Как я могу установить VIOs несколько VLAN в нашем p770 поле?

Эта проблема может быть вызвана неправильным размером максимального размера таблицы отслеживания соединения и хеш-таблица. Ядро Linux пытается выделить смежные страницы для отслеживания таблиц подключений для модуля IPTables NF_Conntrack. Поскольку у вас недостаточно физической памяти, Conntrack не удается вернуться к VMalloc.

Эта таблица не создана динамически на основе установленных соединений, но, скорее, полностью выделенных на основе некоторых параметров ядра.

Некоторые дополнительные симптомы могут найти большое количество NF_Conntrack: падают на vmalloc. Сообщения в / var / log / messages (или /var/log/kern.log или в обоих).

Это легко разрешаемое, просто тонкую настройку таблицы треков соединения и размещать его. Правильное размещение должно быть сделано на основе использования системы. Таблица треков соединения должна быть высокой, если вы используете выделенный сетевой брандмауэр в этой системе, но можно намного ниже, если вы просто используете iPtables, чтобы защитить его от сетевых вторжений.

Для получения дополнительной информации о настройке отслеживания подключения, пожалуйста, обратитесь к https://wiki.khnet.info/index.php/contrack_tuning

, чтобы точно настроить значения для вашей системы, вы можете сначала оценить количество Соединения Ваша система работает с запуском Conntrack -l (или / sbin / sysctl net.netfilter.nf_conntrack_count ). Еще лучше, держите статистику отслеживаемых связей со временем ( Munin делает это красиво) и использовать максимальное количество отслеживаемых соединений в качестве базовой линии. Основываясь на этой информации, вы можете настроить /etc/sysctl.conf соответственно.

Когда тонкая настройка Убедитесь, что вы также просмотрите, сколько времени вы поддерживаете соединения в таблице отслеживания. Иногда таблицы Conntrack содержат ложные соединения данных из-за неправильной настройки сети или ошибок. Например, когда сервер получает SIN-соединения, которые никогда не закрываются или когда клиент резко отключается и оставит открытые розетки в течение длительного времени.

Во-вторых, проверьте, имеют ли ваши записи Conntrack Sense. Иногда таблицы Conntrack наполнены мусором из-за некоторой сети или брандмауэра. Обычно это записи для соединений, которые никогда не были полностью установлены. Это может произойти, например, Когда сервер получает входящие соединения SYN пакеты, но ответы сервера всегда теряются где-то в сети.

Когда тонкая настройка этих значений работает SYSCTL-A | Grep Conntrack |. Timeout Grep может обеспечить некоторое понимание. Значения по умолчанию являются довольно консервативными: 600 (10 минут) для универсальных тайм-аутов и 432000 (5 дней) для установленного TCP-соединения. В зависимости от назначения системы и поведения сети, которые могут быть оштрафованы, чтобы уменьшить количество активных соединений в таблице Конструксов. Который поможет определить более низкое значение для него.

Убедитесь, что вы не используете таблицу Conntrack Down Down, так как вы можете иметь противоположный эффект: соединения, отброшенные с помощью iptables, потому что они не могут быть отслеживаться, и вы начнете иметь такие сообщения, как это в ваших файлах журнала : «Ядро: IP_Conntrack: таблица полная, пакет пакета».

Для того, чтобы подтвердить, если это проблема, пожалуйста, укажите выход следующего:

cat /proc/sys/net/ipv4/ip_conntrack_max
cat /proc/sys/net/ipv4/netfilter/ip_conntrack_buckets