Pirojok Posted December 13, 2011 Posted December 13, 2011 Добрый день! Помогите снизить нагрузку на проц в железке RB450g v.5.10 Под вечер в час пик идет большая нагрузка на проц 70% и медленно открывает страницы хотя входящий канал еще не забит. Авторизация клиентов по ip. Скорость режется через pcq по адрес листу.Queue type rate=2M limit=50 Totallimit=2000. Может какие правила фаервола или еще что-то... Вставить ник Quote
Saab95 Posted December 13, 2011 Posted December 13, 2011 У вас дело в чем-то другом, т.к. даже при загрузке 90-100 процентов на скорость загрузки страниц никакого влияния нет. Проверьте справляется ли ваш канал интернета с нагрузкой, может в сети где затык. А может просто интернет (сам по себе) медленно работает. Последнюю неделю некоторые сайты очень плохо загружаются, видимо где-то с линиями связи проблема. Вставить ник Quote
Pirojok Posted December 13, 2011 Author Posted December 13, 2011 Может , но загрузка напрягает... даже вот какую штуку заметил, что когда начинаю качать со 2-го провайдера( в роутинге стоит distance=2) на скорости 15мб.с проц подлетает до 100%..общая загрузка на линии окола 30мб.с..чтож железка такая слабая? или всетаки можно как-то снизить загрузку? Вставить ник Quote
Saab95 Posted December 13, 2011 Posted December 13, 2011 Сколько клиентов подключено к устройству в момент проблемы? Каким образом они подключены? Какой трафик на выходном интерфейсе RX/TX и количество пакетов в секунду In/Out. Какое подключение к провайдеру используете? Прямое или с помощью PPP соединения? Какие фильтры или правила используете? Фильтруете ли вы мусор в сети? Какие службы используете? Нет ли трафика между клиентами? Этот трафик не бросается в глаза, однако забирает ресурсы устройства. Вставить ник Quote
Pirojok Posted December 14, 2011 Author Posted December 14, 2011 В час пик где-то 80 клиентов. Подключение прямое. Какие-то фильтры добавились автоматом когда настраивал нат через веббокс. Больше никаких фильтрующих правил не добавлял. Из служб дхцп. Как посмотреть трафик меж клиентов и зачем ему ходить через роутер? Роутер подлючен в свитч с одного порта. Вставить ник Quote
Saab95 Posted December 14, 2011 Posted December 14, 2011 Сравните трафик на входном и выходном порту. Если суммарно вход/выход на клиентском порту больше, чем вход/выход на интернетовском, значит что-то ходит через ваш роутер. Вставить ник Quote
DobroFenix Posted December 14, 2011 Posted December 14, 2011 (edited) RB450g В соседней теме уже писали, что данному трешу самое место на помойке. Используйте x86, либо специализированные устройства MT, которые будут отвечать Вашим требованиям. Сравните трафик на входном и выходном порту. Если суммарно вход/выход на клиентском порту больше, чем вход/выход на интернетовском, значит что-то ходит через ваш роутер. Выходного трафика в локальный интерфейс будет больше, чем входной с каналов. Это нормально. Тонко намекну на /tool profile Edited December 14, 2011 by DobroFenix Вставить ник Quote
Ferdin Posted December 14, 2011 Posted December 14, 2011 Сравните трафик на входном и выходном порту. Если суммарно вход/выход на клиентском порту больше, чем вход/выход на интернетовском, значит что-то ходит через ваш роутер. Если суммарно вход/выход на интернетовском порту больше, чем вход/выход на клиентском порту. В чём может быть проблема? Я подозревают что работают правила файэрвола и режут интернетовский трафик. Вставить ник Quote
Nick_name Posted December 14, 2011 Posted December 14, 2011 Подозрение на то что у вас торент убивает его, скажите а какой pps у вас? Вставить ник Quote
Saab95 Posted December 14, 2011 Posted December 14, 2011 Если суммарно вход/выход на интернетовском порту больше, чем вход/выход на клиентском порту. В чём может быть проблема? Я подозревают что работают правила файэрвола и режут интернетовский трафик. Так вот - вы режете скорость для клиентов входящую и исходящую. Например на уровне 2 мегабита. Исходящая от клиента в интернет пойдет на уровне 2 мегабита и не более, а вот исходящая от клиента перед вашим роутером будет более 2-х мегабит и лишние пакеты будут отбрасываться. А вот входящий трафик с интернета для клиента вы порезать никак не можете - т.к. ограничивать вы можете только проходящий трафик через ваш роутер. Поэтому входящий трафик для клиента так и будет 2 мегабита, а из интернета к нему может идти 3 мегабита - тем самым загружая входящий канал не нужными данными, которые ваш роутер все равно отбросит. Вообще для полного понимания проблемы, выложите скрин вкладки с интерфейсами. Вставить ник Quote
Pirojok Posted December 14, 2011 Author Posted December 14, 2011 Возможно что торенты.Где посмотреть pps? Тк они у нет правил на ограничение ссесий для них. В tools/profile загрузка в основном idle 60% firewall 20-30 qeuning 10-20. Подскажите какие правила фаервола поставить чтобы зарезать ссесии на торенты? Вставить ник Quote
Saab95 Posted December 14, 2011 Posted December 14, 2011 ip firewall filter add chain=forward action=add-dst-to-address-list protocol=udp dst-address=192.168.0.2-192.168.0.254 address-list=dst_list address-list-timeout=0s ip firewall filter add chain=forward action=accept dst-address-list=dst_list dst-limit=250,250,dst-address/1m40s ip firewall filter add chain=forward action=reject reject-with=icmp-admin-prohibited dst-address-list=dst_list Указываете свою сеть только, заместо 192.168.0.х, а 250 это количество пакетов разрешенное каждому клиенту. Вставить ник Quote
sherwood Posted December 14, 2011 Posted December 14, 2011 Добрый день! Помогите снизить нагрузку на проц в железке RB450g v.5.10 Под вечер в час пик идет большая нагрузка на проц 70% и медленно открывает страницы хотя входящий канал еще не забит. Авторизация клиентов по ip. Скорость режется через pcq по адрес листу.Queue type rate=2M limit=50 Totallimit=2000. Может какие правила фаервола или еще что-то... 450G с NAT, Firewall, QoS не прожует более 50Мбит\с, процессор очень сильно грузит TCP соединения, ограничьте их например до 30 с исключением 80,443,8080 портов, это всего одно правило в Firewall и также ограничьте UDP трафик например на 40 сессий это еще одно правило ( а не то что предлагает Saab95, он немного отстал от жизни :) ), но UDP так сильно не грузит процессор, канал ваш это - да, если он у вас постоянно в полку забит, если нет то ограничением UDP можете пока не задумываться. Вставить ник Quote
Ainy Posted December 14, 2011 Posted December 14, 2011 по этому скрину только гадать можно. схему сети нарисовать было сложно? И не мгновенное значение на интерфейсе показать надо а графики по всем интерфейсам за сутки к примеру + схему сети. Тогда можно делать обоснованные выводы. Вставить ник Quote
Pirojok Posted December 15, 2011 Author Posted December 15, 2011 ага понятно спасибо за ответы! тогда вопрос как грамотно ограничить TCP и UDP ссесии каждому в отдельности юзеру? Вставить ник Quote
SSD Posted December 15, 2011 Posted December 15, 2011 ага понятно спасибо за ответы! тогда вопрос как грамотно ограничить TCP и UDP ссесии каждому в отдельности юзеру? Фаервол вам в помощь. Вставить ник Quote
Ferdin Posted December 15, 2011 Posted December 15, 2011 Правила фаервола + ограничение на количество сессий. И будет как у меня на скрине, загрузка проца 15-25% Вставить ник Quote
Pirojok Posted December 16, 2011 Author Posted December 16, 2011 (edited) Ну это понятно, но как нарезать сеcсии на каждого в отдельности клиента?У меня скорость режется по адрес листам.Канал не забит максимум 30мб\с из 50. нашел на соседней ветке аналогичный вопрос но тут sherwood советует вообще не ограничивать сессий. Код add action=add-dst-to-address-list address-list=dst_list \ address-list-timeout=0s chain=forward comment="limit ppc" disabled=yes \ dst-address-list="(backup_channel)" protocol=udp add action=accept chain=forward comment="" disabled=yes dst-address-list=\ dst_list dst-limit=250,250,dst-address/1m40s add action=reject chain=forward comment="" disabled=yes dst-address-list=\ dst_list reject-with=icmp-admin-prohibited потому что хорошего ни чего не будет, остаюсь как бы при своем мнении, что клиенту нужно отдавать его полосу и пусть он вней и колупается, при зарезке сессий и ррс у "плохого" клиента просто перестает работатьинтернет, а при хорошем шейпере начинает тупить... если канал не забит, то шейпер тика с этим справляется на отлично, без зарезки сессий и ррс... по поводу QoS, он будет работать только втом случае если у вас канал забит выше 100%, в противном случае он не работает.... по поводу типа трафика, тут одними пометками в мангле не обойтись, надо привлекать и L7... Скиньте пожалуйста пример ограничения ТСП и udp сессий! нигде не найду( версия прошивки 5.10 Edited December 16, 2011 by Pirojok Вставить ник Quote
Ferdin Posted December 16, 2011 Posted December 16, 2011 В микротике необходимо включить Firewall через web интерфейс, базовая настройка. В Simple Queue нарезаешь скорости на каждого клиента. Блокировка протокола uTP и Ограничение TCP-сессий я делал по этому коду ссылка убрал только ограничение по времени суток, сделал постоянным. /ip firewall layer7-protocoladd comment="uTP_uTorrent" name="\\B5TP" regexp="\\\\x7F\\\\xFF\\\\xFF\\\\xFF\\\\xAB" /ip firewall filter add action=drop chain=forward comment="deny uTP traffic" disabled=no layer7-protocol="\\B5TP" add action=drop chain=forward comment="deny p2p traffic day" disabled=no p2p=all-p2p time=13h-23h59m59s,sun,mon,tue,wed,thu,fri,sat add action=drop chain=forward comment="deny p2p traffic night" disabled=no p2p=all-p2p time=0s-1h,sun,mon,tue,wed,thu,fri,sat add action=drop chain=forward comment="TCP_connection_limit (64-1)" connection-limit=64,32 disabled=no protocol=tcp tcp-flags=syn Вставить ник Quote
Pirojok Posted December 16, 2011 Author Posted December 16, 2011 я эту тему тоже читал...у меня это правило не отрабатывается.стояло неделю пакетов 0. может на версии 5.10 не пашет? Вставить ник Quote
Ferdin Posted December 16, 2011 Posted December 16, 2011 у меня RB750 v5.7 правила работают смотри в л.с. Вставить ник Quote
Pirojok Posted December 16, 2011 Author Posted December 16, 2011 (edited) Низнаю правильно сделал или нет. вот этим я так понял ограничил новый протокол торента? /ip firewall layer7-protocol add comment="uTP_uTorrent" name="\\B5TP" regexp="\\\\x7F\\\\xFF\\\\xFF\\\\xFF\\\\xAB" /ip firewall filter add action=drop chain=forward comment="deny uTP traffic" disabled=no layer7-protocol="\\B5TP" Теперь в сонекшн появились сессии torennt. Которые можно уже ограничить.Создал правило маркировки prerouting-all-p2p-mark-paket. И добавил в queue type правило скорости по типу RED (ничего правда там не менял оставил по умолчанию).пакеты пошли в маркировке...но всеравно udp пакетов от торента много идет микротик видит только те которые по tcp. вопрос об ограничении udp остался открыт. Скиньте плиз код для ограничения сессий udp на клиента! Edited December 16, 2011 by Pirojok Вставить ник Quote
Saab95 Posted December 16, 2011 Posted December 16, 2011 Эта штука режет некоторые запросы других программ, так что если будут жалобы отключайте правило=) Вставить ник Quote
sherwood Posted December 16, 2011 Posted December 16, 2011 Скиньте пожалуйста пример ограничения ТСП и udp сессий! нигде не найду( версия прошивки 5.10 TCP chain=forward action=drop tcp-flags=syn protocol=tcp src-address-list=net dst-port=!80,443,8080 connection-limit=40,32 это правило ограничит 40 соединений TCP для каждого IP из адрес-листа, кроме портов 80,443,8080 на которых идет веб. UDP chain=forward action=drop protocol=udp src-address-list=net connection-limit=40,32 это правило ограничит 40 'сессий' (SrcIP:SrcPort - DstIP:Dst-Port) UDP для каждого IP из адрес-листа. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.