Hardware pro GW (10 Gbit)
Pokud to pise v Ccku to uz asi skript nebude jinak klobouk dolu pred lidma co tohle davaj ja na to nemel nikdy moc casu od skoly jsem na c++ nesah 
a to jsem to mel 4 semestry
- Upraveno
drakgon iptables jako takové nic sami od sebe neoptimalizují. Psal jsem to tu já a mnozí další .... pokud použiješ správné větvení v chainech tak není výrazný problém ani s hodně pravidly. Mk jede interně iptables, takže stačí uvažovat stejně a stromečkovat. Velkou změnou v optimalizaci jsou nftables a pokud by jsi stavěl nový linuxový firewall/shaper, tak stavět ho na iptables by byl velký nerozum. Utilitě tc se nevyhneš.
PS: Co se týče jakéhokoliv SW (co psal třeba svestka), tak se vždybude jednat o mezivrstvu přijímající konfiguraci a generující jednotlivá pravidla do iptables/nftables/tc. Přemýšlet o tom, že by psal kdokoliv další alternativní implementaci ovládání netfilteru mimo iptables/nftables je nereálné.
edit: teď píšu v go shaper, který dělá to, že stahuje z jednotlivých mk routerů pomocí api address listy a následně generuje shapovací strom: root => top trida(třeba 600Mbps rádio) => routery => sektory na routeru => uzivatele.
Ono je to jedno, jestli Mikrotik nebo Linux - s Linuxem je více práce s přípravou, ale ve finále to funguje velmi podobně (v obou případech je to víceméně iptables+htb a logika konfigurace je stejná).
Životnost serverových SSDček se dnes často uvádí v DWPD (počet přepisů za den při kterém disk vydrží 5 let). Větší disk má ve stejné úloze tedy větší životnost. Netvrdím, že je potřeba používat 2TB SSDčka, ale místo 128GB za 700 bych asi 258GB za 900 dal.
Při 10Gbps to už jedno není. Dle mě Linux s nftables to zvládne líp, než Mikrotik s iptables. Nemám ještě otestováno, ale pracuji na tom.
Zkusil jsem i reálné testy iptables vs nftables. Pokud máš hodně pps tak ten rozdíl je naprosto ohromující. Ty mapy pro nat a mark v nftables jsou velký zázrak. Markuji a natuji do 2Gbps + 120-200kpps a s tím cpu to hne minimálně. Víc ho zatíží inspekce a generování NetFlow.
Jako finální korunu pokud nepotřebuješ shaper, tak můžeš použít flowtables (mk fasttrack) a ještě si polepšit. Dokonce funguje i na IPv6 (ne jako u mk ))
Zdravím pánove, trochu bych oživil toto téma v roce 2022. Chystám se stavět stroj (1U/2U) s 2x 10Gbit iface, Optimálně pro X86 Mikrotik. Kdyby na tom jela i verze 6 skákal bych radostí. A rád bych to už dimenzoval na cca 10 Gbit. Dejme tomu 1-1,5M pps download.
Mohli by jste mi někdo prosím poradit co za HW na to využít ? Eventuálně nějaké zkušeností i s RoS7? Šli by jste do toho na ostré GW? Nemám tam v podstatě nic. Pár (100) static rout, nat,mangle,qt, par pravidel ve FW.
Aktuální železo je SuperMicro CS-512L + Xeon E3-1340 v6 4-core 3,7GB a STGN-i2s karta. Zátež aktuálné max peak 45% a co se týká konfigu tak dle mých vědomostí a možností které znám jsou už provedeny max optimalizace ...
Nyní tam je:
NAT 1:1 4000 pravidel
nějaký základní FW asi 40 pravidel
mangle 4000 pravidel + queue tree 4000 pravidel
Traffic download 4GBps peak, 500k-600k pps, upload zanedbatelny.
Eventuálně pokud tady někdo i skládáte tyto záležitosti na kšeft (vím, že třeba pan @hapi to kdysi myslím dělal) nebráním se nabídce.
Díky
Také zdravím,
taky právě uvažuju o novém stroji na GW, taky 2x 10GBit SFP, akorát na tom pojedu Linux.
Mám už i nějakou předběžnou nabídku na Supermicro, procesor Intel Xeon E-2278G, 3.4GHz, 8C/16T, 16MB. SFP karta stejná - AOC-STGN-I2S.
Ale taky se nebráním radám na něco lepšího.
- Upraveno
klidně mi napište. Aktuálně se staví na asrock a ryzenech. Intel začal být nechutně drahý a to jak cpu tak desky pro něj. RoS7 se už taky nasazuje jako default. S tím jde i nástup novějších SFP+ karet i když to není vyloženě nutnost přecházet na novější.
- Upraveno
sherlock stavěli jsme pro zákazníka shaper ASROCK + Ryzen (Raphael), Linux s nftables/HFSC + Cake, Intel 710 2x10/40G. Poměr cena/výkon oproti Intelu super. S testovacím vybavením jsme to nedokázali zatížit víc jak na pár procent, Klidně zavolej ...
hapi Prosím, napsal bys jaký nový model SFP karet myslíš? Reaguju na tvoji odpověď: S tím jde i nástup novějších SFP+ karet i když to není vyloženě nutnost přecházet na novější.
Momentálně mám tuhle: https://smicro.cz/supermicro-aoc-stgn-i2s?gclid=CjwKCAjwtp2bBhAGEiwAOZZTuAPh4ixKreQIsgJQsPA2KgtE-IhOzMtxWx0Zp806LKSODlo1PoT1sxoCdd8QAvD_BwE a na v6 jede v pořádku.
Jinak já si tak nějak sám zatím namyslel ze by to mohlo byt neco jako:
Supermicro MBD-C9Z490-PGW-O
Intel CML W-1270P 8core x 3,8 Ghz turbo 5,1 Ghz
8GB ecc ram
SATA DOM 8Gb na systém
STGN-I2s karta
a RoS teda 7 asi ... když říkáte že už je to "rock-stable"
Co si o tom myslíte ?
- Upraveno
crazyape To vychazi skoro stejne jako tohle 
Kde male sitovky se hlasi jako:
Intel Corporation I210 Gigabit Network Connection (rev 03)
Intel Corporation I350 Gigabit Network Connection (rev 01)
A velke:
Intel Corporation Ethernet Connection X722 for 10GBASE-T (rev 04)
Intel Corporation Ethernet Connection X722 for 10GbE SFP+ (rev 04)
Mam to na Linuxu, ale mikrotik V7 uz to zna taky
Skúšali ste niekto Mellanox sieťovky? Majú nejaké výhody/nevýhody oproti Intel?
V lednu jsem si stavěl nový GW:
Supermicro Mainboard X12SCZ-F
Intel Xeon W-1270 @ 3.4GHz - TRAY / TB 5.0GHz 8C16T / 16MB / UHD Graphics P630 / 1200 / Comet Lake / 80W
SFP+ Supermicro
SataDom a na tom Mikrotik V7
Spokojenost, jen s dodávkama HW byl problém, nic a nikde nebylo a na všechno jsem musel čekat a několikrát se stalo, že předem zaplacenou dodávku zrušili, protože jejich dodavatel nedodal.
Původně jsem chtěl Xeon E-2288G, ale sehnat jej bylo z říše "Vlhkého snu" 