Перейти к содержимому
Калькуляторы

загрузка ЦП Mikrotik на 100%. Помогите снизить нагрузку на ЦП

Доброго времени суток

 

имеется Mikrotik RB751U-2HnD

Возникла ситуация что процессор стал грузится на все 100, банально но даже при проверке скорости через speedtest.net

про использование торрентов можно особо и не рассказывать, вешает Mikrotik намертво.

настроек особых нет, настроен mikrotik следующим образом:

 

имеется 2 провайдера 1 основной (с большей скоростью) 2-й резервный(с меньшей скоростью) скрипт при потере связи проверяет доступность канала и переключает на другой канал.

для данной схемы используется несколько правил в мангале, также несколько роутов, скрипт и задача в шедулере.

По мимо этого в файерволе используется несколько правил, особых правил не используется.

Несколько квересов для особых любителей загружать канал.

 

По профилю видно, что процессор в основном грузит файервол.

 

 

Версия прошивки 5.24, пришлось понизить с 5.26 т.к. были глюки связанные с зависанием микротика(каждое утро рабочего дня начиналось с перезагрузки в ручную микротика, нельзя было к нему достучатся через winbox. Либо он сам перезагружался).

 

Возможно ли разгрузить процессор и каким образом?

Изменено пользователем reinhard

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Убрать или оптимизировать правила фаервола.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Быть может в сети шторм из-за петли? ARP флуд какой нибудь из-за этого. Такое может положить любую железяку на лопатки.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Убрать или оптимизировать правила фаервола.

 

Поковырявшись с правилами фаервола удалось выяснить, что ощутимую нагрузку из всего списка дают следующие правила

/ip firewall filter
add action=drop chain=forward comment="drop my.mail.ru" content=my.mail.ru disabled=no src-address-list=userlist
add action=drop chain=forward comment="drop love.mail.ru" content=love.mail.ru disabled=no src-address-list=userlist
add action=accept chain=forward comment="allow adm mail.ru" content=cloud.mail.ru disabled=no src-address-list=adm
add action=drop chain=forward comment="drop cloud.mail.ru" content=cloud.mail.ru disabled=no src-address-list=userlist

 

Т.е. правила связанные с блокировкой отдельных сервисов mail.ru, правил построенных по такому принципу еще 6-8.

Также после отключения указанной цепочки повышается скорость загрузки и отдачи на несколько мегабит(существует также проблемка со скоростью не не выдается до конца скорость заявленная провайдером).

 

Возможен ли вариант, что проблема кроется глубже(падение скорости и загрузка ЦП), чем правила построенные по такому принципу, а фаервол уже как конечный результат

Переход на адрес листы это уже конечно крайний случай для разгрузки т.к. подсети и ip управляющих серверов отдельных сервисов того же mail.ru не всегда постоянны или меняются или расширяются

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Написать такие же правила, но указать всё-таки dst-port = 80 не пробовали? У вас весь трафик проходит по этим правилам, а нужен только на веб и возможно dns, уверен на 99%.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Быть может в сети шторм из-за петли? ARP флуд какой нибудь из-за этого. Такое может положить любую железяку на лопатки.

периодически замечаю в сети гуляющие пакеты во внутренней локалки с адреса который во внутреней сети уже не используется(ранее этот ip был закреплен за рабочей станцией, после вывода ее из эксплуатации данный ip убрал из arp и из dhcp сервера(по dhcp каждой рабочей станции присваиваю постоянные ip)) на скрине показан.

т.е. с несуществующего ip идет обращение на микротик по порту 9996 данный ip не отображается больше нигде и пинги на него не идут

это основной не понятный момент, от куда он взялся.

 

бывает что проскакивают в торче мультикастовые опросы на подсети 224.0.0.252 и 239.255.255.250 со стороны провайдера данные подсети закрыты фаерволом

 

P.S. микротик используеется как и dhcp сервер

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Написать такие же правила, но указать всё-таки dst-port = 80 не пробовали? У вас весь трафик проходит по этим правилам, а нужен только на веб и возможно dns, уверен на 99%.

 

на счет правил, да, пробовал в конечном итоге, когда создавал правила оставил без указанного порта эту группу правил.

на данном этапе указал и порт для сервисов.

 

/ip firewall filter
add action=drop chain=forward comment="drop love.mail.ru" content=my.mail.ru disabled=no dst-port=80 protocol=tcp src-address-list=userlist
add action=drop chain=forward comment="drop love.mail.ru" content=love.mail.ru disabled=no dst-port=80 protocol=tcp src-address-list=userlist

 

Проблемка осталась.

 

при отключении всех правил построенных по данной схеме, проблемка со скоростью ушла выдается в полном объеме, заявленной провайдером 20мб/20мб если тестить через speedtest.net.

если при помощи торрентов проверять, то скорость закачки может прыгнуть и до 30-40 мегибит. загрузка ЦП также до 100 подпрыгивает.

 

 

 

На счет dns у меня стоят dns -Яндекса в поле Dynamic Server подтягивается Dns провайдера в зависимости от активного провайдера.

 

 

P.S. провайдера 2. 1-й основной 2-й резервный. Если связь с первым отсуствует микротик переключает на второго провайдера

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Убрать или оптимизировать правила фаервола.

 

отключивши сегодня все правила нагрузка на ЦП осталась, но скорость интернета значительно возрастала.

При использовании торрент загрузка ЦП колеблется от 90% до 100%, поднимается до 100 потом падает до 90 и через короткий промежуток времени снова до 100

 

при замерах скорости, без вариантов прыгает до 100 и держится на таком уровне в течении всего промежутка замера.

Изменено пользователем reinhard

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Поставьте нормальный маршрутизатор и не мучайтесь.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Поставьте нормальный маршрутизатор и не мучайтесь.

нормальный в плане микротика или в плане другой марки?

смутно понятно в данном случае формулировку нормальный

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Обновите версию до 6.33.3 в 6.x ветке было много оптимизаций.

У вас соедение с провайдером через туннельный интерфейс?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Обновите версию до 6.33.3 в 6.x ветке было много оптимизаций.

 

Максимальную версию которую лучше ставить 5.26 Т.к. недели 3 назад обновлял до последней актуальной версии в связи, которая была на тот момент, микротик тормозил даже при работе через winbox, пришлось понижать версию прошивки.

 

 

У вас соедение с провайдером через туннельный интерфейс?

 

Нет. От провайдера все выдается по DHCP. На порту подключил dhcp client. Никаких дополнительных настроек подключения к провайдеру нет

Изменено пользователем reinhard

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Снифером снимите трафик идущий на микротик и посмотрите что его повесило.

А сам микротик этот слабенький.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Поставьте нормальный маршрутизатор и не мучайтесь.

нормальный в плане микротика или в плане другой марки?

смутно понятно в данном случае формулировку нормальный

 

А вы для начала озвучьте свои пожелания к машрутизатору.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ща saab подойдет, он все расскажет) А на самом деле vlad11 прав, поставьте нормальный роутер и будет вам счастье, посмотрите например в сторону Juniper SRX, даже SRX100 нагибает этот микротик и в цене и по возможностям.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

посмотрите например в сторону Juniper SRX, даже SRX100 нагибает этот микротик и в цене и по возможностям.

 

полностью с Вами согласен в данном моменте Juniper и Cisco намного эффективней, но видя ценовую политику данного класса оборудования не думаю, что мне выделят необходимое финансирование на приобретение чего либо из Juniper или Cisco

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А вы для начала озвучьте свои пожелания к машрутизатору.

 

В данном топике мы конечно не обсуждаем покупку нового маршрутизатора, пока что, а возникшею проблему и возможности её устранения.

 

Проблемы могут возникнуть в любом нормальном маршрутизаторе :)

 

 

Если конкретно по вашему предложению, посоветуйте более лучшее/продуктивное железо данного производителя.

 

Если конечно все таки проблема в том, что данная модель не выдерживает нагрузки.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Любой тазик подбери не нужный, поставь туда фрю/линух и будет лучше.

Пень3 сотку прожуёт, по выше гиг, но чем хуже проц тем лучше сетевухи нужны.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А вы для начала озвучьте свои пожелания к машрутизатору.

 

В данном топике мы конечно не обсуждаем покупку нового маршрутизатора, пока что, а возникшею проблему и возможности её устранения.

 

Проблемы могут возникнуть в любом нормальном маршрутизаторе :)

 

У вас бурные фантазии.

Любой гигабитный маршрутизатор от Асус или Тплинк будет постабильнее. А лучше еще залить альтернативную прошивку.

 

Я все-таки не увидел требования к требования к маршрутизатору.

 

А строго по теме топика - Обнулить конфиг, продать на Авито и купить нормальный маршрутизатор из вышеперечисленного.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

reinhard - Не слушай их, они ща тебя квартиру продать заставят ради покупки киски... Как вариант, CCR1009 такие правила жует на раз-два.

Специально добавил твои правила из первого поста, проверить.

Как видишь на фоне скачки на скорости 160 мегабит, вообщем-то мелочи.

Но лично я стараюсь таких правил избегать.

post-131763-076935700 1450390460_thumb.png

 

 

Как вариант накатай скрипт определяющей адреса злостных сервисов и блочь их по списку. типа такого (изменить по вкусу) и запускай его раз в сутки к примеру. Он будте тебе в актуальном состоянии адрес-листы держать. А по ним будешь блочить

:local SitesList {"www.lostfilm.tv";"eevblog.com";"hashcat.net";"nnm-club.me";"lurkmore.to";"rutracker.org"}

:foreach addr in $SitesList do={
:local Blackip {:put ([:resolve $addr] )} 

:foreach i in=[/ip firewall address-list find ] do={
:if ( [/ip firewall address-list get $i address ] = $Blackip ) do={/ip firewall address-list remove $i}
}
/ip firewall address-list add address=$Blackip list=Traffic_to_Milan comment=$addr
}

Изменено пользователем shodan_x

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Как вариант, CCR1009 такие правила жует на раз-два.

Специально добавил твои правила из первого поста, проверить.

Как видишь на фоне скачки на скорости 160 мегабит, вообщем-то мелочи.

Lolwat? Да за такую цену можно б/у PC поставить, который гиг прожуёт не поперхнувшись.

А судя по вашим графикам, еще чуть-чуть и ядрышки 1,6 начнут уходить в полочку, со всеми вытекающими последствиями.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

pppoetest - Так нефиг правила с анализом контента добавлять, ЦЦР-ка эта отлично 10Г жует с кучей правил, не напрягаясь особо даже на MTU 1500. Лично проверял.

 

Просто ко всему с умом подходить надо и не ставить правила анализа содержимого пакета.

А вытекает, это из цысок вытикает... доп. траты на лицухи за каждый чих.

Человеку надо бюджетно(желательно вообще без затрат), он же обяснил. А вы товарищи его в киску тыкаете и джунипером погоняете.... жесть.

 

Да за такую цену можно б/у PC поставить, который гиг прожуёт не поперхнувшись.

Не-а неполучится, дороговато будет 5 полноценных гигабитов и SFP SFP+ в комп ставить. Да и в 1 юнит подобный комп не влезет. Или будет весьма не бюджетным.

 

Кстати дропов не предвидится, просто другие ядра задействуются.

Да и вообще подобные правила аки "content=" надо с умом писать. Покурив десяток манов перед этим. Потому как даже в предложенном тобою варианте с компом, это будет не просто переживать. Особенно с такой постановкой вопроса, когда весь форвард на них проверяется.

 

Кстати, с удовольствием посмотрел бы как SRX100 нагибается при анализе контента пакетов по вхождению слова :) Который вообщем-то стоит дороже моего CCR1009.

Приведете статистику? С примерами конфига конечно-же! А потом сравним еще его прочий функционал и как он высокоскоростные линки переваривает.... ой простите, какие линки... это-же FAST-эзернет.... так свича кусок с каплей мозгов за 30 000-45 000 рублей. Куда его такой поставишь :)

Изменено пользователем shodan_x

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

 

Не-а неполучится, дороговато будет 5 полноценных гигабитов и SFP SFP+ в комп ставить. Да и в 1 юнит подобный комп не влезет. Или будет весьма не бюджетным.

 

 

За каких хером на CCR 5 "полноценных гигабитов" а уж темболее sfp+ когда он уже на гигабите превращается в тыкву?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В какую еще тыкву на гигабите?

 

Вот эту вот тыкву чтоли да?

post-131763-027418000 1450400672_thumb.png

Маршрутизации между вланами, с прохождением правил фаервола. (60 правил + 19 в табличке NAT + 44 в Mangle)

Правда Без этого жесткача с поиском текстовой строки в каждом пакете, который хочет топикстартер.

 

Обращаем особое внимание на показатель общей загрузки проца... 2%

 

Микротик для лоу-кост вещь отличная, конкурентов нет. Надо просто уметь его "готовить", и строить правила с умом! К примеру прогнали NEW пакет по нужным правилам, занатили при необходимости, и запихнули ESTABLISHED коннект в FastTrack, и вуаля, нагрузка нулевая.

Нельзя коннект в фаст-трек заворачивать, не проблема, тоже все пережует, только при это загрузка будет не 2 процента а 15-17 на гигабите.

А еще можно сие блюдо 9к пакетами нафаршировать, тогда вообще сказка!

 

Так что наличие SPF+ очень даже оправдано! Даже жалко что он там всего один.

:)

 

Как по мне, молотилка для своей цены 32к весьма достойная. Уверен что киски и джуниперы близко к ней за эту цену не подбирутся. А самопальный комп будет стоить дороже, занимать больше места и жрать больше энергии.

Сможете меня переубедить?

Изменено пользователем shodan_x

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В полку микромонгеров прибыло.

Изменено пользователем ShyLion

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах
Гость
Эта тема закрыта для публикации сообщений.