[tonny_bennet]

Здравствуйте.

 

Есть RB1100AHx2. Выполняет функции ядра сети и пограниченого маршрутизатора.

 

Под ядром сети я понимаю маршрутизацию трафика между локальными подсетями (/27, /26, /25 - 10 bridge/vlan) одной большой локальной сети /23. DHCP-server для локальных подсетей. В добавок к этому около 15 правил в filter для разграничения прав доступа между локальными подсетями.

 

Под пограничным маршрутизатором я понимаю NAT для /23 сети (не более 30 Mbit/s, 7 правил), одна простая очередь для ограничения скорости гостевой wi-fi сети, 14 GRE туннелей к таким же железкам в филиалах, OSPF между филиалами, IpSec в транспортном режиме для шифрования GRE, сервер L2TP для подключения удалённых сотрудников, 7 правил в mangle и 2 в route rules для работы через два канала, netmap на внутренние сервисы компании 29 правил.

 

В стандартном режиме нагрузка на процессор 2-10%.

 

Ситуация №1:

RB подключен к свитчу DGS-3120-24/TC одним гигабитным портом. К свитчу подключен сервер и клиент гигабитными портами. Они в разных vlan-ах т.е. трафик между ними пойдёт через RB. Запускаю копирование по сети (проверял и iperf-ом) большого файла. Скорость порядка 350 Mbit/s.

 

Ситуация №2

Собираю между RB и MT агрегацию с LACP из 2-х гигабитных портов. На интерфейс агрегации навешиваю vlan-ы. Запускаю копирование по сети (проверял и iperf-ом) большого файла. Скорость порядка 350 Mbit/s. Но тут я уже посмотрел на загрузку процессора МТ.

 

system resource monitor          cpu-used: 52% cpu-used-per-cpu: 95%,9%      free-memory: 1517408KiB

 

 

Соответсвенно вопросы:

1. Это предел производительности RB и больше из него не выжать?

2. Это моя криворуковсть и я где-то мог ошибиться в настройках агрегации, маршрутизации и т.д.?

3. Магия неподвластная никому...

[rdntw]

а вот и яркий пример))

[Saab95]

1. Это предел производительности RB и больше из него не выжать?

 

Нет, на чистом роутинге RB1100 легко утилизирует 2 гигабитных порта полностью.

 

2. Это моя криворуковсть и я где-то мог ошибиться в настройках агрегации, маршрутизации и т.д.?

 

Скорее всего так и есть.

[DRiVen]

rdntw, пример чего? Что свалив в кучу бордер с ядром ничего хорошего не получить? Согласен.

[tonny_bennet]

Скорее всего так и есть.

 

В таком случае хочу узнать куда именно мне посмотреть? На агрегацию?

 

RB

interface bonding print 
Flags: X - disabled, R - running 
0  R ;;; to srerver switch DGS-3120-24 (10.0.3.2)
     name="agregation1" mtu=1500 mac-address=4C:5E:0C:3E:CA:C0 arp=enabled slaves=ether9,ether8 mode=802.3ad 
     primary=none link-monitoring=mii arp-interval=100ms arp-ip-targets="" mii-interval=100ms down-delay=0ms 
     up-delay=0ms lacp-rate=30secs transmit-hash-policy=layer-2 

 

D-Link

DGS-3120-24TC:admin#show link_aggregation

Command: show link_aggregation

 

Link Aggregation Algorithm = MAC-Source-Dest

 

Group ID : 1

Type : LACP

Master Port : 1:24

Member Port : 1:23-1:24

Active Port : 1:23-1:24

Status : Enabled

Flooding Port : 1:23

Trap : Disabled

 

Group ID : 2

Type : LACP

Master Port : 1:1

Member Port : 1:1-1:2

Active Port : 1:1-1:2

Status : Enabled

Flooding Port : 1:1

Trap : Disabled

 

Total Entries : 2

 

Что свалив в кучу бордер с ядром ничего хорошего не получить? Согласен.

Не могли бы подробнее пояснить, что вы имели ввиду?

[rdntw]

Эммм...при добавлении копеечных фич производительность с 1.5г падает до 300мбс?

[DRiVen]

Эммм...при добавлении копеечных фич производительность с 1.5г падает до 300мбс?

Копеечные они будут при обработке аппаратно, а это, на минуточку, чистый софтроутер.

Не могли бы подробнее пояснить, что вы имели ввиду?

"В одну телегу впрячь не можно коня и трепетную лань"(с)

Обработка локального трафика роутером странное занятие, тем более с желанием получить wirespeed, этим обычно занимается L2+/L3 коммутатор.

[tonny_bennet]

Обработка локального трафика роутером странное занятие, тем более с желанием получить wirespeed, этим обычно занимается L2+/L3 коммутатор.

 

Т.е. если остаться на том же вендоре, оборудование из серии CCR больше подойдёт под задачи маршрутизации трафика внутри сети? А эту железку оставить под задачи BGW (nat,gre,ipsec...)?

[rdntw]

Копеечные они будут при обработке аппаратно, а это, на минуточку, чистый софтроутер.

вот именно! а сааб его пихает в SP

[DRiVen]

tonny_bennet, у вас DGS-3120-24, почему не поручить ядро ему? Ваши 15 правил фильтрации он прожует легко, а DHCP оставите на роутере.

 

rdntw, сааб много чего куда пихает, это же не означает, что оно туда залезет )

Изменено 8 июля, 2015 пользователем DRiVen

[NiTr0]

при добавлении копеечных фич производительность с 1.5г падает до 300мбс?

Отключается fastpath, при котором пакеты тупо перекладываются с одного интерфейса в другой с минимумом обработки. И карета превращается в тыкву...

[myst]

Обработка локального трафика роутером странное занятие, тем более с желанием получить wirespeed, этим обычно занимается L2+/L3 коммутатор.

 

Т.е. если остаться на том же вендоре, оборудование из серии CCR больше подойдёт под задачи маршрутизации трафика внутри сети? А эту железку оставить под задачи BGW (nat,gre,ipsec...)?

C ipsec Там тоже все очень грустно. Несмотря на заявленую аппаратную поддержку AES.

Сомневаюсь что он вытянет более 100-150 мегабит ipsec.

 

Копеечные они будут при обработке аппаратно, а это, на минуточку, чистый софтроутер.

вот именно! а сааб его пихает в SP

Ну так поменьше надо слушать этого балабола.

[Saab95]

В таком случае хочу узнать куда именно мне посмотреть? На агрегацию?

 

Нельзя тянуть все задачи на одно устройство. Нужно поставить отдельный микротик для агрегации каналов от абонентов, там НАТ не нужен, шейпера не нужны, возможны только блокировки абонентских адресов, и то только тех, кто заблокировал. Некоторые любят делать наоборот - сначала все блокируют, а после создают кучу разрешающих правил, что повышает нагрузку процессора.

 

Т.е. если остаться на том же вендоре, оборудование из серии CCR больше подойдёт под задачи маршрутизации трафика внутри сети? А эту железку оставить под задачи BGW (nat,gre,ipsec...)?

 

IPSEC и GRE вам зачем?

Если нужен туннель - используйте L2TP.

Железка класса 9 ядерный CCR легко маршрутизирует трафик между своими портами на скорости порта, если на нее не навешаны ненужные функции.

 

Ну так поменьше надо слушать этого балабола.

 

А кого слушать? Ставьте циску или еще какую крутую железку, только вот стоимость циски (обычно ее предлагают, почему-то б/у и сравнивают со стоимостью нового микротика), превосходит порой в 10 раз стоимость CCR, поэтому выгоднее купить большее количество микротиков, чем одну циску, т.к. можно решать более широкий спектр задач и получить резервирование.

[myst]

А кого слушать? Ставьте циску или еще какую крутую железку, только вот стоимость циски (обычно ее предлагают, почему-то б/у и сравнивают со стоимостью нового микротика), превосходит порой в 10 раз стоимость CCR, поэтому выгоднее купить большее количество микротиков, чем одну циску, т.к. можно решать более широкий спектр задач и получить резервирование.

В разы выгоднее купить одну нормальную железку, один раз настроить и забыть, чем огребать постоянные головняки с пачкой микротиков.

[Butch3r]

Коротко и ясно: выкиньте нахер этот микротик, вместо того чтоб ставить 100500 микротиков, чтоб каждый из них выполнял "свою задачу" и купите нормальный роутер.

[Saab95]

В разы выгоднее купить одну нормальную железку, один раз настроить и забыть, чем огребать постоянные головняки с пачкой микротиков.

 

И прыгать вокруг ее ограничений.

[myst]

В разы выгоднее купить одну нормальную железку, один раз настроить и забыть, чем огребать постоянные головняки с пачкой микротиков.

 

И прыгать вокруг ее ограничений.

Ага, а так прыгать вокруг ограничений вязанки полудохлых микротов. охлол

[tonny_bennet]

у вас DGS-3120-24, почему не поручить ядро ему? Ваши 15 правил фильтрации он прожует легко, а DHCP оставите на роутере.

Спасибо за рекомендацию. Попробую развернуть ядро на нём. Правда на D-Link-ах маршрутизацию поднимать не приходилось.

 

Сомневаюсь что он вытянет более 100-150 мегабит ipsec.

У меня шифорованного трафика не больше чем величина внешних каналов (20-30Мбит/с). Вопрос скорее о "ядерной маршрутизации".

 

Нельзя тянуть все задачи на одно устройство. Нужно поставить отдельный микротик для агрегации каналов от абонентов, там НАТ не нужен, шейпера не нужны, возможны только блокировки абонентских адресов, и то только тех, кто заблокировал. Некоторые любят делать наоборот - сначала все блокируют, а после создают кучу разрешающих правил, что повышает нагрузку процессора.

Соглашусь с вами. Но эта железка была закуплена в замен "говнокомпу" который натил трафик и держал пару туннелей. А уже потом было принято решение попробовать развернуть на нём ядро сети.

 

IPSEC и GRE вам зачем?

Если нужен туннель - используйте L2TP.

GRE-туннель не требует процедуры авторизации. IpSec прозрачно шифрует GRE пакеты. Поверх всего этого стройно разворачивается OSPF. site-to-site. Думаю, что в клиент-серверной модели L2TP это было бы не так просто.

L2TP я использую для подключения сотрудников к офису (client-to-site)

 

Коротко и ясно: выкиньте нахер этот микротик, вместо того чтоб ставить 100500 микротиков, чтоб каждый из них выполнял "свою задачу" и купите нормальный роутер.

 

Поясните пожалуйста что в вашем понимании нормальный роутер?

[pppoetest]

Поясните пожалуйста что в вашем понимании нормальный роутер?

На такие объёмы трафика - тазик с *nix. Дёшево, сердито, из серии поставил, настроил, слил настроенный образ в бекап и забыл.

[Saab95]

GRE-туннель не требует процедуры авторизации. IpSec прозрачно шифрует GRE пакеты. Поверх всего этого стройно разворачивается OSPF. site-to-site. Думаю, что в клиент-серверной модели L2TP это было бы не так просто.

L2TP я использую для подключения сотрудников к офису (client-to-site)

 

Зато GRE туннель требует указания 2-х пар IP адресов, и в случае изменения со стороны дальнего устройства, перенастройку. Шифровать никакие пакеты не следует.

В клиент серверной модели L2TP достаточно настроить сервер и создать там одну учетку, при этом при подключении абонента и включенном OSPF, маршруты автоматически передадутся. При подключении следующих клиентов, вы можете либо создать каждому по своей учетке, либо использовать одинаковые данные, выдавая адреса из пула. Такой режим работы намного более удобный, и позволяет подключать удаленные устройства через серые адреса.

 

Переделывал сети, где порядка 100-200 удаленных офисов, в каждом белый IP и настроено по GRE туннелю, в итоге с каждой стороны по 100-200 интерфейсов, контролировать которые сложно, а администрировать еще сложнее. После перенастройки на L2TP, появился список подключенных устройств, с указанием времени подключения и длительностью, появилась возможность обращаться к этим устройствам по выданным от сервера адресам, то есть на дальних устройствах уже не требуется что-то перенастраивать.

[NiTr0]

На такие объёмы трафика - тазик с *nix

или даже какой-то сохо роутер, типа WT3020H с OpenWRT.

[DRiVen]

На такие объёмы трафика - тазик с *nix

Зачем на 20-30мбит тазик? Счета за электричество оплачивать и помещение подогревать? Тем более, что все уже есть, не надо ничего покупать. У человека с внутрисетевой пропускной проблема, а ему бордер советуют менять.

[pppoetest]

В сабже речь о 330Мбит вроде как.

[Ivan_83]

Зачем на 20-30мбит тазик? Счета за электричество оплачивать и помещение подогревать?

Всякие атомы и тп не так много жрут.

[martini]

2 ТС - а микрика этого прикол с портами )) не советую делать бондинг. Посмотрите на потери по портам - это нормальный режим для него.. там есть только один или два порта нормально работающих при трафике в 100+ мегабит