[^rage^]

а сеть и килопакеты упираются в количество прерываний, и очередей. неважно каком, будь то микротик, линукс, фрибсд, и все производные от них где взят за основу сетевой стек того что я перечислил, и где все проводится через вычислительне блоки ЦПУ - упираются в мощьность оборудования.

можно обрабатывать сетевой трафик вообще без прерываний. от слова совсем.

[bf-networks.com]

В случае использования гипервайзера - ссш вообще можно выключить совсем и осуществлять доступ к консоли - из VMware vSphere Client, напрямую в виртуалку, как если бы вы находились за консолью включеной в устройство.

давайте посчитаем стоимость владения. начнем с лицензий на всферу.

 

 

3. процитирую часть сообщения, которое я наисал другому пользователю в личке, касательно устройств которые производит _моя_ фирма.:

VmWare ESXI 5.5:

 

в дефолтном имедже отсутствует драйвер одной из набортных сетевых карт, мы предоставляем готовый поправленый имедж, либо можно взять драйвер этой сетевки на форуме supermicro - в их серверах ставится такой же комплект сетевух.

я правильно понимаю, что вы распространяете модифицированный образ esxi?

 

гость Juniper vSRX firefly perimetr - углубленно не тестировали, за ненадобностью.

а так же являетесь авторизованным реселлером juniper?

 

4. если неумеете или не знаете как делать так что бы виртуалка полноценно работала с сетью - могу научить, расказать, показать на примерах, поделиться опытом. мне не тяжело.

плохо она работает. предлагаю стандартный тест: отроутить 1.44mpps, т.е. вот тот самый гигабит.

 

Добрый день.

 

Давайте честно посчитаем стоимость владения.

 

Диллерский прайс на базовый кит без дополнительных опций и без оптики - 560 долларов (по курсу естественно) это мазерборд,проц,память,мсата ссд, один БП, корпус... на базовый девайс с оптикой - 750 - это мазерборд,проц,память,мсата ссд, один БП, корпус + сетевка производства наших партнеров a-gear NIC-1G2HF, переходник для ее подключения в горизонтальном положении. Другие опции, дополнительные крепежи, переходники - оговариваются отдельно.

 

Есть еще "рекомендованый розничный прайс" - это цены которые не должны превышаться, если вы хотите официально перепродать железо дальше. маржа около 100 долларов, в пределах которой реселлер может "делать скидки" "только сегодня и только для вас", добавив к этой цене свои личные услуги по сопровождению железа и софта, если хочет. Если загнули выше рекомендованой, мы вправе отказаться от сотрудничества, но это обходят предлагая "удаленный сапорт" за ННН денег.

 

Маркетинг, "особые" цены, и вопросы торговли обсуждаются не со мной, а с маркетинговым директором.

 

Далее. Лицензионный софт который можно купить у нас вместе с устройством.

 

vSphere standart - обойдется в 1352 доллара (изза игры на курсе), по факту - официальные 1293.50

Mikrotik RouterOS - по официальному прайсу, взависимости от уровня лицензии.

 

итого - железо коророе мы продаем - обойдется дешевле аналогичного от pfSense или JetWay, приэтом имеет ряд преимуществ перед ними, ввиду использования промышленой материнки с питанием +- и отсутствием такого понятия как АТХ питание как такового + рядом других достоинтв.

 

софт - взависимости от пожелания заказчика, что называется "любой каприз за ваши деньги", захотите Microsoft Windows Terminal Server - будет вам терминал сервер. захотите линукс - будет линукс.

 

Далее, относительно интересующих вас юридических нюансов. Мы не распространяем модифицированый образ ESXI. Мы устанавливаем в ESXI драйвера для нашего оборудования. Как мы это делаем - сугубо наша личная проблема. Устанавливать триальный софт, и предлагать при этом лицензионный - тоже никто не может запретить вобщемто. Законы мы не нарушаем, и готовы предоставить все необходимые документы.

 

По поводу реселлеров или не реселлеров. Покупатель получит документы на софт от имени официальных реселлеров, на основании договоров подписаных нами с официальным реселлером... и документы на железо от нашего имени.

Мы торгуем железом, а купить софт через нас и попросить его установить, что бы получить решение из коробки, либо купить софт напрямую у официального реселлера и установить его самостоятельно на голое железо - личное дело покупателя.

 

То что фирма торгующая железом выделена в отдельное юридическое лицо, отдельно от скажем фирмы которая зинимается услугами предоставления хостинга или отдельно от фирмы предоставляющей услуги IP телефонии - ничего странного или незаконного в этом нету.

 

И вобщем я технарь а не юрист, объяснил своими словами, как сумел.

 

З.Ы. 800к +- пролазит, больше не видел, на этих девайсах если честно.

[bf-networks.com]

 

Поделитесь. Серьёзно. Скоро мне предстоит отроутить/отшейпить/отнатить примерно 3Гбит/с. Если это можно сделать в виртуалках на RouterOS, и оно будет работать годами стабильно, я даже заплачу за опыт.

 

 

Здраствуйте.

 

начнем с того что запрос в 3гбпс на одну голову - подразумевает под собой 10г сетевку, которая стоит нормально денег, и на мой взглят решение этого вопроса на х86 - не целесообразно как таковое. (Я в полном адеквате, если че.) Кроме того если насчет гигабита я действительно могу что то расказать, то насчет 10г - нет. Это не мой уровень решения. Основываясь на знаниях - могу сказать что по шине материнки пролезет максимум 5гбпс туда-сюда, реальных без вранья.

 

Коечно есть вариант с объединением двух гбпс в ЛАЦП, однако это явно уже не 3гбпс получится. Ну аж никак.

Хотя рассмотрим и его:

Городить ЛАЦПы с раскидыванием - в данном случае - это все равно что заниматься сексом стоя в гамаке, в ластах и противогазе. Микротик дерьмово работает с ЛАЦП в режиме балансировки. Можно принять на физиках ЛАЦП непосредственно на вмварь, и отдать его микротику в виде одного эзернета... да это будет гораздо эфективней, чем делать этот же лацп в микроте. 1.7-1.8 максимум я думаю впринципе с горем пополам даванет. Однако я не пробовал заниматься такими извратами, и немогу сказать что из этого получится.

 

С гигабитом проще...

Во первых - роутерос х86 имеет поддержку вмваревского виртуального оборудования, что называется с момента компиляции. Официально. Далее всю свою историю, вмварь пилится под интеловые сетевухи среднего сегмента и выше среднего, тоесть они прорабатывают работу с сетью максимально оптимизируя под интеловые чипы, чем очень гордятся и хватают. Сетевки должны быть как минимум 8258х с 16 очередями.

 

Далее уже по самой esxi... _для каждой_ виртуальной машины, для каждой сетевой головы, должен быть создан виртуальный порт на виртуальном свиче, в режиме прямого бридж директ, с использованием драйвера ВМ оборудования Е1000 (а не той туфты которую он предлагает по дефолту).

 

Что имеется ввиду... допустим у вас 4 сетевых головы, и две виртуалки А и Б... это означает что все четыре головы, должны быть для каждой виртуалки, тоесть восемь виртуальных портов е1000 в бридж директ, по два виртуальных порта на каждую голову. Голова 1 - порт 1 для виртуалки А + порт 1 для виртуалки Б, голова 2 - порт 2 для виртуалки А + порт 2 для виртуалки Б, ну и так далее... Почему так ? Потому что если лепить обе виртуалки к одному виртуальному порту - они будут делить его пополам, и чем больше виртуалок к этому виртуальному порту прицеплено - тем меньше будет скорость этого порта для каждой виртуалки. Надеюсь я понятно изложил.

 

Тут нужно понимать идеологию ихнего виртуального свича... когда вы лепите несколько виртуалок на один виртуальный интерфейс - это практически равносильно тому что вы каким то образом умудрились включить два компьютера в один порт на реальном свиче, ну примерно как то так. Поэтому для каждой виртуалки должен быть отдельный Е1000 порт, на каждом физическом интерфейсе который вы хотите задействовать для этой виртуалки. Представте что виртуальный свич (ну или портгрупа если будет угодно) - это реальный свич, на котором должна быть отдельная дырка для каждого устройства которое вы в него включаете (отдельный виртуальный интерфейс для каждой виртуалки которую вы конектите к этому виртуальному свичу). При этом виртуалки видят друг друга не через внутренюю сеть vmnet а через голову физической сетевухи, как если бы она являлась свичем. Незнаю как это подругому объяснить.

 

Далее... оперировать вланами можно двумя способами, и выбирать нужно наиболее подходящий в конкретной ситуации.

Первый способ - это когда каждый приходящий на физику влан - распаковывается прямо на вмвари, и отдается унтагом в виртуалку как езернет, который уже в виртуалке можно бриджевать с чем то и делать с ним что то. Для виртуалки этот влан выглядит как отдельная сетевая карта, а не как влан. На виртуальном свиче может быть 4094 порта, неважно физических транслируемых в виртуалку 1:1 или раскапованых вланов представленых для каждой отдельно взятой виртуалки как эзернеты.

Второй способ - это принимать на физической голове все вланы, и передавать их в виртуалку, далее распаковывать их в виртуалке и оперировать ими как вланами, а не виртуальными эзернетами, средствами самой виртуалки.

 

С агрегацией выглядит примерно так же. Агрегация физики делается самой вмварью, при этом в виртуальный свич добавляется не одна физическая голова, которая транслируется в виртуалку, а несколько, которые по итогу представляются виртуалке как один эзернет. Либо агрегация делается средствами самой виртуалки и получается гавно (на мой взгляд, хотя знаю людей которые лепят это в виртуалке и говорят что нормально работает).

 

По поводу xenserver - могу сказать что он отвратительно работает с сетью, и его даже не стоит пробовать. Результаты работы сети вмвари, для ксенсервера не достижимы неиодним известным мне способом, даже если плясать с бубном и делать жертвоприношения злым богам. А о том какая скорость работы сети между виртуалками, я даже говорить нехочу - это ужас.

 

Надеюсь что суть того что я изложил понятна, однако чуть позже я сделаю картинки на которых будет проще осознать, что нужно подходить к виртуальному свичу вмвари почти с такой же логикой как к реальному. Потому что большинство людей лепят пачку виртуалок на один виртуальный интерфейс, а потом плюются на работу сети, не осознавая что невъехали в идеологию того как оно должно вообще работать.

 

З.Ы. есть еще такая штука, как directpath I/O - это когда физическое оборудование отдается напрямую в виртуалку. На сегодняшний день это вобщем то deprecated ввиду того что мешает двигать виртуалку по ресурс пулу. Однако если сильно захотеть - то впринципе можно.

Изменено 27 сентября, 2015 пользователем bf-networks.com

[pppoetest]

с использованием драйвера ВМ оборудования Е1000 (а не той туфты которую он предлагает по дефолту).

Простите за невладение технологий виртуализации, E1000 это сетевой драйвер e1000? Если да, то оно не умеет очереди Rx/Tx, что в свою очередь приведёт к полке одного ядра/проца и к соот-но дропам, при этом остальные будут простаивать.

 

начнем с того что запрос в 3гбпс на одну голову - подразумевает под собой 10г сетевку, которая стоит нормально денег, и на мой взглят решение этого вопроса на х86 - не целесообразно как таковое. (Я в полном адеквате, если че.) Кроме того если насчет гигабита я действительно могу что то расказать, то насчет 10г - нет. Это не мой уровень решения. Основываясь на знаниях - могу сказать что по шине материнки пролезет максимум 5гбпс туда-сюда, реальных без вранья.

Подумываю именно о 10Г на x86, даже без тюнинга параметров, iperf выдал 3,8Гбит.

[^rage^]

З.Ы. 800к +- пролазит, больше не видел, на этих девайсах если честно.

это очень и очень скромно. кстати, вы упоминули про второй бп. а что с горячей заменой их?

[pppoetest]

Надеюсь что суть того что я изложил понятна

Да спасибо.

чуть позже я сделаю картинки на которых будет проще осознать, что нужно подходить к виртуальному свичу вмвари почти с такой же логикой как к реальному.

Спасибо, данных вами описанных достаточно. Ну только если кому-то ещё будет интересно.

[^rage^]

начнем с того что запрос в 3гбпс на одну голову - подразумевает под собой 10г сетевку, которая стоит нормально денег, и на мой взглят решение этого вопроса на х86 - не целесообразно как таковое.

с чего бы вдруг? у меня десктопный 3770 спокойно роутил и шифровал 2 гигабита ipsec aes256-gcm с относительно небольшой утилизацией cpu, а вы рассказываете про жалкие 3Гбит форвардинга.

 

могу сказать что по шине материнки пролезет максимум 5гбпс туда-сюда, реальных без вранья.

и снова вопрос: с чего бы вдруг? у вас там что ли pcie x1 древних версий?

 

Коечно есть вариант с объединением двух гбпс в ЛАЦП, однако это явно уже не 3гбпс получится. Ну аж никак.

можно взять четырёхпортовую карточку.

 

Можно принять на физиках ЛАЦП непосредственно на вмварь, и отдать его микротику в виде одного эзернета... да это будет гораздо эфективней, чем делать этот же лацп в микроте.

какой ужас.

 

Далее уже по самой esxi... _для каждой_ виртуальной машины, для каждой сетевой головы, должен быть создан виртуальный порт на виртуальном свиче, в режиме прямого бридж директ, с использованием драйвера ВМ оборудования Е1000 (а не той туфты которую он предлагает по дефолту).

простите, но то что вы описываете - прямой путь убить производительность. потому что на стороне хоста(vmware) идёт полная эмуляция интеловской карточки и из-за дичайшего оверхеда был придуман vmxnet3(да и другие варианты паравиртуальных драйверов).

 

З.Ы. есть еще такая штука, как directpath I/O - это когда физическое оборудование отдается напрямую в виртуалку. На сегодняшний день это вобщем то deprecated ввиду того что мешает двигать виртуалку по ресурс пулу. Однако если сильно захотеть - то впринципе можно.

огонь, просто огонь! про sr-iov слышали?

 

и чем ваше решение лучше вот этого или вот этого

+ бп + корпус?

[bf-networks.com]

с использованием драйвера ВМ оборудования Е1000 (а не той туфты которую он предлагает по дефолту).

Простите за невладение технологий виртуализации, E1000 это сетевой драйвер e1000? Если да, то оно не умеет очереди Rx/Tx, что в свою очередь приведёт к полке одного ядра/проца и к соот-но дропам, при этом остальные будут простаивать.

 

начнем с того что запрос в 3гбпс на одну голову - подразумевает под собой 10г сетевку, которая стоит нормально денег, и на мой взглят решение этого вопроса на х86 - не целесообразно как таковое. (Я в полном адеквате, если че.) Кроме того если насчет гигабита я действительно могу что то расказать, то насчет 10г - нет. Это не мой уровень решения. Основываясь на знаниях - могу сказать что по шине материнки пролезет максимум 5гбпс туда-сюда, реальных без вранья.

Подумываю именно о 10Г на x86, даже без тюнинга параметров, iperf выдал 3,8Гбит.

 

e1000 это исторически сложившееся название гигабитного интерфейса в вмвари. оно 100 раз уже патченое и перепатченое и непойми как работает, но работает хорошо и стабильно, виртуальный микрот - разбрасывает все сетевухи на отдельные ядра (точнее НТ потоки, а не физические), и это можно выставлять руками, какая из сетевок на каком ядре. Учитывая что в наших девайсах всего 4 сетевых головы и 4 потока - то на каждый поток по сетевухе в виртуалке, полки на 2.9Ггц (турбобуст проца) по потоку я еще не видел, учитывая что на девайсе не более двух-трех виртуалок с большой нагрузкой. 2.0-2.6 Ггц - видел. Графики телеметрии рисуются в вмвари. По мимо всего - сама вмварь как то хитро работает с процом.

 

есть более новый продвинутый драйвер е1000е - в нем что то понаваяли интересного, однако лично я использую исторический е1000. е1000е - почему то не внушил мне доверия, но это скорее дело привычки.

 

В микроте х86, есть и тот и тот нативные. И есть там же vmxnet3, насколько я вкурсе.

 

Поскольку я неимею опыта работы с 10г, вот есть статьи человека, которые занимался тестированиями 10ки в виртуалке, со всеми тремя драйверами :

 

http://rickardnobel.se/vmxnet3-vs-e1000e-and-e1000-part-1/

http://rickardnobel.se/vmxnet3-vs-e1000e-and-e1000-part-2/

 

З.Ы. 800к +- пролазит, больше не видел, на этих девайсах если честно.

это очень и очень скромно. кстати, вы упоминули про второй бп. а что с горячей заменой их?

 

ну я всего лиш сказал только о том что видел собственными глазами.

 

насчет горячей замены БП - вобще никак, оба БП стоят внутри корпуса и снимаются только при открытии верхней крышки. работают паралельно, если один перегорает - второй продолжает работать, в скоревшем вылетает либо предохранитель по фазе 220, либо супрессор перекрывающий подачу +12 (это тупо два 12 вольт блока), тоесть на втором это не сказыватся, а сгоревший просто отключается от конструкции. Я в свое время предлагал сделать их съемными через зад или перед корпуса, однако маркетинговый директор сказал если дословно - "в 3.14зду... тогда этот девайс будет стоить дороже на 100 бачей и потеряет привлекательность на фоне конкурентов, оставим простой стальной корпус с минимумов отверстий и съемных частей". Однако, подвод +- на материнку осуществляется на передней панели, и к этому штекеру можно прикрутить еще один бекапный БП с тумблером включения. Многие клиенты вобще вытаскивают штекер идущий с внутренего БП, и включают девайс в альтернативные источники питания (не смотря на то что сгорание девайса по причине косяка электрика клиента, который что то перепутал и неправильно подсоединил - не считается гарантией)

 

начнем с того что запрос в 3гбпс на одну голову - подразумевает под собой 10г сетевку, которая стоит нормально денег, и на мой взглят решение этого вопроса на х86 - не целесообразно как таковое.

с чего бы вдруг? у меня десктопный 3770 спокойно роутил и шифровал 2 гигабита ipsec aes256-gcm с относительно небольшой утилизацией cpu, а вы рассказываете про жалкие 3Гбит форвардинга.

 

могу сказать что по шине материнки пролезет максимум 5гбпс туда-сюда, реальных без вранья.

и снова вопрос: с чего бы вдруг? у вас там что ли pcie x1 древних версий?

 

Коечно есть вариант с объединением двух гбпс в ЛАЦП, однако это явно уже не 3гбпс получится. Ну аж никак.

можно взять четырёхпортовую карточку.

 

Можно принять на физиках ЛАЦП непосредственно на вмварь, и отдать его микротику в виде одного эзернета... да это будет гораздо эфективней, чем делать этот же лацп в микроте.

какой ужас.

 

Далее уже по самой esxi... _для каждой_ виртуальной машины, для каждой сетевой головы, должен быть создан виртуальный порт на виртуальном свиче, в режиме прямого бридж директ, с использованием драйвера ВМ оборудования Е1000 (а не той туфты которую он предлагает по дефолту).

простите, но то что вы описываете - прямой путь убить производительность. потому что на стороне хоста(vmware) идёт полная эмуляция интеловской карточки и из-за дичайшего оверхеда был придуман vmxnet3(да и другие варианты паравиртуальных драйверов).

 

З.Ы. есть еще такая штука, как directpath I/O - это когда физическое оборудование отдается напрямую в виртуалку. На сегодняшний день это вобщем то deprecated ввиду того что мешает двигать виртуалку по ресурс пулу. Однако если сильно захотеть - то впринципе можно.

огонь, просто огонь! про sr-iov слышали?

 

и чем ваше решение лучше вот этого или вот этого

+ бп + корпус?

 

ну как бы если вы решили потролить, то мне неинтересно... я изложил факты которые не один раз проверены. По поводу 10г - я сразу сказал что НЕМОГУ СКАЗАТЬ ничего внятного и ответить за свои слова - ввиду того что НЕ ДЕЛАЛ и НЕ ЮЗАЛ.

 

по поводу ссылок которые вы показали... 1ая - как минимум тем что у нас есть pcie x16 куда можно включить хоть сетевку, хоть рейд, 2ая - тем что питание АТХ и БП как утюг.

 

З.Ы. к сожалению это последнее разрешенное мне на сегодня сообщение. лимит я исчерпал, а второй акаунт как то стыдно юзать.

 

мне недает даже ответить с цитированием (((

 

насколько НТ плох для роутинга незнаю, однако есть еще один фокус, микротик юзает х64 бит, хотя раньше я думал что оно не умеет, насколько это правда - я незнаю, заметил когда обновил до 6.32.2, раньше незамечал :

Изменено 27 сентября, 2015 пользователем bf-networks.com

[pppoetest]

виртуальный микрот - разбрасывает все сетевухи на отдельные ядра (точнее НТ потоки, а не физические), и это можно выставлять руками, какая из сетевок на каком ядре.

HT - для роутинга плох.

З.Ы. к сожалению это последнее разрешенное мне на сегодня сообщение. лимит я исчерпал, а второй акаунт как то стыдно юзать.

Редактируйте существующий пост, добавлением.

 

По поводу 10г - я сразу сказал что НЕМОГУ СКАЗАТЬ ничего внятного и ответить за свои слова - ввиду того что НЕ ДЕЛАЛ и НЕ ЮЗАЛ.

Обещаю вам ответить в этой теме или заведу новую, как только удастся запустить и отдебажить (если возникнут) проблемы на 10Г.

/

однако есть еще один фокус, микротик юзает х64 бит, хотя раньше я думал что оно не умеет, насколько это правда - я незнаю, заметил когда обновил до 6.32.2, раньше незамечал :

И? Не вижу ничего в этом экстраординарного. Вы мне лучше скажите, могу я воткнуть 4-х головую 82576, поднять 8 очередей на порт и прибить руками прерывания этих очередей по ядрам cpu в RouterOS

[martini]

что я считаю что принимать фулвьювы и бжп, на микрготик НАХ... НУНУЖНО ? или вы издиваетесь что ли ? и делать на миктотике ip unnumbered - я считаю что ТОЖЕ НАХ.й НЕНУЖНО !

- так а для чего тогда микровтык юзать ??

И нахрена городить этот цирк с вмварей ?? в чем проблема в линуксе все заюзать ? и не переживать что оно зависнет от новой фичи индусов ? )))

Это где карточка 10Ж стоит дурных денег ? на ebay по 50 баксов валом.

И кстати - они победили краш при создании > 1000 вланов ? ))

 

 

ешкин дрын.. походу Saab все же продает свою траву )))

[pppoetest]

что я считаю что принимать фулвьювы и бжп, на микрготик НАХ... НУНУЖНО ? или вы издиваетесь что ли ? и делать на миктотике ip unnumbered - я считаю что ТОЖЕ НАХ.й НЕНУЖНО !

- так а для чего тогда микровтык юзать ??

Вы похоже не читали ветку, это enterprise, а не ISP. На пару сотен мегабит микротик вполне себе железка, если без особых извратов.

[tartila]

Вы похоже не читали ветку, это enterprise, а не ISP. На пару сотен мегабит микротик вполне себе железка, если без особых извратов.

 

На пару сотен мегабит у меня дома работает mini-ITX Atom 1,8GHz, который мне подарили со сгоревшим on-board LAN и без планшки памяти. Плашка памяти и сетевка 1G в PCI слот и эта бесплатная фигулька лопатит мне уже второй год 300MBit/s - 3 ISP, IPTV от 3 ISP, 3 туннеля over peering + bond - короче работает ok. :)

 

ешкин дрын.. походу Saab все же продает свою траву )))

 

Просто когда из lanmart`а приходит посылка с SXT или SEXTANT`ами - там внизу часто валяется пакетик типа гигроскопичные шарики и все такое... :) Так вот некоторые все же попробовали... Раскурить этот селикагель в трубке, как мет.

Изменено 27 сентября, 2015 пользователем tartila

[nuclearcat]

Свитч полноценен тогда, когда фреймы перекладывает с порта на порт без участия ЦПУ, посредством asic'ов. На mikrotik CRS125 есть асики?

Есть. Но чип на уровне домашней wifi мыльницы. Это как сравнивать веломобиль с автомобилем. Да, дешево, и человека везет, но...

 

Извиняюсь, что влезаю. Но таки в тике все же L7 фильтр есть... Там старое патченное ядро Linux 2.6 со специальным l7 фильтром, который нефига не параллелится по ядрам :) Именно по этому тики никак не могут вылезти из постоянных крашей, локов и прочих прелестей делов давно минувших лет... Хорошо, хоть к какой-то версии им показали smp affinity, который скромно они припрятали в /system res irq :)

Он называется L7, но L7 не является. Не собирает он пакеты...

L7 - это snort/suricata/bro

 

Здраствуйте.

 

начнем с того что запрос в 3гбпс на одну голову - подразумевает под собой 10г сетевку, которая стоит нормально денег, и на мой взглят решение этого вопроса на х86 - не целесообразно как таковое. (Я в полном адеквате, если че.) Кроме того если насчет гигабита я действительно могу что то расказать, то насчет 10г - нет. Это не мой уровень решения. Основываясь на знаниях - могу сказать что по шине материнки пролезет максимум 5гбпс туда-сюда, реальных без вранья.

У вас ОЧЕНЬ устаревшие данные. Пропускная способность PCIe 3.0 16x - 256Gbit/s, XL710(40G) использует 8 lanes PCIe 3.0.

График с моего шейпера прикрепляю (правда с железом там клиент переборщил). На CPU - там показывает idle, т.е. загрузка ~20%, при трафике 3.9 гига.

Стоимость X520-DA2 10G - $165 на amazon, не так уж и много, за 2x10G порта.

[pppoetest]

Впечатляет. А что за CPU's и материнка на шейпере? И что за софт в качестве шейпера? И шейпер ли это или полисер? NATа я полагаю там нет, уж больно нереально 20% на шейпер с натом.

[tartila]

Извиняюсь, что влезаю. Но таки в тике все же L7 фильтр есть... Там старое патченное ядро Linux 2.6 со специальным l7 фильтром, который нефига не параллелится по ядрам :) Именно по этому тики никак не могут вылезти из постоянных крашей, локов и прочих прелестей делов давно минувших лет... Хорошо, хоть к какой-то версии им показали smp affinity, который скромно они припрятали в /system res irq :)

Он называется L7, но L7 не является. Не собирает он пакеты...

L7 - это snort/suricata/bro

 

Цитирую проект l7-filter, патчи которого включены в ядра Микротик http://l7-filter.sourceforge.net/technicaldetails

Of course, it wouldn't make sense to run a regular expression matcher on every packet. Not only would that be a huge waste of clock cycles, but it would be useless for matching most packets, which are likely to consist of the middle of some file or whatnot. Instead, l7-filter just looks at the first few packets of a connection for "hello" messages such as "220 ftp server ready", "* ok", or "HTTP/1.1 200 ok".

Instead of having the user provide regular expressions on the command line, l7-filter provides a set of pattern definition files. To match the protocol "foo", the user types "iptables ... -m layer7 --l7proto foo", and iptables reads the regular expression that defines "foo" out of /etc/l7-protocols/*/foo.pat.

In other words, l7-filter is essentially what you'd get if you added the CONNMARK patch to the string patch, used regexec() instead of strstr(), removed the need to set up the connection tracking manually, added the ability to match patterns across several packets and included a collection of protocol signatures that could be identified by name. :-)

 

Работает эта фигулька хорошо, но сам автор признает, что

- kernel-space версия not-smp-compatible;

- user-space версия - полная фигня.

 

В Mtik идет kernel-space, соответственно вся нагрузка от фильтра ляжет на одно ядро.

Изменено 27 сентября, 2015 пользователем tartila

[pppoetest]

l7-filter just looks at the first few packets of a connection for "hello" messages such as "220 ftp server ready", "* ok", or "HTTP/1.1 200 ok".

Основное выделил. Получается элементарное запрос/ответ от хттп/фтп оно и поймает, более изощрённое - нет?

 

Ну и ссылка на performance

Kernel version

AMD Atlhon XP 3200+ 1GB RAM (DDR-400), using edonkey, fasttrack, gnutella, and bittorrent patterns and about 100 iptables rules for firewalling, 700-1000 simultaneous users. With 20Mbits of traffic CPU usage about 35%. With 27Mbits of traffic CPU usage about 53%.

When using the slowest patterns at 90Mbps throughput on a P4 3.0GHz with 1GB RAM, the machine chokes, but it works fine with the faster ones or with only 10Mbps of traffic.

Filtering 30Mbit down, 25Mbit up, 500-600 users, ~75000 connections. P4 3.0GHz with 3GB of RAM. Using l7-filter and IPP2P to identify P2P, VoIP (SIP+Skype), HTTP, FTP, SSH, and SMTP. CPU usage ~70%

[Ivan_83]

ешкин дрын.. походу Saab все же продает свою траву )))

Это зомби вирус :)

Мозгиикротик...Жрать мозги, много мозговПокупать микротик, много микротиков... :)

 

Основное выделил. Получается элементарное запрос/ответ от хттп/фтп оно и поймает, более изощрённое - нет?

Хз что там за первые полтора пакета, даже простое: "GET /" можно размазать на 5 пакетов, это не говоря о keepalive соединениях, где после первого запроса может быть ещё куча.

Вижу оно не далеко ушло от обычного stringmatch в iptables, к тому же он параллелился и проц не жрал так сильно.

[^rage^]

с использованием драйвера ВМ оборудования Е1000 (а не той туфты которую он предлагает по дефолту).

Простите за невладение технологий виртуализации, E1000 это сетевой драйвер e1000? Если да, то оно не умеет очереди Rx/Tx, что в свою очередь приведёт к полке одного ядра/проца и к соот-но дропам, при этом остальные будут простаивать.

именно так и есть. вот тут пишут, что:

 

E1000 – which will emulate a 1 Gbit Intel 82545EM card

E1000E – emulates a newer real network adapter, the 1 Gbit Intel 82574

[pppoetest]

Тогда печаль.

[^rage^]

e1000 это исторически сложившееся название гигабитного интерфейса в вмвари. оно 100 раз уже патченое и перепатченое и непойми как работает

вполне известно как работает: полностью эмулирует реальную физическую железку со всеми минусами её и эмуляции.

 

насчет горячей замены БП - вобще никак

понимаете, вот с этого момента приличному количеству людей станет неинтересно от слова совсем.

 

 

ну как бы если вы решили потролить, то мне неинтересно...

тут как раз троллинга нет. у вас откровенно неудачное техническое решение с чудовищными накладными расходами, т.к. вы не понимаете как оно всё работает.

фактически, все возможные грабли с i/o в виртуалке вам удалось собрать. плюс, вы делаете весьма спорные утверждения, которые вызывают, мягко говоря, удивление(вроде разговоров про полосу шины).

 

откройте для себя snabb switch что ли.

Snabb Switch is known to have generated 200 Gbps out of a single core at just 10% CPU utilization, which is quite incredible. The way that Gorrie did this is by reading in 32,000 packets into a PCAP file, pushing them out on 20 10G NICs, and programming those ports to run in a loop.

 

1ая - как минимум тем что у нас есть pcie x16 куда можно включить хоть сетевку, хоть рейд, 2ая - тем что питание АТХ и БП как утюг.

так а pcie какой версии у вас? сокет у вас там какой? и опять же, почему не sr-iov?

[nuclearcat]

Впечатляет. А что за CPU's и материнка на шейпере? И что за софт в качестве шейпера? И шейпер ли это или полисер? NATа я полагаю там нет, уж больно нереально 20% на шейпер с натом.

2xE5-2640V3

S2600WTT

Шейпер, fq, причем с достаточно солидным буфером.

 

В Mtik идет kernel-space, соответственно вся нагрузка от фильтра ляжет на одно ядро.

Да, виноват, действительно l7. Хотя конечно смотрит только в начале соединения, но все равно неплохо.

[Saab95]

Когда хотят решить какую-то задачу, то ее можно решить разными способами. Например если нужно перевести 100 мешков картошки, то можно 100 раз съездить на велосипеде, а можно нанять грузовик и перевести все за 1 раз. Последнее будет быстрее и дешевле, однако в первом случае, можно по пути в кафе заехать съесть булочку, а на обратном еще по каким-то вопросам. Аналогично и с микротиком, все пишут про него гадости, однако он всегда очень хорошо работает, просто важно понимание каким именно образом нужно реализовывать поставленную задачу.

[NiTr0]

Например если нужно перевести 100 мешков картошки, то можно 100 раз съездить на велосипеде, а можно нанять грузовик и перевести все за 1 раз

Ну да, у кого свое личное время ничего не стоит - можно и на велосипеде возить, причем - с кривым рулем и периодически отваливающимися колесами :)

[nuclearcat]

Ага, 100 мешков картошки скажем с дачи до города с расстоянием 100км оттаскать, ну так уж прям оптимально. Saab, готов совершить такой подвиг за цену перевозки этих 100кг на такси?

[Saab95]

Ага, 100 мешков картошки скажем с дачи до города с расстоянием 100км оттаскать, ну так уж прям оптимально. Saab, готов совершить такой подвиг за цену перевозки этих 100кг на такси?

 

Мешок картошки весит 40кг в среднем, 100 мешков - 4 тонны, интересно, какое такси надо заказывать=)

 

При этом вы не обратили внимание на смысловую нагрузку моего сообщения. Картошку вырастили на даче, соответственно и хранится она на даче в погребе, можно, по мере надобности, перевозить по мешку в город. Если сразу перевести все мешки, то потребуется целая комната что бы ее хранить, да и условия будут не подходящие.

 

Ну да, у кого свое личное время ничего не стоит - можно и на велосипеде возить, причем - с кривым рулем и периодически отваливающимися колесами :)

 

С вами так интересно общаться, то микротик глючит, теперь вот у велосипеда кривой руль и колеса сами отваливаются. Что-то я не видел особо, что бы у велосипедов колеса отваливались при любом удобном случае.