Pirojok Опубликовано 13 декабря, 2011 · Жалоба Добрый день! Помогите снизить нагрузку на проц в железке RB450g v.5.10 Под вечер в час пик идет большая нагрузка на проц 70% и медленно открывает страницы хотя входящий канал еще не забит. Авторизация клиентов по ip. Скорость режется через pcq по адрес листу.Queue type rate=2M limit=50 Totallimit=2000. Может какие правила фаервола или еще что-то... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 13 декабря, 2011 · Жалоба У вас дело в чем-то другом, т.к. даже при загрузке 90-100 процентов на скорость загрузки страниц никакого влияния нет. Проверьте справляется ли ваш канал интернета с нагрузкой, может в сети где затык. А может просто интернет (сам по себе) медленно работает. Последнюю неделю некоторые сайты очень плохо загружаются, видимо где-то с линиями связи проблема. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Pirojok Опубликовано 13 декабря, 2011 · Жалоба Может , но загрузка напрягает... даже вот какую штуку заметил, что когда начинаю качать со 2-го провайдера( в роутинге стоит distance=2) на скорости 15мб.с проц подлетает до 100%..общая загрузка на линии окола 30мб.с..чтож железка такая слабая? или всетаки можно как-то снизить загрузку? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 13 декабря, 2011 · Жалоба Сколько клиентов подключено к устройству в момент проблемы? Каким образом они подключены? Какой трафик на выходном интерфейсе RX/TX и количество пакетов в секунду In/Out. Какое подключение к провайдеру используете? Прямое или с помощью PPP соединения? Какие фильтры или правила используете? Фильтруете ли вы мусор в сети? Какие службы используете? Нет ли трафика между клиентами? Этот трафик не бросается в глаза, однако забирает ресурсы устройства. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Pirojok Опубликовано 14 декабря, 2011 · Жалоба В час пик где-то 80 клиентов. Подключение прямое. Какие-то фильтры добавились автоматом когда настраивал нат через веббокс. Больше никаких фильтрующих правил не добавлял. Из служб дхцп. Как посмотреть трафик меж клиентов и зачем ему ходить через роутер? Роутер подлючен в свитч с одного порта. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 14 декабря, 2011 · Жалоба Сравните трафик на входном и выходном порту. Если суммарно вход/выход на клиентском порту больше, чем вход/выход на интернетовском, значит что-то ходит через ваш роутер. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DobroFenix Опубликовано 14 декабря, 2011 (изменено) · Жалоба RB450g В соседней теме уже писали, что данному трешу самое место на помойке. Используйте x86, либо специализированные устройства MT, которые будут отвечать Вашим требованиям. Сравните трафик на входном и выходном порту. Если суммарно вход/выход на клиентском порту больше, чем вход/выход на интернетовском, значит что-то ходит через ваш роутер. Выходного трафика в локальный интерфейс будет больше, чем входной с каналов. Это нормально. Тонко намекну на /tool profile Изменено 14 декабря, 2011 пользователем DobroFenix Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ferdin Опубликовано 14 декабря, 2011 · Жалоба Сравните трафик на входном и выходном порту. Если суммарно вход/выход на клиентском порту больше, чем вход/выход на интернетовском, значит что-то ходит через ваш роутер. Если суммарно вход/выход на интернетовском порту больше, чем вход/выход на клиентском порту. В чём может быть проблема? Я подозревают что работают правила файэрвола и режут интернетовский трафик. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Nick_name Опубликовано 14 декабря, 2011 · Жалоба Подозрение на то что у вас торент убивает его, скажите а какой pps у вас? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 14 декабря, 2011 · Жалоба Если суммарно вход/выход на интернетовском порту больше, чем вход/выход на клиентском порту. В чём может быть проблема? Я подозревают что работают правила файэрвола и режут интернетовский трафик. Так вот - вы режете скорость для клиентов входящую и исходящую. Например на уровне 2 мегабита. Исходящая от клиента в интернет пойдет на уровне 2 мегабита и не более, а вот исходящая от клиента перед вашим роутером будет более 2-х мегабит и лишние пакеты будут отбрасываться. А вот входящий трафик с интернета для клиента вы порезать никак не можете - т.к. ограничивать вы можете только проходящий трафик через ваш роутер. Поэтому входящий трафик для клиента так и будет 2 мегабита, а из интернета к нему может идти 3 мегабита - тем самым загружая входящий канал не нужными данными, которые ваш роутер все равно отбросит. Вообще для полного понимания проблемы, выложите скрин вкладки с интерфейсами. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Pirojok Опубликовано 14 декабря, 2011 · Жалоба Возможно что торенты.Где посмотреть pps? Тк они у нет правил на ограничение ссесий для них. В tools/profile загрузка в основном idle 60% firewall 20-30 qeuning 10-20. Подскажите какие правила фаервола поставить чтобы зарезать ссесии на торенты? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 14 декабря, 2011 · Жалоба ip firewall filter add chain=forward action=add-dst-to-address-list protocol=udp dst-address=192.168.0.2-192.168.0.254 address-list=dst_list address-list-timeout=0s ip firewall filter add chain=forward action=accept dst-address-list=dst_list dst-limit=250,250,dst-address/1m40s ip firewall filter add chain=forward action=reject reject-with=icmp-admin-prohibited dst-address-list=dst_list Указываете свою сеть только, заместо 192.168.0.х, а 250 это количество пакетов разрешенное каждому клиенту. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sherwood Опубликовано 14 декабря, 2011 · Жалоба Добрый день! Помогите снизить нагрузку на проц в железке RB450g v.5.10 Под вечер в час пик идет большая нагрузка на проц 70% и медленно открывает страницы хотя входящий канал еще не забит. Авторизация клиентов по ip. Скорость режется через pcq по адрес листу.Queue type rate=2M limit=50 Totallimit=2000. Может какие правила фаервола или еще что-то... 450G с NAT, Firewall, QoS не прожует более 50Мбит\с, процессор очень сильно грузит TCP соединения, ограничьте их например до 30 с исключением 80,443,8080 портов, это всего одно правило в Firewall и также ограничьте UDP трафик например на 40 сессий это еще одно правило ( а не то что предлагает Saab95, он немного отстал от жизни :) ), но UDP так сильно не грузит процессор, канал ваш это - да, если он у вас постоянно в полку забит, если нет то ограничением UDP можете пока не задумываться. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ferdin Опубликовано 14 декабря, 2011 · Жалоба Скрин с интерфейсами Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ainy Опубликовано 14 декабря, 2011 · Жалоба по этому скрину только гадать можно. схему сети нарисовать было сложно? И не мгновенное значение на интерфейсе показать надо а графики по всем интерфейсам за сутки к примеру + схему сети. Тогда можно делать обоснованные выводы. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Pirojok Опубликовано 15 декабря, 2011 · Жалоба ага понятно спасибо за ответы! тогда вопрос как грамотно ограничить TCP и UDP ссесии каждому в отдельности юзеру? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SSD Опубликовано 15 декабря, 2011 · Жалоба ага понятно спасибо за ответы! тогда вопрос как грамотно ограничить TCP и UDP ссесии каждому в отдельности юзеру? Фаервол вам в помощь. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ferdin Опубликовано 15 декабря, 2011 · Жалоба Правила фаервола + ограничение на количество сессий. И будет как у меня на скрине, загрузка проца 15-25% Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Pirojok Опубликовано 16 декабря, 2011 (изменено) · Жалоба Ну это понятно, но как нарезать сеcсии на каждого в отдельности клиента?У меня скорость режется по адрес листам.Канал не забит максимум 30мб\с из 50. нашел на соседней ветке аналогичный вопрос но тут sherwood советует вообще не ограничивать сессий. Код add action=add-dst-to-address-list address-list=dst_list \ address-list-timeout=0s chain=forward comment="limit ppc" disabled=yes \ dst-address-list="(backup_channel)" protocol=udp add action=accept chain=forward comment="" disabled=yes dst-address-list=\ dst_list dst-limit=250,250,dst-address/1m40s add action=reject chain=forward comment="" disabled=yes dst-address-list=\ dst_list reject-with=icmp-admin-prohibited потому что хорошего ни чего не будет, остаюсь как бы при своем мнении, что клиенту нужно отдавать его полосу и пусть он вней и колупается, при зарезке сессий и ррс у "плохого" клиента просто перестает работатьинтернет, а при хорошем шейпере начинает тупить... если канал не забит, то шейпер тика с этим справляется на отлично, без зарезки сессий и ррс... по поводу QoS, он будет работать только втом случае если у вас канал забит выше 100%, в противном случае он не работает.... по поводу типа трафика, тут одними пометками в мангле не обойтись, надо привлекать и L7... Скиньте пожалуйста пример ограничения ТСП и udp сессий! нигде не найду( версия прошивки 5.10 Изменено 16 декабря, 2011 пользователем Pirojok Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ferdin Опубликовано 16 декабря, 2011 · Жалоба В микротике необходимо включить Firewall через web интерфейс, базовая настройка. В Simple Queue нарезаешь скорости на каждого клиента. Блокировка протокола uTP и Ограничение TCP-сессий я делал по этому коду ссылка убрал только ограничение по времени суток, сделал постоянным. /ip firewall layer7-protocoladd comment="uTP_uTorrent" name="\\B5TP" regexp="\\\\x7F\\\\xFF\\\\xFF\\\\xFF\\\\xAB" /ip firewall filter add action=drop chain=forward comment="deny uTP traffic" disabled=no layer7-protocol="\\B5TP" add action=drop chain=forward comment="deny p2p traffic day" disabled=no p2p=all-p2p time=13h-23h59m59s,sun,mon,tue,wed,thu,fri,sat add action=drop chain=forward comment="deny p2p traffic night" disabled=no p2p=all-p2p time=0s-1h,sun,mon,tue,wed,thu,fri,sat add action=drop chain=forward comment="TCP_connection_limit (64-1)" connection-limit=64,32 disabled=no protocol=tcp tcp-flags=syn Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Pirojok Опубликовано 16 декабря, 2011 · Жалоба я эту тему тоже читал...у меня это правило не отрабатывается.стояло неделю пакетов 0. может на версии 5.10 не пашет? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ferdin Опубликовано 16 декабря, 2011 · Жалоба у меня RB750 v5.7 правила работают смотри в л.с. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Pirojok Опубликовано 16 декабря, 2011 (изменено) · Жалоба Низнаю правильно сделал или нет. вот этим я так понял ограничил новый протокол торента? /ip firewall layer7-protocol add comment="uTP_uTorrent" name="\\B5TP" regexp="\\\\x7F\\\\xFF\\\\xFF\\\\xFF\\\\xAB" /ip firewall filter add action=drop chain=forward comment="deny uTP traffic" disabled=no layer7-protocol="\\B5TP" Теперь в сонекшн появились сессии torennt. Которые можно уже ограничить.Создал правило маркировки prerouting-all-p2p-mark-paket. И добавил в queue type правило скорости по типу RED (ничего правда там не менял оставил по умолчанию).пакеты пошли в маркировке...но всеравно udp пакетов от торента много идет микротик видит только те которые по tcp. вопрос об ограничении udp остался открыт. Скиньте плиз код для ограничения сессий udp на клиента! Изменено 16 декабря, 2011 пользователем Pirojok Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 16 декабря, 2011 · Жалоба Эта штука режет некоторые запросы других программ, так что если будут жалобы отключайте правило=) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sherwood Опубликовано 16 декабря, 2011 · Жалоба Скиньте пожалуйста пример ограничения ТСП и udp сессий! нигде не найду( версия прошивки 5.10 TCP chain=forward action=drop tcp-flags=syn protocol=tcp src-address-list=net dst-port=!80,443,8080 connection-limit=40,32 это правило ограничит 40 соединений TCP для каждого IP из адрес-листа, кроме портов 80,443,8080 на которых идет веб. UDP chain=forward action=drop protocol=udp src-address-list=net connection-limit=40,32 это правило ограничит 40 'сессий' (SrcIP:SrcPort - DstIP:Dst-Port) UDP для каждого IP из адрес-листа. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...