Jump to content
Калькуляторы

загрузка ЦП Mikrotik на 100%. Помогите снизить нагрузку на ЦП

Доброго времени суток

 

имеется Mikrotik RB751U-2HnD

Возникла ситуация что процессор стал грузится на все 100, банально но даже при проверке скорости через speedtest.net

про использование торрентов можно особо и не рассказывать, вешает Mikrotik намертво.

настроек особых нет, настроен mikrotik следующим образом:

 

имеется 2 провайдера 1 основной (с большей скоростью) 2-й резервный(с меньшей скоростью) скрипт при потере связи проверяет доступность канала и переключает на другой канал.

для данной схемы используется несколько правил в мангале, также несколько роутов, скрипт и задача в шедулере.

По мимо этого в файерволе используется несколько правил, особых правил не используется.

Несколько квересов для особых любителей загружать канал.

 

По профилю видно, что процессор в основном грузит файервол.

 

 

Версия прошивки 5.24, пришлось понизить с 5.26 т.к. были глюки связанные с зависанием микротика(каждое утро рабочего дня начиналось с перезагрузки в ручную микротика, нельзя было к нему достучатся через winbox. Либо он сам перезагружался).

 

Возможно ли разгрузить процессор и каким образом?

Edited by reinhard

Share this post


Link to post
Share on other sites

Убрать или оптимизировать правила фаервола.

Share this post


Link to post
Share on other sites

Быть может в сети шторм из-за петли? ARP флуд какой нибудь из-за этого. Такое может положить любую железяку на лопатки.

Share this post


Link to post
Share on other sites

Убрать или оптимизировать правила фаервола.

 

Поковырявшись с правилами фаервола удалось выяснить, что ощутимую нагрузку из всего списка дают следующие правила

/ip firewall filter
add action=drop chain=forward comment="drop my.mail.ru" content=my.mail.ru disabled=no src-address-list=userlist
add action=drop chain=forward comment="drop love.mail.ru" content=love.mail.ru disabled=no src-address-list=userlist
add action=accept chain=forward comment="allow adm mail.ru" content=cloud.mail.ru disabled=no src-address-list=adm
add action=drop chain=forward comment="drop cloud.mail.ru" content=cloud.mail.ru disabled=no src-address-list=userlist

 

Т.е. правила связанные с блокировкой отдельных сервисов mail.ru, правил построенных по такому принципу еще 6-8.

Также после отключения указанной цепочки повышается скорость загрузки и отдачи на несколько мегабит(существует также проблемка со скоростью не не выдается до конца скорость заявленная провайдером).

 

Возможен ли вариант, что проблема кроется глубже(падение скорости и загрузка ЦП), чем правила построенные по такому принципу, а фаервол уже как конечный результат

Переход на адрес листы это уже конечно крайний случай для разгрузки т.к. подсети и ip управляющих серверов отдельных сервисов того же mail.ru не всегда постоянны или меняются или расширяются

Share this post


Link to post
Share on other sites

Написать такие же правила, но указать всё-таки dst-port = 80 не пробовали? У вас весь трафик проходит по этим правилам, а нужен только на веб и возможно dns, уверен на 99%.

Share this post


Link to post
Share on other sites

Быть может в сети шторм из-за петли? ARP флуд какой нибудь из-за этого. Такое может положить любую железяку на лопатки.

периодически замечаю в сети гуляющие пакеты во внутренней локалки с адреса который во внутреней сети уже не используется(ранее этот ip был закреплен за рабочей станцией, после вывода ее из эксплуатации данный ip убрал из arp и из dhcp сервера(по dhcp каждой рабочей станции присваиваю постоянные ip)) на скрине показан.

т.е. с несуществующего ip идет обращение на микротик по порту 9996 данный ip не отображается больше нигде и пинги на него не идут

это основной не понятный момент, от куда он взялся.

 

бывает что проскакивают в торче мультикастовые опросы на подсети 224.0.0.252 и 239.255.255.250 со стороны провайдера данные подсети закрыты фаерволом

 

P.S. микротик используеется как и dhcp сервер

Share this post


Link to post
Share on other sites

Написать такие же правила, но указать всё-таки dst-port = 80 не пробовали? У вас весь трафик проходит по этим правилам, а нужен только на веб и возможно dns, уверен на 99%.

 

на счет правил, да, пробовал в конечном итоге, когда создавал правила оставил без указанного порта эту группу правил.

на данном этапе указал и порт для сервисов.

 

/ip firewall filter
add action=drop chain=forward comment="drop love.mail.ru" content=my.mail.ru disabled=no dst-port=80 protocol=tcp src-address-list=userlist
add action=drop chain=forward comment="drop love.mail.ru" content=love.mail.ru disabled=no dst-port=80 protocol=tcp src-address-list=userlist

 

Проблемка осталась.

 

при отключении всех правил построенных по данной схеме, проблемка со скоростью ушла выдается в полном объеме, заявленной провайдером 20мб/20мб если тестить через speedtest.net.

если при помощи торрентов проверять, то скорость закачки может прыгнуть и до 30-40 мегибит. загрузка ЦП также до 100 подпрыгивает.

 

 

 

На счет dns у меня стоят dns -Яндекса в поле Dynamic Server подтягивается Dns провайдера в зависимости от активного провайдера.

 

 

P.S. провайдера 2. 1-й основной 2-й резервный. Если связь с первым отсуствует микротик переключает на второго провайдера

Share this post


Link to post
Share on other sites

Убрать или оптимизировать правила фаервола.

 

отключивши сегодня все правила нагрузка на ЦП осталась, но скорость интернета значительно возрастала.

При использовании торрент загрузка ЦП колеблется от 90% до 100%, поднимается до 100 потом падает до 90 и через короткий промежуток времени снова до 100

 

при замерах скорости, без вариантов прыгает до 100 и держится на таком уровне в течении всего промежутка замера.

Edited by reinhard

Share this post


Link to post
Share on other sites

Поставьте нормальный маршрутизатор и не мучайтесь.

Share this post


Link to post
Share on other sites

Поставьте нормальный маршрутизатор и не мучайтесь.

нормальный в плане микротика или в плане другой марки?

смутно понятно в данном случае формулировку нормальный

Share this post


Link to post
Share on other sites

Обновите версию до 6.33.3 в 6.x ветке было много оптимизаций.

У вас соедение с провайдером через туннельный интерфейс?

Share this post


Link to post
Share on other sites

Обновите версию до 6.33.3 в 6.x ветке было много оптимизаций.

 

Максимальную версию которую лучше ставить 5.26 Т.к. недели 3 назад обновлял до последней актуальной версии в связи, которая была на тот момент, микротик тормозил даже при работе через winbox, пришлось понижать версию прошивки.

 

 

У вас соедение с провайдером через туннельный интерфейс?

 

Нет. От провайдера все выдается по DHCP. На порту подключил dhcp client. Никаких дополнительных настроек подключения к провайдеру нет

Edited by reinhard

Share this post


Link to post
Share on other sites

Снифером снимите трафик идущий на микротик и посмотрите что его повесило.

А сам микротик этот слабенький.

Share this post


Link to post
Share on other sites

Поставьте нормальный маршрутизатор и не мучайтесь.

нормальный в плане микротика или в плане другой марки?

смутно понятно в данном случае формулировку нормальный

 

А вы для начала озвучьте свои пожелания к машрутизатору.

Share this post


Link to post
Share on other sites

Ща saab подойдет, он все расскажет) А на самом деле vlad11 прав, поставьте нормальный роутер и будет вам счастье, посмотрите например в сторону Juniper SRX, даже SRX100 нагибает этот микротик и в цене и по возможностям.

Share this post


Link to post
Share on other sites

посмотрите например в сторону Juniper SRX, даже SRX100 нагибает этот микротик и в цене и по возможностям.

 

полностью с Вами согласен в данном моменте Juniper и Cisco намного эффективней, но видя ценовую политику данного класса оборудования не думаю, что мне выделят необходимое финансирование на приобретение чего либо из Juniper или Cisco

Share this post


Link to post
Share on other sites

А вы для начала озвучьте свои пожелания к машрутизатору.

 

В данном топике мы конечно не обсуждаем покупку нового маршрутизатора, пока что, а возникшею проблему и возможности её устранения.

 

Проблемы могут возникнуть в любом нормальном маршрутизаторе :)

 

 

Если конкретно по вашему предложению, посоветуйте более лучшее/продуктивное железо данного производителя.

 

Если конечно все таки проблема в том, что данная модель не выдерживает нагрузки.

Share this post


Link to post
Share on other sites

Любой тазик подбери не нужный, поставь туда фрю/линух и будет лучше.

Пень3 сотку прожуёт, по выше гиг, но чем хуже проц тем лучше сетевухи нужны.

Share this post


Link to post
Share on other sites

А вы для начала озвучьте свои пожелания к машрутизатору.

 

В данном топике мы конечно не обсуждаем покупку нового маршрутизатора, пока что, а возникшею проблему и возможности её устранения.

 

Проблемы могут возникнуть в любом нормальном маршрутизаторе :)

 

У вас бурные фантазии.

Любой гигабитный маршрутизатор от Асус или Тплинк будет постабильнее. А лучше еще залить альтернативную прошивку.

 

Я все-таки не увидел требования к требования к маршрутизатору.

 

А строго по теме топика - Обнулить конфиг, продать на Авито и купить нормальный маршрутизатор из вышеперечисленного.

Share this post


Link to post
Share on other sites

reinhard - Не слушай их, они ща тебя квартиру продать заставят ради покупки киски... Как вариант, CCR1009 такие правила жует на раз-два.

Специально добавил твои правила из первого поста, проверить.

Как видишь на фоне скачки на скорости 160 мегабит, вообщем-то мелочи.

Но лично я стараюсь таких правил избегать.

post-131763-076935700 1450390460_thumb.png

 

 

Как вариант накатай скрипт определяющей адреса злостных сервисов и блочь их по списку. типа такого (изменить по вкусу) и запускай его раз в сутки к примеру. Он будте тебе в актуальном состоянии адрес-листы держать. А по ним будешь блочить

:local SitesList {"www.lostfilm.tv";"eevblog.com";"hashcat.net";"nnm-club.me";"lurkmore.to";"rutracker.org"}

:foreach addr in $SitesList do={
:local Blackip {:put ([:resolve $addr] )} 

:foreach i in=[/ip firewall address-list find ] do={
:if ( [/ip firewall address-list get $i address ] = $Blackip ) do={/ip firewall address-list remove $i}
}
/ip firewall address-list add address=$Blackip list=Traffic_to_Milan comment=$addr
}

Edited by shodan_x

Share this post


Link to post
Share on other sites

Как вариант, CCR1009 такие правила жует на раз-два.

Специально добавил твои правила из первого поста, проверить.

Как видишь на фоне скачки на скорости 160 мегабит, вообщем-то мелочи.

Lolwat? Да за такую цену можно б/у PC поставить, который гиг прожуёт не поперхнувшись.

А судя по вашим графикам, еще чуть-чуть и ядрышки 1,6 начнут уходить в полочку, со всеми вытекающими последствиями.

Share this post


Link to post
Share on other sites

pppoetest - Так нефиг правила с анализом контента добавлять, ЦЦР-ка эта отлично 10Г жует с кучей правил, не напрягаясь особо даже на MTU 1500. Лично проверял.

 

Просто ко всему с умом подходить надо и не ставить правила анализа содержимого пакета.

А вытекает, это из цысок вытикает... доп. траты на лицухи за каждый чих.

Человеку надо бюджетно(желательно вообще без затрат), он же обяснил. А вы товарищи его в киску тыкаете и джунипером погоняете.... жесть.

 

Да за такую цену можно б/у PC поставить, который гиг прожуёт не поперхнувшись.

Не-а неполучится, дороговато будет 5 полноценных гигабитов и SFP SFP+ в комп ставить. Да и в 1 юнит подобный комп не влезет. Или будет весьма не бюджетным.

 

Кстати дропов не предвидится, просто другие ядра задействуются.

Да и вообще подобные правила аки "content=" надо с умом писать. Покурив десяток манов перед этим. Потому как даже в предложенном тобою варианте с компом, это будет не просто переживать. Особенно с такой постановкой вопроса, когда весь форвард на них проверяется.

 

Кстати, с удовольствием посмотрел бы как SRX100 нагибается при анализе контента пакетов по вхождению слова :) Который вообщем-то стоит дороже моего CCR1009.

Приведете статистику? С примерами конфига конечно-же! А потом сравним еще его прочий функционал и как он высокоскоростные линки переваривает.... ой простите, какие линки... это-же FAST-эзернет.... так свича кусок с каплей мозгов за 30 000-45 000 рублей. Куда его такой поставишь :)

Edited by shodan_x

Share this post


Link to post
Share on other sites

 

Не-а неполучится, дороговато будет 5 полноценных гигабитов и SFP SFP+ в комп ставить. Да и в 1 юнит подобный комп не влезет. Или будет весьма не бюджетным.

 

 

За каких хером на CCR 5 "полноценных гигабитов" а уж темболее sfp+ когда он уже на гигабите превращается в тыкву?

Share this post


Link to post
Share on other sites

В какую еще тыкву на гигабите?

 

Вот эту вот тыкву чтоли да?

post-131763-027418000 1450400672_thumb.png

Маршрутизации между вланами, с прохождением правил фаервола. (60 правил + 19 в табличке NAT + 44 в Mangle)

Правда Без этого жесткача с поиском текстовой строки в каждом пакете, который хочет топикстартер.

 

Обращаем особое внимание на показатель общей загрузки проца... 2%

 

Микротик для лоу-кост вещь отличная, конкурентов нет. Надо просто уметь его "готовить", и строить правила с умом! К примеру прогнали NEW пакет по нужным правилам, занатили при необходимости, и запихнули ESTABLISHED коннект в FastTrack, и вуаля, нагрузка нулевая.

Нельзя коннект в фаст-трек заворачивать, не проблема, тоже все пережует, только при это загрузка будет не 2 процента а 15-17 на гигабите.

А еще можно сие блюдо 9к пакетами нафаршировать, тогда вообще сказка!

 

Так что наличие SPF+ очень даже оправдано! Даже жалко что он там всего один.

:)

 

Как по мне, молотилка для своей цены 32к весьма достойная. Уверен что киски и джуниперы близко к ней за эту цену не подбирутся. А самопальный комп будет стоить дороже, занимать больше места и жрать больше энергии.

Сможете меня переубедить?

Edited by shodan_x

Share this post


Link to post
Share on other sites

В полку микромонгеров прибыло.

Edited by ShyLion

Share this post


Link to post
Share on other sites

Guest
This topic is now closed to further replies.