[Serejka]

Память поменяна на заводские 4Gb - проблема осталась.

Отвезли на узел, включили напрямую в экстрим, потери пропали сессий переведено 400+. Скорее всего на офисном линксисе начиналась проблема.

Основной вопрос снят.

В ближайшее время нужно вылизать схему и переводить абонентов на МТ.

 

 

Дополнительный вопрос возникает, к тем кто познал МТ в продакшене, насколько корректна конфига выложенная выше. Может быть какой-то опыт по использованию железяк в подобных целях.

Через какие радиус параметры шейпите вы? Рэйт лимит, аддресс лист или что-то другое?

[LLatypov]

Фапал на RB2011 на разные варианты, вернулся обратно на динамику queue simple. Скорость меняется на лету из биллинга. Один минус в динамике не шейпится upload пришлось завернуть на queue tree. DNS вынес на фрю рядом стоящую.

[RuffiAn]

Правильно настроить оборудование, сделать правильный дизайн сети.

 

А можно пример "правильно настроенного оборудования" , например в личку. Если нат снижает производительность в 2 раза, ладно, пусть так, но не до таких же низких значений.

 

Трафик режется в Simple Queue, правил фаервола около 60 штук

 

У нас стоит 2 шт - 1036-8g-2s+ жует на каждом в пике висит по ~1200 сессий, потерь нету. ОЗУ там 4гига

Сам понимаю, что должен жевать и текущая загрузка крайне низкая. Какая версия прошивки? И тоже поглядеть бы на секцию основных настроек. Типа маркировки/шейпинга/работы с очередями.

 

 

Меня все интересуют, что двигает людьми покупку микротика в исп? Собственно помню себя, тоже rb1000 накупил, но с тех времён уйма лет прошло, и покупать больше не намерен..

Теперь уже сам не знаю зачем купили, до этого стояли тазики с accel-ppp. У нас крутится 257 vlan.

[Saab95]

Фапал на RB2011 на разные варианты, вернулся обратно на динамику queue simple. Скорость меняется на лету из биллинга. Один минус в динамике не шейпится upload пришлось завернуть на queue tree.

 

А у меня шейпится upload на simple без проблем.

[LLatypov]

Фапал на RB2011 на разные варианты, вернулся обратно на динамику queue simple. Скорость меняется на лету из биллинга. Один минус в динамике не шейпится upload пришлось завернуть на queue tree.

 

А у меня шейпится upload на simple без проблем.

А ну, что тут не так?

14  D name="<pppoe-user34>" target=<pppoe-user34> parent=none packet-marks="" priority=8/8 queue=default-small/default-small limit-at=1M/20M max-limit=1M/20M   burst-limit=0/0 burst-threshold=0/0 burst-time=0s/0s 

15  D name="<pppoe-user43>" target=<pppoe-user43> parent=none packet-marks="" priority=8/8 queue=default-small/default-small limit-at=1M/5M max-limit=1M/5M     burst-limit=0/0 burst-threshold=0/0 burst-time=0s/0s 

16  D name="<pppoe-user36>" target=<pppoe-user36> parent=none packet-marks="" priority=8/8 queue=default-small/default-small limit-at=1M/5M max-limit=1M/5M     burst-limit=0/0 burst-threshold=0/0 burst-time=0s/0s 

17  D name="<pppoe-user37>" target=<pppoe-user37> parent=none packet-marks="" priority=8/8 queue=default-small/default-small limit-at=1M/5M max-limit=1M/5M     burst-limit=0/0 burst-threshold=0/0 burst-time=0s/0s 

Изменено 20 февраля, 2015 пользователем LLatypov

[Sergeylo]

Ну, я бы бёрсты сделал. Просто, чтобы были и радовали.

[Serejka]

Поделитесь опытом шейпинга. Почему-то совсем вилы.

 

По вышеприведённой конфиге трафик маркируется в mangle forward, в обе стороны идёт по нужному пути, выпадает на ветку дерева соответствующую - шейпится нормально только в сторону аплоада от клиента, нисходящий к клиенту корректно не режется.

[sherwood]

Ну, я бы бёрсты сделал

Для скоростей 1-20Мбит?

[Saab95]

А ну, что тут не так?

14  D name="<pppoe-user34>" target=<pppoe-user34> parent=none packet-marks="" priority=8/8 queue=default-small/default-small limit-at=1M/20M max-limit=1M/20M   burst-limit=0/0 burst-threshold=0/0 burst-time=0s/0s 

15  D name="<pppoe-user43>" target=<pppoe-user43> parent=none packet-marks="" priority=8/8 queue=default-small/default-small limit-at=1M/5M max-limit=1M/5M 	burst-limit=0/0 burst-threshold=0/0 burst-time=0s/0s 

16  D name="<pppoe-user36>" target=<pppoe-user36> parent=none packet-marks="" priority=8/8 queue=default-small/default-small limit-at=1M/5M max-limit=1M/5M 	burst-limit=0/0 burst-threshold=0/0 burst-time=0s/0s 

17  D name="<pppoe-user37>" target=<pppoe-user37> parent=none packet-marks="" priority=8/8 queue=default-small/default-small limit-at=1M/5M max-limit=1M/5M 	burst-limit=0/0 burst-threshold=0/0 burst-time=0s/0s 

 

У вас динамические записи шейперов на интерфейсах, они отрабатывают всегда без проблем, потому что ограничивают скорость по интерфейсу.

[BETEPAH]

upd: перепутал с ceil

 

А разве RouterOS уже научилась 64 бит использовать, для чего 16 гигов памяти поставили?

Изменено 22 февраля, 2015 пользователем BETEPAH

[LLatypov]

А ну, что тут не так?

14  D name="<pppoe-user34>" target=<pppoe-user34> parent=none packet-marks="" priority=8/8 queue=default-small/default-small limit-at=1M/20M max-limit=1M/20M   burst-limit=0/0 burst-threshold=0/0 burst-time=0s/0s 

15  D name="<pppoe-user43>" target=<pppoe-user43> parent=none packet-marks="" priority=8/8 queue=default-small/default-small limit-at=1M/5M max-limit=1M/5M 	burst-limit=0/0 burst-threshold=0/0 burst-time=0s/0s 

16  D name="<pppoe-user36>" target=<pppoe-user36> parent=none packet-marks="" priority=8/8 queue=default-small/default-small limit-at=1M/5M max-limit=1M/5M 	burst-limit=0/0 burst-threshold=0/0 burst-time=0s/0s 

17  D name="<pppoe-user37>" target=<pppoe-user37> parent=none packet-marks="" priority=8/8 queue=default-small/default-small limit-at=1M/5M max-limit=1M/5M 	burst-limit=0/0 burst-threshold=0/0 burst-time=0s/0s 

 

У вас динамические записи шейперов на интерфейсах, они отрабатывают всегда без проблем, потому что ограничивают скорость по интерфейсу.

вопрос в том что ап.ло. не ограничивается, к клиенту все идет как надо. про сброс конфига говорить не надо

[Sonne]

У нас шейпится 2000 правил Que Simple динамически из радиуса.

Все что я делаю - переопределяю default-small на тип pcq

 

DHCP сервер с таймаутом 60 минут обновляет данные каждые 30 минут без прерывания лизы.

 

Трафик 0,5 Гиг, 2000 правил, NAT, минимальный Firewall

Загрузка до 25%. Таким образом конфигурация нс CCR1036 потянет свободно гиг.

[kosmich7]

Загрузка до 25%. Таким образом конфигурация нс CCR1036 потянет свободно гиг.

Время покажет, очень вероятно при гиге будет много интересных постов на форуме.

А что выжирает ядра ? Покажите tools>профиль, и загрузку по ядрам, отсортировав по максимуму.

[s.lobanov]

просто ввиду блокировок между ядрами масштабирование, скорее всего, будет нелинейным, поэтому при 1GE трафика у Sonne может быть не 50% загрузки, а, например, 70%.

 

но вообще доволно высокая нагрузка для 500М, скорее всего можно что-нибудь оптимизировать

[u.s.s.r]

Добрый день, точно такая же проблема наблюдается и у меня.

Большие потери пакетов возникают. Перед настройкой делал сброс конфига на Микротике

На данный момент вернулся пока на Accel-PPP 1.8

 

1) В момент проблемы нагрузка на CPU 5%

2) Шейпинг через радиус-атрибут Mikrotik-Rate-Limit передаю значения в таком виде 500k или 2000k в зависимости от тарифного плана

2) У клиентов скорости на тарифах от 500кбит до 3Мбит

3) Используется на микротике шейпинг. NAT, DHCP, NetFlow (пока убрал), PPPoE+радиус

5) Схема сети следующая:

 

                                                             --- SNR-s2950 (клиенты PPPoE)
Интернет ---- Микротик --- SNR-s2980g-24T --- SNR-s2980g-24T --- SNR-s2950 (клиенты PPPoE)
                                                            --- SNR-s2950 (клиенты PPPoE)

 

 

 

 /system resource print 
            uptime: 9h31m42s
           version: 6.23
        build-time: Dec/04/2014 14:46:06
       free-memory: 3687.9MiB
      total-memory: 3969.2MiB
               cpu: tilegx
         cpu-count: 36
     cpu-frequency: 1200MHz
          cpu-load: 0%
    free-hdd-space: 904.5MiB
   total-hdd-space: 1024.0MiB
 architecture-name: tile
        board-name: CCR1036-8G-2S+
          platform: MikroTik

 

admin@PPPoE]
[admin@PPPoE] > export compact 
# mar/27/2015 13:29:43 by RouterOS 6.23
# software id = YRFU-I8D8
#
/interface ethernet
set [ find default-name=ether1 ] comment="SNR.INET.7 port" l2mtu=1590 name="1. WAN"
set [ find default-name=ether2 ] comment="SNR.5km.9 port" l2mtu=1590 name="2. 5km"
set [ find default-name=ether3 ] comment="SNR.5km 11 port" l2mtu=1590 name="3. GePON"
set [ find default-name=ether4 ] comment="SNR.5km 13 port" l2mtu=1590 name="4. ADSL"
set [ find default-name=ether8 ] comment="SNR.5km 2 port" l2mtu=1590 name="8. MNG"
set [ find default-name=ether5 ] disabled=yes l2mtu=1590
set [ find default-name=ether6 ] disabled=yes l2mtu=1590
set [ find default-name=ether7 ] disabled=yes l2mtu=1590
set [ find default-name=sfp-sfpplus1 ] disabled=yes l2mtu=1590
set [ find default-name=sfp-sfpplus2 ] disabled=yes l2mtu=1590

/ip neighbor discovery
set "1. WAN" comment="SNR.INET.7 port"
set "2. 5km" comment="SNR.5km.9 port"
set "3. GePON" comment="SNR.5km 11 port"
set "4. ADSL" comment="SNR.5km 13 port"
set "8. MNG" comment="SNR.5km 2 port"

/interface vlan
add interface="3. GePON" l2mtu=1586 name=vlan.401 vlan-id=401
add interface="3. GePON" l2mtu=1586 name=vlan.403 vlan-id=403
add interface="2. 5km" l2mtu=1586 name=vlan.501 vlan-id=501
# еще 35 VLAN-интерефейсов

/ip pool
add name=PPPoE.501 ranges=172.29.1.2-172.29.1.254
...
add name=IP.501 ranges=10.30.1.3-10.30.1.254
...
add name=PPPoE.601 ranges=172.29.101.2-172.29.101.254
...
add name=IP.601 ranges=10.55.1.3-10.55.1.254
...

/ip dhcp-server
add address-pool=IP.501 disabled=no interface=vlan.501 lease-time=1d name=dhcp.501
...

/port
set 0 name=serial0
set 1 name=serial1

/ppp profile
add dns-server=8.8.8.8,8.8.4.4 local-address=172.25.1.1 name=PPPoE.501 remote-address=PPPoE.501 use-compression=no use-encryption=no use-mpls=no use-vj-compression=no
...

/system logging action
set 3 src-address=0.0.0.0

/interface pppoe-server server
add authentication=chap,mschap1,mschap2 default-profile=PPPoE.501 interface=vlan.501 max-mru=1480 max-mtu=1480 mrru=1600 service-name=PPPoE.501
...

/ip address
add address=1.1.1.1/27 comment=WAN.Internet interface="1. WAN" network=1.1.1.0
add address=192.168.113.251/25 comment=MNG interface="8. MNG" network=192.168.113.128
add address=10.30.1.2/24 comment=NET.5km interface=vlan.501 network=10.30.1.0
...

/ip dhcp-server network
add address=10.30.1.0/24 dns-server=10.30.1.1 gateway=10.30.1.1
...

/ip firewall filter
add chain=input comment="Allow Ping" protocol=icmp
add chain=forward disabled=yes protocol=icmp
add chain=input comment="Accept established connections" connection-state=established
add chain=forward connection-state=established disabled=yes
add chain=input comment="Accept related connections" connection-state=related
add chain=forward connection-state=related disabled=yes
add action=drop chain=input comment="Drop invalid connections" connection-state=invalid
add action=drop chain=forward connection-state=invalid disabled=yes
add chain=input comment="Allow UDP" protocol=udp
add chain=forward disabled=yes protocol=udp
add action=drop chain=forward comment="Drop betwenn ppp" in-interface=all-ppp out-interface=all-ppp
add chain=forward comment="Access to Internet from local network" src-address=172.29.0.0/16
add chain=forward dst-address=172.29.0.0/16
add chain=input comment="Access to Mikrotik only from our local network" src-address=192.168.88.0/24
add chain=input src-address=192.168.113.128/25
add action=drop chain=input comment="All other drop"
add action=drop chain=forward
add action=drop chain=input dst-port=80 protocol=tcp

/ip firewall nat
add action=src-nat chain=srcnat disabled=yes src-address=172.29.0.0/16 to-addresses=1.1.1.100
add action=src-nat chain=srcnat comment=v.501 src-address=172.29.1.0/24 to-addresses=1.1.1.102
add action=src-nat chain=srcnat comment=v.504 src-address=172.29.4.0/24 to-addresses=1.1.1.1.103
add action=src-nat chain=srcnat comment=v.505 src-address=172.29.5.0/24 to-addresses=1.1.1.1.104
...
/ip ipsec policy
set 0 dst-address=0.0.0.0/0 src-address=0.0.0.0/0

/ip proxy
set cache-path=web-proxy1

/ip route
add distance=1 gateway=1.1.1.2

/ip traffic-flow
set enabled=yes interfaces="1. WAN"

/ip traffic-flow target
add address=2.2.2.2:9996 version=5

/ppp aaa
set interim-update=2m use-radius=yes

/radius
add accounting-port=1819 address=2.2.2.2 authentication-port=1818 secret=adminplatexppp service=ppp src-address=1.1.1.1 timeout=1s

/radius incoming
set accept=yes port=3779

/system clock
set time-zone-name=Asia/Yekaterinburg

/system identity
set name=PPPoE

/system leds
set 0 type=interface-speed
set 2 type=interface-speed

/system logging
add disabled=yes topics=radius

/system routerboard settings
set cpu-frequency=1200MHz memory-frequency=1066DDR

[GrandPr1de]

а зачем с акцеля мигрировать на микротик?

акцель плохо работает?

[u.s.s.r]

а зачем с акцеля мигрировать на микротик?

акцель плохо работает?

 

потому что "коробка" нужна

[GrandPr1de]

потому что "коробка" нужна

собрать сервер в один юнит с половинной глубиной?

[Saab95]

собрать сервер в один юнит с половинной глубиной?

 

У микротика есть "сервера" меньше.

[taf_321]

Толку-то, что меньше. МТ как и десять лет назад неэффективно использовал железо, так и сейчас стоит на том же.

[u.s.s.r]

мы от темы отклонились, хоть какое то объяснение будет, почему возникают тормоза?

[random7]

мы от темы отклонились, хоть какое то объяснение будет, почему возникают тормоза?

 

была похожая проблема, но на x86

помог танец с бубном, а именно добавление очереди с высоким приоритетом (priority=1 кажется)

трафик в неё пускать не нужно, просто создать

 

конкретную команду не скажу, с тех пор конфиг поменялся и её убрали

[u.s.s.r]

у меня же шейпинг через радиус-атрибуты, так тут дело получается в приоритетах проблема?

[random7]

проблема, как я понял, в наличии бага

[Sonne]

мы от темы отклонились, хоть какое то объяснение будет, почему возникают тормоза?

 

PPPOE

 

Пилят, пилят его. Каждый раз пишут что стало в 10 раз быстрее, да все никак допилить не могут!