[x-rayd]

1. Каким образом на микротик заходят данные абонентов, там куча вланов и на каждом PPPoE сервер, или один большой бридж, на котором PPPoE сервер?

--- У нас много разных вланов и на каждый есть PPPoE сервер.

 

2. Включено ли ARP на интерфейсах, откуда заходят данные абонентов?

--- Да ARP включен на порту который смотрит в сеть абонентов, нужно выключить?

 

3. Используется ли шифрование или сжатие данных в PPPoE?

--- Нет шифрование или сжатие данных в PPPoE мы отключили.

 

4. Каким образом происходит блокировка абонентов и разрешение на доступ в интернет?

--- Блокировка абонентов происходит UTM5 (netup.ru) биллингом.

[Saab95]

--- У нас много разных вланов и на каждый есть PPPoE сервер.

 

Значит пересечения трафика большого количества абонентов в L2 сегменте у вас нет.

 

--- Да ARP включен на порту который смотрит в сеть абонентов, нужно выключить?

 

Конечно, ведь в PPPoE он не требуется. То есть нужно на абонентских вланах выключить:

1. ARP.

2. В списке соседей отключить все интерфейсы, с которых подключаются абоненты.

3. В Tools - MAC Server добавьте вручную те интерфейсы, с которых подключаетесь винбоксом или по мак телнет, то есть служебные, так же на второй вкладке winbox interfaces тоже сделайте так же, тем самым микротик не будет слушать лишнее с абонентских портов.

4. Если перед микротиком установлены коммутаторы, заблокируйте на них все сетевые протоколы кроме PPPoE, так же можно заблокировать доступ на маки, отличные от маков PPPoE сервера, оставляете только пропуск на мак сервера и широковещательных пакетов, т.к. абоненты рассылают таким образом данные на подключение с PPPoE.

 

--- Нет шифрование или сжатие данных в PPPoE мы отключили.

 

То есть на вкладке Protocols профилей абонентов все установлено в No?

 

--- Блокировка абонентов происходит UTM5 (netup.ru) биллингом.

 

Имеется в виду каким образом.

Например есть схема, когда ничего не блокируется, а ИП должников помещаются в адрес лист, доступ из которого в интернет запрещен.

Другая схема это блокировка всех ИП, и доступ в интернет только из списка разрешенных. Этот случай хуже и требует больших ресурсов.

 

Так же есть вопрос ограничения скорости, если оно идет на интерфейсах PPPoE и берется из профиля или по радиусу, это одно.

Если вы создаете отдельно ограничения по ИП абонента, а сам интерфейс PPPoE не ограничивается - это более плохой вариант.

 

Не все станут перестраивать сеть под микротик, однако же. Вернее, не только лишь все, мало кто станет это делать.

 

Сталкивались с такими ситуациями - что стоял сервер на линуксе и работал либо PPPoE сервером, либо IPoE и все было ничего, но сервер либо не справлялся с нагрузками, либо занимал много места, либо админ, который его поддерживал, перестал это делать. После сборки аналога на микротике, он перезагружался. Вроде бы в чем разница? А разница есть - у микротика открыт доступ по мак телнету и прочим своим плюшкам, и когда идет мусор по сети, либо где-то трафик заворачивается и т.п., то микротик начинает обрабатывать все пакеты, приходящие к нему, на соответствие доступа на мак телнет, что может вызывать 100 процентную загрузку процессора. Получается так - что линукс не был критичен к некоторым промашкам в сети, то есть заворота трафика, колец и т.п., а микротик к этому более чувствителен, поэтому что бы микротик не вис и не глючил, нужно делать правильную сетевую инфраструктуру.

[x-rayd]

То есть на вкладке Protocols профилей абонентов все установлено в No?

 

Да

[AKim]

В общем расскажу о "интересностях" в которые я окунулся после перехода на ССR1036.

 

И так, имеем сеть на 1500+ человек, общий аплинк на две независимые точки подключения 1Гбит.

 

Установил CCR1036 с 10г портами. На нём НАТ, фаервол,шейпер. Всё стандартно, как я думал =)

Перенёс конфигурацию с х86 Микротика, который был заменён только из-за того, что порты 1Г подходят к концу.

 

Установка была глубокой ночью, трафика не было, люди спали. Всё стартануло с пол оборота и вроде бы нормально работало.

Проснулся я и увидел такую картину

 

Трафика не много, а оно уже сдохло.

 

Выяснилось, что причина в родительском паренте симплов, который и делает из шейпера шейпер и который нужно мне использовать чтобы оставить 200 мегабит для другой точки подключения.

 

Шейпер построен так:

 

Mangle:

chain=postrouting action=mark-packet new-packet-mark=20M_packets_c passthrough=no protocol=!icmp dst-address-list=20M_address_list_c log=no log-prefix="" 

Simple queues:

name="Limit 800" target="" parent=none packet-marks="" priority=8/8 queue=default-small/default-small limit-at=0/0 max-limit=0/800M burst-limit=0/0 burst-threshold=0/0 burst-time=0s/0s bucket-size=0.1/0.1 

name="Tarif 20M city" target="" parent=Limit 800 packet-marks=20M_packets_c priority=8/8 queue=default/20M_city limit-at=0/0 max-limit=0/0 burst-limit burst-threshold=0/0 burst-time=0s/0s bucket-size=0.1/0.1 time=0s-1d,sun,mon,tue,wed,thu,fri,sat 

 

Пробовал видоизменять маркировки, клацал что-то в симплах. Никакого результата. Даже не обязательно чтобы было 1000 человек в сети. Хватает запустить спидтест и при подходе к общему лимиту получаю загрузку процессора 100% по всем ядрам.

 

Есть какие-то догадки по этому поводу? Или покупать 10г сетевые?

 

P.S если убрать родительский парент, то всё работает нормально. Но какой это тогда шейпер?

Изменено 16 мая, 2016 пользователем AKim

[nur16]

Вот эти вещи:

сеть на 1500+ человек, общий аплинк на две независимые точки подключения 1Гбит.

 

CCR1036 с 10г портами. На нём НАТ, фаервол,шейпер.

несовместимы. будет тянуть только что-то одно.

покупать 10г сетевые?

Лучше, как ни странно, разнести сервис на пару CCR, имхо.

[Saab95]

Нужно подключить больше портов в работу, либо использовать типовые отлаженные схемы работы - установка роутера в точке приема интернета, она же делит скорость в нужных пропорциях, далее уже свои шейпера, которые ограничивают трафик только абонентов.

 

Ограничивать сразу скорость интернет канала и скорость абонентов симплами не рекомендуется.

[AKim]

несовместимы. будет тянуть только что-то одно.

 

почему несовместимы?

 

Вот работа без общего ограничения канала. Всё вроде отлично.

[nur16]

несовместимы. будет тянуть только что-то одно.

 

почему несовместимы?

 

Вот работа без общего ограничения канала. Всё вроде отлично.

Будет работать или НАТ, или Шейпер, или скорость только до 1Г, ключевое слово ИЛИ, но не И.

[AKim]

Будет работать или НАТ, или Шейпер, или скорость только до 1Г, ключевое слово ИЛИ, но не И.

 

при каких условиях? У меня в данный момент уже 1Гбит фулл дуплекса. Проблема в другом. Даже если я вынесу шейпер на отдельный CCR то он не сможет сделать шейпер с общим ограничением.

[stepnoy]

Доброй ночи уважаемые формчане!

Схема простая, РРРоЕ Сервер+ Vlan + Simple Queues по ip + NAT + Firewall + балансер на 3 провода, 4 ядерный Xeon 2.6 Ghz

 

Купили CCR1016-12G для замены ROS X86 (думали не справляется).

 

Проблема такая, скорость не разгонялась больше 55-60 мб (120 рррое в онлайне).

 

После прочтенных мануалов решили сменить Simple Queues по ip --> на Simple Queues pppoe.

Настроили профили, установили скорости, разогнался до 88мб при 250 онлайне, но все равно не так он работает.

Рядом стоит ROS x86 со статикой 190мб качает и не кто не жалуется на скорость (Simple Queues по ip).

 

1) Куда обратить внимание? (Загрузка 2х процов из 16ти )

 

2) Как улучшить работу сервера с рррое?

3) Если разнести на 2 сервера как лучше?

1й pppoe + vlan + Simple Q + Firewall (x86)

2й Nat + rout (ccr)

4) Кто может скинуть рабочую схему 2х серверов с рррое?

5) Еще есть конфигурации vlan + DHCP, но нет возможности сравнить, где минусов больше pppoe+vlan или DHCP+vlan?

[Chexov]

Соберите сервер на таком процессоре Intel Xeon E5-2630V4 или Intel Xeon E5-2650V4 Broadwell-EP,

поставьте linux и забудьте о mikrotik.

Изменено 29 декабря, 2016 пользователем Chexov

[punker]

У меня на симплах работает pppoe. Нагрузка распределяется более менее равномерно. На 150 хомячков в пиках не более 250Мб/с.

Нат + шейпер+ немного правил для проброса портов.

.

Изменено 2 января, 2017 пользователем punker

[Saab95]

Схема простая, РРРоЕ Сервер+ Vlan + Simple Queues по ip + NAT + Firewall + балансер на 3 провода, 4 ядерный Xeon 2.6 Ghz

 

Купили CCR1016-12G для замены ROS X86 (думали не справляется).

 

Проблема такая, скорость не разгонялась больше 55-60 мб (120 рррое в онлайне).

 

Просто нужно убрать "балансер на 3 провода", и сразу появиться нужная скорость.

Либо делать это все на микротике, разбив абонентов на 3 группы, каждая из которых идет через свой канал.

[stefadmar]

Добрый день,всех поздравляю с новым годом!!!. У меня такая проблема, уже неделя как пинг в сети скачет где то с 0-1 до 500-800мс, ночю все хорошо, а днем опять начинает. Не знаю уже куда искать, поставил новую прошивку, опять доунгрэйд сделал нечего не меняется, помогите!!!Роутер CCR1036

[Saab95]

Посмотрите на предмет мусорного трафика, найти его можно по возросшему количеству пакетов. Поток данных может идти как от абонента, так и от оператора.

Торчем можно посмотреть трафик на порту, далее отсортировать столбики по максимальному количеству пакетов на прием или передачу.

[stefadmar]

Спасибо большое за быстрый ответ, щас буду смотреть

[stefadmar]

НАШЕЛ!!! Проблема была в самом порту SFP1 , он глючил всю сеть. Поставил медиаконвертор и сконфигурировал ether12 под WAN и все работает.

[Saab95]

НАШЕЛ!!! Проблема была в самом порту SFP1 , он глючил всю сеть. Поставил медиаконвертор и сконфигурировал ether12 под WAN и все работает.

 

Да, но надо посмотреть в чем же была причина, это может быть плохой контакт в разъеме модуль - микротик, не плотно вставлена оптика, не верно выбран режим работы и т.п. А таким образом просто ушли от ее решения, переключив в медиаконвертер.

[SyJet]

Просто оставлю тут

[zchomwhx]

Микротик - фигня!

[Saab95]

Микротик - фигня!

 

Ну вот началось не по теме. Почему же микротик фигня? За свои деньги это вполне адекватное оборудование с таким широким функционалом, что даже циске не снилось. Все проблемы с ним, в основном, от не правильной настройки, или не верной схемы сети.

[DRiVen]

Микротик - фигня!

Невероятно аргументированное высказывание, а авторитетность, с учетом активности и продолжительности участия на форуме, просто не поддается определению.

 

P.S>А у stefadmar с вероятностью, близкой к 99,9 отказал трансивер, а не порт.

[m4a12345]

У меня вот такой вопрос: сейчас стоит 1036 и, в принципе, ничего не делает, работает как л3. трафик 4 гигабита, 5 тыс юзеров, нагрузка 3%.

Вопрос в чем - можно ли включить на нем фаерволл для блокировки абонентов? Или что-то типа captive portal?

Боюсь что не вытянет.

Изменено 26 января, 2017 пользователем m4a12345

[pppoetest]

можно ли включить на нем фаерволл

Можно, но ваша карета превратится в тыкву.

[Saab95]

Вопрос в чем - можно ли включить на нем фаерволл для блокировки абонентов? Или что-то типа captive portal?

 

Файрвол включить можно, но вот веб сервисы не стоит, т.к. при блокировке каждый абонент начинает создавать много соединений, которые начинают перенаправляться на адрес редиректа, и соединения висят открытыми, создавая лишнюю нагрузку.