SOs Posted October 23, 2018 Posted October 23, 2018 Добрый день! Никак не пойму как "раскачать" шифрование на RB750Gr3 на полную. Макс - 230 Мб/с и почти вся нагрузка на одном ядре (т.е. 2х виртуальных, как понимаю аналог HT). Схема: ПК - MT1 - MT2 - ПК Оба ПК в одной сети, т.е. шифруем прозрачно для ПК. Делал и через L2TP/IpSec и через EOIP/IPSec, и через несколько EOIP/IPSec в BONDе (так несколько SA, вроде должно нагрузку "размазывать" по ядрам). Всегда одинаково - 230 Мб/с, ~50% CPU, и почти вся нагрузка на одном ядре. Как получить рекламные 450 Мб/с или как "размазать" нагрузку по ядрам? Конфиг МТ1 с несколькими EOIP/IPSec в BONDе: [admin@MikroTik] > export # jan/06/1970 00:34:51 by RouterOS 6.42.9 # model = RouterBOARD 750G r3 /interface bridge add fast-forward=no name=BR_LAN protocol-mode=none /interface bridge port add bridge=BR_LAN interface=bonding1 add bridge=BR_LAN interface=IF_LIST_LAN /interface ethernet set [ find default-name=ether1 ] comment=WAN set [ find default-name=ether2 ] comment=LAN /interface eoip add allow-fast-path=no ipsec-secret=test1 local-address=1.1.1.1 mac-address=02:67:33:CA:61:1F name=eoip-tunnel1 remote-address=1.1.1.2 tunnel-id=1 add allow-fast-path=no ipsec-secret=test2 local-address=1.1.2.1 mac-address=02:67:33:CA:61:1F name=eoip-tunnel2 remote-address=1.1.2.2 tunnel-id=2 add allow-fast-path=no ipsec-secret=test3 local-address=1.1.3.1 mac-address=02:67:33:CA:61:1F name=eoip-tunnel3 remote-address=1.1.3.2 tunnel-id=3 add allow-fast-path=no ipsec-secret=test4 local-address=1.1.4.1 mac-address=02:67:33:CA:61:1F name=eoip-tunnel4 remote-address=1.1.4.2 tunnel-id=4 /interface bonding add mtu=1400 name=bonding1 slaves=eoip-tunnel1,eoip-tunnel2,eoip-tunnel3,eoip-tunnel4 /interface list add name=IF_LIST_LAN /interface list member add interface=ether2 list=IF_LIST_LAN add interface=ether3 list=IF_LIST_LAN add interface=ether4 list=IF_LIST_LAN add interface=ether5 list=IF_LIST_LAN /ip address add address=1.1.1.1/24 interface=ether1 network=1.1.1.0 add address=1.1.2.1/24 interface=ether1 network=1.1.2.0 add address=1.1.3.1/24 interface=ether1 network=1.1.3.0 add address=1.1.4.1/24 interface=ether1 network=1.1.4.0 /ip dhcp-client add dhcp-options=hostname,clientid disabled=no interface=BR_LAN /system routerboard settings set silent-boot=no [admin@MikroTik] > Конфиг МТ2 с несколькими EOIP/IPSec в BONDе: [admin@MikroTik] > export # jan/06/1970 00:31:28 by RouterOS 6.42.9 # model = RouterBOARD 750G r3 /interface bridge add fast-forward=no name=BR_LAN protocol-mode=none /interface bridge port add bridge=BR_LAN interface=bonding1 add bridge=BR_LAN interface=IF_LIST_LAN /interface ethernet set [ find default-name=ether1 ] comment=WAN set [ find default-name=ether2 ] comment=LAN /interface eoip add allow-fast-path=no ipsec-secret=test1 local-address=1.1.1.2 mac-address=02:92:07:B6:A6:E7 name=eoip-tunnel1 remote-address=1.1.1.1 tunnel-id=1 add allow-fast-path=no ipsec-secret=test2 local-address=1.1.2.2 mac-address=02:92:07:B6:A6:E7 name=eoip-tunnel2 remote-address=1.1.2.1 tunnel-id=2 add allow-fast-path=no ipsec-secret=test3 local-address=1.1.3.2 mac-address=02:92:07:B6:A6:E7 name=eoip-tunnel3 remote-address=1.1.3.1 tunnel-id=3 add allow-fast-path=no ipsec-secret=test4 local-address=1.1.4.2 mac-address=02:92:07:B6:A6:E7 name=eoip-tunnel4 remote-address=1.1.4.1 tunnel-id=4 /interface bonding add mtu=1400 name=bonding1 slaves=eoip-tunnel1,eoip-tunnel2,eoip-tunnel3,eoip-tunnel4 /interface list add name=IF_LIST_LAN /interface list member add interface=ether2 list=IF_LIST_LAN add interface=ether3 list=IF_LIST_LAN add interface=ether4 list=IF_LIST_LAN add interface=ether5 list=IF_LIST_LAN /ip address add address=1.1.1.2/24 interface=ether1 network=1.1.1.0 add address=1.1.2.2/24 interface=ether1 network=1.1.2.0 add address=1.1.3.2/24 interface=ether1 network=1.1.3.0 add address=1.1.4.2/24 interface=ether1 network=1.1.4.0 /ip dhcp-client add dhcp-options=hostname,clientid disabled=no interface=BR_LAN /system routerboard settings set silent-boot=no [admin@MikroTik] > Вставить ник Quote
LostSoul Posted October 23, 2018 Posted October 23, 2018 попробовать сделать вход в 2 разных физических порта , как вариант ( но надо смотреть диаграмму устройства ) не исключено что исходной точкой выбора ядра является то, на какой интерфейс процессора поступает сетевой пакет. Вставить ник Quote
jffulcrum Posted October 23, 2018 Posted October 23, 2018 1. У вас, судя по конфигу, default IPsec proposal, в нём включены варианты: aes-256-cbc,aes-192-cbc,aes-128-cbc . Если устройства согласовали aes-256, то там максимум уже не 460, а только 360. 2. Такие цифры достижимы лишь на пакетах 1400+ байт. У вас все пакеты в трафике с таким заполнением? На типичном трафике Интернет полное заполнение пакетов - редкость (если не брать торрентщиков). 3. Шифруют в этой модели спецблоки в CPU, так что загрузка CPU в Winbox не показатель - блоки могут уйти в полку прежде процессора в целом. Вставить ник Quote
McSea Posted October 23, 2018 Posted October 23, 2018 (edited) 1 hour ago, SOs said: Как получить рекламные 450 Мб/с На чистом IPSec (без L2TP, EoIP и т.п) UDP в обе стороны одновременно пакетами 1400 байт, обратного трафика не должно быть вообще, т.е. чисто передача 1->2 и 2->1. Для реального применения цифра малополезная. А так на TCP в один поток в одну сторону(напр. копируя файл по SMB) можно получить примерно 280-320 мбит. Тестировал iperf3 TCP в конфигурации (сервер win10 -- RB750Gr3 -- клиент Cisco IPSec виндовс (где 280) или родной клиент IPSec macOS(где 320). Edited October 23, 2018 by McSea Вставить ник Quote
SOs Posted October 24, 2018 Author Posted October 24, 2018 (edited) - Попробовал aes-128, разницы никакой - Поставил свитч между Микротиками, раскидал шифрование по физическим интерфейсам (eth1 и eth2, в соответствии со внутренней блок схемой). Туннеля оставил 2, по 1 на инт-с. Скорость осталась та же. - Поменял алгоритм балансировки на БОНД инт-се на XOR с хэшем до L4, скорость поднялась до 315 Мб/с полезного трафика (340 Мб/с на интерфейсе марш-ра). Нагрузка на проц почти не поменялась, но стала равномернее. - Перевел все на 1 физический интерфейс, Поменял на AES-256 - Скорость осталась прежняя ~ 310 Мб/с. Проц так же нагружается равномерно. - Удалил бонд, перевел все на один туннель. Скорость та же , проц также. Я ХЗ что было. Похоже все дело было в балансировщике БОНДа. Но до цифры 450 Мб/с все-равно далеко. [admin@MT_1] > export # jan/02/1970 00:11:34 by RouterOS 6.42.9 # # model = RouterBOARD 750G r3 /interface bridge add fast-forward=no name=BR_LAN protocol-mode=none /interface ethernet set [ find default-name=ether1 ] comment=WAN_PORT set [ find default-name=ether2 ] comment=LAN_SW set [ find default-name=ether3 ] comment=LAN_SW set [ find default-name=ether4 ] comment=LAN_SW set [ find default-name=ether5 ] comment=LAN_SW /interface eoip add allow-fast-path=no ipsec-secret=test1 local-address=1.1.1.1 mac-address=02:E9:7D:E6:D1:5D name=eoip-tunnel1 remote-address=1.1.1.2 tunnel-id=1 /interface list add name=IF_LAN_SW /interface wireless security-profiles set [ find default=yes ] supplicant-identity=MikroTik /ip ipsec proposal set [ find default=yes ] enc-algorithms=aes-256-cbc /interface bridge port add bridge=BR_LAN interface=eoip-tunnel1 add bridge=BR_LAN interface=IF_LAN_SW /interface list member add interface=ether3 list=IF_LAN_SW add interface=ether4 list=IF_LAN_SW add interface=ether5 list=IF_LAN_SW add interface=ether2 list=IF_LAN_SW /ip address add address=1.1.1.1/24 interface=ether1 network=1.1.1.0 add address=1.1.2.1/24 interface=ether1 network=1.1.2.0 /ip dhcp-client add dhcp-options=hostname,clientid disabled=no interface=BR_LAN /system identity set name=MT_1 /system routerboard settings set silent-boot=no [admin@MT_1] > [admin@MT_2] > export # jan/02/1970 00:37:31 by RouterOS 6.42.9 # # model = RouterBOARD 750G r3 /interface bridge add fast-forward=no name=BR_LAN protocol-mode=none /interface ethernet set [ find default-name=ether1 ] comment=WAN_PORT set [ find default-name=ether2 ] comment=LAN_SW set [ find default-name=ether3 ] comment=LAN_SW set [ find default-name=ether4 ] comment=LAN_SW set [ find default-name=ether5 ] comment=LAN_SW /interface eoip add allow-fast-path=no ipsec-secret=test1 local-address=1.1.1.2 mac-address=02:E9:7D:E6:D1:5D name=eoip-tunnel1 remote-address=1.1.1.1 tunnel-id=1 /interface list add name=IF_LAN_SW /interface wireless security-profiles set [ find default=yes ] supplicant-identity=MikroTik /ip hotspot profile set [ find default=yes ] html-directory=flash/hotspot /ip ipsec proposal set [ find default=yes ] enc-algorithms=aes-256-cbc /interface bridge port add bridge=BR_LAN interface=eoip-tunnel1 add bridge=BR_LAN interface=IF_LAN_SW /interface list member add interface=ether3 list=IF_LAN_SW add interface=ether4 list=IF_LAN_SW add interface=ether5 list=IF_LAN_SW add interface=ether2 list=IF_LAN_SW /ip address add address=1.1.1.2/24 interface=ether1 network=1.1.1.0 add address=1.1.2.2/24 interface=ether1 network=1.1.2.0 /ip dhcp-client add dhcp-options=hostname,clientid disabled=no interface=BR_LAN /system identity set name=MT_2 /system routerboard settings set silent-boot=no [admin@MT_2] > Edited October 24, 2018 by SOs Вставить ник Quote
McSea Posted October 24, 2018 Posted October 24, 2018 3 hours ago, SOs said: Но до цифры 450 Мб/с все-равно далеко. Уберите EoIP и померяйте на UDP в обе стороны одновременно. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.