starik-i-more

Имхо для того чтобы работали приоритеты очередей, очереди должны быть иерархическими. Сам толком не пробовал. Не было серьезной потребности. Вот неплохая статья об очередях в routeros https://m.habrahabr.ru/post/188718/

А может получится так? spanning-tree mode pvst vlan 2-506 no spanning-tree vlan 1000-3000 vlan 2001-2500 т.е. создаем 507 кланов в rpvst доступных согласно мурзилке http://www.cisco.com/c/en/us/td/docs/switches/datacenter/nexus3000/sw/scalability/7x/b_Nexus3k_Verified_Scalability_7x/b_Nexus3k_Verified_Scalability_7x_chapter_01.html и еще 500 вланов без rpvst

Можно попробовать подключиться через IPMIview

Инструкций "как установить Elastic Search, Logstash, Kibana" великое множество. И на сайте проекта тоже вполне понятные инструкции. Вот литература http://www.allitebooks.com/?s=logstash А какие действия с собранными логами вы планируете выполнять?

Как по мне все равно на чем. У меня развернуто на CentOS 7. Нагрузка скромная 5 тыс записей в час по syslog. Жрет 500MHz проца.

А с какими лицензиями и почем?

А чем обусловлен выбор таких параметров? encr aes 256 hash sha512 Я бы попробовал aes 128 и sha1

И флаг DF можно очистить.

Правильно.

В пустом или дефолтном конфиге тоже тупит на команду /ip route export ? А если просто /export то что происходит?

Для блокировки по спискам РКН используется Carbon Reductor Исходящий трафик с _НЕСКОЛЬКИХ_ гигабитных аплинков на ASR-1002-х зеркалится на сервер с Carbon Reductor. Зеркалирование настроено так monitor session 10 type erspan-source source interface Gi0/0/3 - 5 tx destination erspan-id 10 mtu 1464 ip address 10.102.102.1 origin ip address 10.102.102.1 ! ! monitor session 20 type erspan-destination destination interface Gi0/0/2 source erspan-id 10 ip address 10.102.102.1 ! Суммарный _СРЕДНИЙ_ TX по аплинкам в ЧНН сейчас около 800Mbis/s. Интерфейс к которому подключен Carbon Reductor гигабитный. Соответственно на нем, растут output drops. И наверное иногда пакетики проскакивают мимо блокировки. Анализ исходящего трафика показывает, что в нем 30-40% GRE. Соответственно, если бы получилось отфильтровать GRE до попадания в destination интерфейс ERSPAN, нагрузка на него снизилась бы, дропы прекратились и еще полгода-год можно было бы не заморачиваться с установкой второго NIC в сервер с Carbon Reductor. Попытка повесить ACL на destination интерфейс ERSPAN эффекта не дала. Чего и следовало ожидать. ip access-list extended BLOCK-GRE deny gre any any permit ip any any ! interface GigabitEthernet0/0/2 description Mirroring-to-Carbon-Reductor no ip address ip access-group BLOCK-GRE out ! Других вариантов пока не придумалось/не нашлось.

Я бы сбросил конфиг и настроил по новой.

Пожалуйста, аргуменируйте это предположение.

Покажите /ip route print и /ip route export

http://mum.mikrotik.com/presentations/RU16/presentation_3751_1475495910.pdf 28 страница. Пока в стадии тестов. Имел возможность посчупать в работе. Действительно шифрует аппаратно? Какая производительность получается?

На MUM один из докладчиков говорил, что в mikrotik hex есть hardware encryption. Официального подтверждения нигде не нашел. Кто то из владельцев HEX может потестировать производительность в ipsec aes128?

MES2324FB уже попал к Вам? Очень интересуют впечатления.

Да, такая проблема есть. Летом в 2 захода закупали 2 шт RB850Gx2. К сожалению в моем случае продавцы не знали старая или новая ревизия у них на складе. Но обе оказались с hw aes.

Можно добавить маршрут blackhole с таким же destination и routing-mark. Distance у него будет больше чем у маршрута через туннель. Таким образом когда туннель в статусе down, пакеты полетят в blackhole и не создадут nat connection через wan интерфейс.

http://download2.mikrotik.com/news/news_66.pdf The RB850Gx2 devices are now shipped with a CPU that features Hardware Encryption Acceleration (serial numbers that start with “5”). Combined with up to date RouterOS version (6.28 or above), you will now be able to reach 500Mbps with AES128 encryption on this device. Многие магазины продают их сразу комплектом. Мне кажется, что когда то приходило уже даже в сборе. http://wifimag.ru/cat/mikrotik/ethernet_routery/mikrotik_routerboard_mrtgx2/

Интересно как у вас распределилась нагрузка между ядрами во время теста.

RB850Gx2 в новой ревизии получил аппаратную поддержку AES и может прожевать до 500 мегабит/с в ipsec с sha1 aes256. Но wifi в нем нет.

Думаю, кому-то еще одно подтверждение добавит уверенности :) Поставил в ASR-1002-X именно такие модули Kingston KVR13N9S8_4 в количестве 4-х шт. Full view заработал. 2 недели полет нормальный.

http://download2.mikrotik.com/news/news_66.pdf у меня на тесте показал прим 500Mbit/s ipsec aes-256-cbc

А как можно сгенерировать требуемый xls из dump.xml? Может я плохо искал.. А то программка есть, а xls древний.