv-Routing-H ... shing.html


Ja napriklad mam 2 urovne hash tabulek. Nejprve skacu z defaultni hash tabuly 800 pomoci hodnoty 3tiho bytu adresy do jedne z 255 tabulek, kde jsou pak v kazde bunce jiz filtry na konkretni adresu (rozliseni stavu, kdy IP adresy maji posledni 2 byty stejne)

pro jeden smer:

...
filter add dev eth0 parent 1:0 prio 100 handle 10: protocol ip u32 divisor 256
...
filter add dev eth0 protocol ip parent 1:0 prio 100 u32 ht 800:: match ip src 213.19.0.0/17 hashkey mask 0x0000ff00 at 12 link 10:
filter add dev eth0 protocol ip parent 1:0 prio 100 u32 ht 800:: match ip src 213.250.192.0/18 hashkey mask 0x0000ff00 at 12 link 10:
...
filter add dev eth0 parent 1:0 prio 100 handle 100: protocol ip u32 divisor 256
filter add dev eth0 protocol ip parent 1:0 prio 100 u32 ht 10:0: match ip src 0.0.0.0/0 hashkey mask 0x000000ff at 12 link 100:
filter add dev eth0 parent 1:0 prio 100 handle 101: protocol ip u32 divisor 256
filter add dev eth0 protocol ip parent 1:0 prio 100 u32 ht 10:1: match ip src 0.0.0.0/0 hashkey mask 0x000000ff at 12 link 101:
...
filter add dev eth0 parent 1:0 prio 100 handle 1ff: protocol ip u32 divisor 256
filter add dev eth0 protocol ip parent 1:0 prio 100 u32 ht 10:ff: match ip src 0.0.0.0/0 hashkey mask 0x000000ff at 12 link 1ff:

# vlastni zakaznik:
# 39 = 0x27 (hexa) => has tabulka ma id 100+27=127
# 219 = 0xdb (index do hash tabulky v hexa)
class add dev eth0 parent 1:90 classid 1:1027 htb rate 2040kbit ceil 8620kbit prio 5
filter add dev eth0 protocol ip parent 1:0 prio 100 u32 ht 127:db: match ip src 213.19.39.219 flowid 1:1027

[erotel]

No pokud to chápu dobře,tak podle mě tam ten ipset bude výkonově na stejný úrovni.Sice používám iptables,ale jsou to jen 4 řádky.

Kód: Vybrat vše

root@78-ipv6gw:~# ip6tables  -t mangle -L --lin -v -n
Chain FORWARD (policy ACCEPT 3194 packets, 2310K bytes)
num   pkts bytes target      prot opt   in          out     source            destination
1     1801 2146K CLASSIFY   all          vlan1000    *       ::/0                 ::/0                 CLASSIFY set 1:9000
2     1393  164K CLASSIFY   all          vlan0105    *       ::/0                 ::/0                 CLASSIFY set 1:9000
3     1801 2146K SET       all           vlan1000    *       ::/0                 ::/0                 map-set qos src map-prio
4     1393  164K SET       all           vlan0105    *       ::/0                 ::/0                 map-set qos dst map-prio


První označí všechny packety do classid 1:9000 (freezone 512kbit),pokud je ip v databázi,tak další pravidlo v ipsetu ho pošle do dané classid.

http://ipset.netfilter.org/ipset.man.html ipset musí být 6,22 nebo vyšší a ip6tables v1.6.0

Kód: Vybrat vše

skbinfo, skbmark, skbprio, skbqueue

All set types support the optional skbinfo extension. This extension allow to store the metainfo (firewall mark, tc class and hardware queue) with every entry and map it to packets by usage of SET netfilter target with --map-set option. skbmark option format: MARK or MARK/MASK, where MARK and MASK are 32bit hex numbers with 0x prefix. If only mark is specified mask 0xffffffff are used. skbprio option has tc class format: MAJOR:MINOR, where major and minor numbers are hex without 0x prefix. skbqueue option is just decimal number.


ipset create foo hash:ip skbinfo

ipset add foo skbmark 0x1111/0xff00ffff skbprio 1:10 skbqueue 10

Zde jsme našel inspiraci http://forum.nag.ru/forum/index.php?showtopic=101191

[whiteagle]

Ahoj hoši, prosím zpátky k tématu.
Jak honíte provoz pres ten shaper?
Je to konektivita --> ccr --> x86 --> zpatky na ccr nebo jak?
diky v.

[K3NY]

Ahoj hoši, prosím zpátky k tématu.
Jak honíte provoz pres ten shaper?
Je to konektivita --> ccr --> x86 --> zpatky na ccr nebo jak?
diky v.

Jo. Vetšinou se to řeší tak že ma RT/SW na ktery se pote zase vracis, nebo vstupjes VLAN A a vystupuješ VLAN B.