Stvol1668 | Дата: Четверг, 19.02.2015, 17:35 | Сообщение # 1 |
Рядовой
Группа: Пользователи
Сообщений: 2
Статус: Offline
| Доброго времени суток!
Есть 2 вопроса.
Вопрос 1. Есть Шлюз debian + squid + DG core i3 + 12gb ddr3 + 2x500gb WD yellow в зеркале, 1 сетевуха интел для провайдера, 2е сетевухи интел в бондинге на локаль. в сетке около 300 машин, половина по vlan в других местах города (26 точек). Примерно 100 машин подвергаются жесткой фильтрации, есть и белый список и черный и фильтрация по фразам. (перейти полностью на белый не можем, ослабить или уменьшить количество фраз тоже), также фильтруется весь wifi (30 точек)
В дежурном режиме все работает более-менее сносно, но когда нагрузка увеличивается из-за каких-нибудь курсов, когда 10 машин идут на одни и те же сайты, или запускают одинаковые сервисы типа скайпа, то скорость на ВСЕХ фильтрованных машинах падает до неприемлемого уровня, бывает просто до 0.
service squid3 restart + service dansguardian restart наше все. бывает в такие дни по несколько раз приходится перезапускать и какое-то время все работает нормально.
В чем может быть причина? что посоветуете?
Вопрос 2. Вытекает из первого. Планируется покупать новый сервер под шлюз. На что необходимо в первую очередь обращать внимание? И поможет ли смена железа? примерная конфигурация которую планируем брать
Intel Xeon E3-1220v2, ASUS P8B-X, 4 х 8Gb PC12800 1600MHz ECC CL11 Kingston ValueRAM В теории есть возможность посмотреть в сторону E5-серии, но необходимо ли это? нужна ли такому серверу многопоточность? Сквид, насколько я знаю, даже третий юзает одно ядро. Как в плане многопоточности у DG? Хватит ли оперативы или еще больше надо? есть ли необходимость брать ссд под кэш?
|
|
| |
Vito | Дата: Вторник, 03.03.2015, 11:50 | Сообщение # 2 |
Подполковник
Группа: Администраторы
Сообщений: 131
Статус: Offline
| Здравствуйте. К сожалению, я давно перестал заниматься этим вопросом..., по многим причинам... По-первому, вашему вопросу. Для начала надо запустить и Squid3 и Dansguardian в debug-режимах - поскольку только они отражают суть происходящего ( ручной запуск с ключами d и уровнем дебага, если не ошибаюсь, подробнее в man) хотя бы вы узнаете какие опции устарели в ваших конфигах или что неправильно. Возможные узкие места - недостаточное количество редиректоров и хелперов авторизации SQUID/или их сбои!, недостаточное количество процессов Dansguardian. Неоптимальные настройки Dansguardian. Попробуйте зайти на сайты курсов в Firefox с включенным Firebug, например. Посмотрите с каких серверов грузятся ресурсы сайта и внесите их в белый список, со Skype даже и не знаю, что посоветовать.
По-второму вопросу. у Squid вроде бы есть поддержка многопоточности. По Dansguardian не могу сказать, так как он давно не обновлялся и самая последняя альфа-версия так и не стала бетой за два года. По железу я думаю вам стоит посоветоваться с настоящими сетевыми админами, я не совсем компетентен в этом вопросе, вы уж извините.
Dansguardian - хороший продукт, но из-за отсутствия развития он вскоре будет забыт. Насколько я знаю пытались сделать форк, но и форк остался в зачаточном состоянии. Вскоре он вообще станет бесполезен, в связи с повальной паранойей и переходом на HTTPS. Конечно какие-то возможности дополнительной работы у Squid с https есть, но они не перекрывают всех потребностей.
По поводу производительности иногда помогает сборка из исходников с целой кучей флагов оптимизации под конкретное железо, но это не всегда возможно сделать, так как требуется целая куча исходников библиотек и их соответствие, к тому же постоянно вылазят какие-нибудь грабли, типа библиотек в не том месте. Тут бы помогла помощь человека постоянно работающего со сборкой из исходников.
PS. И пожалуйста, извините, за поздний ответ.
|
|
| |