HW X86 pre GW - 2018

[hapi]

hapi někde jsem na to potkal seminární práci nebo nějaký jiný test, zkusím to dohledat, snad mi to google znovu najde - ale zrychlení bylo vemi výrazné

edit: první nástřel, myslím že to je tohle https://workshop.netfilter.org/2013/wik ... public.pdf

pěkný ale to je ipset a ne iptables který by měl mikrotik používat. Ale nevim, nemám vyzkoušeno. Vlastně mám možnost to ve filtru zkusit. Máme tam accept asi 800 pravidel tak to můžu udělat jednim a ipčka nasypat do listu.

[pgb]

hapi to je porovnání ipsetu (mikrotik to implementuje jako address list) vs jednotlivá pravidla v ip firewall (implementováno v mk pomocí iptables)

[basty]

Mohu potvrdit, že jumpy v manglu na rozsahy funguji velmi dobře a vytížení rapidně klesne.

[ludvik]

doporučuji nastudovat prometheus od xChaose z czfree. Z diskuse okolo toho je vidět, jak to pomáhá ("stromečkování" v mangle). Ještě je škoda, že mikrotik nepodporuje target CLASIFY, to pak urychlí HTB ještě dále.

hapi: iptables je binárka která konfiguruje netfilter. ipset je modul pro netfilter. A nepoužít ho když to jde je cesta do pekel. Tisíc pravidel accept znamená, že paket projde v průměru polovinu (?) z toho tisíce. Kdežto vyhledání v ipset je skoro konstantní, je (prakticky) fuk kolik tam je záznamů.
A i když to vypadá zbytečně pro "pár IP", není to pravdou. Úprava firewallu (tabulky) není jednoduchá - technicky se upraví celá tabulka extra a vrací zpět do jádra. Což může trvat docela dlouho a může to být i znatelné na provozu (ale těžko říci, jestli mikrotik interně volá iptables, nebo to dělá atomicky pomocí iptables-restore). Kdežto změna ipsetu je po jednom záznamu, prakticky okamžitá.

A mikrotik z ipsetu podporuje jen poměrně malou podmnožinu funkcí ... což je také možná škoda.

[hapi]

to je hezký ale prakticky nevíme jestli ipset používá. Nicméně na NUMu byla přednáška o raw pravidlech která mikrotik podporuje a ukazovaly tam výrazný nárůst výkonu. Těžko říct co vůbec pod tim používají.

[pgb]

Hapi opravdu nic nevím, jen jsem se na tom mumu bavil s normisem a říkal mu, jak by bylo fajn, kdyby byl ipset address list implementovaný v simple queue a rozhodně to nerozporoval, mk je postavený na linuxu a ipset je část netfiltru tak nevymejšlej složitosti.

Raw má nárůst výkonu ve chvílích, kdy nepotřebuješ tracking. Zase pouze se jedná o implementace iptables NOTRACK do mk prostředí a cli.

[LadaP]

předpokládám že optimalizovaný mangle máš. Pokud ano tak ti nepomůže nic jinýho než jít do Xeonu E5 s 8 jádry. Jo a taky doporučuju tu optimalizaci udělat i ve filtru.

máš nějakou ověřenou desku?

díky
L

[waggy]

předpokládám že optimalizovaný mangle máš. Pokud ano tak ti nepomůže nic jinýho než jít do Xeonu E5 s 8 jádry. Jo a taky doporučuju tu optimalizaci udělat i ve filtru.

máš nějakou ověřenou desku?

díky
L

X9SRi-F jede velmi dobře už pár let bez problémů

[hapi]

X9? v jakym roce to žiješ? Má jednu výhodu a to je kompatibilní síťovka. Všechny od supermicra jedou dobře. Proč by nejeli když pro Xeon E3 je jenom jeden chipset.

Ověřená deska je X11SSL-F. Je i několik modifikací jako třeba hw raid řadič takže když někdo chce tak může MK běžet na HW raidu.

[Myghael]

Vždyť píše, že tu X9 už má pár let. Jestli jsem se k té X11SSL-F dočetl tady nebo jinde nevím, ale máme ji také a funguje skvěle.

[lukas.zadina]

Ahoj vsem, dekuji za tip na desku pro Mikrotik HW-GW, chtel jsem poprosit o radu, zda nekdo v deskach pouziva misto disku SuperDOM, tedy jestli to RouterOS uvidi jako disk. Zkousel jsem udelat HW GW na stroji DELL, ale RouterOS nemel ovladace na radic. Do virtualky nejdu..

[ef]

Tak se na to rovnou vybodni. Bez virtualizace to nerozjedeš.

[Myghael]

Použil, jednou. Fungovalo to, víc k tomu nemám co, prostě to jelo, dokud se to nepřeklopilo na virtuálku. Od té doby není problém.

[hapi]

pokud se ten řadič chová jako normální sata což by měl tak neni problém. Problém bude s instalací Mikrotiku.

Jedeme výhradně superDOM a výhradně je montuju do routerů co jdou pryč a nikdy nebyl problém. Nejsou nijak extra rychlý oproti třeba klasických ssd od kingstonu nebo samsugnu či intelu což teda není ani podstatný ale stejně si stále udržujou konstatní rychlost kolem 40MB/s write s konstatní latencí což bohatě stačí. No a hlavně když se osadí do správný desky od supermicra tak ani není třeba k nim tahat napájení protože si ho vemou ze sata konektoru a pokud ne, supermicro desky maji hned vedle jednoho sata konektoru extra 2pin na napájení jednoho superDOMu takže krátkej kablík z domu přímo do desky hned vedle . A v neposlední řadě se vejdou i do 1U chase přímo do sata slotu. Mě se to líbí. Prakticky kromě cpu a ramek je všechno od supermicra.

Jo a musíš tam dát ethernetovou kartu, ty co jsou na desce mikrotik nepodporuje ačkoliv by podle verze jádra měl (parchanti to zakázaly)

[the.max]

Jo a musíš tam dát ethernetovou kartu, ty co jsou na desce mikrotik nepodporuje ačkoliv by podle verze jádra měl (parchanti to zakázaly)

...protože jinak by mohli z fleku vypnout linku, na který vyráběj CCRka.