Mikrotik vs Switch

[zvukarmiso]

Ahojte

Dostal som sa do nasledovneho problému a neviem si uz nejak dať rady.

Ako hlavny router stale pouzivam mikrotik server asus s procesorom Intel Xeon E5620 s ramkou 4G a SSD diskom 60G. Zvysil sa mi trafick na 300Mbps a nejak mi to ide riadne do výkonu.
Rozmyslal som ze by som NAT a QUEUES Tree rozdelil na dve masiny.

Na nete som sa niekde dočítal, ze by bolo vhodnejsie použit na to nejaky switch a tam nejak spravit linuxovy server s pravidlami.
Neviem ci to napisem spravne ale skusim:
Niekde som cital ze dat nejaky kvalitnejsi switch napr cisco. Ja som si zapozical switch Alcatel OmniSwitch 6850-24L (este som ani nepozeral konfiguraciu, zohnal som si len navod k tomu a nejake zakladne prikazy)

moja predstava by bola asi nasledovná
vytvorit na switchy Vlan1(pripojenie netu + backuplinka na net rozdielny poskytovatelia) a VLan2 (intranet). Na switchy spustit NAT a potom by som dal server napr. s debianom (len neviem ci musi byt proxy ? ) a na servery by sa robili pravidla ako je routing verejnych IP a nejaky Firewall a nieco na QUEUES pre zákaznikov.

Prosim Vás viete mi povedat ktoré riesenie bude lepsie ? Je mozne ze o rok ten trafick bude aj 600M tak aby som sa nejak nepopalil a nasiel nejake vhodne riesenie a stabilne do buducna

Za pochopenie a vase rady vopred Ďakujem

PS: Ak mate nejake ine riešenie čo by mi pomohlo rad si ho vypocujem

[hapi]

to je to nejsmutnější co jsem tady za posledních pár měsíců čet

já bych pár nápadů měl. Pokud máš takový problémy pochopit to rozdělení natu a qosu na dvě mašiny tak bych šel do xeonů E5 a klidně osadil dvě patice. Vybavil přídavnými eternet kartami rozkládající IRQ zátěž mezi jádra. Možná bych se klidně zaměřit na ty co mají 8 TX a RX front. A hlavně použil minimálně mikrotik v5 a nebál bych se nasadit ani v6rc. Pro routing, nat a qos neobsahuje žádný chyby.

[zdenek.svarc]

Pokud jste začátečník, proč to nezkusit do nějakého virtualizačního prostředí jako hotovou appliance? VirtualBox, VMware, Live ISO ... http://www.zabbix.com/download.php

[ludvik]

Někde u 300M jsem měnil Pentium 4 za Core2 Duo, protože se mi to už moc nelíbilo. Ale stále fungovalo. NAT+QOS. Ovšem ne mikrotik ... tedy cesta optimalizace je ta správná. Hrubá síla až tolik ne.

Hapiho řešení je nezaplatitelné a jako rada nesmyslné. Spíš bych to chápal jako "když tomu nerozumí, tak ať si to zaplatí". Vcelku libovolný Xeon E3 uroutuje, unatuje a uqosuje gigabitové rychlosti vcelku s prstem v nose. Za zlomkovou cenu multi-E5 řešení.

Na switchi NAT? Se mi moc nezdá ... Troufl bych si říci, že cena takového stroje budou spíš milióny, než statisíce. Myslím samozřejmě PAT, tedy překlad 1:N pomocí něčeho jako je conntrack. NAT 1:1 zvládne opravdu leccos ... 1:N už ne.


Zdeňku? Zabbix? Jakou to má souvislost?

[zdenek.svarc]

Zdeňku? Zabbix? Jakou to má souvislost?

Absolutně žádnou, omlouvám se To patřilo do vlákna viewtopic.php?f=56&t=4312

[zvukarmiso]

Takze podla vas je lepsie ist do mikrotiku ? pochopil som správne ?

K tejto problematike som si precital vela veci na forach, ale nikto sa nikdy s nikym neshodol na nejakom rieseni.

[ludvik]

Nikdy se neshodneš. To je prostě axiom. Hapi ti doporučuje mikrotik, já ne ...

[hapi]

no tak když jsem si přečet jak mluví o tom co chce a o tom jak to chce udělat tak jsem ho nechal v tom ať to postaví na MKčku a na jedom silnějším stroji a má klid. Na MKčku jede tak pojede dál. Pak povídal o možném 2x větším průtoku tak jsem mu navrhul ať počítá s druhou paticí jako rezervu. Zbytek ať s i přebere nebo dohodne.

[zvukarmiso]

Nikdy se neshodneš. To je prostě axiom. Hapi ti doporučuje mikrotik, já ne ...

Porad mi ako by si to riesil ty. Zaujimaju ma riesenia problému.

S mikrotikom viem ako by som to asi vyriesil, asi by som to rozdelil na 2 masiny. ale chcem aj nejaku alternativu aby bolo nad cim premyslat

[hapi]

no zkus si dvě mašiny. Uvidíš že je to celkem k ničemu. Hlavní zátěž je v mangle a QT což musí bejt na jedný mašině. Dál pak máš forwarding dat a třeba takovej nat na x86 mašině bere naprosto zanedbatelnej výkon v porovnání s předchozími dvěmi věcmi. Takže z tohoto pohledu je lepší vzít jednu pořádnou mašinu a udělat to všechno na ní. Když už je paket v cpu tak ho kompletně zpracovat.

Nicméně znám spoustu lidí co tahaji 300Mbit docela průměrným hardwarem na jedný mašině.

[keksik]

Ja som mal tiez jednu masinu na vsetko. Pri 100Mbps sla okolo na 80%. Po rozdeleni na 2 masiny mali obe zhruba okolo priemer 40% zataze.
Optimalizacie pravidiel je tiez dolezita. V oprilohe vid ako zabralo neslkor zoptimalizovanie mangle na QoS masine (2,8GHz C2D) pri cca 160mbps trafficu.

[ludvik]

Základní problém všeho je počet paketů za vteřinu. A u věcí vyžadujících conntrack (tedy NATka především) též počet spojení, resp. nová spojení. Rozdělením na dva stroje sériově si sice lze trochu pomoci, ale není to nic výrazného.

Obrovský problém mikrotiku je nutnost použití mangle, resp. markování paketů. To je zabiják. Sice to lze poměrně úspěšně optimalizovat (různé stromečky pravidel), ale opět je to jen nevýrazné. Přitom stačí jedna krásná věc - target CLASSIFY v netfilteru. Při jeho použití klesne náročnost QOSu řádově. Hardcore admini používají dokonce hash tabulky v TC filterech, to je ještě výkonnější. Běžné C2D pak zvládne stovky megabit levou zadní, jak QOSovat, tak NATkovat.

A každé řešení musí být v netfilteru alespoň trochu optimalizované. Nudle pravidel bez ladu a skladu je zabiják. Kde to lze, tam je nutné využít IPSET (address-listy v pojetí mikrotiku, alespoň mám takový pocit, že to je to samé).

Proto pro vyšší potřeby preferuji čistý linux. Tam si lze vyhrát. Co lze na mikrotiku? Leda tak pravidlo většího kladiva.

[hapi]

já bych to nějak nehrotil. Máme 150Mbit toky a Xeon E3 si to dává bez jakýkoliv optimalizace cca na max 25 procent z každýho jádra. Ani mě nehne si s tim hrát a odlazovat na tom linux.

[ludvik]

Máme Xeon E3 a vytížení to co ty při tokách 700

já bych to nějak nehrotil. Máme 150Mbit toky a Xeon E3 si to dává bez jakýkoliv optimalizace cca na max 25 procent z každýho jádra. Ani mě nehne si s tim hrát a odlazovat na tom linux.

[hapi]

jistě

a kolik si toho optimalizoval?

Kdysi jsme na linuxu jeli a co jsem studoval tak rozdíl mezi manglem a classify nikde žádnej nepsaly. Neni to zase blud stejnej jako že router brzdí provoz?