RB951-2n CPU на 100%

[goshkata]

Здравейте,  значи имам  следния случай.   Закупих  си наскоро горе  посочения RB, конфигурирал съм го, като на WAN е с PPPoE, на LAN съм спрял DHCP и съм описал в ARP всички клиенти по IP и MAC с цел ограничение когато се налага ,   до  тук  добре , но  когато  някое PC зад LAN прави трафик повече от 70 Mbps CPU-то се товари на  100% и в този момент другите PC-та не могат да отворят никакъв сайт.   Въпроса  ми е  нормално ли е  да  се  товари  толкова процесора само от  един компютър и ако не  е какъв може да  е проблема. RB е 100 Mbps и реално на WAN  получавам до 90 Mbps. Мога ли по някакъв начин  да резервирам 20-30 Mbps само за WEB ,  някакви идеи и предложения какво  да предприема. Благодаря предварително !

[111111]

не са ти проблем клиентите или скоростта

ами пакетите които се обработват както

и недомислието на такова слабо нещо да сложиш РРРоЕ сървър

отиди в 
Tools > Profile и виж кое товари

най вероятно ще покаже или шеипенето или защитната стена

[jack82]

Tools - profile-all и start и ще видиш какво товари 111111 изпревари ме за 2 секунди

Edited August 31, 2014 by jack82

[goshkata]

не са ти проблем клиентите или скоростта

ами пакетите които се обработват както

и недомислието на такова слабо нещо да сложиш РРРоЕ сървър

отиди в 

Tools > Profile и виж кое товари

най вероятно ще покаже или шеипенето или защитната стена

Не съм  вдигал PPPoE сървър,  моя доставчик ми дава интернет по PPPoE.  

Да влязох в Tools > Profile и  наистина защитната стена товари с около 45%,  

а queuing около 20 %,  ethernet okolo 10% и останалото се  разпределя  за  другите  процеси.

Не   съм  задавал  никакви правила за шеипъра

[111111]

Явно нещо маркираш в защитната стена

а и с тея 400мхз толкова 

 

преправи в 

queue / queue types

default и default small да са PCQ

 

за защитната стена един експорт и ще обсъждаме

не е зле да кажеш коя версия на софтуера и биоса си 

 

може да прочетеш и това

http://wiki.mikrotik.com/wiki/Traffic_Prioritization_Script

[ka4o_pi4a]

От 951U серията имаше и версия с честота 360 MHZ на процесора. Мисълта ми е, че 1-2 допълнителни правила да вкараш и веднага се усеща. Погледни лог-а, да не би някой да те атакува с някой скрипт.

[Самуил Арсов]

Колега, копни я тази конфигурация да я видим най накрая - с тия жокери дето ги пускаш темата ще има дълъг живот.

Принципно - дали си пуснал pppoe сървър с един тунел или си pppoe клиент няма разлика и в двата случай процесора енкапсулира (мачка пакетите за да преминат през тунела) което си е процесорно време. Предполага се че, все пак има какво да се оптимизира в твоята конфигурация ако я видим.

[admin@R2] > export compact

[goshkata]

 

Колега, копни я тази конфигурация да я видим най накрая - с тия жокери дето ги пускаш темата ще има дълъг живот.

Принципно - дали си пуснал pppoe сървър с един тунел или си pppoe клиент няма разлика и в двата случай процесора енкапсулира (мачка пакетите за да преминат през тунела) което си е процесорно време. Предполага се че, все пак има какво да се оптимизира в твоята конфигурация ако я видим.

[admin@R2] > export compact

Извинявайте колеги за бавните  ми  реакции но  съм  в  небрано  лозе,  нов съм и всеки отговор ми се проверява  преди  да  се публикува, а  брес  деня работата   не ми  позволява  да  ровичкам из  форума. Давам  export

 

[Xmen@pc] > export compact
# sep/02/2014 18:27:05 by RouterOS 5.22
# software id = P1X4-VWFJ
#
/interface bridge
add admin-mac=D4:CA:6D:2B:9F:84 arp=reply-only auto-mac=no l2mtu=1598 name=
    bridge-local protocol-mode=rstp
/interface wireless
set 0 band=2ghz-b/g/n channel-width=20/40mhz-ht-above disabled=no distance=
    indoors l2mtu=2290 mode=ap-bridge ssid=X wireless-protocol=802.11
/interface ethernet
set 0 mac-address=00:09:6B:20:24:50 name=ether1-gateway
set 1 name=ether2-master-local
set 2 master-port=ether2-master-local name=ether3-slave-local
set 3 master-port=ether2-master-local name=ether4-slave-local
set 4 master-port=ether2-master-local name=ether5-slave-local
/interface pppoe-client
add add-default-route=yes disabled=no interface=ether1-gateway name=
    pppoe-out1 password=56164 use-peer-dns=yes user=vanko_01
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa2-psk mode=dynamic-keys 
    supplicant-identity=MikroTik wpa-pre-shared-key=7654321i 
    wpa2-pre-shared-key=7654321i
/ip dhcp-server
add disabled=no interface=bridge-local name=default
/ip hotspot user profile
set [ find default=yes ] idle-timeout=none keepalive-timeout=2m
/user group
set read policy="local,reboot,read,test,winbox,password,web,sniff,sensitive,ap
    i,!telnet,!ssh,!ftp,!write,!policy"
set write policy="local,reboot,read,write,test,winbox,password,web,sniff,sensi
    tive,api,!telnet,!ssh,!ftp,!policy"
/interface bridge port
add bridge=bridge-local interface=ether2-master-local
add bridge=bridge-local interface=wlan1


/ip dns
set allow-remote-requests=yes servers=195.24.92.2,195.24.92.1
/ip firewall filter
add chain=input comment="default configuration" protocol=icmp
add chain=input comment="default configuration" connection-state=established
add chain=input comment="default configuration" connection-state=related
add action=drop chain=input comment="default configuration" in-interface=
    ether1-gateway
/ip firewall nat
add action=masquerade chain=srcnat comment="default configuration" 
    out-interface="(unknown)" to-addresses=0.0.0.0
add action=masquerade chain=srcnat out-interface=pppoe-out1 to-addresses=
    0.0.0.0
/ip neighbor discovery
set ether1-gateway disabled=yes
set wlan1 disabled=yes
/ip upnp
set enabled=yes
/system clock
set time-zone-name=Europe/Sofia
/system identity
set name=pc
/system leds
set 0 interface=wlan1
/system ntp client
set enabled=yes mode=unicast primary-ntp=24.56.178.140 secondary-ntp=
    24.56.178.140
/system routerboard settings
set cpu-frequency=360MHz
/tool mac-server
add disabled=no interface=ether2-master-local
add disabled=no interface=ether3-slave-local
add disabled=no interface=ether4-slave-local
add disabled=no interface=ether5-slave-local
add disabled=no interface=wlan1
add disabled=no interface=bridge-local
/tool mac-server mac-winbox
set [ find default=yes ] disabled=yes
add interface=ether2-master-local
add interface=ether3-slave-local
add interface=ether4-slave-local
add interface=ether5-slave-local
add interface=wlan1
add interface=bridge-local

 

като гледам в защитната стена има 4 филтъра,  останали  по  дефолт на RB,  но  не знам дори  за  какво  са . В логовете е  пълно  с разни  IP -та  които  се опитват да се  закачат през SSH,  но   не  мисля  че  това  е проблема,  понеже  съм  тествал  многократно  постановката и CPU  e  na   100%  само  в  случаите  когато  има  трафик  над  75 Mbps   без   значение  дали  е   генериран  от   един  клиент или   няколко. Тествах   нещата   без  PPPoE  има  резултат работи на 90% CPU при  същите обстоятелства,  но  ако   може да  се  оптимизират   нещата с  първия вариант   PPPoE  ще  е   добре   понеже  доставчика   ми  предлага услугата   само  по PPPoE 

[111111]

не каза какво става в 

/tools profile

В /ip services ограничи и спри ползваните и неползваните услуги (ще спре SSH атаката)

/ip upnp е пуснато но неконфигурирано, няма указани външен и вътрешен интерфейс

 

първото правило за маскарадиране не е конфигурирано правилно или го махни или спри

 

хотспот ако не ползваш направо изтрии пакета

как седи състоянието на рам паметта 

/system resource monitor

опитай с версия 6,19 с качени само пакетите които ползваш

примерно 

system ntp ppp advanced-tools security dhcp wireless

не слагай комбинирания пакет

http://mirror.mikrotik-bg.net/?dir=v6/6.19/all_packages_mipsbe/

[kokaracha]

Компютрите зад рутера ти какви ДНС-и ползват ?

През времето на проблема латенцията от компютрите до примерно някои роден отворен ДНСили голям ГБ сайт  в сравнение с времето когато го няма проблема в какви граници е ?

[goshkata]

Компютрите зад рутера ти какви ДНС-и ползват ?

През времето на проблема латенцията от компютрите до примерно някои роден отворен ДНСили голям ГБ сайт  в сравнение с времето когато го няма проблема в какви граници е ?

зад рутера раздавам 192.168.0.1  и   за геит и  за днс,  при нормална работа 7 ms   с пакет 1024,  при 100% CPU качва до 30 ms,   но  въпреки  че  се  достъпва на пинг  дадения сайт   не  може  да  се зареди  в браузъра, а на някои от компютрите  в този  момент  даже и пинг няма  до  дадения   сайт  но  до  RB си има

не каза какво става в 

/tools profile

В /ip services ограничи и спри ползваните и неползваните услуги (ще спре SSH атаката)

/ip upnp е пуснато но неконфигурирано, няма указани външен и вътрешен интерфейс

 

първото правило за маскарадиране не е конфигурирано правилно или го махни или спри

 

хотспот ако не ползваш направо изтрии пакета

как седи състоянието на рам паметта 

/system resource monitor

опитай с версия 6,19 с качени само пакетите които ползваш

примерно 

system ntp ppp advanced-tools security dhcp wireless

не слагай комбинирания пакет

http://mirror.mikrotik-bg.net/?dir=v6/6.19/all_packages_mipsbe/

в Tools > Profile си  е все  така   защитната стена товари с около 45%,  

а queuing около 20 %,  ethernet около 10-20% и останалото се  разпределя  за  другите  процеси   

 

  при нормална работа   /system resource monitor

 

 Xmen@pc] > system resource monitor

          cpu-used: 31

  cpu-used-per-cpu: 31%

       free-memory: 9656

 

 

при  100% CPU  /system resource monitor

 

 

[Xmen@pc] > system resource monitor

          cpu-used: 100

  cpu-used-per-cpu: 100%

       free-memory: 9748

 

пращам ти променената конфигурация да хвърлиш едно  око,  която  си   ми описал ,  дали  съм  разбрал  правилно  с изключение на едно правило  за winbox,  също  така   незнам  за  хоспота  дали  съм  разбра,  по   точно  дали  съм  го   направил  както  трябва.

 

 

 sep/03/2014 22:56:08 by RouterOS 5.22
# software id = P1X4-VWFJ
#
/interface bridge
add admin-mac=D4:CA:6D:2B:9F:84 arp=reply-only auto-mac=no l2mtu=1598 name=bridge-local protocol-mode=rstp
/interface wireless
set 0 band=2ghz-b/g/n channel-width=20/40mhz-ht-above disabled=no distance=indoors l2mtu=2290 mode=ap-bridge ssid=X wireless-protocol=802.11
/interface ethernet
set 0 mac-address=00:09:6B:20:24:50 name=ether1-gateway
set 1 name=ether2-master-local
set 2 master-port=ether2-master-local name=ether3-slave-local
set 3 master-port=ether2-master-local name=ether4-slave-local
set 4 master-port=ether2-master-local name=ether5-slave-local
/interface pppoe-client
add add-default-route=yes disabled=no interface=ether1-gateway name=pppoe-out1 password=56164 use-peer-dns=yes user=vanko_01
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa2-psk mode=dynamic-keys supplicant-identity=MikroTik wpa-pre-shared-key=7654321i wpa2-pre-shared-key=7654321i
/ip dhcp-server
add disabled=no interface=bridge-local name=default
/ip hotspot user profile
set [ find default=yes ] idle-timeout=none
/user group
set read policy=local,reboot,read,test,winbox,password,web,sniff,sensitive,api,!telnet,!ssh,!ftp,!write,!policy
set write policy=local,reboot,read,write,test,winbox,password,web,sniff,sensitive,api,!telnet,!ssh,!ftp,!policy
/interface bridge port
add bridge=bridge-local interface=ether2-master-local
add bridge=bridge-local interface=wlan1
/ip dns
set allow-remote-requests=yes servers=195.24.92.2,195.24.92.1
/ip firewall filter
add chain=input comment=winbox dst-port=8291 protocol=tcp
add chain=input comment="default configuration" connection-state=established
add chain=input comment="default configuration" connection-state=related
add action=drop chain=input comment="default configuration" in-interface=ether1-gateway
add chain=input comment="default configuration" disabled=yes protocol=icmp
/ip firewall nat
add action=masquerade chain=srcnat comment="default configuration" out-interface="(unknown)" to-addresses=0.0.0.0
add action=masquerade chain=srcnat out-interface=pppoe-out1 to-addresses=0.0.0.0
/ip neighbor discovery
set ether1-gateway disabled=yes
set wlan1 disabled=yes
/ip service
set telnet disabled=yes
set ftp disabled=yes
set ssh disabled=yes
/ip upnp
set allow-disable-external-interface=no enabled=yes show-dummy-rule=no
/ip upnp interfaces
add interface=bridge-local type=internal
add interface=ether1-gateway type=external
/system clock
set time-zone-name=Europe/Sofia
/system identity
set name=pc
/system leds
set 0 interface=wlan1
/system ntp client
set enabled=yes mode=unicast primary-ntp=24.56.178.140 secondary-ntp=24.56.178.140
/system routerboard settings
set cpu-frequency=360MHz
/tool mac-server
add disabled=no interface=ether2-master-local
add disabled=no interface=ether3-slave-local
add disabled=no interface=ether4-slave-local
add disabled=no interface=ether5-slave-local
add disabled=no interface=wlan1
add disabled=no interface=bridge-local
/tool mac-server mac-winbox
set [ find default=yes ] disabled=yes
add interface=ether2-master-local
add interface=ether3-slave-local
add interface=ether4-slave-local
add interface=ether5-slave-local
add interface=wlan1
add interface=bridge-local

с  тези  корекции  нещата  се   държат  по  същия   начин,  а   до   колкото  за версия  6.19    ще   пробвам  като  намеря   малко  повечко  време,  трябва   да  издебна  време,   че да   не  усетят  голямо  прекъсване  клиентите,   чудя   се   дали   да   не   си  взема RB450G  ,да  подсигуря   нещата   и  тогава   да   си  ровичкам  на   спокойствие   този,   но   дали   той   ще   се   справя  с   нещата,  другото  което   ми  идва   на  ум   да   сложа  шеипър   на   този   та  да   не   се   вдигат  такива   големи  скорости

Edited September 4, 2014 by Mupo neTkoB
дублиране на коментари (5-пъти)

[Mupo neTkoB]

/system routerboard settings
set cpu-frequency=360MHz

това си го вдигни на 400, колкото ти е процесора

имам едни съмнения че няма да се подобри много работата и ми намирисва на грешно избран рутер за тези скорости

Перформънс тест-а от тук

http://routerboard.com/RB951-2n

Edited September 4, 2014 by Mupo neTkoB

[111111]

самия ъпдейт отнема макс 2 минути така че на дали ще усетят нещо нощес

[goshkata]

/system routerboard settings
set cpu-frequency=360MHz

това си го вдигни на 400, колкото ти е процесора

имам едни съмнения че няма да се подобри много работата и ми намирисва на грешно избран рутер за тези скорости

Перформънс тест-а от тук

http://routerboard.com/RB951-2n

влязох в /system routerboard settings, но там имам вариант да намаля на 240 MHz , за вдигане не, иначе е слабичък RB та няма до къде но това ми попадна от един приятел много изгодно . Затова смятам да си взема 450G, но дали той ще се справи

влязох в /system routerboard settings, но там имам вариант да намаля на 240 MHz , за вдигане не, иначе е слабичък RB та няма до къде но това ми попадна от един приятел много изгодно . Затова смятам да си взема 450G, но дали той ще се справи

самия ъпдейт отнема макс 2 минути така че на дали ще усетят нещо нощес

ще пробвам, благодаря и ще пиша

Edited September 4, 2014 by Mupo neTkoB

[MiPSus]

Толкова си му е силата на бордчето

Тествал/ползвал съм RB450 и RB2011 които са с по-добри CPU-та и те постигат 80-100Mbps със ~100 активни users при 100% CPU като това е тавана със ROS 5.xx , при 6.xx има леки оптимизации, но не решават проблема.

Просто се изкачвай нагоре по хардуерната стълбичка поне на следващо стъпало:

http://vesuviustreamline.com/bg/product/mikrotik-routerboard-951ui-2hnd.html

Но ако смяташ серйозно да се занимаваш и очакваш разширение на мрежата ще е умно да вложиш в нещо ново като:

http://vesuviustreamline.com/product/1230/ccr1009-8g-1s-mikrotik-cloud-core-ruter.html

[goshkata]

Толкова си му е силата на бордчето

Тествал/ползвал съм RB450 и RB2011 които са с по-добри CPU-та и те постигат 80-100Mbps със ~100 активни users при 100% CPU като това е тавана със ROS 5.xx , при 6.xx има леки оптимизации, но не решават проблема.

Просто се изкачвай нагоре по хардуерната стълбичка поне на следващо стъпало:

http://vesuviustreamline.com/bg/product/mikrotik-routerboard-951ui-2hnd.html

Но ако смяташ серйозно да се занимаваш и очакваш разширение на мрежата ще е умно да вложиш в нещо ново като:

http://vesuviustreamline.com/product/1230/ccr1009-8g-1s-mikrotik-cloud-core-rut

CCR1009-8G-1S добър  вариант , но   на   този   етап   ми  идва скъп ,   смятам  да   пробвам  с 450G