Микротик сам генерирует еще 13,6 мбит? И грузит проц до 100%?

[m-sat]

Как сделано: 3 канала по 30 мбит интернета и 100 мбит локалки.

tcp трафик на порты 80,443,5190,4000,3884,3890,3891,3895,4005,4377,4007,2106,7777,27000-27041

и udp на порты 53,1200,27000-27021,1513,23456,3074,5440-5450,1024-1124,18000,29900

в зависимости от ип адреса ходит либо через ether2 либо через ether3.

Весь остальной трафик идет через ether1.

ether4 смотрит в локалку.

 

Если сложить трафик по трем интерфейсам, то по идее он должен соответствовать трафику на ether4

вот входящий:

14,9+3,3+10,1 = 28,3 Mbps, однако на ether4 14,7 Mbps. Вот 13,6 Mbps не хватает.

исходящий:

18,6+0,2+0,3 = 19,1 Mbps и 5,5 Mbps Вот и здесь 13,6 Mbps

Загрузка проца 96%. А сейчас начало дня...

 

Вечером трафик возрастает в 3-4 раза. На ether1 скорость поднимается до 60-70 мбит и до 6000 - 8000 пакетов/сек

 

че можно сделать?

[zhenya`]

шейпер?

[passer]

Чем занят компьютер? Я так понимаю процессор Intel с частотой 2.8 занят на 96% на трафике в 28М. Что за сетевые карточки? Есть подозрение на жутко не оптимизированные правила файервола.

[m-sat]

шейпер?

Отключаю правила шейпера нагрузка на проц уменьшается на 5%

Чем занят компьютер? Я так понимаю процессор Intel с частотой 2.8 занят на 96% на трафике в 28М. Что за сетевые карточки? Есть подозрение на жутко не оптимизированные правила файервола.

ether1,ether2,ether3 RTL 8139

ether4 - rtl 8169 gigabit ethernet - в гигабитный свитч, а дальше сеть

Edited April 14, 2012 by m-sat

[zhenya`]

сетевые на помойку.

[m-sat]

Есть подозрение на жутко не оптимизированные правила файервола.

не знаю как но щас попробую описать правила, надеюсь понятно:

mangle general prerouting src.Address 10.10.1.0/24 protocol (tcp или udp) Dst.Port (тут всякие порты) -> Action mark routing New Routing Mark: web_1

mangle general prerouting src.Address 10.10.2.0/24 protocol (tcp или udp) Dst.Port (тут всякие порты) -> Action mark routing New Routing Mark: web_2

mangle general prerouting src.Address 10.10.XXX.0/24 protocol (tcp или udp) Dst.Port (тут всякие порты) -> Action mark routing New Routing Mark: web_1

...

и так далее до 10.10.22.0/24 и маркируем либо web_1 либо web_2 чтоб примерно распределить юзеров равномерно.

и последним правилом маркируем все оставшиеся пакеты

mangle general prerouting src.Address 10.10.0.0/16 -> Action mark routing New Routing Mark: all

 

теперь идем в IP -> Routes и там указываю что:

через ether1 надо роутить все пакеты с меткой all

через ether2 надо роутить все пакеты с меткой web_1

через ether3 надо роутить все пакеты с меткой web_2

 

там еще метятся для щейпера, но они погоды не делают - отключая шейпер проц разгружается на 5%

Edited April 14, 2012 by m-sat

[passer]

Иначе говоря минимум 23 линейных правила magle (это если мультипорт используется) + 3 минимум nat + весьма вероятны правила на форвард. Итого в самом жутком случае пакет может пройти почти 3 десятка проверок. Некошерно, как бы.

[m-sat]

Щас вот че сделал

отключил все правила - ether1 сделал шлюзом по умолчанию.

я фигею

ether1 Rx: 32.4 - ether4 Tx:10.2

ether1 Tx: 33.7 - ether4 Rx:14.3

но должно же соответствовать! 20 мбит лишние! ОТКУДА?

[DobroFenix]

Если посмотреть в torch и посчитать трафик там вместе с его направлениями ?

[m-sat]

torch че то не понял как пользоватся.

зато вместо ether1 шлюзом сделал ether2 - все гуд!

потом сделал шлюзом ether3 - тоже все гут!

сколько вошло - столько вышло. Загрузка проца выще 35% не поднимается.

Попробую сетевуху поменять.

[DobroFenix]

http://www.mikrotik.com/testdocs/ros/2.9/tools/torch.php

Очень нужная и интересная вещь.

Можно смотреть загрузку канала в определённых направлениях и на разных интерфейсах.

[m-sat]

Замена сетевухи не помогла.

поменял роутнг местами:

теперь идем в IP -> Routes и там указываю что:

через ether1 надо роутить все пакеты с меткой all

через ether2 надо роутить все пакеты с меткой web_1

через ether3 надо роутить все пакеты с меткой web_2

через ether1 стал роутить все пакеты с меткой web_2,

а через ether3 все пакеты с меткой all.

и все стало как надо! и Загрузка проца выще 35% не поднимается.

мистика....

Может с материнкой проблема. Может слот PCI глючит когда много пакетов сыпется?

Edited April 14, 2012 by m-sat

[DobroFenix]

8000 это не много =)

[vladimirslk]

у тебя прокси паблик - правила не хватает только для локалки. оффни прокси и проверь

[Saab95]

Иначе говоря минимум 23 линейных правила magle (это если мультипорт используется) + 3 минимум nat + весьма вероятны правила на форвард. Итого в самом жутком случае пакет может пройти почти 3 десятка проверок. Некошерно, как бы.

 

Да хоть 1000 правил и 3000 проверок, это не должно сильно современный процессор грузить.

[m-sat]

у тебя прокси паблик - правила не хватает только для локалки. оффни прокси и проверь

А можно поподробней? я не понял... Прокси не используется.

[DobroFenix]

/ip web-proxy print

Покажите

[m-sat]

/ip web-proxy print

/ip proxy> print

enabled: yes

src-address: 10.10.1.1

port: 3128

parent-proxy: 0.0.0.0

parent-proxy-port: 0

cache-administrator: "webmaster"

max-cache-size: none

cache-on-disk: no

max-client-connections: 1000

max-server-connections: 1000

max-fresh-time: 3d

serialize-connections: no

always-from-cache: no

cache-hit-dscp: 4

cache-drive: primary-master

[martini]

может всетаки петелька ?? ))

2 Saab95 - на любом новом проце микротик сдыхает после 150-200 правил фаервола (проверено даже на восьмияйцевых ксеонах новых, чем больше правил - тем меньше пропускная способность)

[passer]

m-sat Попробуйте выключить прокси на время и посмотреть загрузку процессора.

[Ivan_83]

Здесь не такой трафик чтобы сетевушки были узким местом. Попробуйте другую ОС.

[smile_2008]

может всетаки петелька ?? ))

2 Saab95 - на любом новом проце микротик сдыхает после 150-200 правил фаервола (проверено даже на восьмияйцевых ксеонах новых, чем больше правил - тем меньше пропускная способность)

а можно примерчик (в личку, если секретно) как именно он сдыхает.... а то у меня на гигабитном канале может правила неправильные, или проц инопланетный()