MikroTik CCR-1036

[Saab95]

951G-2HnD с L2TP, NAT, стейтфул файр при 40 мегабитах торрент трафика грузится до 50%.

Это нормально или мало ?

Это чересчур высокая нагрузка, нужно все лишнее поотключать. Особенно начальный конфиг с его кучей правил.

Конфиг был пуст, после нетинсталл.

Правил не много:

/ip firewall filter
add chain=forward dst-address=192.168.1.2 dst-port=55555 in-interface=!l2tp protocol=tcp
add chain=forward dst-address=192.168.1.2 dst-port=55555 in-interface=!l2tp protocol=udp
[color="#FF0000"]add action=drop chain=input in-interface=l2tp protocol=icmp
add chain=input protocol=icmp
add chain=input connection-state=established
add chain=input connection-state=related
add action=drop chain=input in-interface=ether1-gateway
add action=drop chain=input in-interface=l2tp[/color]
/ip firewall mangle
[color="#FF0000"]add action=change-mss chain=forward new-mss=1300 out-interface=l2tp protocol=tcp tcp-flags=syn[/color]
/ip firewall nat
add action=dst-nat chain=dstnat dst-port=55555 protocol=tcp to-addresses=192.168.1.2 to-ports=55555
add action=dst-nat chain=dstnat dst-port=55555 protocol=udp to-addresses=192.168.1.2 to-ports=55555
[color="#2E8B57"]add action=masquerade chain=srcnat out-interface=ether1-gateway
add action=masquerade chain=srcnat out-interface=l2tp[/color]

 

Выделенные красным правила можно убрать, что сразу поднимет производительность. Маскардинг нужно делать по IP адресам, а не интерфейсам. Что так же поднимает производительность. Максимальный размер пакета через L2TP можно указать прямо в настройках клиента или сервера, для прохождения больших пакетов без фрагментации нужно указать MRRU=1500.

[NikAlexAn]

Выделенные красным правила можно убрать, что сразу поднимет производительность. Маскардинг нужно делать по IP адресам, а не интерфейсам. Что так же поднимает производительность. Максимальный размер пакета через L2TP можно указать прямо в настройках клиента или сервера, для прохождения больших пакетов без фрагментации нужно указать MRRU=1500.

 

А если ip адрес динамический по PPPoE - как обойтись без маскарадинга на интерфейс и change-mss?

Производительность поднять - это хорошо, но хотелось бы без ущерба функционалу.

[Картуччо]

Внутри тега код тег колор не работает, но всё равно, там видно, что убрать надо почти всё.

MTU на смартфоне не знаю как поменять, из-за него и прописано правило мангл. Какие-то проблемы помню были с галочкой в настройках л2тп подключения, не работало почему-то.

Убрать полностью стейтфул файр это как-то слишком радикально.

[Saab95]

Выделенные красным правила можно убрать, что сразу поднимет производительность. Маскардинг нужно делать по IP адресам, а не интерфейсам. Что так же поднимает производительность. Максимальный размер пакета через L2TP можно указать прямо в настройках клиента или сервера, для прохождения больших пакетов без фрагментации нужно указать MRRU=1500.

 

А если ip адрес динамический по PPPoE - как обойтись без маскарадинга на интерфейс и change-mss?

Производительность поднять - это хорошо, но хотелось бы без ущерба функционалу.

 

У вас же есть адрес с другой стороны - у клиента, вот на его основе и делайте маскардинг, вот так:

 

Dst.Address можно не писать, тут указано что бы для внутренней сети НАТ не делался, а только во все остальные.

 

На PPPoE можно прямо MTU уменьшать и указать MRRU=1500, что сразу решит все проблемы.

 

Внутри тега код тег колор не работает, но всё равно, там видно, что убрать надо почти всё.

MTU на смартфоне не знаю как поменять, из-за него и прописано правило мангл. Какие-то проблемы помню были с галочкой в настройках л2тп подключения, не работало почему-то.

Убрать полностью стейтфул файр это как-то слишком радикально.

 

Файрвол там не нужен. Отключите службы в IP->Services кроме винбокса или нужных, установите пароль нормальный и никто ничего ему не сделает. Стоит куча устройств без файрвола, никаких проблем нет, максимум что бывает это по телнету или ssh кто-то пробует подключаться, но это никаких проблем не создает.

[Картуччо]

Файрвол там не нужен.

Не, меня не настолько волнует загрузка цпу чтобы отключать файрвол.

Это домашний маршрутизатор на канале, в данный момент, 25 мегабит.

[Барагоз]

Ох. Экспериментировал с мэнглом Change MSS на нагруженных RB750G / 750 / MRTG, пришел к выводу, что разница с ним и без него - доли процента. Ради эксперимента поставил там же Change DSCP для условия, по которому хитов около 4-5к в секунду - тоже разницы не заметил.

CPU жрут маскарадинг и очереди, остальное так, практически в пределах погрешности.

Edited May 14, 2013 by Барагоз

[Saab95]

Файрвол там не нужен.

Не, меня не настолько волнует загрузка цпу чтобы отключать файрвол.

Это домашний маршрутизатор на канале, в данный момент, 25 мегабит.

 

Просто подумайте что там могут взломать на роутере и поймете полную не нужность всяких там дропов из начального конфига.

[Sonne]

Возвращаясь к CCR-1036 реализация BGP крутится на одном процессоре. Он всегда загружен на 100%.

Загрузка нескольких полных таблиц занимает несколько минут. С существующим софтом CCR не пригоден для BGP.

 

 

Жаль, надеялся использовать его для FullBGP.

[CNick]

Загрузка нескольких полных таблиц занимает несколько минут.

На Cisco 7206VXG-G2 у меня был такой же результат. :)

 

Тут беда в другом, при загрузке fullview все эти роуты лежат в оперативке и как писали выше:

 

Включали 2 BGP FullView, съел, памяти много осталось (не помню точно сколько). Когда трафик проходил роутер добавлял задержки в 10мс.

 

Лукап добавляет 10мс задержки. Вот это действительно грусть да печаль.

[Sonne]

CNik а на ROS5.x работает так же? Если ее запустить на нормальном интеловском сервере. Читал отзывы - с памятью нет проблем, кастрированных 1,5 Гига вроде хватает на пару таблиц.

[CNick]

CNik а на ROS5.x работает так же?

Сори мопед но мой, я привел цитату vasiliy0 который тестировал их. У меня микротиков нет и я ними не занимаюсь.

Просто любопытно стало вот и решил почитать как у людей работает.

 

По поводу памяти дело в том что это не TCAM и для того что бы найти исходящий интерфейс или некстхоп адрес уйдет больше времени.

Возможно там префиксы загружают прямо в кеш процессора, тогда согласно информации на сайте производителя CPU:

• 32 KB L1i, 32K L1d per core

• 256 KB L2 per core

• 9 MB coherent L3 cache

 

Кстати согласно тому же сайту производителя процессор может гораздо больше чем реализовано сейчас в микротике. Там 16 линий pcie 2.0 + каждая из 4 групп портов может быть 10G вместо 4x1G.

[morf]

Возвращаясь к CCR-1036 реализация BGP крутится на одном процессоре. Он всегда загружен на 100%.

Загрузка нескольких полных таблиц занимает несколько минут. С существующим софтом CCR не пригоден для BGP.

 

 

Жаль, надеялся использовать его для FullBGP.

По моему в последних кандидатах пофиксили.

[^rage^]

коробка за 1500 рублей и 50 мегабит? O_o у меня дома валялся 751u-2HnD прикупить что ли второй поиграться :)

tp-link wr741nd - l2tpv3 pseudowire спокойно делает 100мбит при цене в 660руб :)

[CNick]

tp-link wr741nd - l2tpv3 pseudowire спокойно делает 100мбит при цене в 660руб :)

Какая ОС?

[^rage^]

tp-link wr741nd - l2tpv3 pseudowire спокойно делает 100мбит при цене в 660руб :)

Какая ОС?

 

root@OpenWrt:~# uname -a
Linux OpenWrt 3.8.11 #1 Wed May 8 09:55:21 UTC 2013 mips GNU/Linux

root@OpenWrt:~# cat /proc/cpuinfo 
system type             : Atheros AR9330 rev 1
machine                 : TP-LINK TL-WR741ND v4
processor               : 0
cpu model               : MIPS 24Kc V7.4
BogoMIPS                : 265.42
wait instruction        : yes
microsecond timers      : yes
tlb_entries             : 16
extra interrupt vector  : yes
hardware watchpoint     : yes, count: 4, address/irw mask: [0x0000, 0x0ff8, 0x0ff8, 0x0ff8]
ASEs implemented        : mips16
shadow register sets    : 1
kscratch registers      : 0
core                    : 0
VCED exceptions         : not available
VCEI exceptions         : not available

[Картуччо]

6 версия стабилизировалась.

[sexst]

Да, мне даже рассылку о релизе прислали на почту.

[rmika]

6 версия стабилизировалась.

Легче от этого не стало...

[Картуччо]

Кому как. Стоял 1 CCR вообще без проблем с rc11, сейчас ещё пара добавляется.

[rsst]

6 версия стабилизировалась.

 

оно стабилизируется, как обычно, к 15-20 итерации....

[morf]

Я готов потерпеть, а Вы?

Купил CCR1036 месяца 3 назад, ждем своего счастливого часа :) Думаю время настало.

[abab]

Купил CCR1036 месяца 3 назад, ждем своего счастливого часа :) Думаю время настало.

Купил CCR1036 примерно месяц назад, как привезли сразу воткнул в розетку. Далее по классике раздался хлопок и пошел дымок! Отвезли назад продаванам, через две недели они привезли новый пока работает. :)

Edited May 22, 2013 by abab

[sexst]

У нас на тестовом образце при включении 4 порта отвисал напрочь роутинг.

Бывает, что поделать. И более серьезное железо встречалось дохлым из коробки.

[CNick]

Купил CCR1036 месяца 3 назад, ждем своего счастливого часа :) Думаю время настало.

Валера, настало твое время!

 

P.S. На форуме микротика порадовала переписка в обсуждении CRS. Чувак говорит: "я использую версию March 26 12:07 и у меня проблемы." Сапорт отвечает: "фигня, попробуй March 26 5:08PM." :)

[Saab95]

В одном месте работает несколько железок, с 6.0 пропали перезагрузки раз в несколько дней. Никаких нареканий больше нет. Все занимаются удаленным подключением клиентов через интернет по SSTP для безопасного обмена данными в публичных сетях. Держат по 50-60 клиентов с общим трафиком около 400-600 мбит.