Задать вопрос
@alexdora
Топ-менеджер

Что можно улучшить в маршрутизации?

Стоит сервер на базе 2 процессорного ксенона E5-2690v4
На сервере 4 аплинка: 10Gbit + 1Gbit + 1Gbit + 1Gbit
В качестве виртуального хоста используется vmware esxi 6.5 с проброшенными Pass-throught сетевыми картами в Ubuntu 1404 которая является маршрутизатором и "фаерволлом". Я выделяю в кавычки потому что виртуальные машины не используют iptables для отсеивания трафика. Вместо этого fail2ban у них настроен таким образом, что все виртуалки в несколько таблиц собирают плохие ip-адреса, а потом сам маршрутизатор зацепляет из таблиц и вносит в списки ipset для блокировки на уровне PREROUTING. Т.е все баны раздаются основные прямо на маршрутизаторе.
Возможность выдать ip-адрес прямой для каждой виртуалки есть. Но этот вариант выбран исходя из:
1. Не хочу светить много адресов из блока
2. По результатам изначальной настройки год назад нагрузка общая на процессор меньше 10%-12% при такой схеме в праймвремя
Все работает, но потихоньку хочется расширять все это дело. В праймтайм нагрузка 6-8гбит на выход. Ну, видно что захлебывается. Количество ядер особо не влияет на ситуацию. Смотрю в сторону любых улучшений. Может есть какая-то редакция linux более заточенная на фильтрацию/маршрутизацию. Или к примеру можно как-то улучшить саму схему.

PS: это не в дата-центре стоит если что...
  • Вопрос задан
  • 229 просмотров
Подписаться 1 Простой Комментировать
Пригласить эксперта
Ответы на вопрос 1
Ubuntu 1404 которая является маршрутизатором и "фаерволлом".
ШОо?

Я выделяю в кавычки потому что виртуальные машины не используют iptables для отсеивания трафика. Вместо этого fail2ban
Как думаешь с помощью чего рулит трафиком fail2ban? Подсказываю - iptables.

Может есть какая-то редакция linux более заточенная на фильтрацию/маршрутизацию.
Centos 7 + DPDK, FreeBSD
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы