x-rayd Опубликовано 8 апреля, 2016 · Жалоба 1. Каким образом на микротик заходят данные абонентов, там куча вланов и на каждом PPPoE сервер, или один большой бридж, на котором PPPoE сервер? --- У нас много разных вланов и на каждый есть PPPoE сервер. 2. Включено ли ARP на интерфейсах, откуда заходят данные абонентов? --- Да ARP включен на порту который смотрит в сеть абонентов, нужно выключить? 3. Используется ли шифрование или сжатие данных в PPPoE? --- Нет шифрование или сжатие данных в PPPoE мы отключили. 4. Каким образом происходит блокировка абонентов и разрешение на доступ в интернет? --- Блокировка абонентов происходит UTM5 (netup.ru) биллингом. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 8 апреля, 2016 · Жалоба --- У нас много разных вланов и на каждый есть PPPoE сервер. Значит пересечения трафика большого количества абонентов в L2 сегменте у вас нет. --- Да ARP включен на порту который смотрит в сеть абонентов, нужно выключить? Конечно, ведь в PPPoE он не требуется. То есть нужно на абонентских вланах выключить: 1. ARP. 2. В списке соседей отключить все интерфейсы, с которых подключаются абоненты. 3. В Tools - MAC Server добавьте вручную те интерфейсы, с которых подключаетесь винбоксом или по мак телнет, то есть служебные, так же на второй вкладке winbox interfaces тоже сделайте так же, тем самым микротик не будет слушать лишнее с абонентских портов. 4. Если перед микротиком установлены коммутаторы, заблокируйте на них все сетевые протоколы кроме PPPoE, так же можно заблокировать доступ на маки, отличные от маков PPPoE сервера, оставляете только пропуск на мак сервера и широковещательных пакетов, т.к. абоненты рассылают таким образом данные на подключение с PPPoE. --- Нет шифрование или сжатие данных в PPPoE мы отключили. То есть на вкладке Protocols профилей абонентов все установлено в No? --- Блокировка абонентов происходит UTM5 (netup.ru) биллингом. Имеется в виду каким образом. Например есть схема, когда ничего не блокируется, а ИП должников помещаются в адрес лист, доступ из которого в интернет запрещен. Другая схема это блокировка всех ИП, и доступ в интернет только из списка разрешенных. Этот случай хуже и требует больших ресурсов. Так же есть вопрос ограничения скорости, если оно идет на интерфейсах PPPoE и берется из профиля или по радиусу, это одно. Если вы создаете отдельно ограничения по ИП абонента, а сам интерфейс PPPoE не ограничивается - это более плохой вариант. Не все станут перестраивать сеть под микротик, однако же. Вернее, не только лишь все, мало кто станет это делать. Сталкивались с такими ситуациями - что стоял сервер на линуксе и работал либо PPPoE сервером, либо IPoE и все было ничего, но сервер либо не справлялся с нагрузками, либо занимал много места, либо админ, который его поддерживал, перестал это делать. После сборки аналога на микротике, он перезагружался. Вроде бы в чем разница? А разница есть - у микротика открыт доступ по мак телнету и прочим своим плюшкам, и когда идет мусор по сети, либо где-то трафик заворачивается и т.п., то микротик начинает обрабатывать все пакеты, приходящие к нему, на соответствие доступа на мак телнет, что может вызывать 100 процентную загрузку процессора. Получается так - что линукс не был критичен к некоторым промашкам в сети, то есть заворота трафика, колец и т.п., а микротик к этому более чувствителен, поэтому что бы микротик не вис и не глючил, нужно делать правильную сетевую инфраструктуру. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
x-rayd Опубликовано 10 апреля, 2016 · Жалоба То есть на вкладке Protocols профилей абонентов все установлено в No? Да Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
AKim Опубликовано 16 мая, 2016 (изменено) · Жалоба В общем расскажу о "интересностях" в которые я окунулся после перехода на ССR1036. И так, имеем сеть на 1500+ человек, общий аплинк на две независимые точки подключения 1Гбит. Установил CCR1036 с 10г портами. На нём НАТ, фаервол,шейпер. Всё стандартно, как я думал =) Перенёс конфигурацию с х86 Микротика, который был заменён только из-за того, что порты 1Г подходят к концу. Установка была глубокой ночью, трафика не было, люди спали. Всё стартануло с пол оборота и вроде бы нормально работало. Проснулся я и увидел такую картину Трафика не много, а оно уже сдохло. Выяснилось, что причина в родительском паренте симплов, который и делает из шейпера шейпер и который нужно мне использовать чтобы оставить 200 мегабит для другой точки подключения. Шейпер построен так: Mangle: chain=postrouting action=mark-packet new-packet-mark=20M_packets_c passthrough=no protocol=!icmp dst-address-list=20M_address_list_c log=no log-prefix="" Simple queues: name="Limit 800" target="" parent=none packet-marks="" priority=8/8 queue=default-small/default-small limit-at=0/0 max-limit=0/800M burst-limit=0/0 burst-threshold=0/0 burst-time=0s/0s bucket-size=0.1/0.1 name="Tarif 20M city" target="" parent=Limit 800 packet-marks=20M_packets_c priority=8/8 queue=default/20M_city limit-at=0/0 max-limit=0/0 burst-limit burst-threshold=0/0 burst-time=0s/0s bucket-size=0.1/0.1 time=0s-1d,sun,mon,tue,wed,thu,fri,sat Пробовал видоизменять маркировки, клацал что-то в симплах. Никакого результата. Даже не обязательно чтобы было 1000 человек в сети. Хватает запустить спидтест и при подходе к общему лимиту получаю загрузку процессора 100% по всем ядрам. Есть какие-то догадки по этому поводу? Или покупать 10г сетевые? P.S если убрать родительский парент, то всё работает нормально. Но какой это тогда шейпер? Изменено 16 мая, 2016 пользователем AKim Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nur16 Опубликовано 17 мая, 2016 · Жалоба Вот эти вещи: сеть на 1500+ человек, общий аплинк на две независимые точки подключения 1Гбит. CCR1036 с 10г портами. На нём НАТ, фаервол,шейпер. несовместимы. будет тянуть только что-то одно. покупать 10г сетевые? Лучше, как ни странно, разнести сервис на пару CCR, имхо. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 17 мая, 2016 · Жалоба Нужно подключить больше портов в работу, либо использовать типовые отлаженные схемы работы - установка роутера в точке приема интернета, она же делит скорость в нужных пропорциях, далее уже свои шейпера, которые ограничивают трафик только абонентов. Ограничивать сразу скорость интернет канала и скорость абонентов симплами не рекомендуется. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
AKim Опубликовано 17 мая, 2016 · Жалоба несовместимы. будет тянуть только что-то одно. почему несовместимы? Вот работа без общего ограничения канала. Всё вроде отлично. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
nur16 Опубликовано 17 мая, 2016 · Жалоба несовместимы. будет тянуть только что-то одно. почему несовместимы? Вот работа без общего ограничения канала. Всё вроде отлично. Будет работать или НАТ, или Шейпер, или скорость только до 1Г, ключевое слово ИЛИ, но не И. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
AKim Опубликовано 17 мая, 2016 · Жалоба Будет работать или НАТ, или Шейпер, или скорость только до 1Г, ключевое слово ИЛИ, но не И. при каких условиях? У меня в данный момент уже 1Гбит фулл дуплекса. Проблема в другом. Даже если я вынесу шейпер на отдельный CCR то он не сможет сделать шейпер с общим ограничением. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
stepnoy Опубликовано 21 декабря, 2016 · Жалоба Доброй ночи уважаемые формчане! Схема простая, РРРоЕ Сервер+ Vlan + Simple Queues по ip + NAT + Firewall + балансер на 3 провода, 4 ядерный Xeon 2.6 Ghz Купили CCR1016-12G для замены ROS X86 (думали не справляется). Проблема такая, скорость не разгонялась больше 55-60 мб (120 рррое в онлайне). После прочтенных мануалов решили сменить Simple Queues по ip --> на Simple Queues pppoe. Настроили профили, установили скорости, разогнался до 88мб при 250 онлайне, но все равно не так он работает. Рядом стоит ROS x86 со статикой 190мб качает и не кто не жалуется на скорость (Simple Queues по ip). 1) Куда обратить внимание? (Загрузка 2х процов из 16ти ) 2) Как улучшить работу сервера с рррое? 3) Если разнести на 2 сервера как лучше? 1й pppoe + vlan + Simple Q + Firewall (x86) 2й Nat + rout (ccr) 4) Кто может скинуть рабочую схему 2х серверов с рррое? 5) Еще есть конфигурации vlan + DHCP, но нет возможности сравнить, где минусов больше pppoe+vlan или DHCP+vlan? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Chexov Опубликовано 29 декабря, 2016 (изменено) · Жалоба Соберите сервер на таком процессоре Intel Xeon E5-2630V4 или Intel Xeon E5-2650V4 Broadwell-EP, поставьте linux и забудьте о mikrotik. Изменено 29 декабря, 2016 пользователем Chexov Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
punker Опубликовано 2 января, 2017 (изменено) · Жалоба У меня на симплах работает pppoe. Нагрузка распределяется более менее равномерно. На 150 хомячков в пиках не более 250Мб/с. Нат + шейпер+ немного правил для проброса портов. . Изменено 2 января, 2017 пользователем punker Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 4 января, 2017 · Жалоба Схема простая, РРРоЕ Сервер+ Vlan + Simple Queues по ip + NAT + Firewall + балансер на 3 провода, 4 ядерный Xeon 2.6 Ghz Купили CCR1016-12G для замены ROS X86 (думали не справляется). Проблема такая, скорость не разгонялась больше 55-60 мб (120 рррое в онлайне). Просто нужно убрать "балансер на 3 провода", и сразу появиться нужная скорость. Либо делать это все на микротике, разбив абонентов на 3 группы, каждая из которых идет через свой канал. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
stefadmar Опубликовано 5 января, 2017 · Жалоба Добрый день,всех поздравляю с новым годом!!!. У меня такая проблема, уже неделя как пинг в сети скачет где то с 0-1 до 500-800мс, ночю все хорошо, а днем опять начинает. Не знаю уже куда искать, поставил новую прошивку, опять доунгрэйд сделал нечего не меняется, помогите!!!Роутер CCR1036 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 5 января, 2017 · Жалоба Посмотрите на предмет мусорного трафика, найти его можно по возросшему количеству пакетов. Поток данных может идти как от абонента, так и от оператора. Торчем можно посмотреть трафик на порту, далее отсортировать столбики по максимальному количеству пакетов на прием или передачу. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
stefadmar Опубликовано 5 января, 2017 · Жалоба Спасибо большое за быстрый ответ, щас буду смотреть Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
stefadmar Опубликовано 6 января, 2017 · Жалоба НАШЕЛ!!! Проблема была в самом порту SFP1 , он глючил всю сеть. Поставил медиаконвертор и сконфигурировал ether12 под WAN и все работает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 6 января, 2017 · Жалоба НАШЕЛ!!! Проблема была в самом порту SFP1 , он глючил всю сеть. Поставил медиаконвертор и сконфигурировал ether12 под WAN и все работает. Да, но надо посмотреть в чем же была причина, это может быть плохой контакт в разъеме модуль - микротик, не плотно вставлена оптика, не верно выбран режим работы и т.п. А таким образом просто ушли от ее решения, переключив в медиаконвертер. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
SyJet Опубликовано 12 января, 2017 · Жалоба Просто оставлю тут Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zchomwhx Опубликовано 13 января, 2017 · Жалоба Микротик - фигня! Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 13 января, 2017 · Жалоба Микротик - фигня! Ну вот началось не по теме. Почему же микротик фигня? За свои деньги это вполне адекватное оборудование с таким широким функционалом, что даже циске не снилось. Все проблемы с ним, в основном, от не правильной настройки, или не верной схемы сети. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
DRiVen Опубликовано 13 января, 2017 · Жалоба Микротик - фигня! Невероятно аргументированное высказывание, а авторитетность, с учетом активности и продолжительности участия на форуме, просто не поддается определению. P.S>А у stefadmar с вероятностью, близкой к 99,9 отказал трансивер, а не порт. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
m4a12345 Опубликовано 26 января, 2017 (изменено) · Жалоба У меня вот такой вопрос: сейчас стоит 1036 и, в принципе, ничего не делает, работает как л3. трафик 4 гигабита, 5 тыс юзеров, нагрузка 3%. Вопрос в чем - можно ли включить на нем фаерволл для блокировки абонентов? Или что-то типа captive portal? Боюсь что не вытянет. Изменено 26 января, 2017 пользователем m4a12345 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
pppoetest Опубликовано 26 января, 2017 · Жалоба можно ли включить на нем фаерволл Можно, но ваша карета превратится в тыкву. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Saab95 Опубликовано 26 января, 2017 · Жалоба Вопрос в чем - можно ли включить на нем фаерволл для блокировки абонентов? Или что-то типа captive portal? Файрвол включить можно, но вот веб сервисы не стоит, т.к. при блокировке каждый абонент начинает создавать много соединений, которые начинают перенаправляться на адрес редиректа, и соединения висят открытыми, создавая лишнюю нагрузку. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...