Night_Snake Опубликовано 7 мая, 2013 (изменено) · Жалоба А реально вообще на таких железках поднять VPLSoGRE поверх существующей ip сети на 5-6 точек включения по 100мегабит каждая? Функционал вроде есть, на сайте примеров L2/L3VPN валом, но вот как оно в реально жизни работает или для галочки? :) На 5-6 точек хватит, в принципе. На оконечку что-нибудь вроде RB/2011 или тех же rb/1100. Функционал есть, более того, даже работает) В том числе с другими вендорами. Изменено 7 мая, 2013 пользователем Night_Snake Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 7 мая, 2013 · Жалоба А реально вообще на таких железках поднять VPLSoGRE поверх существующей ip сети на 5-6 точек включения по 100мегабит каждая? Функционал вроде есть, на сайте примеров L2/L3VPN валом, но вот как оно в реально жизни работает или для галочки? :) Нормально работают туннели EoIP и позволяют прокачивать большие объемы трафика. Только вот потребитель такой услуги может провести тест - запустит пинг пакетами 64 байт и получит задержку например 10мс, запустит пакетами 1300 байт и получит 10мс, далее запустит пакетами 1500 байт и получит удвоение задержки на канале клиент-сервер, то есть к примеру на 2мс и будет уже 12мс, дотошный клиент сразу поймет что что-то здесь не так. Все это происходит из-за уменьшения MTU и приходится большой пакет передавать по IP как 1500 байт + довесок. А реально вообще на таких железках поднять VPLSoGRE поверх существующей ip сети на 5-6 точек включения по 100мегабит каждая? Функционал вроде есть, на сайте примеров L2/L3VPN валом, но вот как оно в реально жизни работает или для галочки? :) На 5-6 точек хватит, в принципе. На оконечку что-нибудь вроде RB/2011 или тех же rb/1100. Функционал есть, более того, даже работает) В том числе с другими вендорами. Железка уровня RB2011 пропускает 100мбит дуплексом по EoIP в бриджинге, однако если подключение к серверу не прямое, а через туннель L2TP к примеру, то производительность упадет где-то до 150мбит симплекса на больших пакетах. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nuclearcat Опубликовано 7 мая, 2013 · Жалоба Saab95 - какое еще удвоение задержки? Время передачи пакета в 1500 байт 0.12 миллисекунды на 100Mbit. Соответственно по времени передачи пакета на 100Mbit/s максимум будет больше на 0.12ms. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 7 мая, 2013 · Жалоба Saab95 - какое еще удвоение задержки? Время передачи пакета в 1500 байт 0.12 миллисекунды на 100Mbit. Соответственно по времени передачи пакета на 100Mbit/s максимум будет больше на 0.12ms. У туннеля EoIP есть служебная информация, порядка 22-24 байт, поэтому при MTU в канале интернета 1500 байт максимальный размер пакета без фрагментации будет допустим 1476, при передаче пакетов большего размера сам EoIP будет фрагментировать и по каналу пойдут 2 пакета, первый 1500 байт а второй 24+24 = 48 (64) байт. Поэтому на больших пакетах удваивается пакетная нагрузка, что дополнительно занимает ресурсы процессора. Если разговор про туннель через интернет, то время прохождения данными между точками может быть от 4мс до 50-100 в зависимости от расстояния, вот отсюда и вылезают все проблемы. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nuclearcat Опубликовано 7 мая, 2013 · Жалоба Если вы отправите два пакета один за другим, ваша задержка будет минимальна, канальная на вышеуказанную цифру, да и софт, если не кривой - тоже в пределах миллисекунды. Проблемы с фрагментацией и нагрузкой на проц - другой вопрос, и они решаемы. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Night_Snake Опубликовано 7 мая, 2013 · Жалоба У туннеля EoIP есть служебная информация, порядка 22-24 байт, поэтому при MTU в канале интернета 1500 байт максимальный размер пакета без фрагментации будет допустим 1476, при передаче пакетов большего размера сам EoIP будет фрагментировать и по каналу пойдут 2 пакета, первый 1500 байт а второй 24+24 = 48 (64) байт. Поэтому на больших пакетах удваивается пакетная нагрузка, что дополнительно занимает ресурсы процессора. Юзайте VPLS и приемлемое (1526) MTU, пролезет все, что угодно, без особых проблем. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 7 мая, 2013 · Жалоба Если вы отправите два пакета один за другим, ваша задержка будет минимальна, канальная на вышеуказанную цифру, да и софт, если не кривой - тоже в пределах миллисекунды. Проблемы с фрагментацией и нагрузкой на проц - другой вопрос, и они решаемы. Ну собственно это все на опыте через сети разных провайдеров основано. В некоторых местах чуть ли не по 200-300 туннелей работают. У туннеля EoIP есть служебная информация, порядка 22-24 байт, поэтому при MTU в канале интернета 1500 байт максимальный размер пакета без фрагментации будет допустим 1476, при передаче пакетов большего размера сам EoIP будет фрагментировать и по каналу пойдут 2 пакета, первый 1500 байт а второй 24+24 = 48 (64) байт. Поэтому на больших пакетах удваивается пакетная нагрузка, что дополнительно занимает ресурсы процессора. Юзайте VPLS и приемлемое (1526) MTU, пролезет все, что угодно, без особых проблем. Если разговор про IP поверх интернета, то там MTU обычно 1500 не более, а порой и того меньше. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nuclearcat Опубликовано 7 мая, 2013 · Жалоба Ну собственно это все на опыте через сети разных провайдеров основано. В некоторых местах чуть ли не по 200-300 туннелей работают. PPPOE-DORA-BROADBAND ~ # cat /config/eoip.cfg |grep '\['|wc -l 331 количество туннелей, причем точная цифра Не говоря о том, что я по EoIP гонял свыше 500 Мбит межконтинентально (потом написал свой протокол с доупаковкой и сжатием). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
CNick Опубликовано 7 мая, 2013 · Жалоба Если разговор про IP поверх интернета, то там MTU обычно 1500 не более, а порой и того меньше. Именно он, просто очень заманчивое решение получается для "нищебродских" VPNов поверх интернета. Из конкурентов разве что Cisco CRS1000V, но он стоит 3к $ за 5 лет использования и лицензия там максимум 50 мегабит + в придачу сервер нужен 4 оперативки и 4 ядра ) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
^rage^ Опубликовано 8 мая, 2013 · Жалоба У туннеля EoIP есть служебная информация, порядка 22-24 байт, поэтому при MTU в канале интернета 1500 байт максимальный размер пакета без фрагментации будет допустим 1476, при передаче пакетов большего размера сам EoIP будет фрагментировать и по каналу пойдут 2 пакета, первый 1500 байт а второй 24+24 = 48 (64) байт. Поэтому на больших пакетах удваивается пакетная нагрузка, что дополнительно занимает ресурсы процессора. Юзайте VPLS и приемлемое (1526) MTU, пролезет все, что угодно, без особых проблем. а вы о каком именно mtu? на интерфейсе или pmtu? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
^rage^ Опубликовано 8 мая, 2013 · Жалоба Ну собственно это все на опыте через сети разных провайдеров основано. В некоторых местах чуть ли не по 200-300 туннелей работают. для SSTP это было бы справедливо, т.к. там rtt замешан. т.е. если между пунктами А и Б расстояние в 10 часов пути и вы решили перевезти 2 мешка картошки двумя машинами(которые стартовали с разницей в 2 минуты) а не одной, то потери на фрагментацию составят как раз 2 минуты, а не 10 часов. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 8 мая, 2013 · Жалоба Если разговор про IP поверх интернета, то там MTU обычно 1500 не более, а порой и того меньше. Именно он, просто очень заманчивое решение получается для "нищебродских" VPNов поверх интернета. Из конкурентов разве что Cisco CRS1000V, но он стоит 3к $ за 5 лет использования и лицензия там максимум 50 мегабит + в придачу сервер нужен 4 оперативки и 4 ядра ) В таких случаях берут Mikrotik RB750, который стоит 1500р. Он вполне способен прокачать 50 мегабит не просто через EoIP, но и вдобавок в туннеле L2TP, если с той стороны постоянного адреса нет или вообще только серый. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
CNick Опубликовано 8 мая, 2013 · Жалоба коробка за 1500 рублей и 50 мегабит? O_o у меня дома валялся 751u-2HnD прикупить что ли второй поиграться :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 8 мая, 2013 · Жалоба коробка за 1500 рублей и 50 мегабит? O_o у меня дома валялся 751u-2HnD прикупить что ли второй поиграться :) Да не вопрос. Давно уже пора расширить кругозор на маленькие коробочки. Не везде же циски ставить, а порой нужен серьезный функционал. Вон RB2011 спокойно в бондинге по 600-700 мегабит прокачивает через 3 параллельных радиоканала, процессор там 600мгц Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Night_Snake Опубликовано 13 мая, 2013 · Жалоба В таких случаях берут Mikrotik RB750, который стоит 1500р. Он вполне способен прокачать 50 мегабит не просто через EoIP, но и вдобавок в туннеле L2TP, если с той стороны постоянного адреса нет или вообще только серый. 50мбит ФД? Соврамши, товарищ. RB/750, который не GL, больше 30-40 в обе стороны на моей памяти не пропускал. С другой стороны, тестил я когда еще 5.20 даже не вышла, с тех пор может чего и поменялось. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 13 мая, 2013 · Жалоба 751гл с частотой 250 (вместо 400) на чисто нате потребляет 1% проца на каждый мегабит. На современных прошивках. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nuclearcat Опубликовано 13 мая, 2013 · Жалоба Ivan_83 - с повышением обьема траффика могут появиться нелинейные искажения, например из-за латентности памяти или доступа к шине данных. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 13 мая, 2013 · Жалоба В таких случаях берут Mikrotik RB750, который стоит 1500р. Он вполне способен прокачать 50 мегабит не просто через EoIP, но и вдобавок в туннеле L2TP, если с той стороны постоянного адреса нет или вообще только серый. 50мбит ФД? Соврамши, товарищ. RB/750, который не GL, больше 30-40 в обе стороны на моей памяти не пропускал. С другой стороны, тестил я когда еще 5.20 даже не вышла, с тех пор может чего и поменялось. На чистом роутинге он вообще более 200мбит выводит, с натом нормально 100 тянет, в скорость порта все упирается. В EoIP симплексом 100мбит выдает в одну сторону, даже в L2TP туннеле почти 100 выдает. Так что не стоит смеяться над производительностью такой маленькой железки. И самое главное, в отличии от циски, при перегрузе он не начинает во все порты мусор рассылать=) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Картуччо Опубликовано 13 мая, 2013 · Жалоба 951G-2HnD с L2TP, NAT, стейтфул файр при 40 мегабитах торрент трафика грузится до 50%. Это нормально или мало ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Night_Snake Опубликовано 13 мая, 2013 · Жалоба На чистом роутинге он вообще более 200мбит выводит, с натом нормально 100 тянет, в скорость порта все упирается. В EoIP симплексом 100мбит выдает в одну сторону, даже в L2TP туннеле почти 100 выдает. Это с фаерволом или без?) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 13 мая, 2013 · Жалоба На чистом роутинге он вообще более 200мбит выводит, с натом нормально 100 тянет, в скорость порта все упирается. В EoIP симплексом 100мбит выдает в одну сторону, даже в L2TP туннеле почти 100 выдает. Это с фаерволом или без?) Без конечно. Чистый конфиг и ничего лишнего. 951G-2HnD с L2TP, NAT, стейтфул файр при 40 мегабитах торрент трафика грузится до 50%. Это нормально или мало ? Это чересчур высокая нагрузка, нужно все лишнее поотключать. Особенно начальный конфиг с его кучей правил. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 13 мая, 2013 · Жалоба Ivan_83 - с повышением обьема траффика могут появиться нелинейные искажения, например из-за латентности памяти или доступа к шине данных. Это понятно, я его до 40-50 мегабит гонял, с другой стороны есть двукратный запас по частоте проца. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Night_Snake Опубликовано 14 мая, 2013 · Жалоба Без конечно. Чистый конфиг и ничего лишнего. Ну а нафига мне лабораторные условия? Я вам про боевые задачи говорю Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 14 мая, 2013 · Жалоба Без конечно. Чистый конфиг и ничего лишнего. Ну а нафига мне лабораторные условия? Я вам про боевые задачи говорю Если туда для каждого клиента вешать правила, маркировать пакеты и т.п., то тут и мощная железка склеит ласты на больших объемах трафика. Например многие делают правило с блокировкой всех клиентов, что бы никто не мог установить адрес руками и получить доступ в сеть. Хотя правильнее было бы просто отключить ARP на интерфейсе и делать добавление записей ARP через DHCP, что позволит освободить ресурсы для более важных задач. Аналогично и с другими правилами и ограничениями. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Картуччо Опубликовано 14 мая, 2013 · Жалоба 951G-2HnD с L2TP, NAT, стейтфул файр при 40 мегабитах торрент трафика грузится до 50%. Это нормально или мало ? Это чересчур высокая нагрузка, нужно все лишнее поотключать. Особенно начальный конфиг с его кучей правил. Конфиг был пуст, после нетинсталл. Правил не много: /ip firewall filter add chain=forward dst-address=192.168.1.2 dst-port=55555 in-interface=!l2tp protocol=tcp add chain=forward dst-address=192.168.1.2 dst-port=55555 in-interface=!l2tp protocol=udp add action=drop chain=input in-interface=l2tp protocol=icmp add chain=input protocol=icmp add chain=input connection-state=established add chain=input connection-state=related add action=drop chain=input in-interface=ether1-gateway add action=drop chain=input in-interface=l2tp /ip firewall mangle add action=change-mss chain=forward new-mss=1300 out-interface=l2tp protocol=tcp tcp-flags=syn /ip firewall nat add action=dst-nat chain=dstnat dst-port=55555 protocol=tcp to-addresses=192.168.1.2 to-ports=55555 add action=dst-nat chain=dstnat dst-port=55555 protocol=udp to-addresses=192.168.1.2 to-ports=55555 add action=masquerade chain=srcnat out-interface=ether1-gateway add action=masquerade chain=srcnat out-interface=l2tp Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...