Mikrotik shaping 5Gbps

crazyape

Díky mate u nás na Moravě flašku :)

Btw proč je vždy in a out interface ether1? Což je předpokládám uplink port. S NATem to půjde udělat nejspíš taky tak ze?

zero

Díky mate u nás na Moravě flašku :)

ja sem z Moravy kua! Kam prijet?

crazyape

Jsme od UH :)

zero

Jsme od UH :)

Tam jsem hrával v clubu No.6! Celkem dobrá provozní.. ::

rsaf

Já bych ještě úplně na začátek dal JUMP podle toho, jestli je to UP nebo DOWN. Jinak kdyby to byla veliká síť, mohlo by to klidně mít dvě úrovně (např. nejprve skok s maskou /16 a druhý s maskou /24). Další možností pro drobnou optimalizaci je řazení pravidel podle datového toku (tahači nebo prostě jen velké tarify nahoru). Úplně ideální řešení by pak bylo, kdyby to co nejoptimálněji generoval skript.

Nevím, jestli tady zaznělo, v čem je vlastně ta optimalizace. Vezměme např. síť s 1000 uživateli. Pokud budeme mít neoptimalizovaný "plochý" mangle, bude obsahovat 2000 pravidel (up+down), každý průchozí paket se těmi pravidly pohrne shora dolů = s každým se teoreticky udělá průměrně 1000 porovnávacích operací (s některým jedna, s některým 2000 - z tohoto pohledu je lepší mít nahoře pravidla pro DOWN a velké tarify).

Pakliže je těch 1000 uživatelů rozloženo řekněme do 20ti subnetů /24 a udělá se nejprve jump podle UP/DOWN (2 řádky), následně jump podle /24 (20 řádků) a následně koncové markování (průměrmě 1000/20=50 řádků) bude se na každý paket prohánět průměrně 1,5+10+25 pravidly = 36,5 porovnávacích operací. To je proti původním 1000 sakra rozdíl.

zero

Já bych ještě úplně na začátek dal JUMP podle toho, jestli je to UP nebo DOWN. Jinak kdyby to byla veliká síť, mohlo by to klidně mít dvě úrovně (např. nejprve skok s maskou /16 a druhý s maskou /24). Další možností pro drobnou optimalizaci je řazení pravidel podle datového toku (tahači nebo prostě jen velké tarify nahoru). Úplně ideální řešení by pak bylo, kdyby to co nejoptimálněji generoval skript.

Nevím, jestli tady zaznělo, v čem je vlastně ta optimalizace. Vezměme např. síť s 1000 uživateli. Pokud budeme mít neoptimalizovaný "plochý" mangle, bude obsahovat 2000 pravidel (up+down), každý průchozí paket se těmi pravidly pohrne shora dolů = s každým se teoreticky udělá průměrně 1000 porovnávacích operací (s některým jedna, s některým 2000 - z tohoto pohledu je lepší mít nahoře pravidla pro DOWN a velké tarify).

Pakliže je těch 1000 uživatelů rozloženo řekněme do 20ti subnetů /24 a udělá se nejprve jump podle UP/DOWN (2 řádky), následně jump podle /24 (20 řádků) a následně koncové markování (průměrmě 1000/20=50 řádků) bude se na každý paket prohánět průměrně 1,5+10+25 pravidly = 36,5 porovnávacích operací. To je proti původním 1000 sakra rozdíl.

no a pro blbý jako já to znamená menší zátěž CPU, že jo

rsaf

Anebo se na to celé můžeme vykašlat a svěřit to TCAM.

crazyape

Já mám co AP to /24 takže asi udělám jumpy na ty /24 subnety a je. Je jich asi 50-60. Teď mám 3500 manglu +-

zero

Anebo se na to celé můžeme vykašlat a svěřit to TCAM.

proto mám na NAT ASRko

zero

Já mám co AP to /24 takže asi udělám jumpy na ty /24 subnety a je. Je jich asi 50-60. Teď mám 3500 manglu +-

ano, nebo to udelaj jak psal rsaf: agreguj ty /24 do vice mensich a pak skakej dal.

draslik

A jaká je v současné době nejlépe použitelná 10 Gbit síťovka pro Mikrotik? Jaký DOM modul doporučujete?

Díky moc.

hapi

klasická stará Supermicro stgn-i2s alias x520 alias i82599ES. Daji se na ebay sehnat za pár kaček. Nevýhoda všech těhle chipů je vybíravost SFP+ modulů. Tomu se dá ale předejít. Modul Intel FTLX1471D3BCV-IT SM je dělaný přímo pro tuhle kartu a opět na ebay se dají sehnat za pár kaček. Vzhledem k tomu kolik tyhle značkový věci vydrží, není třeba se obávat o životnost. Jenom je člověk nesmí strčit do "nějakýho" pc šáska a nechat je jenom tak bez profuku vzduchu. Rádi topí a chlazení je přítel č. 1. U Supermicro šasí většinou lze přemístit větrák tak aby profukoval prostor pro pcie karty.

Dál sem slyšel že chipy na kartě s intel x540 by měl taky fungovat pod mikrotikem. Pokud někdo má linux tak tam funguje vše. Netrpělivě čekáme na mikrotik v7, tam už nový karty fungují také.

Dom modul myslíš jako ssd disk? Já osazuju teď už pouze superdom od supermicra. Běhá jich už desítky a ani jeden nezklamal. No a navíc se nechaji napájet přímo ze sata portu na většině supermicko deskách takže je to i elegantní a bez kabelů.

jenya

hapi klasická stará Supermicro stgn-i2s alias x520 alias i82599ES. Daji se na ebay sehnat za pár kaček. Nevýhoda všech těhle chipů je vybíravost SFP+ modulů. Tomu se dá ale předejít. Modul Intel FTLX1471D3BCV-IT SM je dělaný přímo pro tuhle kartu a opět na ebay se dají sehnat za pár kaček. Vzhledem k tomu kolik tyhle značkový věci vydrží, není třeba se obávat o životnost. Jenom je člověk nesmí strčit do "nějakýho" pc šáska a nechat je jenom tak bez profuku vzduchu. Rádi topí a chlazení je přítel č. 1. U Supermicro šasí většinou lze přemístit větrák tak aby profukoval prostor pro pcie karty.

Dál sem slyšel že chipy na kartě s intel x540 by měl taky fungovat pod mikrotikem. Pokud někdo má linux tak tam funguje vše. Netrpělivě čekáme na mikrotik v7, tam už nový karty fungují také.

Dom modul myslíš jako ssd disk? Já osazuju teď už pouze superdom od supermicra. Běhá jich už desítky a ani jeden nezklamal. No a navíc se nechaji napájet přímo ze sata portu na většině supermicko deskách takže je to i elegantní a bez kabelů.

A co DAC kabely, ty by v x520 fungovaly?

macek

Není k tomuto možné nějaké demo účet k nahlédnutí ? tohle bych se rád naučil :)

mark jump, down i up se pošle do jinýho chainu jumpem

jump1.png

add action=jump chain=forward comment="s4i | jump" src-address=192.168.46.0/24 out-interface=ether1 jump-target=192.168.46

add action=jump chain=forward comment="s4i | jump" dst-address=192.168.46.0/24 in-interface=ether1 jump-target=192.168.46

a následný mark v novým chainu

jump2.png

add action=mark-packet chain=192.168.64 comment="s4i | zema | d" dst-address=192.168.64.35 new-packet-mark=276_d passthrough=no

add action=mark-packet chain=192.168.64 comment="s4i | zema | u" src-address=192.168.64.35 new-packet-mark=276_u passthrough=no

máme to po /24 ale to je proto protože tak prostě máme adresovanou síť. Něco přes 100 subnetů /24 a v každym cca 20-50 userů s /32. Jiný adresování bude jinak rozdělovaný. Pokud má někdo 1000 klientů a má na to použito 4x /24 tak to bude muser rozsekat třeba po /26 nebo /28.

hapi

zkopíruj si ty pravidla, nacpi je do nějkaýho mikrotika a pak si je prohlídni ve winboxu. Hned ti to dojde.

patrik_

Díky. Tato pravidla jsou mi jasná, ale použití a manglování established a related v souvislosti s tímto stromem již méně.

zero

Díky. Tato pravidla jsou mi jasná, ale použití a manglování established a related v souvislosti s tímto stromem již méně.

established a related nema s manglem nic spolecnyho, to si dej do firewallu

patrik_

established a related nema s manglem nic spolecnyho, to si dej do firewallu

Díky.

Teď už jsem doma. Původně jsem se lekl že mi utekla nějaká novinka v manglování.

draslik

klasická stará Supermicro stgn-i2s alias x520 alias i82599ES. Daji se na ebay sehnat za pár kaček. Nevýhoda všech těhle chipů je vybíravost SFP+ modulů. Tomu se dá ale předejít. Modul Intel FTLX1471D3BCV-IT SM je dělaný přímo pro tuhle kartu a opět na ebay se dají sehnat za pár kaček. Vzhledem k tomu kolik tyhle značkový věci vydrží, není třeba se obávat o životnost. Jenom je člověk nesmí strčit do "nějakýho" pc šáska a nechat je jenom tak bez profuku vzduchu. Rádi topí a chlazení je přítel č. 1. U Supermicro šasí většinou lze přemístit větrák tak aby profukoval prostor pro pcie karty.

Dál sem slyšel že chipy na kartě s intel x540 by měl taky fungovat pod mikrotikem. Pokud někdo má linux tak tam funguje vše. Netrpělivě čekáme na mikrotik v7, tam už nový karty fungují také.

Dom modul myslíš jako ssd disk? Já osazuju teď už pouze superdom od supermicra. Běhá jich už desítky a ani jeden nezklamal. No a navíc se nechaji napájet přímo ze sata portu na většině supermicko deskách takže je to i elegantní a bez kabelů.

Díky moc za rady. Ještě bych požádal o typ na osvědčenou Gbit síťovku se čtyřmi porty. Jako desku můžu použít třeba https://www.supermicro.com/en/products/ ... d/X11SCW-F?

hapi

Supermicro SGP-i4.

Pozor na tu desku. I když jde o WIO tak do ní sice pasuje běžná WIO riser redukce na pcie ale nefunguje správně. Tohle je nový formát pro WIO protože WIO nikdy nebyl na tyhle patice LGA11xx a je třeba jinej riser. Je to RSC-W-68. Klasickej RSC-R1UW-2E16 tam sice jde ale nefunguje druhý pcie port. K desce výtky nemám, sám sem teď tyhle 3 kusy dodával do routerů. Dneska je výhoda že tam lze osadit i 6core cpu a za pár týdnů/měsíců bude na trhu i 8core verze což je pro tento cenový segment naprostá bomba a nemusí se platit za desku s paticí pro xeony e5.

erotel

Když to tak čtu,jsem rád,že jsem vedoucího přesvědčil, aby se zachovala GW na linuxu.

root@igw:~# iptables -t mangle -L --lin -v

Chain FORWARD (policy ACCEPT 1038M packets, 1462G bytes)

num pkts bytes target prot opt in out source destination

1 538M 1326G SET all -- eth0 any anywhere anywhere map-set qos dst map-prio

2 500M 136G SET all -- eth2 any anywhere anywhere map-set qos src map-prio

« Předchozí stránka Další stránka »