tonny_bennet Опубликовано 7 июля, 2015 · Жалоба Здравствуйте. Есть RB1100AHx2. Выполняет функции ядра сети и пограниченого маршрутизатора. Под ядром сети я понимаю маршрутизацию трафика между локальными подсетями (/27, /26, /25 - 10 bridge/vlan) одной большой локальной сети /23. DHCP-server для локальных подсетей. В добавок к этому около 15 правил в filter для разграничения прав доступа между локальными подсетями. Под пограничным маршрутизатором я понимаю NAT для /23 сети (не более 30 Mbit/s, 7 правил), одна простая очередь для ограничения скорости гостевой wi-fi сети, 14 GRE туннелей к таким же железкам в филиалах, OSPF между филиалами, IpSec в транспортном режиме для шифрования GRE, сервер L2TP для подключения удалённых сотрудников, 7 правил в mangle и 2 в route rules для работы через два канала, netmap на внутренние сервисы компании 29 правил. В стандартном режиме нагрузка на процессор 2-10%. Ситуация №1: RB подключен к свитчу DGS-3120-24/TC одним гигабитным портом. К свитчу подключен сервер и клиент гигабитными портами. Они в разных vlan-ах т.е. трафик между ними пойдёт через RB. Запускаю копирование по сети (проверял и iperf-ом) большого файла. Скорость порядка 350 Mbit/s. Ситуация №2 Собираю между RB и MT агрегацию с LACP из 2-х гигабитных портов. На интерфейс агрегации навешиваю vlan-ы. Запускаю копирование по сети (проверял и iperf-ом) большого файла. Скорость порядка 350 Mbit/s. Но тут я уже посмотрел на загрузку процессора МТ. system resource monitor cpu-used: 52% cpu-used-per-cpu: 95%,9% free-memory: 1517408KiB Соответсвенно вопросы: 1. Это предел производительности RB и больше из него не выжать? 2. Это моя криворуковсть и я где-то мог ошибиться в настройках агрегации, маршрутизации и т.д.? 3. Магия неподвластная никому... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rdntw Опубликовано 7 июля, 2015 · Жалоба а вот и яркий пример)) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 7 июля, 2015 · Жалоба 1. Это предел производительности RB и больше из него не выжать? Нет, на чистом роутинге RB1100 легко утилизирует 2 гигабитных порта полностью. 2. Это моя криворуковсть и я где-то мог ошибиться в настройках агрегации, маршрутизации и т.д.? Скорее всего так и есть. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DRiVen Опубликовано 7 июля, 2015 · Жалоба rdntw, пример чего? Что свалив в кучу бордер с ядром ничего хорошего не получить? Согласен. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
tonny_bennet Опубликовано 7 июля, 2015 · Жалоба Скорее всего так и есть. В таком случае хочу узнать куда именно мне посмотреть? На агрегацию? RB interface bonding print Flags: X - disabled, R - running 0 R ;;; to srerver switch DGS-3120-24 (10.0.3.2) name="agregation1" mtu=1500 mac-address=4C:5E:0C:3E:CA:C0 arp=enabled slaves=ether9,ether8 mode=802.3ad primary=none link-monitoring=mii arp-interval=100ms arp-ip-targets="" mii-interval=100ms down-delay=0ms up-delay=0ms lacp-rate=30secs transmit-hash-policy=layer-2 D-Link DGS-3120-24TC:admin#show link_aggregation Command: show link_aggregation Link Aggregation Algorithm = MAC-Source-Dest Group ID : 1 Type : LACP Master Port : 1:24 Member Port : 1:23-1:24 Active Port : 1:23-1:24 Status : Enabled Flooding Port : 1:23 Trap : Disabled Group ID : 2 Type : LACP Master Port : 1:1 Member Port : 1:1-1:2 Active Port : 1:1-1:2 Status : Enabled Flooding Port : 1:1 Trap : Disabled Total Entries : 2 Что свалив в кучу бордер с ядром ничего хорошего не получить? Согласен. Не могли бы подробнее пояснить, что вы имели ввиду? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rdntw Опубликовано 7 июля, 2015 · Жалоба Эммм...при добавлении копеечных фич производительность с 1.5г падает до 300мбс? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DRiVen Опубликовано 7 июля, 2015 · Жалоба Эммм...при добавлении копеечных фич производительность с 1.5г падает до 300мбс? Копеечные они будут при обработке аппаратно, а это, на минуточку, чистый софтроутер. Не могли бы подробнее пояснить, что вы имели ввиду? "В одну телегу впрячь не можно коня и трепетную лань"(с) Обработка локального трафика роутером странное занятие, тем более с желанием получить wirespeed, этим обычно занимается L2+/L3 коммутатор. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
tonny_bennet Опубликовано 7 июля, 2015 · Жалоба Обработка локального трафика роутером странное занятие, тем более с желанием получить wirespeed, этим обычно занимается L2+/L3 коммутатор. Т.е. если остаться на том же вендоре, оборудование из серии CCR больше подойдёт под задачи маршрутизации трафика внутри сети? А эту железку оставить под задачи BGW (nat,gre,ipsec...)? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rdntw Опубликовано 7 июля, 2015 · Жалоба Копеечные они будут при обработке аппаратно, а это, на минуточку, чистый софтроутер. вот именно! а сааб его пихает в SP Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DRiVen Опубликовано 7 июля, 2015 (изменено) · Жалоба tonny_bennet, у вас DGS-3120-24, почему не поручить ядро ему? Ваши 15 правил фильтрации он прожует легко, а DHCP оставите на роутере. rdntw, сааб много чего куда пихает, это же не означает, что оно туда залезет ) Изменено 8 июля, 2015 пользователем DRiVen Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 7 июля, 2015 · Жалоба при добавлении копеечных фич производительность с 1.5г падает до 300мбс? Отключается fastpath, при котором пакеты тупо перекладываются с одного интерфейса в другой с минимумом обработки. И карета превращается в тыкву... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myst Опубликовано 7 июля, 2015 · Жалоба Обработка локального трафика роутером странное занятие, тем более с желанием получить wirespeed, этим обычно занимается L2+/L3 коммутатор. Т.е. если остаться на том же вендоре, оборудование из серии CCR больше подойдёт под задачи маршрутизации трафика внутри сети? А эту железку оставить под задачи BGW (nat,gre,ipsec...)? C ipsec Там тоже все очень грустно. Несмотря на заявленую аппаратную поддержку AES. Сомневаюсь что он вытянет более 100-150 мегабит ipsec. Копеечные они будут при обработке аппаратно, а это, на минуточку, чистый софтроутер. вот именно! а сааб его пихает в SP Ну так поменьше надо слушать этого балабола. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 8 июля, 2015 · Жалоба В таком случае хочу узнать куда именно мне посмотреть? На агрегацию? Нельзя тянуть все задачи на одно устройство. Нужно поставить отдельный микротик для агрегации каналов от абонентов, там НАТ не нужен, шейпера не нужны, возможны только блокировки абонентских адресов, и то только тех, кто заблокировал. Некоторые любят делать наоборот - сначала все блокируют, а после создают кучу разрешающих правил, что повышает нагрузку процессора. Т.е. если остаться на том же вендоре, оборудование из серии CCR больше подойдёт под задачи маршрутизации трафика внутри сети? А эту железку оставить под задачи BGW (nat,gre,ipsec...)? IPSEC и GRE вам зачем? Если нужен туннель - используйте L2TP. Железка класса 9 ядерный CCR легко маршрутизирует трафик между своими портами на скорости порта, если на нее не навешаны ненужные функции. Ну так поменьше надо слушать этого балабола. А кого слушать? Ставьте циску или еще какую крутую железку, только вот стоимость циски (обычно ее предлагают, почему-то б/у и сравнивают со стоимостью нового микротика), превосходит порой в 10 раз стоимость CCR, поэтому выгоднее купить большее количество микротиков, чем одну циску, т.к. можно решать более широкий спектр задач и получить резервирование. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myst Опубликовано 8 июля, 2015 · Жалоба А кого слушать? Ставьте циску или еще какую крутую железку, только вот стоимость циски (обычно ее предлагают, почему-то б/у и сравнивают со стоимостью нового микротика), превосходит порой в 10 раз стоимость CCR, поэтому выгоднее купить большее количество микротиков, чем одну циску, т.к. можно решать более широкий спектр задач и получить резервирование. В разы выгоднее купить одну нормальную железку, один раз настроить и забыть, чем огребать постоянные головняки с пачкой микротиков. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Butch3r Опубликовано 8 июля, 2015 · Жалоба Коротко и ясно: выкиньте нахер этот микротик, вместо того чтоб ставить 100500 микротиков, чтоб каждый из них выполнял "свою задачу" и купите нормальный роутер. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 8 июля, 2015 · Жалоба В разы выгоднее купить одну нормальную железку, один раз настроить и забыть, чем огребать постоянные головняки с пачкой микротиков. И прыгать вокруг ее ограничений. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myst Опубликовано 8 июля, 2015 · Жалоба В разы выгоднее купить одну нормальную железку, один раз настроить и забыть, чем огребать постоянные головняки с пачкой микротиков. И прыгать вокруг ее ограничений. Ага, а так прыгать вокруг ограничений вязанки полудохлых микротов. охлол Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
tonny_bennet Опубликовано 8 июля, 2015 · Жалоба у вас DGS-3120-24, почему не поручить ядро ему? Ваши 15 правил фильтрации он прожует легко, а DHCP оставите на роутере. Спасибо за рекомендацию. Попробую развернуть ядро на нём. Правда на D-Link-ах маршрутизацию поднимать не приходилось. Сомневаюсь что он вытянет более 100-150 мегабит ipsec. У меня шифорованного трафика не больше чем величина внешних каналов (20-30Мбит/с). Вопрос скорее о "ядерной маршрутизации". Нельзя тянуть все задачи на одно устройство. Нужно поставить отдельный микротик для агрегации каналов от абонентов, там НАТ не нужен, шейпера не нужны, возможны только блокировки абонентских адресов, и то только тех, кто заблокировал. Некоторые любят делать наоборот - сначала все блокируют, а после создают кучу разрешающих правил, что повышает нагрузку процессора. Соглашусь с вами. Но эта железка была закуплена в замен "говнокомпу" который натил трафик и держал пару туннелей. А уже потом было принято решение попробовать развернуть на нём ядро сети. IPSEC и GRE вам зачем? Если нужен туннель - используйте L2TP. GRE-туннель не требует процедуры авторизации. IpSec прозрачно шифрует GRE пакеты. Поверх всего этого стройно разворачивается OSPF. site-to-site. Думаю, что в клиент-серверной модели L2TP это было бы не так просто. L2TP я использую для подключения сотрудников к офису (client-to-site) Коротко и ясно: выкиньте нахер этот микротик, вместо того чтоб ставить 100500 микротиков, чтоб каждый из них выполнял "свою задачу" и купите нормальный роутер. Поясните пожалуйста что в вашем понимании нормальный роутер? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pppoetest Опубликовано 8 июля, 2015 · Жалоба Поясните пожалуйста что в вашем понимании нормальный роутер? На такие объёмы трафика - тазик с *nix. Дёшево, сердито, из серии поставил, настроил, слил настроенный образ в бекап и забыл. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 8 июля, 2015 · Жалоба GRE-туннель не требует процедуры авторизации. IpSec прозрачно шифрует GRE пакеты. Поверх всего этого стройно разворачивается OSPF. site-to-site. Думаю, что в клиент-серверной модели L2TP это было бы не так просто. L2TP я использую для подключения сотрудников к офису (client-to-site) Зато GRE туннель требует указания 2-х пар IP адресов, и в случае изменения со стороны дальнего устройства, перенастройку. Шифровать никакие пакеты не следует. В клиент серверной модели L2TP достаточно настроить сервер и создать там одну учетку, при этом при подключении абонента и включенном OSPF, маршруты автоматически передадутся. При подключении следующих клиентов, вы можете либо создать каждому по своей учетке, либо использовать одинаковые данные, выдавая адреса из пула. Такой режим работы намного более удобный, и позволяет подключать удаленные устройства через серые адреса. Переделывал сети, где порядка 100-200 удаленных офисов, в каждом белый IP и настроено по GRE туннелю, в итоге с каждой стороны по 100-200 интерфейсов, контролировать которые сложно, а администрировать еще сложнее. После перенастройки на L2TP, появился список подключенных устройств, с указанием времени подключения и длительностью, появилась возможность обращаться к этим устройствам по выданным от сервера адресам, то есть на дальних устройствах уже не требуется что-то перенастраивать. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NiTr0 Опубликовано 8 июля, 2015 · Жалоба На такие объёмы трафика - тазик с *nix или даже какой-то сохо роутер, типа WT3020H с OpenWRT. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DRiVen Опубликовано 8 июля, 2015 · Жалоба На такие объёмы трафика - тазик с *nix Зачем на 20-30мбит тазик? Счета за электричество оплачивать и помещение подогревать? Тем более, что все уже есть, не надо ничего покупать. У человека с внутрисетевой пропускной проблема, а ему бордер советуют менять. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pppoetest Опубликовано 8 июля, 2015 · Жалоба В сабже речь о 330Мбит вроде как. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 8 июля, 2015 · Жалоба Зачем на 20-30мбит тазик? Счета за электричество оплачивать и помещение подогревать? Всякие атомы и тп не так много жрут. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
martini Опубликовано 8 июля, 2015 · Жалоба 2 ТС - а микрика этого прикол с портами )) не советую делать бондинг. Посмотрите на потери по портам - это нормальный режим для него.. там есть только один или два порта нормально работающих при трафике в 100+ мегабит Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...