Polecamy także LOKALNĄ AKADEMIĘ CISCO.

ISP, czyli dostawcy Internetu często borykają się z granicami przepustowości routerów. Internet jest pełen opisów, tutoriali traktujących o budowie routera opartego o Linux.

Często są to bardzo dobre informacje, rzetelne i pozwalające zbudować dobrej jakości router. Jednakże zwykle  administrator trafia na problem z wydajnością, przepustowością.

Kupuje od dostawcy 400Mbps puszcza ruch a tam 250 – 300Mbps i koniec, dach na wykresach.

Powody są złożone, sprzęt (frimware np. eth) skonfigurowany optymalnie a nie wydajnie, braki w optymalizacji Firewalla.

Niekończące się linie iptables i tc, zanim pakiet trafi na swoja regułkę przeleci 2tyś innych, w tym czasie system się obciąża a pakiet czeka na wysłanie w świat. Jest wiele różnych bolączek konfiguracyjnych routera.

Doświadczenie i wiedza pozwalają rozwiązać te problemy, na maszynie

cat /proc/cpuinfo | grep "model name"
model name      : Intel(R) Pentium(R) CPU        G6950  @ 2.80GHz
model name      : Intel(R) Pentium(R) CPU        G6950  @ 2.80GHz
cat /proc/meminfo
MemTotal:        2053400 kB
MemFree:          175188 kB
lspci | grep Eth
10:00.0 Ethernet controller: Intel Corporation 82571EB Gigabit Ethernet Controller (rev 06)
10:00.1 Ethernet controller: Intel Corporation 82571EB Gigabit Ethernet Controller (rev 06)
20:00.0 Ethernet controller: Broadcom Corporation NetXtreme BCM5723 Gigabit Ethernet PCIe (rev 10)
22:00.0 Ethernet controller: Broadcom Corporation NetXtreme BCM5723 Gigabit Ethernet PCIe (rev 10)

Spokojnie z load 0.0 czasem 0.05 obsługiwanych jest 4tyś. abonentów, adresy prywatne a więc maskowane.

Komunikat ip_conntrack: table full

nie zaistnieje. Wszystko jest kwestią odpowiedniego przeprogramowania sprzętu oraz systemu.

Profesjonalne, niezwykle wydajne i skalowalne routery, które nie kosztują dziesiątek czy setek tysięcy złotych to nie mit.

Nie daj się wciągać w drogie „sprzętowe” rozwiązania.  Zaufaj odpowiedniej wiedzy i doświadczeniu.

Odpowiednio przygotowana maszyna może być równocześnie wydajnym i skalowalnym routerem dla tysięcy abonentów, obsługiwać BGP i OSPF do kilku operatorów oraz pracować jako koncentrator PPPoE. W takiej konfiguracji podmiana adresu mac nie pozwoli kraść Internet.

Zapraszam do kontaktu.

Wykres przepustowości z jednego z routerów Linuks:

tar xf linux-2.6.38.6.tar.gz
cd linux-2.6.38.6

pobieramy patcha IMQ

wget http://www.linuximq.net/patchs/linux-2.6.38-imq-multiqueue-test1.patch

patch -p1 <linux-2.6.38-imq-multiqueue-test1.patch

W celu ułatwienia sobie życia skopiujemy aktualne ustawienia jądra:

cp /boot/config-`uname -r` ./.config

teraz

make menuconfig

Kiedy ostatni raz robiłem patche to nawet nie pamiętam,
dziś się dowiedziałem że p-o-m już jest zawarty, że w zamian dali xtables-addons a IMQ to nadal wynalazek ręcznie łatany.

cd /usr/src

iptables, ściągamy, rozpakowujemy:

wget http://www.netfilter.org/projects/iptables/files/iptables-1.4.12.2.tar.bz2
bzip2 -dc iptables-1.4.12.2.tar.bz2 | tar xf –
cd /usr/src/iptables-1.4.12.2

Patch IMQ, w katalogu iptables aplikujemy patch IMQ:

wget http://www.linuximq.net/patchs/iptables-1.4.12-IMQ-test4.diff
patch -p1

Instalacja iptables z patchem IMQ

./configure
make
make install

xtables-addons:
wget http://heanet.dl.sourceforge.net/project/xtables-addons/Xtables-addons/1.41/xtables-addons-1.41.tar.xz
tar -Jxf xtables-addons-1.41.tar.xz
cd xtables-addons-1.41
./configure --with-kbuild=/lib/modules/2.6.38-custom/build
make
make install

Powodzenia

iptables -t mangle -N LICZNIK
iptables -A PREROUTING -i eth1 -t mangle -m hashlimit --hashlimit 1/min --hashlimit-mode srcip --hashlimit-burst 1 --hashlimit-name ip_count --hashlimit-htable-expire 60000 -j LICZNIK

odczytanie tablicy:

wc -l /proc/net/ipt_hashlimit/ip_count | awk '{print $1}'

cyferki przy  –hashlimit-htable-expire to czas w msec , po tym czasie IP wypada z tablicy.

Jeśli chcemy mieć absolutnie pewny, stabilny serwer to oczywiście nie mieszamy nic w repozytoriach.

Jednakże … wiemy jak jest

Więc jeśli chcemy mieć zawsze najnowsze wersje oprogramowania LAMP ( apache, php, mysql )to dodajemy sobie kolejne repozytorium:

deb http://dotdeb.0xdb.pl stable all
deb-src http://dotdeb.0xdb.pl stable all

znalazłem gdzieś na jakimś forum … super!

apt-get update 2> /tmp/keymissing; for key in $(grep “NO_PUBKEY” /tmp/keymissing

|sed “s/.*NO_PUBKEY //”); do echo -e “\nProcessing key: $key”; gpg –keyserver subkeys.pgp.net

–recv $key && sudo gpg –export –armor $key | apt-key add -; done

• ssh
• ftp
• rdesktop
• cu
• sftp
• remote-tty
• telent

Tyle protokołów obsługuje ten klient, do tego makra i …ładny szybki i stabilny. Każdy administrator powinien mieć w pasku zadań takie narzędzie

Polecam!

Jeszcze by się przydało powiedzieć co to za program

<a href=”http://sourceforge.net/projects/pacmanager/“>PacmanManager</a>

Można po prostu du -h /home

ale… znalazłem coś fajnego:

apt-get install ncdu

Teraz to faktycznie widzę wszystko jak na tależu ;-)

tak wygląda zestawienie:

***********************************************************************

— /oracle ———————————————————————————————————————————————————————————————–

238,0GiB [##########] /u01

.  25,6GiB [#         ] /proc

11,2GiB [          ] /home

2,9GiB [          ] /usr

730,7MiB [          ] /root

270,0MiB [          ] /lib

207,1MiB [          ] /sys

91,3MiB [          ] /etc

91,1MiB [          ] /var

37,9MiB [          ] /sbin

23,8MiB [          ] /lib64

20,0MiB [          ] /boot

7,5MiB [          ] /bin

676,0kiB [          ] /opt

524,0kiB [          ] /dev

56,0kiB [          ] /tftpboot

48,0kiB [          ] /tmp

Na serwerze z pewnych względów nie może instalować  nowego oprogramowania. Tak bardzo chciałem rsync

Pozostało podmontować sobie cały serwer na inna maszynę. Padło na sshfs.

Na serwerze Uuntu:

apt-get install sshfs

modprobe fuse

mkdir /oracle

sshfs root@192.168.*.*:/ /oracle

Od tej chwili w katalogu /Oracle mamy zawartość serwera 192.168.*.*:/

Proste a jak pomocne…

jak od montować zasób?

a tak:

fusermount -u /oracle