Jump to content
Калькуляторы

Что нужно подкрутить, чтоб снизить нагрузку на маршрутизатор

Посоветуйте, что нужно подкрутить, чтоб снизить нагрузку на маршрутизатор.

Пока только нашел address-list-timeout=1h, но полагаю это не единственное что можно подкрутить!?

Share this post


Link to post
Share on other sites

Подкрутите гайки. :-).

З.Ы.

Модель, конфиг - в студию.

Share this post


Link to post
Share on other sites

Модель - CCR1036.

 

Скрытый текст

/ip firewall address-list
add address=0.0.0.0/8 list=BOGON
add address=10.0.0.0/8 list=BOGON
add address=100.64.0.0/10 list=BOGON
add address=127.0.0.0/8 list=BOGON
add address=169.254.0.0/16 list=BOGON
add address=172.16.0.0/12 list=BOGON
add address=192.0.0.0/24 list=BOGON
add address=192.0.2.0/24 list=BOGON
add address=192.168.0.0/16 list=BOGON
add address=198.18.0.0/15 list=BOGON
add address=198.51.100.0/24 list=BOGON
add address=203.0.113.0/24 list=BOGON
add address=224.0.0.0/4 list=BOGON
add address=240.0.0.0/4 list=BOGON
 

/ip firewall filter
add action=accept chain=input comment="Accept all incoming input established connections" connection-state=established,related
add action=accept chain=forward comment="Accept all incoming forward (transit traffic) established connections" connection-state=established,related
add action=drop chain=input comment="Drop all incoming input invalid connections" connection-state=invalid
add action=drop chain=forward comment="Drop all incoming forward (transit traffic) invalid connections" connection-state=invalid
add action=drop chain=forward comment="Drop all incoming connections to WAN which are not DSTNAT'ed" connection-nat-state=!dstnat in-interface-list=WAN
add action=drop chain=input comment="Drop ICMP echo request to interface WAN" in-interface-list=!LAN protocol=icmp
add action=drop chain=input comment="Drop all incoming packages to interface WAN" in-interface-list=WAN
add action=drop chain=forward comment="Limit 200, to each address" connection-limit=200,32 in-interface-list=LAN protocol=tcp
add action=drop chain=forward comment="Limit 200, to each address" connection-limit=200,32 in-interface-list=LAN protocol=udp
add action=accept chain=forward comment="IPsec connections" ipsec-policy=in,ipsec
add action=accept chain=forward comment="IPsec connections" ipsec-policy=out,ipsec
add action=drop chain=input comment="Block Bogon IP Address" disabled=yes in-interface-list=!LAN src-address-list=BOGON
add action=drop chain=forward comment="Block Bogon IP Address" disabled=yes in-interface-list=!LAN src-address-list=BOGON

 

/ ip firewall mangle;
add action=mark-connection chain=prerouting in-interface=ISP1 connection-mark=no-mark new-connection-mark=connection_to_ISP1 passthrough=no disabled=no;
add action=mark-connection chain=prerouting in-interface=ISP2 connection-mark=no-mark new-connection-mark=connection_to_ISP2 passthrough=no disabled=no;

 

/ ip firewall mangle;
add action=mark-connection chain=prerouting in-interface-list=LAN dst-address-type=!local connection-mark=no-mark new-connection-mark=connection_to_ISP1 per-connection-classifier=both-addresses:2/0 passthrough=yes disabled=no;
add action=mark-connection chain=prerouting in-interface-list=LAN dst-address-type=!local connection-mark=no-mark new-connection-mark=connection_to_ISP2 per-connection-classifier=both-addresses:2/1 passthrough=yes disabled=no;

 

/ip service
set telnet disabled=yes
set ftp disabled=yes
set ssh disabled=yes
set www-ssl disabled=yes
set api disabled=yes
set api-ssl disabled=yes

 

/tool bandwidth-server
set enabled=no
/tool mac-server
set allowed-interface-list=none
/tool mac-server mac-winbox
set allowed-interface-list=none
/tool mac-server ping
set enabled=no

 

 

Share this post


Link to post
Share on other sites

@feeman Сори, я в микротах не спец. Это был дружеский совет по содержанию вопроса. В теме стоит описывать проблему подробнее. Уверен, если опишите что у Вас за проблема, то ответ будет точно быстрее и актуальнее.

Например, у меня остался вопрос:

Что значит "снизить нагрузку"? Чем так перегружен роутер? Какой тип трафика? Что рутит?

Share this post


Link to post
Share on other sites
Цитата

Что нужно подкрутить, чтоб снизить нагрузку на маршрутизатор

Варианты:

1) Купить нормальный маршрутизатор.

2) Нанять разбирающегося человека

 

Share this post


Link to post
Share on other sites
6 минут назад, TriKS сказал:

Варианты:

1) Купить нормальный маршрутизатор.

2) Нанять разбирающегося человека

 

Либо, отправить в бан @TriKS , чтоб офтопов не было.

 

43 минуты назад, sdy_moscow сказал:

Сори, я в микротах не спец

Специально был создан "загончик" для счастливых обладателей одного вендора.

Но вот, что вас туда тянет если вы не в теме!?

Share this post


Link to post
Share on other sites

Зачем его ждать? Нужно ещё два микротика купить, других советов не бывает.

Share this post


Link to post
Share on other sites
Только что, alibek сказал:

Зачем его ждать? Нужно ещё два микротика купить, других советов не бывает.

Ну вообще-то это очевидно из конфига ТС.

У него два ISP. На каждого нужен свой микротик, а потом их через ospf объединить с 3-им.

А там уже думать надо что хочется. Можно их вообще по bgp объединить и сделать ecmp с as-path-relax, а можно и просто актив\бекап сделать благодаря netwatch.

Share this post


Link to post
Share on other sites
45 минут назад, alibek сказал:

Нужно ещё два микротика купить, других советов не бывает.

Всё уже сделано по некрофеншую. Одна финча - один микротик )))

 

Актуальный вопрос пожалуй в плане NAT'а.

 

 

46 минут назад, vurd сказал:

Можно их вообще по bgp объединить и сделать ecmp с as-path-relax

as-path multipath-relax ?

 

@vurd , а вы разве на сети используете некротики?

Share this post


Link to post
Share on other sites

сколько прогоняет в PPS и мегабитах? в чём собственно тормоза? в конфиге ната не увидел, что говорит /tool/profile ?

Share this post


Link to post
Share on other sites
1 минуту назад, sheft сказал:

в чём собственно тормоза?

За тормоза пока не говорил! Но, хотелось бы перебЗЪдеть...

Есть же best practice джентльменский набор - для уменьшения нагрузки

 

 

15 минут назад, sheft сказал:

в конфиге ната не увидел

Полагал, что это неактуально

 

/interface list member;
add interface=ISP1 list=WAN;
add interface=ISP2 list=WAN;/

 

/ip firewall nat;
add action=masquerade chain=srcnat out-interface-list=WAN;/
 

Share this post


Link to post
Share on other sites

Я бы запасся резервным БП и резервным некротом. Лично у меня, после тех чудес что наблюдались, к микротику жуткое недоверие, т.к. когда его начинает "плющить" понять, что с ним не так - не представляется возможным от слова "совсем".

А вышеуказанная модель именно так себя ведет. Если не дай бог питание начнет шалить, то на флэш памяти легко может случится что-то странное. Помогает только сброс и повторная перепрошивка. Поэтому на время возни второй подготовленный не помешает.

Share this post


Link to post
Share on other sites
1 час назад, feeman сказал:

 

@vurd , а вы разве на сети используете некротики?

 

На сети нет. Дома использую, держу небольшой vpls домен от дома до столба с камерой и до квартиры. Мне прикольно.

Share this post


Link to post
Share on other sites
В 16.05.2020 в 15:13, feeman сказал:

Пока только нашел address-list-timeout=1h

Еще где-то видел, что рекомендуют увеличить значения в Queues.

Подробности надеюсь @Saab95 уточнит.

Share this post


Link to post
Share on other sites

Подскажите, почему не работает правило address-list-timeout=1h ?

 

image.thumb.png.21ecdea586471a2ca196a994b90f99d3.png

/ip firewall filter add action=add-src-to-address-list address-list=users_sessions address-list-timeout=1h dst-address-type=!local chain=forward;/
/ip firewall address-list;
add address=10.0.0.0/8 disabled=no list=users_sessions;/


Для проверки, чтоб наверняка, поставил правило в firewall filter первым в списке. Но оно почему-то не работает...

 

 

Share this post


Link to post
Share on other sites

Этот параметр задает не таймаут сессии, а таймаут добавляемой в ACL записи (например если она добавляется динамически).

Share this post


Link to post
Share on other sites

@feeman если Нат используете. При большом количестве трафика таблица конекшен трекинг может раздуваться стоит снизить время на запись в таблице некоторых соединений.

Share this post


Link to post
Share on other sites

спасибо, нашел схожую тему: 

 

Share this post


Link to post
Share on other sites

@feeman ещё можно отключить не нужные модули которые не использукте. 

Отключить внутренних базу dns.

Не стоит формировать графики на самом микротикe. Так же пагубно влияет опрос по snmp

Share this post


Link to post
Share on other sites
6 минут назад, pingz сказал:

ещё можно отключить не нужные модули которые не использукте

Сделано:

Скрытый текст

/ip service
set telnet disabled=yes
set ftp disabled=yes
set ssh disabled=yes
set www-ssl disabled=yes
set api disabled=yes
set api-ssl disabled=yes

 

/tool bandwidth-server
set enabled=no
/tool mac-server
set allowed-interface-list=none
/tool mac-server mac-winbox
set allowed-interface-list=none
/tool mac-server ping
set enabled=no

 

 

12 минут назад, pingz сказал:

Отключить внутренних базу dns.

На данный момент использую как кеширующий.

 

 

8 минут назад, pingz сказал:

Не стоит формировать графики на самом микротикe. Так же пагубно влияет опрос по snmp

а графики и snmp на микротике вещи не взаимосвязанные?

 

Share this post


Link to post
Share on other sites

@feeman  в самом микротика в tools можно создать график.

Кэширование dns то же отжирает производительность 

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this