[Pirojok]

Добрый день!

 

Помогите снизить нагрузку на проц в железке RB450g v.5.10

Под вечер в час пик идет большая нагрузка на проц 70% и медленно открывает страницы хотя входящий канал еще не забит.

Авторизация клиентов по ip. Скорость режется через pcq по адрес листу.Queue type rate=2M limit=50 Totallimit=2000.

Может какие правила фаервола или еще что-то...

[Saab95]

У вас дело в чем-то другом, т.к. даже при загрузке 90-100 процентов на скорость загрузки страниц никакого влияния нет. Проверьте справляется ли ваш канал интернета с нагрузкой, может в сети где затык. А может просто интернет (сам по себе) медленно работает. Последнюю неделю некоторые сайты очень плохо загружаются, видимо где-то с линиями связи проблема.

[Pirojok]

Может , но загрузка напрягает... даже вот какую штуку заметил, что когда начинаю качать со 2-го провайдера( в роутинге стоит distance=2) на скорости 15мб.с проц подлетает до 100%..общая загрузка на линии окола 30мб.с..чтож железка такая слабая? или всетаки можно как-то снизить загрузку?

[Saab95]

Сколько клиентов подключено к устройству в момент проблемы? Каким образом они подключены?

Какой трафик на выходном интерфейсе RX/TX и количество пакетов в секунду In/Out.

Какое подключение к провайдеру используете? Прямое или с помощью PPP соединения?

Какие фильтры или правила используете? Фильтруете ли вы мусор в сети?

Какие службы используете?

Нет ли трафика между клиентами? Этот трафик не бросается в глаза, однако забирает ресурсы устройства.

[Pirojok]

В час пик где-то 80 клиентов.

Подключение прямое.

Какие-то фильтры добавились автоматом когда настраивал нат через веббокс.

Больше никаких фильтрующих правил не добавлял.

Из служб дхцп.

Как посмотреть трафик меж клиентов и зачем ему ходить через роутер? Роутер подлючен в свитч с одного порта.

[Saab95]

Сравните трафик на входном и выходном порту. Если суммарно вход/выход на клиентском порту больше, чем вход/выход на интернетовском, значит что-то ходит через ваш роутер.

[DobroFenix]

RB450g

В соседней теме уже писали, что данному трешу самое место на помойке.

Используйте x86, либо специализированные устройства MT, которые будут отвечать Вашим требованиям.

 

Сравните трафик на входном и выходном порту. Если суммарно вход/выход на клиентском порту больше, чем вход/выход на интернетовском, значит что-то ходит через ваш роутер.

Выходного трафика в локальный интерфейс будет больше, чем входной с каналов. Это нормально.

 

Тонко намекну на /tool profile

Изменено 14 декабря, 2011 пользователем DobroFenix

[Ferdin]

Сравните трафик на входном и выходном порту. Если суммарно вход/выход на клиентском порту больше, чем вход/выход на интернетовском, значит что-то ходит через ваш роутер.

 

Если суммарно вход/выход на интернетовском порту больше, чем вход/выход на клиентском порту. В чём может быть проблема?

Я подозревают что работают правила файэрвола и режут интернетовский трафик.

[Nick_name]

Подозрение на то что у вас торент убивает его, скажите а какой pps у вас?

[Saab95]

Если суммарно вход/выход на интернетовском порту больше, чем вход/выход на клиентском порту. В чём может быть проблема?

Я подозревают что работают правила файэрвола и режут интернетовский трафик.

 

Так вот - вы режете скорость для клиентов входящую и исходящую. Например на уровне 2 мегабита. Исходящая от клиента в интернет пойдет на уровне 2 мегабита и не более, а вот исходящая от клиента перед вашим роутером будет более 2-х мегабит и лишние пакеты будут отбрасываться. А вот входящий трафик с интернета для клиента вы порезать никак не можете - т.к. ограничивать вы можете только проходящий трафик через ваш роутер. Поэтому входящий трафик для клиента так и будет 2 мегабита, а из интернета к нему может идти 3 мегабита - тем самым загружая входящий канал не нужными данными, которые ваш роутер все равно отбросит.

 

Вообще для полного понимания проблемы, выложите скрин вкладки с интерфейсами.

[Pirojok]

Возможно что торенты.Где посмотреть pps? Тк они у нет правил на ограничение ссесий для них. В tools/profile загрузка в основном idle 60% firewall 20-30 qeuning 10-20. Подскажите какие правила фаервола поставить чтобы зарезать ссесии на торенты?

[Saab95]

ip firewall filter add chain=forward action=add-dst-to-address-list protocol=udp dst-address=192.168.0.2-192.168.0.254 address-list=dst_list address-list-timeout=0s

 

ip firewall filter add chain=forward action=accept dst-address-list=dst_list dst-limit=250,250,dst-address/1m40s

 

ip firewall filter add chain=forward action=reject reject-with=icmp-admin-prohibited dst-address-list=dst_list

 

Указываете свою сеть только, заместо 192.168.0.х, а 250 это количество пакетов разрешенное каждому клиенту.

[sherwood]

Добрый день!

 

Помогите снизить нагрузку на проц в железке RB450g v.5.10

Под вечер в час пик идет большая нагрузка на проц 70% и медленно открывает страницы хотя входящий канал еще не забит.

Авторизация клиентов по ip. Скорость режется через pcq по адрес листу.Queue type rate=2M limit=50 Totallimit=2000.

Может какие правила фаервола или еще что-то...

450G с NAT, Firewall, QoS не прожует более 50Мбит\с, процессор очень сильно грузит TCP соединения, ограничьте их например до 30 с исключением 80,443,8080 портов, это всего одно правило в Firewall и также ограничьте UDP трафик например на 40 сессий это еще одно правило ( а не то что предлагает Saab95, он немного отстал от жизни :) ), но UDP так сильно не грузит процессор, канал ваш это - да, если он у вас постоянно в полку забит, если нет то ограничением UDP можете пока не задумываться.

[Ferdin]

Скрин с интерфейсами

[Ainy]

по этому скрину только гадать можно. схему сети нарисовать было сложно?

И не мгновенное значение на интерфейсе показать надо а графики по всем интерфейсам за сутки к примеру + схему сети.

Тогда можно делать обоснованные выводы.

[Pirojok]

ага понятно спасибо за ответы! тогда вопрос как грамотно ограничить TCP и UDP ссесии каждому в отдельности юзеру?

[SSD]

ага понятно спасибо за ответы! тогда вопрос как грамотно ограничить TCP и UDP ссесии каждому в отдельности юзеру?

Фаервол вам в помощь.

[Ferdin]

Правила фаервола + ограничение на количество сессий. И будет как у меня на скрине, загрузка проца 15-25%

[Pirojok]

Ну это понятно, но как нарезать сеcсии на каждого в отдельности клиента?У меня скорость режется по адрес листам.Канал не забит максимум 30мб\с из 50. нашел на соседней ветке аналогичный вопрос но тут sherwood советует вообще не ограничивать сессий.

 Код
add action=add-dst-to-address-list address-list=dst_list \
address-list-timeout=0s chain=forward comment="limit ppc" disabled=yes \
dst-address-list="(backup_channel)" protocol=udp
add action=accept chain=forward comment="" disabled=yes dst-address-list=\
dst_list dst-limit=250,250,dst-address/1m40s
add action=reject chain=forward comment="" disabled=yes dst-address-list=\
dst_list reject-with=icmp-admin-prohibited
потому что хорошего ни чего не будет, остаюсь как бы при своем мнении, что клиенту нужно
отдавать его полосу и пусть он вней и колупается, при зарезке сессий и ррс у "плохого" клиента 
просто перестает работатьинтернет, а при хорошем шейпере начинает тупить...
если канал не забит, то шейпер тика с этим справляется на отлично, без зарезки сессий и ррс...
по поводу QoS, он будет работать только втом случае если у вас канал забит выше 100%,
в противном случае он не работает....
по поводу типа трафика, тут одними пометками в мангле не обойтись, надо привлекать и L7...

 

 

Скиньте пожалуйста пример ограничения ТСП и udp сессий! нигде не найду( версия прошивки 5.10

Изменено 16 декабря, 2011 пользователем Pirojok

[Ferdin]

В микротике необходимо включить Firewall через web интерфейс, базовая настройка.

В Simple Queue нарезаешь скорости на каждого клиента.

Блокировка протокола uTP и Ограничение TCP-сессий я делал по этому коду ссылка убрал только ограничение по времени суток, сделал постоянным.

/ip firewall layer7-protocol

add comment="uTP_uTorrent" name="\\B5TP" regexp="\\\\x7F\\\\xFF\\\\xFF\\\\xFF\\\\xAB"

 

/ip firewall filter

add action=drop chain=forward comment="deny uTP traffic" disabled=no layer7-protocol="\\B5TP"

add action=drop chain=forward comment="deny p2p traffic day" disabled=no p2p=all-p2p time=13h-23h59m59s,sun,mon,tue,wed,thu,fri,sat

add action=drop chain=forward comment="deny p2p traffic night" disabled=no p2p=all-p2p time=0s-1h,sun,mon,tue,wed,thu,fri,sat

add action=drop chain=forward comment="TCP_connection_limit (64-1)" connection-limit=64,32 disabled=no protocol=tcp tcp-flags=syn

[Pirojok]

я эту тему тоже читал...у меня это правило не отрабатывается.стояло неделю пакетов 0. может на версии 5.10 не пашет?

[Ferdin]

у меня RB750 v5.7 правила работают смотри в л.с.

[Pirojok]

Низнаю правильно сделал или нет. вот этим я так понял ограничил новый протокол торента?

/ip firewall layer7-protocol
add comment="uTP_uTorrent" name="\\B5TP" regexp="\\\\x7F\\\\xFF\\\\xFF\\\\xFF\\\\xAB"

/ip firewall filter
add action=drop chain=forward comment="deny uTP traffic" disabled=no layer7-protocol="\\B5TP"

 

Теперь в сонекшн появились сессии torennt. Которые можно уже ограничить.Создал правило маркировки prerouting-all-p2p-mark-paket. И добавил в queue type правило скорости по типу RED (ничего правда там не менял оставил по умолчанию).пакеты пошли в маркировке...но всеравно udp пакетов от торента много идет микротик видит только те которые по tcp. вопрос об ограничении udp остался открыт. Скиньте плиз код для ограничения сессий udp на клиента!

Изменено 16 декабря, 2011 пользователем Pirojok

[Saab95]

Эта штука режет некоторые запросы других программ, так что если будут жалобы отключайте правило=)

[sherwood]

Скиньте пожалуйста пример ограничения ТСП и udp сессий! нигде не найду( версия прошивки 5.10

TCP

chain=forward action=drop tcp-flags=syn protocol=tcp 
    src-address-list=net dst-port=!80,443,8080 connection-limit=40,32

это правило ограничит 40 соединений TCP для каждого IP из адрес-листа, кроме портов 80,443,8080 на которых идет веб.

 

UDP

chain=forward action=drop protocol=udp src-address-list=net 
    connection-limit=40,32

это правило ограничит 40 'сессий' (SrcIP:SrcPort - DstIP:Dst-Port) UDP для каждого IP из адрес-листа.