[gor_kk]

Доброго времени суток!

имеем сеть на 180 человек

в основе rb2011ahх2 uplink приходит оптикой от выше стоящего провайдера,канал 130/130 мбит/с

авторизация по pppoe ,все порты кроме wan соеденены в бридж и на него повешен pppoe server

скоростя по 4/1 мбит

ограничения Queue Tree

так вот днем все нормально пинг 20-28 мс! все скоростя ,WoT,smart tv работают без проблем

но в интервал с 19-22 часов канал подрыгивает до 120 мбит и начинается аврал !

до этого такого не было ,новых клиентов не подключали а наоборот канал расширили!как вычислить откуда берется столько скорости?по соеденениям и по правилам превышений нет

[myth]

сегментируй сеть на вланы

[GrandPr1de]

И убирай PPPoE и Queue Tree и переходи на Simple

И вообще:

"Надо было ставить линукс" ©

Че с нагрузкой на проц у микротика то?

Врубить торч и глянут много ли бегает нежелательного броадкаста\мультикаста.

Была б проблема в сегментации сети - у него б сеть не три часа в сутки штормило. Сегментация штука хорошая но тут явно не в ней проблема.

[EShirokiy]

rb2011

сеть на 180 человек

130/130 мбит/с

Я бы начал с замены данной мыльницы на что-нибудь более производительное + сегментация всей сети.

UPD: если ТС перепутал модели и у него RB1100, тогда проблема с флудом и железо менять не надо.

[myth]

у него б сеть не три часа в сутки штормило

достаточно одного завирусованного клиента

[gor_kk]

проц на 20-25 %

 

 

как вычислить то вирусованного

 

вот как сегментировать ее если pppoe на бридж настроено?!или бегать по клиентам и перенастраивать?я вот просто пока догнать не могу

[pingz]

На форуме каждый месяц задают такой вопрос.

1. В сети нужно зарезать весь трафик кроме пппое до микротика если резать на самом микротика эффекта не будет т.к. пакеты всеровно будут приходить.

Так же избавимся от того, что один абоненент может дать трафик другому. Пример:

https://m.habrahabr.ru/post/123038/

2. Убрать весь лишний трафик с микротика т.е. как предлагают выше сегментировать сеть убрать бридж и км каждый интерфейс поведать свой пппое сервер. Тогда как минимум можно определить в каком направление проблема. Желательно каждый дом поместить в свой вилан и в каждом вилане сервер. Убрать все лишние интерфейсы с микротика и с соседних железок т.е. допустим на коммутатор создан вилан в котором допустим крутится сеть организаций да же если на микротике нет этого вилана, а на коммутатор есть то микротика всеровно будет обрабатывать эти пакеты и отбрасыфать.

3. Правила фаервола у меня всего 3 правила 1. Запретить всесь трафик кроме интерфейса выше стоящего оператора. Для заблокированых мы даем 64 кб/с поэтому их только перенаправляет на заглушку. Ну и маскарадинг в инет.

4. Systems-> pakets отключаем все не нужные пакеты. Так же советую посмотреть tols-> profil

[myth]

как вычислить то вирусованного

 

 

сегментируй сеть и не мучайся

Изменено 4 ноября, 2016 пользователем myth

[gor_kk]

почти у всех service name прописан сыграет ли это роль если вывесить отдельный сервер pppoe на порт?

[myth]

нет.

[NiTr0]

достаточно одного завирусованного клиента

только вот беда - сегментация от завирусованного клиентане избавит. не, в целом она полезна, хотя бы для того чтобы мусор бродкастов по всей сети не гулял, но вот в данном конкретном случае она не поможет.

[pingz]

достаточно одного завирусованного клиента

только вот беда - сегментация от завирусованного клиентане избавит. не, в целом она полезна, хотя бы для того чтобы мусор бродкастов по всей сети не гулял, но вот в данном конкретном случае она не поможет.

За то выяснить, где этот Клинт в разы проще.

[NiTr0]

таки нет. что совой об пень, что пнем об сову - можете гасить вланы, можете гасить порты коммутатора агрегации, результат будет идентичным. потому что завирусованный клиент генерит 100500 сессий и кучу трафика, а не шторм в л2 сегменте.

[pingz]

А то что на одном вилане будет много пакетов это не счёт?

[NiTr0]

а что, от того что много пакетов будет в двух (трех, четырех) вланах роутеру должно стать легче?...

[pingz]

а что, от того что много пакетов будет в двух (трех, четырех) вланах роутеру должно стать легче?...

Вот допустим как вы говорите будет вирус в сети у 20 абонентов они будут создавать очень много сессий, по логике вещей, будет много пакетов от этих пользователей. Допустим у нас сеть на 200 абонентов сеть сегментирована на 20 вланов, какая вероятность того, что все 20 вланов будут с большим количеством пакетов?

 

Про легче не, кто и не говорил, так будет проще видеть картину, и проще будет найти этого абонента и допустим на доступе будет проще настроить ему асл или вообще выключить и позвонить сказать лечите компьютер.

 

И вообще у ТС нечего не настроено, поэтому возможно, что угодно.

[DRiVen]

pingz, у ТС по описанию нисходящий трафик по аплинку вырос, а не в/из сети доступа, и от количества вланов он не уменьшится. ТС, напрашиваются два варианта - или немалая часть абонов начала что-то выкачивать, что маловероятно, или кто-то из абонов под нужную очередь не попадает (висит на корневой очереди например), что больше похоже на правду.

 

P.S>Как уже было замечено, если у вас все подключения одинаковы по приоритету и скорости, то tree вам без надобности, уходите на simple.

[pingz]

pingz, у ТС по описанию нисходящий трафик по аплинку вырос, а в/из сети доступа, и от количества вланов он не уменьшится. ТС, напрашиваются два варианта - или немалая часть абонов начала что-то выкачивать, что маловероятно, или кто-то из абонов под нужную очередь не попадает (висит на корневой очереди например), что больше похоже на правду.

 

P.S>Как уже было замечено, если у вас все подключения одинаковы по скорости, то tree вам без надобности, уходите на simple.

Вы почему такие тугие, количество вланов это не лечение, а способ обнаружить причину. Вот например у меня по направлениям рисуются графики наверное как и вас и можно отследить откуда или куда идет трафик. Так проще искать, а когда у тебя один большой широковещательный домен тяжело искать проблему и у ТС микротик должен чихать при таком количестве абонентов т.к. я больше чем у верен у него не чего не выключено на нем.

 

У меня стоят CCR1036 пока я не отфильтровал на доступе и на ядре трафик, не сделал сегминтацию сети, и не выключил не нужные пакеты, уменьшил количество фаерволов на микротике выше 500 абонентов было напряжно появлялись различные не понятные ситуации. Теперь можно вешать больше. Но для меня 500 абонентов это золотая середина хотя сейчас есть и 800 с тарифами до 10 мб.

[pppoetest]

количество вланов это способ обнаружить причину.

 

У меня стоят CCR1036 пока я не отфильтровал на доступе и на ядре трафик, не сделал сегминтацию сети, и не выключил не нужные пакеты, уменьшил количество фаерволов на микротике выше 500 абонентов было напряжно появлялись различные не понятные ситуации.

Всё ясно, моя подпись в действии.

[pingz]

количество вланов это способ обнаружить причину.

 

У меня стоят CCR1036 пока я не отфильтровал на доступе и на ядре трафик, не сделал сегминтацию сети, и не выключил не нужные пакеты, уменьшил количество фаерволов на микротике выше 500 абонентов было напряжно появлялись различные не понятные ситуации.

Всё ясно, моя подпись в действии.

Один из моих знакомых у которого стоят 2 мх960 говорит так "Мне монописуально на пару процентов загруженности процессора." С микротиком так не прокатит :(

[gor_kk]

правил фаервола миниму,ушел на simple,убрал бридж на каждый порт вывесил PPPoE c разыми профилями и адресами пока результата ноль

[GrandPr1de]

ну возможно просто полка по каналу

может у вас там нет "честных" 130 мегабит

банально в полку уляглись и всё

расширьте канал, хотя бы для теста

[gor_kk]

вставал на прямую !еще 40 мбит запаса

[NiTr0]

Допустим у нас сеть на 200 абонентов сеть сегментирована на 20 вланов, какая вероятность того, что все 20 вланов будут с большим количеством пакетов?

что совой об пень, что пнем об сову - результат будет один. микротику от, скажем, 50 кппс будет одинаково хреново хоть оно в одном вланеприлетит, хоть в 200 вланах в сумме.

 

вставал на прямую !еще 40 мбит запаса

попросите у аплинка временно еще один стыковой адрес. подключите комп, и когда у юзеров начинаются лаги - пустите с того компа спидтест.

 

есть ненулевая вероятность, что у аплинка тоже стоит поделка типа микротика, и она складывается в ЧНН.

[gor_kk]

попросите у аплинка временно еще один стыковой адрес. подключите комп, и когда у юзеров начинаются лаги - пустите с того компа спидтест.

 

есть ненулевая вероятность, что у аплинка тоже стоит поделка типа микротика, и она складывается в ЧНН.

 

 

поподробнее можно?у uplinka стоит huawei не помню модель сам лично подключал они просто сказали в какой порт