MikroTik CCR-1036

[Night_Snake]

А реально вообще на таких железках поднять VPLSoGRE поверх существующей ip сети на 5-6 точек включения по 100мегабит каждая?

Функционал вроде есть, на сайте примеров L2/L3VPN валом, но вот как оно в реально жизни работает или для галочки? :)

На 5-6 точек хватит, в принципе. На оконечку что-нибудь вроде RB/2011 или тех же rb/1100. Функционал есть, более того, даже работает) В том числе с другими вендорами.

Edited May 7, 2013 by Night_Snake

[Saab95]

А реально вообще на таких железках поднять VPLSoGRE поверх существующей ip сети на 5-6 точек включения по 100мегабит каждая?

Функционал вроде есть, на сайте примеров L2/L3VPN валом, но вот как оно в реально жизни работает или для галочки? :)

 

Нормально работают туннели EoIP и позволяют прокачивать большие объемы трафика. Только вот потребитель такой услуги может провести тест - запустит пинг пакетами 64 байт и получит задержку например 10мс, запустит пакетами 1300 байт и получит 10мс, далее запустит пакетами 1500 байт и получит удвоение задержки на канале клиент-сервер, то есть к примеру на 2мс и будет уже 12мс, дотошный клиент сразу поймет что что-то здесь не так. Все это происходит из-за уменьшения MTU и приходится большой пакет передавать по IP как 1500 байт + довесок.

 

А реально вообще на таких железках поднять VPLSoGRE поверх существующей ip сети на 5-6 точек включения по 100мегабит каждая?

Функционал вроде есть, на сайте примеров L2/L3VPN валом, но вот как оно в реально жизни работает или для галочки? :)

На 5-6 точек хватит, в принципе. На оконечку что-нибудь вроде RB/2011 или тех же rb/1100. Функционал есть, более того, даже работает) В том числе с другими вендорами.

 

Железка уровня RB2011 пропускает 100мбит дуплексом по EoIP в бриджинге, однако если подключение к серверу не прямое, а через туннель L2TP к примеру, то производительность упадет где-то до 150мбит симплекса на больших пакетах.

[nuclearcat]

Saab95 - какое еще удвоение задержки?

Время передачи пакета в 1500 байт 0.12 миллисекунды на 100Mbit.

Соответственно по времени передачи пакета на 100Mbit/s максимум будет больше на 0.12ms.

[Saab95]

Saab95 - какое еще удвоение задержки?

Время передачи пакета в 1500 байт 0.12 миллисекунды на 100Mbit.

Соответственно по времени передачи пакета на 100Mbit/s максимум будет больше на 0.12ms.

 

У туннеля EoIP есть служебная информация, порядка 22-24 байт, поэтому при MTU в канале интернета 1500 байт максимальный размер пакета без фрагментации будет допустим 1476, при передаче пакетов большего размера сам EoIP будет фрагментировать и по каналу пойдут 2 пакета, первый 1500 байт а второй 24+24 = 48 (64) байт. Поэтому на больших пакетах удваивается пакетная нагрузка, что дополнительно занимает ресурсы процессора.

 

Если разговор про туннель через интернет, то время прохождения данными между точками может быть от 4мс до 50-100 в зависимости от расстояния, вот отсюда и вылезают все проблемы.

[nuclearcat]

Если вы отправите два пакета один за другим, ваша задержка будет минимальна, канальная на вышеуказанную цифру, да и софт, если не кривой - тоже в пределах миллисекунды.

Проблемы с фрагментацией и нагрузкой на проц - другой вопрос, и они решаемы.

[Night_Snake]

У туннеля EoIP есть служебная информация, порядка 22-24 байт, поэтому при MTU в канале интернета 1500 байт максимальный размер пакета без фрагментации будет допустим 1476, при передаче пакетов большего размера сам EoIP будет фрагментировать и по каналу пойдут 2 пакета, первый 1500 байт а второй 24+24 = 48 (64) байт. Поэтому на больших пакетах удваивается пакетная нагрузка, что дополнительно занимает ресурсы процессора.

Юзайте VPLS и приемлемое (1526) MTU, пролезет все, что угодно, без особых проблем.

[Saab95]

Если вы отправите два пакета один за другим, ваша задержка будет минимальна, канальная на вышеуказанную цифру, да и софт, если не кривой - тоже в пределах миллисекунды.

Проблемы с фрагментацией и нагрузкой на проц - другой вопрос, и они решаемы.

 

Ну собственно это все на опыте через сети разных провайдеров основано. В некоторых местах чуть ли не по 200-300 туннелей работают.

 

У туннеля EoIP есть служебная информация, порядка 22-24 байт, поэтому при MTU в канале интернета 1500 байт максимальный размер пакета без фрагментации будет допустим 1476, при передаче пакетов большего размера сам EoIP будет фрагментировать и по каналу пойдут 2 пакета, первый 1500 байт а второй 24+24 = 48 (64) байт. Поэтому на больших пакетах удваивается пакетная нагрузка, что дополнительно занимает ресурсы процессора.

Юзайте VPLS и приемлемое (1526) MTU, пролезет все, что угодно, без особых проблем.

 

Если разговор про IP поверх интернета, то там MTU обычно 1500 не более, а порой и того меньше.

[nuclearcat]

Ну собственно это все на опыте через сети разных провайдеров основано. В некоторых местах чуть ли не по 200-300 туннелей работают.

PPPOE-DORA-BROADBAND ~ # cat /config/eoip.cfg |grep '\['|wc -l

331

количество туннелей, причем точная цифра

Не говоря о том, что я по EoIP гонял свыше 500 Мбит межконтинентально (потом написал свой протокол с доупаковкой и сжатием).

[CNick]

Если разговор про IP поверх интернета, то там MTU обычно 1500 не более, а порой и того меньше.

Именно он, просто очень заманчивое решение получается для "нищебродских" VPNов поверх интернета.

Из конкурентов разве что Cisco CRS1000V, но он стоит 3к $ за 5 лет использования и лицензия там максимум 50 мегабит + в придачу сервер нужен 4 оперативки и 4 ядра )

[^rage^]

У туннеля EoIP есть служебная информация, порядка 22-24 байт, поэтому при MTU в канале интернета 1500 байт максимальный размер пакета без фрагментации будет допустим 1476, при передаче пакетов большего размера сам EoIP будет фрагментировать и по каналу пойдут 2 пакета, первый 1500 байт а второй 24+24 = 48 (64) байт. Поэтому на больших пакетах удваивается пакетная нагрузка, что дополнительно занимает ресурсы процессора.

Юзайте VPLS и приемлемое (1526) MTU, пролезет все, что угодно, без особых проблем.

а вы о каком именно mtu? на интерфейсе или pmtu?

[^rage^]

Ну собственно это все на опыте через сети разных провайдеров основано. В некоторых местах чуть ли не по 200-300 туннелей работают.

для SSTP это было бы справедливо, т.к. там rtt замешан.

 

т.е. если между пунктами А и Б расстояние в 10 часов пути и вы решили перевезти 2 мешка картошки двумя машинами(которые стартовали с разницей в 2 минуты) а не одной, то потери на фрагментацию составят как раз 2 минуты, а не 10 часов.

[Saab95]

Если разговор про IP поверх интернета, то там MTU обычно 1500 не более, а порой и того меньше.

Именно он, просто очень заманчивое решение получается для "нищебродских" VPNов поверх интернета.

Из конкурентов разве что Cisco CRS1000V, но он стоит 3к $ за 5 лет использования и лицензия там максимум 50 мегабит + в придачу сервер нужен 4 оперативки и 4 ядра )

 

В таких случаях берут Mikrotik RB750, который стоит 1500р. Он вполне способен прокачать 50 мегабит не просто через EoIP, но и вдобавок в туннеле L2TP, если с той стороны постоянного адреса нет или вообще только серый.

[CNick]

коробка за 1500 рублей и 50 мегабит? O_o у меня дома валялся 751u-2HnD прикупить что ли второй поиграться :)

[Saab95]

коробка за 1500 рублей и 50 мегабит? O_o у меня дома валялся 751u-2HnD прикупить что ли второй поиграться :)

 

Да не вопрос. Давно уже пора расширить кругозор на маленькие коробочки. Не везде же циски ставить, а порой нужен серьезный функционал.

 

Вон RB2011 спокойно в бондинге по 600-700 мегабит прокачивает через 3 параллельных радиоканала, процессор там 600мгц

 

[Night_Snake]

В таких случаях берут Mikrotik RB750, который стоит 1500р. Он вполне способен прокачать 50 мегабит не просто через EoIP, но и вдобавок в туннеле L2TP, если с той стороны постоянного адреса нет или вообще только серый.

50мбит ФД? Соврамши, товарищ. RB/750, который не GL, больше 30-40 в обе стороны на моей памяти не пропускал. С другой стороны, тестил я когда еще 5.20 даже не вышла, с тех пор может чего и поменялось.

[Ivan_83]

751гл с частотой 250 (вместо 400) на чисто нате потребляет 1% проца на каждый мегабит. На современных прошивках.

[nuclearcat]

Ivan_83 - с повышением обьема траффика могут появиться нелинейные искажения, например из-за латентности памяти или доступа к шине данных.

[Saab95]

В таких случаях берут Mikrotik RB750, который стоит 1500р. Он вполне способен прокачать 50 мегабит не просто через EoIP, но и вдобавок в туннеле L2TP, если с той стороны постоянного адреса нет или вообще только серый.

50мбит ФД? Соврамши, товарищ. RB/750, который не GL, больше 30-40 в обе стороны на моей памяти не пропускал. С другой стороны, тестил я когда еще 5.20 даже не вышла, с тех пор может чего и поменялось.

 

На чистом роутинге он вообще более 200мбит выводит, с натом нормально 100 тянет, в скорость порта все упирается. В EoIP симплексом 100мбит выдает в одну сторону, даже в L2TP туннеле почти 100 выдает. Так что не стоит смеяться над производительностью такой маленькой железки. И самое главное, в отличии от циски, при перегрузе он не начинает во все порты мусор рассылать=)

[Картуччо]

951G-2HnD с L2TP, NAT, стейтфул файр при 40 мегабитах торрент трафика грузится до 50%.

Это нормально или мало ?

[Night_Snake]

На чистом роутинге он вообще более 200мбит выводит, с натом нормально 100 тянет, в скорость порта все упирается. В EoIP симплексом 100мбит выдает в одну сторону, даже в L2TP туннеле почти 100 выдает.

Это с фаерволом или без?)

[Saab95]

На чистом роутинге он вообще более 200мбит выводит, с натом нормально 100 тянет, в скорость порта все упирается. В EoIP симплексом 100мбит выдает в одну сторону, даже в L2TP туннеле почти 100 выдает.

Это с фаерволом или без?)

 

Без конечно. Чистый конфиг и ничего лишнего.

 

951G-2HnD с L2TP, NAT, стейтфул файр при 40 мегабитах торрент трафика грузится до 50%.

Это нормально или мало ?

 

Это чересчур высокая нагрузка, нужно все лишнее поотключать. Особенно начальный конфиг с его кучей правил.

[Ivan_83]

Ivan_83 - с повышением обьема траффика могут появиться нелинейные искажения, например из-за латентности памяти или доступа к шине данных.

Это понятно, я его до 40-50 мегабит гонял, с другой стороны есть двукратный запас по частоте проца.

[Night_Snake]

Без конечно. Чистый конфиг и ничего лишнего.

Ну а нафига мне лабораторные условия? Я вам про боевые задачи говорю

[Saab95]

Без конечно. Чистый конфиг и ничего лишнего.

Ну а нафига мне лабораторные условия? Я вам про боевые задачи говорю

 

Если туда для каждого клиента вешать правила, маркировать пакеты и т.п., то тут и мощная железка склеит ласты на больших объемах трафика. Например многие делают правило с блокировкой всех клиентов, что бы никто не мог установить адрес руками и получить доступ в сеть. Хотя правильнее было бы просто отключить ARP на интерфейсе и делать добавление записей ARP через DHCP, что позволит освободить ресурсы для более важных задач. Аналогично и с другими правилами и ограничениями.

[Картуччо]

951G-2HnD с L2TP, NAT, стейтфул файр при 40 мегабитах торрент трафика грузится до 50%.

Это нормально или мало ?

Это чересчур высокая нагрузка, нужно все лишнее поотключать. Особенно начальный конфиг с его кучей правил.

Конфиг был пуст, после нетинсталл.

Правил не много:

/ip firewall filter
add chain=forward dst-address=192.168.1.2 dst-port=55555 in-interface=!l2tp protocol=tcp
add chain=forward dst-address=192.168.1.2 dst-port=55555 in-interface=!l2tp protocol=udp
add action=drop chain=input in-interface=l2tp protocol=icmp
add chain=input protocol=icmp
add chain=input connection-state=established
add chain=input connection-state=related
add action=drop chain=input in-interface=ether1-gateway
add action=drop chain=input in-interface=l2tp
/ip firewall mangle
add action=change-mss chain=forward new-mss=1300 out-interface=l2tp protocol=tcp tcp-flags=syn
/ip firewall nat
add action=dst-nat chain=dstnat dst-port=55555 protocol=tcp to-addresses=192.168.1.2 to-ports=55555
add action=dst-nat chain=dstnat dst-port=55555 protocol=udp to-addresses=192.168.1.2 to-ports=55555
add action=masquerade chain=srcnat out-interface=ether1-gateway
add action=masquerade chain=srcnat out-interface=l2tp