feeman Posted May 16, 2020 Posted May 16, 2020 Посоветуйте, что нужно подкрутить, чтоб снизить нагрузку на маршрутизатор. Пока только нашел address-list-timeout=1h, но полагаю это не единственное что можно подкрутить!? Вставить ник Quote
sdy_moscow Posted May 16, 2020 Posted May 16, 2020 Подкрутите гайки. :-). З.Ы. Модель, конфиг - в студию. Вставить ник Quote
feeman Posted May 16, 2020 Author Posted May 16, 2020 Модель - CCR1036. Скрытый текст /ip firewall address-list add address=0.0.0.0/8 list=BOGON add address=10.0.0.0/8 list=BOGON add address=100.64.0.0/10 list=BOGON add address=127.0.0.0/8 list=BOGON add address=169.254.0.0/16 list=BOGON add address=172.16.0.0/12 list=BOGON add address=192.0.0.0/24 list=BOGON add address=192.0.2.0/24 list=BOGON add address=192.168.0.0/16 list=BOGON add address=198.18.0.0/15 list=BOGON add address=198.51.100.0/24 list=BOGON add address=203.0.113.0/24 list=BOGON add address=224.0.0.0/4 list=BOGON add address=240.0.0.0/4 list=BOGON /ip firewall filter add action=accept chain=input comment="Accept all incoming input established connections" connection-state=established,related add action=accept chain=forward comment="Accept all incoming forward (transit traffic) established connections" connection-state=established,related add action=drop chain=input comment="Drop all incoming input invalid connections" connection-state=invalid add action=drop chain=forward comment="Drop all incoming forward (transit traffic) invalid connections" connection-state=invalid add action=drop chain=forward comment="Drop all incoming connections to WAN which are not DSTNAT'ed" connection-nat-state=!dstnat in-interface-list=WAN add action=drop chain=input comment="Drop ICMP echo request to interface WAN" in-interface-list=!LAN protocol=icmp add action=drop chain=input comment="Drop all incoming packages to interface WAN" in-interface-list=WAN add action=drop chain=forward comment="Limit 200, to each address" connection-limit=200,32 in-interface-list=LAN protocol=tcp add action=drop chain=forward comment="Limit 200, to each address" connection-limit=200,32 in-interface-list=LAN protocol=udp add action=accept chain=forward comment="IPsec connections" ipsec-policy=in,ipsec add action=accept chain=forward comment="IPsec connections" ipsec-policy=out,ipsec add action=drop chain=input comment="Block Bogon IP Address" disabled=yes in-interface-list=!LAN src-address-list=BOGON add action=drop chain=forward comment="Block Bogon IP Address" disabled=yes in-interface-list=!LAN src-address-list=BOGON / ip firewall mangle; add action=mark-connection chain=prerouting in-interface=ISP1 connection-mark=no-mark new-connection-mark=connection_to_ISP1 passthrough=no disabled=no; add action=mark-connection chain=prerouting in-interface=ISP2 connection-mark=no-mark new-connection-mark=connection_to_ISP2 passthrough=no disabled=no; / ip firewall mangle; add action=mark-connection chain=prerouting in-interface-list=LAN dst-address-type=!local connection-mark=no-mark new-connection-mark=connection_to_ISP1 per-connection-classifier=both-addresses:2/0 passthrough=yes disabled=no; add action=mark-connection chain=prerouting in-interface-list=LAN dst-address-type=!local connection-mark=no-mark new-connection-mark=connection_to_ISP2 per-connection-classifier=both-addresses:2/1 passthrough=yes disabled=no; /ip service set telnet disabled=yes set ftp disabled=yes set ssh disabled=yes set www-ssl disabled=yes set api disabled=yes set api-ssl disabled=yes /tool bandwidth-server set enabled=no /tool mac-server set allowed-interface-list=none /tool mac-server mac-winbox set allowed-interface-list=none /tool mac-server ping set enabled=no Вставить ник Quote
feeman Posted May 16, 2020 Author Posted May 16, 2020 @sdy_moscow , джу от тебя подробностей! Вставить ник Quote
sdy_moscow Posted May 16, 2020 Posted May 16, 2020 @feeman Сори, я в микротах не спец. Это был дружеский совет по содержанию вопроса. В теме стоит описывать проблему подробнее. Уверен, если опишите что у Вас за проблема, то ответ будет точно быстрее и актуальнее. Например, у меня остался вопрос: Что значит "снизить нагрузку"? Чем так перегружен роутер? Какой тип трафика? Что рутит? Вставить ник Quote
TriKS Posted May 16, 2020 Posted May 16, 2020 Цитата Что нужно подкрутить, чтоб снизить нагрузку на маршрутизатор Варианты: 1) Купить нормальный маршрутизатор. 2) Нанять разбирающегося человека Вставить ник Quote
feeman Posted May 16, 2020 Author Posted May 16, 2020 6 минут назад, TriKS сказал: Варианты: 1) Купить нормальный маршрутизатор. 2) Нанять разбирающегося человека Либо, отправить в бан @TriKS , чтоб офтопов не было. 43 минуты назад, sdy_moscow сказал: Сори, я в микротах не спец Специально был создан "загончик" для счастливых обладателей одного вендора. Но вот, что вас туда тянет если вы не в теме!? Вставить ник Quote
sdy_moscow Posted May 16, 2020 Posted May 16, 2020 @feeman Ок. Ждите Сааба ,он ответит. Вставить ник Quote
alibek Posted May 16, 2020 Posted May 16, 2020 Зачем его ждать? Нужно ещё два микротика купить, других советов не бывает. Вставить ник Quote
vurd Posted May 16, 2020 Posted May 16, 2020 Только что, alibek сказал: Зачем его ждать? Нужно ещё два микротика купить, других советов не бывает. Ну вообще-то это очевидно из конфига ТС. У него два ISP. На каждого нужен свой микротик, а потом их через ospf объединить с 3-им. А там уже думать надо что хочется. Можно их вообще по bgp объединить и сделать ecmp с as-path-relax, а можно и просто актив\бекап сделать благодаря netwatch. Вставить ник Quote
feeman Posted May 16, 2020 Author Posted May 16, 2020 45 минут назад, alibek сказал: Нужно ещё два микротика купить, других советов не бывает. Всё уже сделано по некрофеншую. Одна финча - один микротик ))) Актуальный вопрос пожалуй в плане NAT'а. 46 минут назад, vurd сказал: Можно их вообще по bgp объединить и сделать ecmp с as-path-relax as-path multipath-relax ? @vurd , а вы разве на сети используете некротики? Вставить ник Quote
sheft Posted May 16, 2020 Posted May 16, 2020 сколько прогоняет в PPS и мегабитах? в чём собственно тормоза? в конфиге ната не увидел, что говорит /tool/profile ? Вставить ник Quote
feeman Posted May 16, 2020 Author Posted May 16, 2020 1 минуту назад, sheft сказал: в чём собственно тормоза? За тормоза пока не говорил! Но, хотелось бы перебЗЪдеть... Есть же best practice джентльменский набор - для уменьшения нагрузки 15 минут назад, sheft сказал: в конфиге ната не увидел Полагал, что это неактуально /interface list member; add interface=ISP1 list=WAN; add interface=ISP2 list=WAN;/ /ip firewall nat; add action=masquerade chain=srcnat out-interface-list=WAN;/ Вставить ник Quote
sdy_moscow Posted May 16, 2020 Posted May 16, 2020 Я бы запасся резервным БП и резервным некротом. Лично у меня, после тех чудес что наблюдались, к микротику жуткое недоверие, т.к. когда его начинает "плющить" понять, что с ним не так - не представляется возможным от слова "совсем". А вышеуказанная модель именно так себя ведет. Если не дай бог питание начнет шалить, то на флэш памяти легко может случится что-то странное. Помогает только сброс и повторная перепрошивка. Поэтому на время возни второй подготовленный не помешает. Вставить ник Quote
vurd Posted May 16, 2020 Posted May 16, 2020 1 час назад, feeman сказал: @vurd , а вы разве на сети используете некротики? На сети нет. Дома использую, держу небольшой vpls домен от дома до столба с камерой и до квартиры. Мне прикольно. Вставить ник Quote
RN3DCX Posted May 18, 2020 Posted May 18, 2020 В 16.05.2020 в 15:13, feeman сказал: Пока только нашел address-list-timeout=1h Еще где-то видел, что рекомендуют увеличить значения в Queues. Подробности надеюсь @Saab95 уточнит. Вставить ник Quote
feeman Posted May 18, 2020 Author Posted May 18, 2020 Подскажите, почему не работает правило address-list-timeout=1h ? /ip firewall filter add action=add-src-to-address-list address-list=users_sessions address-list-timeout=1h dst-address-type=!local chain=forward;/ /ip firewall address-list; add address=10.0.0.0/8 disabled=no list=users_sessions;/ Для проверки, чтоб наверняка, поставил правило в firewall filter первым в списке. Но оно почему-то не работает... Вставить ник Quote
alibek Posted May 18, 2020 Posted May 18, 2020 Этот параметр задает не таймаут сессии, а таймаут добавляемой в ACL записи (например если она добавляется динамически). Вставить ник Quote
feeman Posted May 18, 2020 Author Posted May 18, 2020 @alibek , спасибо за пояснение. Вставить ник Quote
pingz Posted May 19, 2020 Posted May 19, 2020 @feeman если Нат используете. При большом количестве трафика таблица конекшен трекинг может раздуваться стоит снизить время на запись в таблице некоторых соединений. Вставить ник Quote
pingz Posted May 19, 2020 Posted May 19, 2020 @feeman ещё можно отключить не нужные модули которые не использукте. Отключить внутренних базу dns. Не стоит формировать графики на самом микротикe. Так же пагубно влияет опрос по snmp Вставить ник Quote
feeman Posted May 19, 2020 Author Posted May 19, 2020 6 минут назад, pingz сказал: ещё можно отключить не нужные модули которые не использукте Сделано: Скрытый текст /ip service set telnet disabled=yes set ftp disabled=yes set ssh disabled=yes set www-ssl disabled=yes set api disabled=yes set api-ssl disabled=yes /tool bandwidth-server set enabled=no /tool mac-server set allowed-interface-list=none /tool mac-server mac-winbox set allowed-interface-list=none /tool mac-server ping set enabled=no 12 минут назад, pingz сказал: Отключить внутренних базу dns. На данный момент использую как кеширующий. 8 минут назад, pingz сказал: Не стоит формировать графики на самом микротикe. Так же пагубно влияет опрос по snmp а графики и snmp на микротике вещи не взаимосвязанные? Вставить ник Quote
pingz Posted May 19, 2020 Posted May 19, 2020 @feeman в самом микротика в tools можно создать график. Кэширование dns то же отжирает производительность Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.