Vint-online Опубликовано 22 февраля, 2012 · Жалоба Доброго дня. Использую следующую схему правил: в filter rules нижним правилом дропаются все форварды на локальном интерфейсе, выше идут правила с разрешением (accept)форварда конкретному МАС адресу пользователя. Аналогично на каждый пользовательский МАС в Mangle создается правило prerouting с указанием конкретного new-connection-mark=тариф. Шейпер queue tree. IP пользователям в произвольном порядке выдает dhcp. Собственно проблема, как только правил стало более 100 (более 100 в фильтре и 100 в мангле) загрузка процессора при прокачке 60мбит 85-95% и работать начинает крайне нестабильно. Железо RB1100. Попытка поделить сеть на сегменты отдав половину нагрузки на RB750 не удалась, 30мбит его наглухо сложило. Как можно оптимизировать правила доступа для снижения нагрузки? Туннели не предлагать) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SSD Опубликовано 22 февраля, 2012 · Жалоба Доброго дня. Использую следующую схему правил: в filter rules нижним правилом дропаются все форварды на локальном интерфейсе, выше идут правила с разрешением (accept)форварда конкретному МАС адресу пользователя. Аналогично на каждый пользовательский МАС в Mangle создается правило prerouting с указанием конкретного new-connection-mark=тариф. Шейпер queue tree. IP пользователям в произвольном порядке выдает dhcp. Собственно проблема, как только правил стало более 100 (более 100 в фильтре и 100 в мангле) загрузка процессора при прокачке 60мбит 85-95% и работать начинает крайне нестабильно. Железо RB1100. Попытка поделить сеть на сегменты отдав половину нагрузки на RB750 не удалась, 30мбит его наглухо сложило. Как можно оптимизировать правила доступа для снижения нагрузки? Туннели не предлагать) Сокращать количество правил. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Vint-online Опубликовано 22 февраля, 2012 · Жалоба собсна в том и вопрос, как их сократить они только с каждым днем растут(( В адрес лист не получается загнать, т.к часть сети на мыльницах Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 22 февраля, 2012 · Жалоба Ваши правила какие-то странные, напишите как вообще ваша сеть реализована и более подробно про авторизацию. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
white_crow Опубликовано 23 февраля, 2012 (изменено) · Жалоба Туннели не предлагать) про IPoE на неуправляемых свичах - не спрашивать.... : ) P.S. Ну а вообще решение на поверхности - если ничего не хочется менять в привычной схеме (а на 100 юзеров нафег это надо) - просто поставьте более мощный роутер или PC... Изменено 23 февраля, 2012 пользователем white_crow Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ilya Evseev Опубликовано 24 февраля, 2012 · Жалоба в filter rules нижним правилом дропаются все форварды на локальном интерфейсе, выше идут правила с разрешением (accept)форварда конкретному МАС адресу пользователя. Аналогично на каждый пользовательский МАС в Mangle создается правило prerouting с указанием конкретного new-connection-mark=тариф. Если вместо MAC использовать IP, можно будет существенно сократить количество правил за счёт Address Lists. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...