Перейти к содержимому
Калькуляторы

Что нужно подкрутить, чтоб снизить нагрузку на маршрутизатор

Посоветуйте, что нужно подкрутить, чтоб снизить нагрузку на маршрутизатор.

Пока только нашел address-list-timeout=1h, но полагаю это не единственное что можно подкрутить!?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Модель - CCR1036.

 

Скрытый текст

/ip firewall address-list
add address=0.0.0.0/8 list=BOGON
add address=10.0.0.0/8 list=BOGON
add address=100.64.0.0/10 list=BOGON
add address=127.0.0.0/8 list=BOGON
add address=169.254.0.0/16 list=BOGON
add address=172.16.0.0/12 list=BOGON
add address=192.0.0.0/24 list=BOGON
add address=192.0.2.0/24 list=BOGON
add address=192.168.0.0/16 list=BOGON
add address=198.18.0.0/15 list=BOGON
add address=198.51.100.0/24 list=BOGON
add address=203.0.113.0/24 list=BOGON
add address=224.0.0.0/4 list=BOGON
add address=240.0.0.0/4 list=BOGON
 

/ip firewall filter
add action=accept chain=input comment="Accept all incoming input established connections" connection-state=established,related
add action=accept chain=forward comment="Accept all incoming forward (transit traffic) established connections" connection-state=established,related
add action=drop chain=input comment="Drop all incoming input invalid connections" connection-state=invalid
add action=drop chain=forward comment="Drop all incoming forward (transit traffic) invalid connections" connection-state=invalid
add action=drop chain=forward comment="Drop all incoming connections to WAN which are not DSTNAT'ed" connection-nat-state=!dstnat in-interface-list=WAN
add action=drop chain=input comment="Drop ICMP echo request to interface WAN" in-interface-list=!LAN protocol=icmp
add action=drop chain=input comment="Drop all incoming packages to interface WAN" in-interface-list=WAN
add action=drop chain=forward comment="Limit 200, to each address" connection-limit=200,32 in-interface-list=LAN protocol=tcp
add action=drop chain=forward comment="Limit 200, to each address" connection-limit=200,32 in-interface-list=LAN protocol=udp
add action=accept chain=forward comment="IPsec connections" ipsec-policy=in,ipsec
add action=accept chain=forward comment="IPsec connections" ipsec-policy=out,ipsec
add action=drop chain=input comment="Block Bogon IP Address" disabled=yes in-interface-list=!LAN src-address-list=BOGON
add action=drop chain=forward comment="Block Bogon IP Address" disabled=yes in-interface-list=!LAN src-address-list=BOGON

 

/ ip firewall mangle;
add action=mark-connection chain=prerouting in-interface=ISP1 connection-mark=no-mark new-connection-mark=connection_to_ISP1 passthrough=no disabled=no;
add action=mark-connection chain=prerouting in-interface=ISP2 connection-mark=no-mark new-connection-mark=connection_to_ISP2 passthrough=no disabled=no;

 

/ ip firewall mangle;
add action=mark-connection chain=prerouting in-interface-list=LAN dst-address-type=!local connection-mark=no-mark new-connection-mark=connection_to_ISP1 per-connection-classifier=both-addresses:2/0 passthrough=yes disabled=no;
add action=mark-connection chain=prerouting in-interface-list=LAN dst-address-type=!local connection-mark=no-mark new-connection-mark=connection_to_ISP2 per-connection-classifier=both-addresses:2/1 passthrough=yes disabled=no;

 

/ip service
set telnet disabled=yes
set ftp disabled=yes
set ssh disabled=yes
set www-ssl disabled=yes
set api disabled=yes
set api-ssl disabled=yes

 

/tool bandwidth-server
set enabled=no
/tool mac-server
set allowed-interface-list=none
/tool mac-server mac-winbox
set allowed-interface-list=none
/tool mac-server ping
set enabled=no

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@feeman Сори, я в микротах не спец. Это был дружеский совет по содержанию вопроса. В теме стоит описывать проблему подробнее. Уверен, если опишите что у Вас за проблема, то ответ будет точно быстрее и актуальнее.

Например, у меня остался вопрос:

Что значит "снизить нагрузку"? Чем так перегружен роутер? Какой тип трафика? Что рутит?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Цитата

Что нужно подкрутить, чтоб снизить нагрузку на маршрутизатор

Варианты:

1) Купить нормальный маршрутизатор.

2) Нанять разбирающегося человека

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

6 минут назад, TriKS сказал:

Варианты:

1) Купить нормальный маршрутизатор.

2) Нанять разбирающегося человека

 

Либо, отправить в бан @TriKS , чтоб офтопов не было.

 

43 минуты назад, sdy_moscow сказал:

Сори, я в микротах не спец

Специально был создан "загончик" для счастливых обладателей одного вендора.

Но вот, что вас туда тянет если вы не в теме!?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Зачем его ждать? Нужно ещё два микротика купить, других советов не бывает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Только что, alibek сказал:

Зачем его ждать? Нужно ещё два микротика купить, других советов не бывает.

Ну вообще-то это очевидно из конфига ТС.

У него два ISP. На каждого нужен свой микротик, а потом их через ospf объединить с 3-им.

А там уже думать надо что хочется. Можно их вообще по bgp объединить и сделать ecmp с as-path-relax, а можно и просто актив\бекап сделать благодаря netwatch.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

45 минут назад, alibek сказал:

Нужно ещё два микротика купить, других советов не бывает.

Всё уже сделано по некрофеншую. Одна финча - один микротик )))

 

Актуальный вопрос пожалуй в плане NAT'а.

 

 

46 минут назад, vurd сказал:

Можно их вообще по bgp объединить и сделать ecmp с as-path-relax

as-path multipath-relax ?

 

@vurd , а вы разве на сети используете некротики?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

сколько прогоняет в PPS и мегабитах? в чём собственно тормоза? в конфиге ната не увидел, что говорит /tool/profile ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 минуту назад, sheft сказал:

в чём собственно тормоза?

За тормоза пока не говорил! Но, хотелось бы перебЗЪдеть...

Есть же best practice джентльменский набор - для уменьшения нагрузки

 

 

15 минут назад, sheft сказал:

в конфиге ната не увидел

Полагал, что это неактуально

 

/interface list member;
add interface=ISP1 list=WAN;
add interface=ISP2 list=WAN;/

 

/ip firewall nat;
add action=masquerade chain=srcnat out-interface-list=WAN;/
 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Я бы запасся резервным БП и резервным некротом. Лично у меня, после тех чудес что наблюдались, к микротику жуткое недоверие, т.к. когда его начинает "плющить" понять, что с ним не так - не представляется возможным от слова "совсем".

А вышеуказанная модель именно так себя ведет. Если не дай бог питание начнет шалить, то на флэш памяти легко может случится что-то странное. Помогает только сброс и повторная перепрошивка. Поэтому на время возни второй подготовленный не помешает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 час назад, feeman сказал:

 

@vurd , а вы разве на сети используете некротики?

 

На сети нет. Дома использую, держу небольшой vpls домен от дома до столба с камерой и до квартиры. Мне прикольно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В 16.05.2020 в 15:13, feeman сказал:

Пока только нашел address-list-timeout=1h

Еще где-то видел, что рекомендуют увеличить значения в Queues.

Подробности надеюсь @Saab95 уточнит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Подскажите, почему не работает правило address-list-timeout=1h ?

 

image.thumb.png.21ecdea586471a2ca196a994b90f99d3.png

/ip firewall filter add action=add-src-to-address-list address-list=users_sessions address-list-timeout=1h dst-address-type=!local chain=forward;/
/ip firewall address-list;
add address=10.0.0.0/8 disabled=no list=users_sessions;/


Для проверки, чтоб наверняка, поставил правило в firewall filter первым в списке. Но оно почему-то не работает...

 

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Этот параметр задает не таймаут сессии, а таймаут добавляемой в ACL записи (например если она добавляется динамически).

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@feeman если Нат используете. При большом количестве трафика таблица конекшен трекинг может раздуваться стоит снизить время на запись в таблице некоторых соединений.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@feeman ещё можно отключить не нужные модули которые не использукте. 

Отключить внутренних базу dns.

Не стоит формировать графики на самом микротикe. Так же пагубно влияет опрос по snmp

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

6 минут назад, pingz сказал:

ещё можно отключить не нужные модули которые не использукте

Сделано:

Скрытый текст

/ip service
set telnet disabled=yes
set ftp disabled=yes
set ssh disabled=yes
set www-ssl disabled=yes
set api disabled=yes
set api-ssl disabled=yes

 

/tool bandwidth-server
set enabled=no
/tool mac-server
set allowed-interface-list=none
/tool mac-server mac-winbox
set allowed-interface-list=none
/tool mac-server ping
set enabled=no

 

 

12 минут назад, pingz сказал:

Отключить внутренних базу dns.

На данный момент использую как кеширующий.

 

 

8 минут назад, pingz сказал:

Не стоит формировать графики на самом микротикe. Так же пагубно влияет опрос по snmp

а графики и snmp на микротике вещи не взаимосвязанные?

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

@feeman  в самом микротика в tools можно создать график.

Кэширование dns то же отжирает производительность 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.