tonny_bennet Posted July 7, 2015 Posted July 7, 2015 Здравствуйте. Есть RB1100AHx2. Выполняет функции ядра сети и пограниченого маршрутизатора. Под ядром сети я понимаю маршрутизацию трафика между локальными подсетями (/27, /26, /25 - 10 bridge/vlan) одной большой локальной сети /23. DHCP-server для локальных подсетей. В добавок к этому около 15 правил в filter для разграничения прав доступа между локальными подсетями. Под пограничным маршрутизатором я понимаю NAT для /23 сети (не более 30 Mbit/s, 7 правил), одна простая очередь для ограничения скорости гостевой wi-fi сети, 14 GRE туннелей к таким же железкам в филиалах, OSPF между филиалами, IpSec в транспортном режиме для шифрования GRE, сервер L2TP для подключения удалённых сотрудников, 7 правил в mangle и 2 в route rules для работы через два канала, netmap на внутренние сервисы компании 29 правил. В стандартном режиме нагрузка на процессор 2-10%. Ситуация №1: RB подключен к свитчу DGS-3120-24/TC одним гигабитным портом. К свитчу подключен сервер и клиент гигабитными портами. Они в разных vlan-ах т.е. трафик между ними пойдёт через RB. Запускаю копирование по сети (проверял и iperf-ом) большого файла. Скорость порядка 350 Mbit/s. Ситуация №2 Собираю между RB и MT агрегацию с LACP из 2-х гигабитных портов. На интерфейс агрегации навешиваю vlan-ы. Запускаю копирование по сети (проверял и iperf-ом) большого файла. Скорость порядка 350 Mbit/s. Но тут я уже посмотрел на загрузку процессора МТ. system resource monitor cpu-used: 52% cpu-used-per-cpu: 95%,9% free-memory: 1517408KiB Соответсвенно вопросы: 1. Это предел производительности RB и больше из него не выжать? 2. Это моя криворуковсть и я где-то мог ошибиться в настройках агрегации, маршрутизации и т.д.? 3. Магия неподвластная никому... Вставить ник Quote
Saab95 Posted July 7, 2015 Posted July 7, 2015 1. Это предел производительности RB и больше из него не выжать? Нет, на чистом роутинге RB1100 легко утилизирует 2 гигабитных порта полностью. 2. Это моя криворуковсть и я где-то мог ошибиться в настройках агрегации, маршрутизации и т.д.? Скорее всего так и есть. Вставить ник Quote
DRiVen Posted July 7, 2015 Posted July 7, 2015 rdntw, пример чего? Что свалив в кучу бордер с ядром ничего хорошего не получить? Согласен. Вставить ник Quote
tonny_bennet Posted July 7, 2015 Author Posted July 7, 2015 Скорее всего так и есть. В таком случае хочу узнать куда именно мне посмотреть? На агрегацию? RB interface bonding print Flags: X - disabled, R - running 0 R ;;; to srerver switch DGS-3120-24 (10.0.3.2) name="agregation1" mtu=1500 mac-address=4C:5E:0C:3E:CA:C0 arp=enabled slaves=ether9,ether8 mode=802.3ad primary=none link-monitoring=mii arp-interval=100ms arp-ip-targets="" mii-interval=100ms down-delay=0ms up-delay=0ms lacp-rate=30secs transmit-hash-policy=layer-2 D-Link DGS-3120-24TC:admin#show link_aggregation Command: show link_aggregation Link Aggregation Algorithm = MAC-Source-Dest Group ID : 1 Type : LACP Master Port : 1:24 Member Port : 1:23-1:24 Active Port : 1:23-1:24 Status : Enabled Flooding Port : 1:23 Trap : Disabled Group ID : 2 Type : LACP Master Port : 1:1 Member Port : 1:1-1:2 Active Port : 1:1-1:2 Status : Enabled Flooding Port : 1:1 Trap : Disabled Total Entries : 2 Что свалив в кучу бордер с ядром ничего хорошего не получить? Согласен. Не могли бы подробнее пояснить, что вы имели ввиду? Вставить ник Quote
rdntw Posted July 7, 2015 Posted July 7, 2015 Эммм...при добавлении копеечных фич производительность с 1.5г падает до 300мбс? Вставить ник Quote
DRiVen Posted July 7, 2015 Posted July 7, 2015 Эммм...при добавлении копеечных фич производительность с 1.5г падает до 300мбс? Копеечные они будут при обработке аппаратно, а это, на минуточку, чистый софтроутер. Не могли бы подробнее пояснить, что вы имели ввиду? "В одну телегу впрячь не можно коня и трепетную лань"(с) Обработка локального трафика роутером странное занятие, тем более с желанием получить wirespeed, этим обычно занимается L2+/L3 коммутатор. Вставить ник Quote
tonny_bennet Posted July 7, 2015 Author Posted July 7, 2015 Обработка локального трафика роутером странное занятие, тем более с желанием получить wirespeed, этим обычно занимается L2+/L3 коммутатор. Т.е. если остаться на том же вендоре, оборудование из серии CCR больше подойдёт под задачи маршрутизации трафика внутри сети? А эту железку оставить под задачи BGW (nat,gre,ipsec...)? Вставить ник Quote
rdntw Posted July 7, 2015 Posted July 7, 2015 Копеечные они будут при обработке аппаратно, а это, на минуточку, чистый софтроутер. вот именно! а сааб его пихает в SP Вставить ник Quote
DRiVen Posted July 7, 2015 Posted July 7, 2015 (edited) tonny_bennet, у вас DGS-3120-24, почему не поручить ядро ему? Ваши 15 правил фильтрации он прожует легко, а DHCP оставите на роутере. rdntw, сааб много чего куда пихает, это же не означает, что оно туда залезет ) Edited July 8, 2015 by DRiVen Вставить ник Quote
NiTr0 Posted July 7, 2015 Posted July 7, 2015 при добавлении копеечных фич производительность с 1.5г падает до 300мбс? Отключается fastpath, при котором пакеты тупо перекладываются с одного интерфейса в другой с минимумом обработки. И карета превращается в тыкву... Вставить ник Quote
myst Posted July 7, 2015 Posted July 7, 2015 Обработка локального трафика роутером странное занятие, тем более с желанием получить wirespeed, этим обычно занимается L2+/L3 коммутатор. Т.е. если остаться на том же вендоре, оборудование из серии CCR больше подойдёт под задачи маршрутизации трафика внутри сети? А эту железку оставить под задачи BGW (nat,gre,ipsec...)? C ipsec Там тоже все очень грустно. Несмотря на заявленую аппаратную поддержку AES. Сомневаюсь что он вытянет более 100-150 мегабит ipsec. Копеечные они будут при обработке аппаратно, а это, на минуточку, чистый софтроутер. вот именно! а сааб его пихает в SP Ну так поменьше надо слушать этого балабола. Вставить ник Quote
Saab95 Posted July 8, 2015 Posted July 8, 2015 В таком случае хочу узнать куда именно мне посмотреть? На агрегацию? Нельзя тянуть все задачи на одно устройство. Нужно поставить отдельный микротик для агрегации каналов от абонентов, там НАТ не нужен, шейпера не нужны, возможны только блокировки абонентских адресов, и то только тех, кто заблокировал. Некоторые любят делать наоборот - сначала все блокируют, а после создают кучу разрешающих правил, что повышает нагрузку процессора. Т.е. если остаться на том же вендоре, оборудование из серии CCR больше подойдёт под задачи маршрутизации трафика внутри сети? А эту железку оставить под задачи BGW (nat,gre,ipsec...)? IPSEC и GRE вам зачем? Если нужен туннель - используйте L2TP. Железка класса 9 ядерный CCR легко маршрутизирует трафик между своими портами на скорости порта, если на нее не навешаны ненужные функции. Ну так поменьше надо слушать этого балабола. А кого слушать? Ставьте циску или еще какую крутую железку, только вот стоимость циски (обычно ее предлагают, почему-то б/у и сравнивают со стоимостью нового микротика), превосходит порой в 10 раз стоимость CCR, поэтому выгоднее купить большее количество микротиков, чем одну циску, т.к. можно решать более широкий спектр задач и получить резервирование. Вставить ник Quote
myst Posted July 8, 2015 Posted July 8, 2015 А кого слушать? Ставьте циску или еще какую крутую железку, только вот стоимость циски (обычно ее предлагают, почему-то б/у и сравнивают со стоимостью нового микротика), превосходит порой в 10 раз стоимость CCR, поэтому выгоднее купить большее количество микротиков, чем одну циску, т.к. можно решать более широкий спектр задач и получить резервирование. В разы выгоднее купить одну нормальную железку, один раз настроить и забыть, чем огребать постоянные головняки с пачкой микротиков. Вставить ник Quote
Butch3r Posted July 8, 2015 Posted July 8, 2015 Коротко и ясно: выкиньте нахер этот микротик, вместо того чтоб ставить 100500 микротиков, чтоб каждый из них выполнял "свою задачу" и купите нормальный роутер. Вставить ник Quote
Saab95 Posted July 8, 2015 Posted July 8, 2015 В разы выгоднее купить одну нормальную железку, один раз настроить и забыть, чем огребать постоянные головняки с пачкой микротиков. И прыгать вокруг ее ограничений. Вставить ник Quote
myst Posted July 8, 2015 Posted July 8, 2015 В разы выгоднее купить одну нормальную железку, один раз настроить и забыть, чем огребать постоянные головняки с пачкой микротиков. И прыгать вокруг ее ограничений. Ага, а так прыгать вокруг ограничений вязанки полудохлых микротов. охлол Вставить ник Quote
tonny_bennet Posted July 8, 2015 Author Posted July 8, 2015 у вас DGS-3120-24, почему не поручить ядро ему? Ваши 15 правил фильтрации он прожует легко, а DHCP оставите на роутере. Спасибо за рекомендацию. Попробую развернуть ядро на нём. Правда на D-Link-ах маршрутизацию поднимать не приходилось. Сомневаюсь что он вытянет более 100-150 мегабит ipsec. У меня шифорованного трафика не больше чем величина внешних каналов (20-30Мбит/с). Вопрос скорее о "ядерной маршрутизации". Нельзя тянуть все задачи на одно устройство. Нужно поставить отдельный микротик для агрегации каналов от абонентов, там НАТ не нужен, шейпера не нужны, возможны только блокировки абонентских адресов, и то только тех, кто заблокировал. Некоторые любят делать наоборот - сначала все блокируют, а после создают кучу разрешающих правил, что повышает нагрузку процессора. Соглашусь с вами. Но эта железка была закуплена в замен "говнокомпу" который натил трафик и держал пару туннелей. А уже потом было принято решение попробовать развернуть на нём ядро сети. IPSEC и GRE вам зачем? Если нужен туннель - используйте L2TP. GRE-туннель не требует процедуры авторизации. IpSec прозрачно шифрует GRE пакеты. Поверх всего этого стройно разворачивается OSPF. site-to-site. Думаю, что в клиент-серверной модели L2TP это было бы не так просто. L2TP я использую для подключения сотрудников к офису (client-to-site) Коротко и ясно: выкиньте нахер этот микротик, вместо того чтоб ставить 100500 микротиков, чтоб каждый из них выполнял "свою задачу" и купите нормальный роутер. Поясните пожалуйста что в вашем понимании нормальный роутер? Вставить ник Quote
pppoetest Posted July 8, 2015 Posted July 8, 2015 Поясните пожалуйста что в вашем понимании нормальный роутер? На такие объёмы трафика - тазик с *nix. Дёшево, сердито, из серии поставил, настроил, слил настроенный образ в бекап и забыл. Вставить ник Quote
Saab95 Posted July 8, 2015 Posted July 8, 2015 GRE-туннель не требует процедуры авторизации. IpSec прозрачно шифрует GRE пакеты. Поверх всего этого стройно разворачивается OSPF. site-to-site. Думаю, что в клиент-серверной модели L2TP это было бы не так просто. L2TP я использую для подключения сотрудников к офису (client-to-site) Зато GRE туннель требует указания 2-х пар IP адресов, и в случае изменения со стороны дальнего устройства, перенастройку. Шифровать никакие пакеты не следует. В клиент серверной модели L2TP достаточно настроить сервер и создать там одну учетку, при этом при подключении абонента и включенном OSPF, маршруты автоматически передадутся. При подключении следующих клиентов, вы можете либо создать каждому по своей учетке, либо использовать одинаковые данные, выдавая адреса из пула. Такой режим работы намного более удобный, и позволяет подключать удаленные устройства через серые адреса. Переделывал сети, где порядка 100-200 удаленных офисов, в каждом белый IP и настроено по GRE туннелю, в итоге с каждой стороны по 100-200 интерфейсов, контролировать которые сложно, а администрировать еще сложнее. После перенастройки на L2TP, появился список подключенных устройств, с указанием времени подключения и длительностью, появилась возможность обращаться к этим устройствам по выданным от сервера адресам, то есть на дальних устройствах уже не требуется что-то перенастраивать. Вставить ник Quote
NiTr0 Posted July 8, 2015 Posted July 8, 2015 На такие объёмы трафика - тазик с *nix или даже какой-то сохо роутер, типа WT3020H с OpenWRT. Вставить ник Quote
DRiVen Posted July 8, 2015 Posted July 8, 2015 На такие объёмы трафика - тазик с *nix Зачем на 20-30мбит тазик? Счета за электричество оплачивать и помещение подогревать? Тем более, что все уже есть, не надо ничего покупать. У человека с внутрисетевой пропускной проблема, а ему бордер советуют менять. Вставить ник Quote
pppoetest Posted July 8, 2015 Posted July 8, 2015 В сабже речь о 330Мбит вроде как. Вставить ник Quote
Ivan_83 Posted July 8, 2015 Posted July 8, 2015 Зачем на 20-30мбит тазик? Счета за электричество оплачивать и помещение подогревать? Всякие атомы и тп не так много жрут. Вставить ник Quote
martini Posted July 8, 2015 Posted July 8, 2015 2 ТС - а микрика этого прикол с портами )) не советую делать бондинг. Посмотрите на потери по портам - это нормальный режим для него.. там есть только один или два порта нормально работающих при трафике в 100+ мегабит Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.