HW X86 pre GW - 2018

Problematika MikroTik RouterBoard hardware
Uživatelský avatar
hapi
Příspěvky: 11559
Registrován: 11 years ago
Kontaktovat uživatele:

Re: HW X86 pre GW - 2018

Příspěvekod hapi » 4 months ago

pgb píše:hapi někde jsem na to potkal seminární práci nebo nějaký jiný test, zkusím to dohledat, snad mi to google znovu najde :) - ale zrychlení bylo vemi výrazné

edit: první nástřel, myslím že to je tohle https://workshop.netfilter.org/2013/wik ... public.pdf


pěkný ale to je ipset a ne iptables který by měl mikrotik používat. Ale nevim, nemám vyzkoušeno. Vlastně mám možnost to ve filtru zkusit. Máme tam accept asi 800 pravidel tak to můžu udělat jednim a ipčka nasypat do listu.
0 x

pgb
Příspěvky: 447
Registrován: 2 years ago

Příspěvekod pgb » 4 months ago

hapi to je porovnání ipsetu (mikrotik to implementuje jako address list) vs jednotlivá pravidla v ip firewall (implementováno v mk pomocí iptables)
0 x

basty
Příspěvky: 1731
Registrován: 13 years ago
Kontaktovat uživatele:

Příspěvekod basty » 4 months ago

Mohu potvrdit, že jumpy v manglu na rozsahy funguji velmi dobře a vytížení rapidně klesne.
0 x

ludvik
Příspěvky: 3940
Registrován: 7 years ago

Příspěvekod ludvik » 4 months ago

doporučuji nastudovat prometheus od xChaose z czfree. Z diskuse okolo toho je vidět, jak to pomáhá ("stromečkování" v mangle). Ještě je škoda, že mikrotik nepodporuje target CLASIFY, to pak urychlí HTB ještě dále.

hapi: iptables je binárka která konfiguruje netfilter. ipset je modul pro netfilter. A nepoužít ho když to jde je cesta do pekel. Tisíc pravidel accept znamená, že paket projde v průměru polovinu (?) z toho tisíce. Kdežto vyhledání v ipset je skoro konstantní, je (prakticky) fuk kolik tam je záznamů.
A i když to vypadá zbytečně pro "pár IP", není to pravdou. Úprava firewallu (tabulky) není jednoduchá - technicky se upraví celá tabulka extra a vrací zpět do jádra. Což může trvat docela dlouho a může to být i znatelné na provozu (ale těžko říci, jestli mikrotik interně volá iptables, nebo to dělá atomicky pomocí iptables-restore). Kdežto změna ipsetu je po jednom záznamu, prakticky okamžitá.

A mikrotik z ipsetu podporuje jen poměrně malou podmnožinu funkcí ... což je také možná škoda.
2 x
Ohledně GDPR již nediskutuji. Když nic nevím, musím si to nastudovat jinde - a pak už to vím a nemám potřebu diskutovat zde.

Uživatelský avatar
hapi
Příspěvky: 11559
Registrován: 11 years ago
Kontaktovat uživatele:

Příspěvekod hapi » 4 months ago

to je hezký ale prakticky nevíme jestli ipset používá. Nicméně na NUMu byla přednáška o raw pravidlech která mikrotik podporuje a ukazovaly tam výrazný nárůst výkonu. Těžko říct co vůbec pod tim používají.
0 x

pgb
Příspěvky: 447
Registrován: 2 years ago

Příspěvekod pgb » 4 months ago

Hapi opravdu nic nevím, jen jsem se na tom mumu bavil s normisem a říkal mu, jak by bylo fajn, kdyby byl ipset address list implementovaný v simple queue a rozhodně to nerozporoval, mk je postavený na linuxu a ipset je část netfiltru tak nevymejšlej složitosti.

Raw má nárůst výkonu ve chvílích, kdy nepotřebuješ tracking. Zase pouze se jedná o implementace iptables NOTRACK do mk prostředí a cli.
1 x

LadaP
Příspěvky: 100
Registrován: 13 years ago

Příspěvekod LadaP » 4 months ago

hapi píše:předpokládám že optimalizovaný mangle máš. Pokud ano tak ti nepomůže nic jinýho než jít do Xeonu E5 s 8 jádry. Jo a taky doporučuju tu optimalizaci udělat i ve filtru.


máš nějakou ověřenou desku?

díky
L
0 x

waggy
Příspěvky: 76
Registrován: 9 years ago
antispam: Ano

Příspěvekod waggy » 4 months ago

LadaP píše:
hapi píše:předpokládám že optimalizovaný mangle máš. Pokud ano tak ti nepomůže nic jinýho než jít do Xeonu E5 s 8 jádry. Jo a taky doporučuju tu optimalizaci udělat i ve filtru.


máš nějakou ověřenou desku?

díky
L


X9SRi-F jede velmi dobře už pár let bez problémů
0 x

Uživatelský avatar
hapi
Příspěvky: 11559
Registrován: 11 years ago
Kontaktovat uživatele:

Příspěvekod hapi » 4 months ago

X9? v jakym roce to žiješ? Má jednu výhodu a to je kompatibilní síťovka. Všechny od supermicra jedou dobře. Proč by nejeli když pro Xeon E3 je jenom jeden chipset.

Ověřená deska je X11SSL-F. Je i několik modifikací jako třeba hw raid řadič takže když někdo chce tak může MK běžet na HW raidu.
0 x

Uživatelský avatar
Myghael
Příspěvky: 1193
Registrován: 7 years ago

Příspěvekod Myghael » 4 months ago

Vždyť píše, že tu X9 už má pár let. Jestli jsem se k té X11SSL-F dočetl tady nebo jinde nevím, ale máme ji také a funguje skvěle.
0 x
Si vis pacem, para bellum.

MikroTik, UBNT, Cisco, TP-Link... rozhoduje vhodnost toho či onoho pro konkrétní použití, ne jaké logo nalepili v Číně na krabici. Na tomto fóru vystupuji jen a pouze sám za sebe.

lukas.zadina
Příspěvky: 6
Registrován: 10 years ago

Příspěvekod lukas.zadina » 4 months ago

Ahoj vsem, dekuji za tip na desku pro Mikrotik HW-GW, chtel jsem poprosit o radu, zda nekdo v deskach pouziva misto disku SuperDOM, tedy jestli to RouterOS uvidi jako disk. Zkousel jsem udelat HW GW na stroji DELL, ale RouterOS nemel ovladace na radic. Do virtualky nejdu..
0 x

ef
Příspěvky: 599
Registrován: 12 years ago

Příspěvekod ef » 4 months ago

Tak se na to rovnou vybodni. Bez virtualizace to nerozjedeš.
1 x

Uživatelský avatar
Myghael
Příspěvky: 1193
Registrován: 7 years ago

Příspěvekod Myghael » 4 months ago

Použil, jednou. Fungovalo to, víc k tomu nemám co, prostě to jelo, dokud se to nepřeklopilo na virtuálku. Od té doby není problém.
0 x
Si vis pacem, para bellum.

MikroTik, UBNT, Cisco, TP-Link... rozhoduje vhodnost toho či onoho pro konkrétní použití, ne jaké logo nalepili v Číně na krabici. Na tomto fóru vystupuji jen a pouze sám za sebe.

Uživatelský avatar
hapi
Příspěvky: 11559
Registrován: 11 years ago
Kontaktovat uživatele:

Příspěvekod hapi » 4 months ago

pokud se ten řadič chová jako normální sata což by měl tak neni problém. Problém bude s instalací Mikrotiku.

Jedeme výhradně superDOM a výhradně je montuju do routerů co jdou pryč a nikdy nebyl problém. Nejsou nijak extra rychlý oproti třeba klasických ssd od kingstonu nebo samsugnu či intelu což teda není ani podstatný ale stejně si stále udržujou konstatní rychlost kolem 40MB/s write s konstatní latencí což bohatě stačí. No a hlavně když se osadí do správný desky od supermicra tak ani není třeba k nim tahat napájení protože si ho vemou ze sata konektoru a pokud ne, supermicro desky maji hned vedle jednoho sata konektoru extra 2pin na napájení jednoho superDOMu takže krátkej kablík z domu přímo do desky hned vedle . A v neposlední řadě se vejdou i do 1U chase přímo do sata slotu. Mě se to líbí. Prakticky kromě cpu a ramek je všechno od supermicra.

Jo a musíš tam dát ethernetovou kartu, ty co jsou na desce mikrotik nepodporuje ačkoliv by podle verze jádra měl (parchanti to zakázaly)
1 x

the.max
Příspěvky: 1101
Registrován: 11 years ago
Bydliště: Sudetten land
Kontaktovat uživatele:

Příspěvekod the.max » 4 months ago

hapi píše:Jo a musíš tam dát ethernetovou kartu, ty co jsou na desce mikrotik nepodporuje ačkoliv by podle verze jádra měl (parchanti to zakázaly)


...protože jinak by mohli z fleku vypnout linku, na který vyráběj CCRka.
0 x
Vysoce odborných omylů se dopouští jen specialisté.

Jednou jsem se dotkl ukazováčkem UBNT a slezl mi z něho nehet. Od té doby na UBNT nesahám.


Zpět na „Hardware“

Kdo je online

Uživatelé prohlížející si toto fórum: Žádní registrovaní uživatelé a 10 hostů