[SOs]

Добрый день!

 

Никак не пойму как "раскачать" шифрование на RB750Gr3 на полную. Макс - 230 Мб/с и почти вся нагрузка на одном ядре (т.е. 2х виртуальных, как понимаю аналог HT).

 

Схема: 

ПК - MT1 - MT2 - ПК

 

Оба ПК в одной сети, т.е. шифруем прозрачно для ПК.

 

Делал и через L2TP/IpSec и через EOIP/IPSec, и через несколько EOIP/IPSec в BONDе (так несколько SA, вроде должно нагрузку "размазывать" по ядрам).

Всегда одинаково - 230 Мб/с, ~50% CPU, и почти вся нагрузка на одном ядре. 

 

Как получить рекламные 450 Мб/с или как "размазать" нагрузку по ядрам?

 

 

 

Конфиг МТ1 с несколькими EOIP/IPSec в BONDе:
 

[admin@MikroTik] > export 
# jan/06/1970 00:34:51 by RouterOS 6.42.9
# model = RouterBOARD 750G r3
/interface bridge
add fast-forward=no name=BR_LAN protocol-mode=none

/interface bridge port
add bridge=BR_LAN interface=bonding1
add bridge=BR_LAN interface=IF_LIST_LAN
/interface ethernet
set [ find default-name=ether1 ] comment=WAN
set [ find default-name=ether2 ] comment=LAN
/interface eoip
add allow-fast-path=no ipsec-secret=test1 local-address=1.1.1.1 mac-address=02:67:33:CA:61:1F name=eoip-tunnel1 remote-address=1.1.1.2 tunnel-id=1
add allow-fast-path=no ipsec-secret=test2 local-address=1.1.2.1 mac-address=02:67:33:CA:61:1F name=eoip-tunnel2 remote-address=1.1.2.2 tunnel-id=2
add allow-fast-path=no ipsec-secret=test3 local-address=1.1.3.1 mac-address=02:67:33:CA:61:1F name=eoip-tunnel3 remote-address=1.1.3.2 tunnel-id=3
add allow-fast-path=no ipsec-secret=test4 local-address=1.1.4.1 mac-address=02:67:33:CA:61:1F name=eoip-tunnel4 remote-address=1.1.4.2 tunnel-id=4
/interface bonding
add mtu=1400 name=bonding1 slaves=eoip-tunnel1,eoip-tunnel2,eoip-tunnel3,eoip-tunnel4
/interface list
add name=IF_LIST_LAN
/interface list member
add interface=ether2 list=IF_LIST_LAN
add interface=ether3 list=IF_LIST_LAN
add interface=ether4 list=IF_LIST_LAN
add interface=ether5 list=IF_LIST_LAN
/ip address
add address=1.1.1.1/24 interface=ether1 network=1.1.1.0
add address=1.1.2.1/24 interface=ether1 network=1.1.2.0
add address=1.1.3.1/24 interface=ether1 network=1.1.3.0
add address=1.1.4.1/24 interface=ether1 network=1.1.4.0
/ip dhcp-client
add dhcp-options=hostname,clientid disabled=no interface=BR_LAN
/system routerboard settings
set silent-boot=no
[admin@MikroTik] > 

 

 

Конфиг МТ2 с несколькими EOIP/IPSec в BONDе:

[admin@MikroTik] > export 
# jan/06/1970 00:31:28 by RouterOS 6.42.9
# model = RouterBOARD 750G r3
/interface bridge
add fast-forward=no name=BR_LAN protocol-mode=none

/interface bridge port
add bridge=BR_LAN interface=bonding1
add bridge=BR_LAN interface=IF_LIST_LAN
/interface ethernet
set [ find default-name=ether1 ] comment=WAN
set [ find default-name=ether2 ] comment=LAN
/interface eoip
add allow-fast-path=no ipsec-secret=test1 local-address=1.1.1.2 mac-address=02:92:07:B6:A6:E7 name=eoip-tunnel1 remote-address=1.1.1.1 tunnel-id=1
add allow-fast-path=no ipsec-secret=test2 local-address=1.1.2.2 mac-address=02:92:07:B6:A6:E7 name=eoip-tunnel2 remote-address=1.1.2.1 tunnel-id=2
add allow-fast-path=no ipsec-secret=test3 local-address=1.1.3.2 mac-address=02:92:07:B6:A6:E7 name=eoip-tunnel3 remote-address=1.1.3.1 tunnel-id=3
add allow-fast-path=no ipsec-secret=test4 local-address=1.1.4.2 mac-address=02:92:07:B6:A6:E7 name=eoip-tunnel4 remote-address=1.1.4.1 tunnel-id=4
/interface bonding
add mtu=1400 name=bonding1 slaves=eoip-tunnel1,eoip-tunnel2,eoip-tunnel3,eoip-tunnel4
/interface list
add name=IF_LIST_LAN
/interface list member
add interface=ether2 list=IF_LIST_LAN
add interface=ether3 list=IF_LIST_LAN
add interface=ether4 list=IF_LIST_LAN
add interface=ether5 list=IF_LIST_LAN
/ip address
add address=1.1.1.2/24 interface=ether1 network=1.1.1.0
add address=1.1.2.2/24 interface=ether1 network=1.1.2.0
add address=1.1.3.2/24 interface=ether1 network=1.1.3.0
add address=1.1.4.2/24 interface=ether1 network=1.1.4.0
/ip dhcp-client
add dhcp-options=hostname,clientid disabled=no interface=BR_LAN
/system routerboard settings
set silent-boot=no
[admin@MikroTik] > 

 

 

 

[LostSoul]

попробовать сделать вход в 2 разных физических порта , как вариант ( но надо смотреть диаграмму устройства )

не исключено что исходной точкой выбора ядра является то, на какой интерфейс процессора поступает сетевой пакет.

 

[jffulcrum]

1. У вас, судя по конфигу, default IPsec proposal, в нём включены варианты: aes-256-cbc,aes-192-cbc,aes-128-cbc . Если устройства согласовали aes-256, то там максимум уже не 460, а только 360.

2. Такие цифры достижимы лишь на пакетах 1400+  байт. У вас все пакеты в трафике с таким заполнением? На типичном трафике Интернет полное заполнение пакетов - редкость (если не брать торрентщиков).

3. Шифруют в этой модели спецблоки в CPU, так что загрузка CPU в Winbox не показатель - блоки могут уйти в полку прежде процессора в целом.

[McSea]

1 hour ago, SOs said:

Как получить рекламные 450 Мб/с

На чистом IPSec (без L2TP, EoIP и т.п) UDP в обе стороны одновременно пакетами 1400 байт, обратного трафика не должно быть вообще, т.е. чисто передача 1->2 и 2->1.

Для реального применения цифра малополезная. А так на TCP в один поток в одну сторону(напр. копируя файл по SMB) можно получить примерно 280-320 мбит.

Тестировал iperf3 TCP в конфигурации (сервер win10 -- RB750Gr3 -- клиент Cisco IPSec виндовс (где 280) или родной клиент IPSec macOS(где 320). 

 

Изменено 23 октября, 2018 пользователем McSea

[SOs]

- Попробовал aes-128, разницы никакой

- Поставил свитч между Микротиками, раскидал шифрование по физическим интерфейсам (eth1 и eth2, в соответствии со внутренней блок схемой). Туннеля оставил 2, по 1 на инт-с. Скорость осталась та же.

- Поменял алгоритм балансировки на БОНД инт-се на XOR с хэшем до L4, скорость поднялась до 315 Мб/с полезного трафика (340 Мб/с на интерфейсе марш-ра). Нагрузка на проц почти не поменялась, но стала равномернее.

- Перевел все на 1 физический интерфейс, Поменял на AES-256 - Скорость осталась прежняя ~ 310 Мб/с. Проц так же нагружается равномерно.

- Удалил бонд, перевел все на один туннель. Скорость та же , проц также. Я ХЗ что было. Похоже все дело было в балансировщике БОНДа.

Но до цифры 450 Мб/с все-равно далеко.

 

 

 

 

 

[admin@MT_1] > export 
# jan/02/1970 00:11:34 by RouterOS 6.42.9
#
# model = RouterBOARD 750G r3
/interface bridge
add fast-forward=no name=BR_LAN protocol-mode=none
/interface ethernet
set [ find default-name=ether1 ] comment=WAN_PORT
set [ find default-name=ether2 ] comment=LAN_SW
set [ find default-name=ether3 ] comment=LAN_SW
set [ find default-name=ether4 ] comment=LAN_SW
set [ find default-name=ether5 ] comment=LAN_SW
/interface eoip
add allow-fast-path=no ipsec-secret=test1 local-address=1.1.1.1 mac-address=02:E9:7D:E6:D1:5D name=eoip-tunnel1 remote-address=1.1.1.2 tunnel-id=1
/interface list
add name=IF_LAN_SW
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=aes-256-cbc
/interface bridge port
add bridge=BR_LAN interface=eoip-tunnel1
add bridge=BR_LAN interface=IF_LAN_SW
/interface list member
add interface=ether3 list=IF_LAN_SW
add interface=ether4 list=IF_LAN_SW
add interface=ether5 list=IF_LAN_SW
add interface=ether2 list=IF_LAN_SW
/ip address
add address=1.1.1.1/24 interface=ether1 network=1.1.1.0
add address=1.1.2.1/24 interface=ether1 network=1.1.2.0
/ip dhcp-client
add dhcp-options=hostname,clientid disabled=no interface=BR_LAN
/system identity
set name=MT_1
/system routerboard settings
set silent-boot=no
[admin@MT_1] > 

 

 

[admin@MT_2] > export 
# jan/02/1970 00:37:31 by RouterOS 6.42.9
#
# model = RouterBOARD 750G r3
/interface bridge
add fast-forward=no name=BR_LAN protocol-mode=none
/interface ethernet
set [ find default-name=ether1 ] comment=WAN_PORT
set [ find default-name=ether2 ] comment=LAN_SW
set [ find default-name=ether3 ] comment=LAN_SW
set [ find default-name=ether4 ] comment=LAN_SW
set [ find default-name=ether5 ] comment=LAN_SW
/interface eoip
add allow-fast-path=no ipsec-secret=test1 local-address=1.1.1.2 mac-address=02:E9:7D:E6:D1:5D name=eoip-tunnel1 remote-address=1.1.1.1 tunnel-id=1
/interface list
add name=IF_LAN_SW
/interface wireless security-profiles
set [ find default=yes ] supplicant-identity=MikroTik
/ip hotspot profile
set [ find default=yes ] html-directory=flash/hotspot
/ip ipsec proposal
set [ find default=yes ] enc-algorithms=aes-256-cbc
/interface bridge port
add bridge=BR_LAN interface=eoip-tunnel1
add bridge=BR_LAN interface=IF_LAN_SW
/interface list member
add interface=ether3 list=IF_LAN_SW
add interface=ether4 list=IF_LAN_SW
add interface=ether5 list=IF_LAN_SW
add interface=ether2 list=IF_LAN_SW
/ip address
add address=1.1.1.2/24 interface=ether1 network=1.1.1.0
add address=1.1.2.2/24 interface=ether1 network=1.1.2.0
/ip dhcp-client
add dhcp-options=hostname,clientid disabled=no interface=BR_LAN
/system identity
set name=MT_2
/system routerboard settings
set silent-boot=no
[admin@MT_2] > 

 

 

 

 

Изменено 24 октября, 2018 пользователем SOs

[McSea]

3 hours ago, SOs said:

Но до цифры 450 Мб/с все-равно далеко.

Уберите EoIP и померяйте на UDP в обе стороны одновременно.