Перейти к содержимому
Калькуляторы

загрузка ЦП Mikrotik на 100%. Помогите снизить нагрузку на ЦП

Очередной микротик эльф из сказочной страны (есть подозрение что из параллельной реальности).

 

Всетаки сложно поверить что микротик может сделать именитых производителей на "раз-два", да? :) :)

Только в ваших фантазиях, уважаемый. Только там.

Я понимаю что вы героический админ локалхоста или огромной локалки на полтора десятка хостов.

 

А вот у меня микротиков уже сильно более 1500 (не клиентских, а очень даже филиальных) и пользователей около 20 000 так что ваши сказки советую оставить при себе.

При любой серьезной нагрузке (Куосы, количество префиксов в RT и прочие необходимые в принципе вещи) микротик начинает вести себя более чем неадекватно.

 

В качестве филиального роутера на 10 хостов, с учетом того что он находится в ospf stub + фильтрами вырезаны все лишние роуты кроме десятка explicit + отсутствуют наты, куосы итд - да, микротик хорош и удобен (но далеко не безглючен).

Для любых других задач кроме small office - Это смерти подобно. Мы вздохнули с облегчением когда ядро утащили с 80(!!!!) RB1100AHx2/CCR На 6(!!!!) штук ASR 1001.

 

Так что хватит рассказывать сказки. На форуме есть люди которые про микротик знают не меньше вашего (а с огромной долей вероятности и гораздо больше), они в это дерьмо никогда не поверят.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Тут пришли Вы и быстро нашли решение(Вы мне немного напоминаете одного стоматолога к которому думал обратится, суть в том, что пришел поставить пломбу он посмотрел и сказал, что зуб лечить тяжело, нужно его вырывать и он специализируется на вырывании зубов(это реальный случай из жизни). Так и Вас ... ).

Для многих тут микротык пройденный этап, лепят его куда то по дальше и меняют по первой необходимости на что то более вменяемое.

С другой стороны постоянно приходят люди со своими микротык проблемами как с неким откровением: "ну надоже, такая крутая железка чото не пашет, наверно я чото нито делаю, памагите!".

А некоторые ещё и обижаются когда им говорят что это говно надо менять и всё требуют чтобы им тут на халяву вылечили по фотографии.

 

Это не форум поддержки мыкротыка, и микротыкфлуд уже чесговоря достал, пусть это говно лечит тот кто его сделал или хотя бы продал.

 

Почему сиська/линух/фря/джун/дырлинк здесь обсуждаются?

- потому что это рабочие лошадки и там есть чем помочь, в ряде случаев.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

myst - пальца побросал, молодец.

Только это ничо не изменило. Когда денег нет, кроме микротика и компа вариантов нет. И ваши киски-пиписки близко не подойдут к этому сигменту рынка. ASA не предлагать, этот тормознутый глюкодром не способен носить бренд Cisco.

 

Ivan_83 - так все просто, выкиньте с форума все эти темы чтобы не индексировались, напишите в правилах что обсуждение запрещено, и все.

Просто достало. Только читать начинаеш что-то интересное, тут-же троли типа вас понабигают и орут купите циску. Тема загибается, а решение сам всегда находиш.

Изменено пользователем shodan_x

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Всетаки сложно поверить что микротик может сделать именитых производителей на "раз-два", да? :) :)

Сложно, учитывая что там суммы по столбикам не сходятся.

Пусть он в начале считать научится, а потом это уже показывать можно будет, а то как у чурова: 146% гигабит.

 

Хотя я понимаю, вам кошатникам не дано понять, что не только циски могут траффик жувать не напрягаясь... ну что-же это поправимо!

Я не кашатник, я скорее тот кто сам пилит софт для компов который реализует те или иные сетевые фичи.

То что некоторые софтварные решения рвут кошек в клочья я знаю, как и сами решения и даже с людьми беседовал которые это пилят.

Например, NAT на интеловых системах и софт реализован на DPDK, проNATчивает 120 гигабит, но там нормальные взрослые процы а не бюджетная хуйня, тоже самое с сетевухами, и пилят софт ребята с прямыми руками и светлыми головами.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Конечно, да, стлокнулся в первый с такой постановкой, что трабла с загрузкой проца внезапно превратилась в проблему со скростью.

ой, это наверное я от вашего ника писал, да?

Возможен ли вариант, что проблема кроется глубже(падение скорости и загрузка ЦП

 

 

Теперь я конечно буду в курсе, что на форуме присудствуют телепат, который по нескольким сообщениям, местами даже и без сообщений знает детально все (сколько рабочих станций имеется(может за микротиком 1 рабочая станция, может даже и 5), т.е. в каких условиях работал и продолжает работать в том числе, что было момента ради чего мы тут тут собрались, что произошло и сколько времени прошло, чего и сколько на него навешено и т.д.).

Я уже не говорю о том, что вы в курсе того какая скрость инэта и из-за чего вышел затык со скростью в определенный промежуток времени.

вы прекрасно описали ваш defective by design DPI. вы заставляете ваш микротик искать сигнатуру по всему содержимому пакета, причем - 6-8 разных сигнатур. это положит данную сохо коробочку на нескольких десятках мегабит (а то и на нескольких мегабитах) в полку. даже на проверке скорости в спидтесте. не говоря о том, что ницига не отфильтрует если сигнатура будет размазана по двум пакетам, + подропает кучу пакетов в которых будут встречаться сигнатуры не в URI (скажем, хтмл текст).

но вы можете верить и дальше, что микротик велик и могуч, и может жевать 100500 мбит траффика с кучей обработок благодаря волшебству - главное найти волшебные "правильные настройки"...

 

Хочу внести небольшую поправку по памяти, она не столь приципиальна, но 32MB DDR SDRAM а не 16

да хоть 64 мегабайта - данному тормозу это не поможет. я вообще-то о разрядности шины памяти говорил, а не мегабайтах...

 

reinhard, ради интереса попробуйте прошивку 6ой версии накатить

это будет очень печально на таком старом хламе. структуры ядра зачительно разрослись в новых ветках линукса (с которого микротик растет), код - тоже, будет куча cache misses, и производительность упадет еще вдвое благодаря тормозной памяти. была бы там хотя бы ддр2, или кеш пожирнее - можно было бы о чем-то говорить еще...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А некоторые ещё и обижаются когда им говорят что это говно надо менять и всё требуют чтобы им тут на халяву вылечили по фотографии.

С другой стороны постоянно приходят люди со своими микротык проблемами как с неким откровением: "ну надоже, такая крутая железка чото не пашет, наверно я чото нито делаю, памагите!".

 

Рисованием комиксов не занимаюсь.

Все, кто задавал встречные вопросы получали ответы на них.

Если говорить про Вас то от вас никто ничего не трубет, также как и от остальных. Кто хочет, тот пожет/ответит/посоветует

Если Вас не устаивают темы с микротиком, вас никто не заставляет их читать и что либо отвечать/писать в ответ.

 

 

С другой стороны постоянно приходят люди со своими микротык проблемами.

соглашусь с shodan_x, удалите с форума и индексации все темы и жмрными буквами в шапке форму написать "темы с микротиком не обсуждаются!!"

Я сомниваюсь, что вы родились и уже все знали, также сидите не только на данном форуме.

 

Почему сиська/линух/фря/джун/дырлинк здесь обсуждаются?

Это не форум поддержки мыкротыка

Вас ведь тоже можно послать с вашими проблемами на теже формумы поддержки сиськи/линуха/фри/джун/дырлинк или другого оборудования, которое вы используете это же не форум техподдерки.

 

Для многих тут микротык пройденный этап, лепят его куда то по дальше и меняют по первой необходимости на что то более вменяемое.

Вот вот, поэтому тут и задан данный вопрос, а заменить можно и без необходимости.

 

Свои рекомендакции про мой случай Вы уже озучивали ранее.

Изменено пользователем reinhard

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Причины вызвавшие не стабильную работу уже странил.

Спасибо всем за помощь и советы

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

RB751U-2HnD конечно старая и слабая железка. Он у меня как как домашний вифи роутер с минимум функций и то иногда хочется заменить на что нибудь с 600+ мгц процом. DPI конечно не использую. Хотя, если автору раньше его хватало, не вижу смысла в замене. И уж тем более в замене на циски и джуны.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Только это ничо не изменило. Когда денег нет, кроме микротика и компа вариантов нет. И ваши киски-пиписки близко не подойдут к этому сигменту рынка. ASA не предлагать, этот тормознутый глюкодром не способен носить бренд Cisco.

Дорогой ты мой, 1) когда денег нет, микротик выходит дороже, ибо ведет к еще большим убыткам.

2) Ты точно понимаешь что такое ASA и каким боком ты её сюда приплел?

Не позорился бы уж бросаясь терминами о которых ты слышал от агенства ОБС.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

но вы можете верить и дальше, что микротик велик и могуч, и может жевать 100500 мбит траффика с кучей обработок благодаря волшебству - главное найти волшебные "правильные настройки"...

 

Мы микротиковцы-красноглазики-дебиано-убунтоиды не только веруем, но и активно используем различные методы оптимизации.

Вот несколько скриншотов, сделанные специально для Вас.

 

Длобежка hping3 между VLAN со скоростью 0.28MPPS(больше одно ядро проца не генерит) - утилизация 54% CPU микрота... печалька...

post-131763-013564300 1450575323_thumb.png

 

Потом делаем волшебство отключая мангл правил на пакеты между вланами, ибо нахрен он там не сдался. Оптимизируем дополнительными условиями и очередностью правил Filter Rules.

И снова длобежка hping3 между VLAN со скоростью 0.28MPPS(больше одно ядро проца не генерит) - утилизация 17% CPU

post-131763-055825100 1450575315_thumb.png

Мало скажете?

Ну да... какие-то жалкие 0.28 MPPS :)

Достаем из шкафа куклу вуду, тыкаем игоками, активируем FastTrack, подключаем к тесту еще декстоп на винде и генетируем столько пакетов сколько сможем,

но на этот раз в приделах установленной сессии, потому как атрибут fasttrack на сессию ставим только после того как она ESTABLISHED или RELATED,

и уже была проверена всеми нужными правилами фаервола.

 

На этот раз применяем Iperf с урезанным MSS (насколько позволяют условия)...

И что видим?

 

А видим трафик между VLAN со скоростью 1.23MPPS - утилизация 13% CPU

post-131763-037538200 1450575462_thumb.png

И вы еще заявляете что "тру-настройки" не помогают?

Гы, да вы просто нифига не умеете микроты готовить!

 

Правильные и оптимальные настройки не менее важны чем мегагерцы проца или пропускная способность памяти.

С линухами точно так-же. (что и не удивительно)

 

Я бы сказал, что утром CCR1009 давал 0.17MPPS, так вы-же не поверите мне без скриншота.

А все потому что я набросал быстренько правила и забыл на некоторое время. Однако надо было делать не абы-как, а сразу качественно. Но времени не было на настройку. А я ж такой не один, много кто так-же на скорую руку настраивает. Посему надо понимать что оптимизация конфига очень важна!

 

Собственно о чем я и говорил с самого начала, к любой настройке любого оборудования надо подходить с умом и с огромным запасом времени,

к проектированию сети и хотелок тоже нужно аккуратно и с умом подходить. Маленькая сеточка, можно и микротик взять, криминального в нем нет ничего.

Просто надо расчитывать всегда с запасом и заранее прикидывать под какие задачи оно покупается.

Изменяются задачи, изменяется железо, так всегда было.

А на цисках свет клином не сошелся, у них свой сигмент, у микрота свой, ненадо путать теплое с мягким.

 

myst - ты вот убытки уже считаешь, а у меня на работе текущей RB450G уже 5 лет трудится, и выполняет все что от него требуется безотказно!

Благо требуется совсем немного. Он себя уже 1 000 000 раз окупил, и в запасе лежит другой микрот на случай аварии.

У топик-стартера такие-же задачи, такой-же бюджет. Только более убитая железка, но более мощные хотелки.

На старой работе и на подработках целый зоопарк микротиков тоже, потому-что дериктора жадные и задачи под которые микротики отлично подходят.

У знакомых тоже куча микротиков. Для дома так оно вообще вне конкуренции, нашелся бы только настройщик этого железа.

 

Ну раз топикстартер все решил, тему можно бы и закрыть.

Изменено пользователем shodan_x

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

myst - ты вот убытки уже считаешь, а у меня на работе текущей RB450G уже 5 лет трудится, и выполняет все что от него требуется безотказно!

Ну собственно как я и говорил, одна штука... на 15 хостов.

Все что начинает выходить за рамки, превращает микротик в тыкву.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Я разве против что-то говорил? Простые микротики (не CCR) для этого и сделаны, для именно таких задач. Ну и не 15, а 30. А 850-тый 80 тянет хостов за милую душу, да еще и без фасттрека 300-400 мегабит между VLANами марштуризирует. Проблем пока не предвидится, инеты нынче за МКАДом очень дороги для юриков. Гигабиты никто подводить за копейки не будет.

И микроты справляются(ну у меня покрайней мере).

 

Я пока не увидел ни цисок ни ждуниперов способных делать то что делает 850-тый, за его цену в 10 000р.

Бу оборудование не рассматривается, т.к. бухгалтерия за покупку БУ вещей с ибея очень любит вешать за причинное место.

 

А вот CCR-ки подают надежды на нечто большее!!!

Конечно на тысячи абонентов я бы и ццр-ку бы не поставил.

Так тут это и не обсуждается. Тут Лоу-Кост.

Изменено пользователем shodan_x

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Говорил, цитирую:

Всетаки сложно поверить что микротик может сделать именитых производителей на "раз-два", да? :) :)
что является либо полным бредом либо полным не пониманием сути обсуждаемого предмета.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Так конечно делает.

Покажи мне НОВУЮ циску или джунипер за 11 000 рублей, с характеристиками RB850Gx2 или лучше.

Или за 35 000р, которая аналогична или лучше CCR1009-8G-1S-1S+RM

 

Если покажешь, я себя публично покараю :)

А пока не показал, бред, это то что вы тут человеку советовали.

Изменено пользователем shodan_x

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Есть в моем зоопарке микротиков пара обсуждаемых здесь 751U-2HnD. И наблюдается с ними следующая странность. При выполнении /export проц загружается на 100% и вывод конфига занимает больше минуты. Роутер начинает тормозить настолько, что часто даже не может завершить сбор конфига через noc project. Прошивки разные (6.27 и 6.33).

И возникает впечатление, что проблема не связана напрямую с процессором. В RB951-2n тоже проц на 400МГц (хоть и другой). Там этой проблемы не видно.

Любопытно нагружает ли export процессор до 100% у reinhard.

Изменено пользователем starik-i-more

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Правильные и оптимальные настройки не менее важны чем мегагерцы проца или пропускная способность памяти.

ну-ну, сделайте же DPI на нем с вырезанием некоторых урлов, как того требует ТС, замерьте производительность. а потом - попробуйте мифические "правильные настройки" подобрать.

после чего - это же повторите на RB750/RB751 с его чахлым 400 МГц мипсом и 16бит шиной памяти.

 

Конечно на тысячи абонентов я бы и ццр-ку бы не поставил.

вот и пришли к выводу, что нафиг не нужная железка :) бгп нормально не может (2-3 пира с фулвью при флапах будут укладывать железку), оспф в конфигурации сложнее чем "одна помойка в area0" нормально не может, ну разве что главдиру показывать - "а вот тут мы поставим роутер с 72 ядрами, и все будет летать"...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
сделайте же DPI на нем с вырезанием некоторых урлов, как того требует ТС, замерьте производительность

NiTr0 - вы прям и вправду в каком-то зазеркалье живете.

ТС хотел улучшить производительность пяточка правил, я продемонстрировал как это сделать, двумя способами, и даже замер привел на желаемых правилах.

Тут люди успешно решают этим железом проблемы, а у вас по всей видимости даже простые задачи не решаются. Ну так это проблема вовсе не микротика.

 

бгп нормально не может (2-3 пира с фулвью

Хотя я понимаю, вам подавай прям сразу BGP Full-View на 3 пира.... так сыровато оно еще для этого, серия новая. Да и моделька нужна хотя-бы от 36 ядер, т.к. в 9 ядерных слотов под оперативку точно нету, и 16 ядерная моделька без них была вроде-бы. Ибо специфика у них не та.

Будте реалистом!

А вот как роутер для локалок и для шлюза без своей AS, более чем подходит.

Отсюда кстати и выбор размера ОЗУ, и отсутствие возможности смены модулей.

И ваши циски остаются далеко позади с их астрономическими ценниками. Разве что какой нить софтовый циско-хлам, с негарантированным PPS за цену в разы выше реальной производительности конкурентов.

 

Мне так вообще, висит вон эта CCR-ка зал украшает... и большего я от нее не требую. Ибо бралось на замену 850-той коробочке, когда она не смогла выдать желаемые >1Г :) :) :)

 

Или что... вы разве видели железки от циски за 35 касарей(в рублях, в гривну сами переведите, за курсами не слежу), которые вам фулвью на 3 пира сделают?

Изменено пользователем shodan_x

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А, что реально CCR 36 ядер не сможет BGP Full-View на 2 пира?

Без нат конечно :)

Изменено пользователем Sonneandsky

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Нород память там меняет и использует нормально и на 2 и на 3 пира.

Правда справедливости ради надо сказать, что до лета там были проблемы с мультиядерностью.

Но сейчас вроде как все починили.

Изменено пользователем shodan_x

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

ТС хотел улучшить производительность пяточка правил

да-да, часть из которых - тот самый DPI с попыткой зарезать всякие love.mail.ru анализом проходящих пакетов. и хоть изъе**сь, при такой постановке задачи пакеты таки надо просматривать целиком (в микротике нормального l7 анализатора, разбирающего типовые протоколы, нет).

 

Хотя я понимаю, вам подавай прям сразу BGP Full-View на 3 пира.... так сыровато оно еще для этого, серия новая. Да и моделька нужна хотя-бы от 36 ядер, т.к. в 9 ядерных слотов под оперативку точно нету, и 16 ядерная моделька без них была вроде-бы. Ибо специфика у них не та.

да хоть 72-ядерная - бгп обрабатывается одным тормозным ядрышком, фулвью прожевывается минут 5-10, и при флапе пира железка на эти 5-10 минут превращается в тыкву.

а серии уже больше 2 лет - но использовать толком ее до сих пор нельзя, эдакий бета-тестинг за свои деньги. к слову, RB1200 после всего 2 лет выпиливания лобзиком таки похоронили, оставив "счастливых владельцев" в диком экстазе :)

 

И ваши циски остаются далеко позади с их астрономическими ценниками. Разве что какой нить софтовый циско-хлам, с негарантированным PPS за цену в разы выше реальной производительности конкурентов.

циски, в отличие от микротика, работают стабильно в рамках заявленного функционала. и есть обратная связь, и баги фиксятся (ну это если новые покупать ессно).

а микротик - as-is, критические дыры не патчуются годами. чего стоил эпик фейл с ssh, когда элементарный брутфорс паролей завешивал намертво микротик - правили то ли 3 года, то ли больше, а дежурной рекомендацией было пользоваться телнетом вместо ssh. хотя да, чего требовать от сохо железок :)

 

А, что реально CCR 36 ядер не сможет BGP Full-View на 2 пира?

почему же, может, но сугубо как сферический конь в вакууме. т.е. примет и даже загрузит в роутинг таблицу. вот только при флапе перестраиваться таблица будет минут по 10, и на время перестройки это все будет весело тупить на форвардинге. не, для какого-то сельского говнопровайдера, у которого в радиусе 100 км ни одного конкурента, кроме gprs интернета, может и подойдет, но не более того.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
А видим трафик между VLAN со скоростью 1.23MPPS - утилизация 13% CPU

Такое любой безмозгый свич умеет с 0% загрузки проца.

 

Покажи мне НОВУЮ циску или джунипер за 11 000 рублей, с характеристиками RB850Gx2 или лучше. Или за 35 000р, которая аналогична или лучше CCR1009-8G-1S-1S+RM

Лучше сам покажи хоть один тик который на вайрспид будет гиг мелкими пакетами маршрутизировать или натить.

Притом в случае нат даже домашние железки на стоковых прошивках (типа асус, нетгир, длинк) с аппаратным нат тик рвут, как минимум по деньгам за туже скорость.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

перестраиваться таблица будет минут по 10, и на время перестройки это все будет весело тупить на форвардинге

сори за офтоп, но точно будет тупить?

У меня на кое-где на 650SRX-ах (а они софтовые) тоже по 10 минут перестраивается и проц в полку, но на форвардинг не влияет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
ssh ... брутфорс

ssh! брут?! УВОЛИТЬ к хренам такого админа надо, незамедлительно!!! Нефиг светить SSH портом куда не следует, и подвергать сеть потенциальной опасности!

Темболее когда речь идет о админке сетевого оборудования. Это знаете равносильно тому как светить манежмент порты какого нить хюлитовского свича в инет... это очень увлекательно, но довольно опасно :)

Если ну ОООчень надо светить портом, есть масса средств защиты, как то порт-кнокинг, тунельки, занесение в блек-лист по правилу срабатывающиму с определенной частотой....

 

 

да-да, часть из которых - тот самый DPI

Читаем повторно и вдумчиво мой преведущий пост, до полного просветления.

 

эдакий бета-тестинг за свои деньги

Эдакий бета-тестинг у меня был в много лет назад с вечно отваливавшейся и изрядно тормозной кисокой ASA 5505, при этом неожиданно хотящей денег за нужный мне функционал. Вспоминаю как страшный сон, точнее предпочитаю не вспоминать вообще, но вы вынуждаете.

 

NiTr0 - вы как явный спец по микротикам должны-бы были понять еще на этапе знакомства с их продукцией, что они ее делают специально для красноглазиков... хотя-бы по тем простым признакам что большая(а раньше вся) часть линейки выполненна в виде отдельных плат.

 

Вы же судя по знанию нюансов поднятия BGP на микроте, пытались применить его для хорошего шлюза, возможно и с немалой AS за ним, получили эпик-фейл. Ну что-же отрицательный результат - тоже результат!

Изменено пользователем shodan_x

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

хотя-бы по тем простым признакам что большая(а раньше вся) часть линейки выполненна в виде отдельных плат.

Это делается не для красноглазиков, а для того, чтобы никаких гарантий по температурным режимам не давать, и максимально упростить производство (производство хороших герметичных outdoor корпусов - это сложная задача, считай половина цены устройства, которую можно сэкономить), опять же экономим на сборке всего этого хозяйства, просто заказываем платы на заводе, ни в какие корпуса их вкручивать не надо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Гость
Эта тема закрыта для публикации сообщений.