CLOUD CORE ROUTER (CCR1036)

[Jap]

tak jsem zkusil udp flood na ccr a celkem to ustal

udp flood z linuxu

Kód: Vybrat vše

./udpflood_multithread.pl 192.168.88.1 0 64 300 5 0
[x]Valid IP check...
[x]Port Check...
[x]Packet Size Check...
[x]Valid Seconds check...
[x]Valid Threads check...
[x]Valid "Show Each Packet" variable...
Continue?[y/n]
y
[UDP Flooding] 192.168.88.1 | PORT:random PacketSize:64-byte Seconds:300 Threads:5
Thread:0
Thread:1
Thread:2
Thread:3
Thread:4
Thread:5


a co na to ccr?

Kód: Vybrat vše

[admin@MikroTik] > /system health print     
                    fan-mode: auto
                     use-fan: main
          cpu-overtemp-check: yes
      cpu-overtemp-threshold: 100C
  cpu-overtemp-startup-delay: 1m
                  active-fan: main
                   fan-speed: 5448RPM
                  fan-speed2: 5211RPM
                 temperature: 40C
             cpu-temperature: 53C
[admin@MikroTik] > /system resource monitor
          cpu-used: 87%
  cpu-used-per-cpu: 90%,85%,90%,86%,89%,88%,88%,88%,90%,78%,86%,90%,90%,87%,88%,89%,87%,90%,87%,88%,91%,90%,87%,88%,90%,90%,88%,89%,90%,89%,86%,88%,88%,88%,90%,75%
       free-memory: 3620480KiB

[admin@MikroTik] > /interface monitor-traffic ether1
                     name:     ether1
    rx-packets-per-second:    350 300
      rx-drops-per-second:          0
     rx-errors-per-second:          0
       rx-bits-per-second:  297.0Mbps
    tx-packets-per-second:        116
      tx-drops-per-second:          0
     tx-errors-per-second:          0
       tx-bits-per-second:  127.2kbps

[admin@MikroTik] >


zatez cpu vyletela na chvilku jen na zacatku floodu. fllod sel na ip adresu ccrka.

[Radek Úlehla]

Na CCRku byl DROP, REJECT nebo ACCEPT?

[Jap]

Na CCRku byl DROP, REJECT nebo ACCEPT?

nebylo tam nic, ale muzu tam zkusit dat nejake pravidlo nebo pravidla..

takze nova zkouska, 200 pravidel:

Kód: Vybrat vše

[admin@MikroTik] > /ip firewall filter print
Flags: X - disabled, I - invalid, D - dynamic
 0   chain=input action=drop protocol=udp dst-address=192.168.88.1 dst-port=1

 1   chain=input action=drop protocol=udp dst-address=192.168.88.1 dst-port=2

 2   chain=input action=drop protocol=udp dst-address=192.168.88.1 dst-port=3

 3   chain=input action=drop protocol=udp dst-address=192.168.88.1 dst-port=4

 4   chain=input action=drop protocol=udp dst-address=192.168.88.1 dst-port=5
...
...
195   chain=input action=drop protocol=udp dst-address=192.168.88.1 dst-port=196

196   chain=input action=drop protocol=udp dst-address=192.168.88.1 dst-port=197

197   chain=input action=drop protocol=udp dst-address=192.168.88.1 dst-port=198

198   chain=input action=drop protocol=udp dst-address=192.168.88.1 dst-port=199

199   chain=input action=drop protocol=udp dst-address=192.168.88.1 dst-port=200


a ted je to zajimavejsi:

Kód: Vybrat vše

./udpflood_multithread.pl 192.168.88.1 200 64 300 5 0
[x]Valid IP check...
[x]Port Check...
[x]Packet Size Check...
[x]Valid Seconds check...
[x]Valid Threads check...
[x]Valid "Show Each Packet" variable...
Continue?[y/n]
y
[UDP Flooding] 192.168.88.1 | PORT:200 PacketSize:64-byte Seconds:300 Threads:5
Thread:0
Thread:1
Thread:2
Thread:3
Thread:4
Thread:5

[admin@MikroTik] > /interface monitor-traffic ether1
                     name:     ether1
    rx-packets-per-second:    313 760
      rx-drops-per-second:          0
     rx-errors-per-second:          0
       rx-bits-per-second:  266.0Mbps
    tx-packets-per-second:          2
      tx-drops-per-second:          0
     tx-errors-per-second:          0
       tx-bits-per-second:    4.4kbps

[admin@MikroTik] > /system resource monitor         
          cpu-used: 100%
  cpu-used-per-cpu: 100%,100%,100%,100%,100%,100%,100%,100%,100%,100%,100%,100%,100%,100%,100%,100%,100%,100%,100%,100%,100%,100%,100%,100%,100%,100%,100%,100%,100%,100%,100%,100%,100%,100%,100%,100%
       free-memory: 3765888KiB


[hapi]

skuz nějakej normální test. Pro začátek třeba 100, 200, 500 nebo 1000 manglů a skrz to pust jenom FTPčko co to udělá. Někde vyhrabu jak to mávalo s atomem.

[Radek Úlehla]

Když už bych to testoval UDP floodem, tak bych tam dal jedno pravidlo na všechny UDP na input, nevím proč tam máš dst-nat.
A hlavně bych to testoval vždy při stejném floodu, třeba 200Mbps a z pak bych reportoval výsledky celkového zatížení CPU vůči jiným platformám. Ale tak jako tak je UDP flood test dobrý max. na zjištění, jak se to bude chovat, když někdo bude ten flood dělat.

90% lidí si už díky grafům, co posílal kolega, dokáže zhruba představit, co CCRko utáhne. Zbytek, včetně hapiho si to musí otestovat jinak

PS: Hapi, když pošleš konfiguraci, která půjde do CCRka naimportovat, tak při dalším nákupu CCRka, tu konfiguraci můžeme otestovat. Nedělám to, že bych Ti chtěl pomoct, ale aby si viděl, že x86 v podobné cenové relaci tohle prostě nedá

[hapi]

fajny, importy ti mohu poslat abych ti ukázal jak tomu xeon natře připravím je. Můžu pak skusit nějaký testy co ty na reálnym železe a můžeme to porovnat. Akorát tam nemám v6 a pokud xeon neuspěje tak jsem ochotnej v6ku na GW risknout

[Majklik]

Hapi, V6 bych se možná na GW ještě bál, ale pokud ti to jen NATuje/shapuje, tka asi OK. Comám testovací sestavu nkolika routerů, tak je aktuálně u rc6 ta střední doba vytuhnutí 4 dny (ale je v tom nacpáno vše možné - OSPFv2/v3, BGP, IPsec, GRE tunely, SSTP, VRRP, DHCP, NAT, ...).

Add CCR, nezkoušel jste náhodou někdo, kolik to dokáže dát při šifrování IPsecu? Potřeboval bych nějak aktuálně pořešit něco, co dá aspoň 1 Gpbs (ideálně 7 tunelů po 1 Gpbs). Škoda, že to CCR nemá aspoň jeden (ideálně 2) 10 Gbps porty. Pokud by to dalo aspoň 1 Gpbs jeden port dovnitř data, druhým portem zašifrováno, tak jich bednu/dvě uživím.
Ten procák má hardwarovou podporu pro IPsec, ale Mikrotikové přiznávají, že ji v této chvíli nepoužívají, že časem, ale kolik to umlátí jen v CPU softwarově neuvádí.

[Radek Úlehla]

Tak si domluv zápůjčku, každý solidní prodejce to udělá.

[Jap]

Když už bych to testoval UDP floodem, tak bych tam dal jedno pravidlo na všechny UDP na input, nevím proč tam máš dst-nat.

je to na inputu, ne dst-nat. dobre na tom aspon je, ze to ten udp flood ustoji a da se to stale ovladat..

Kód: Vybrat vše

0   chain=input action=drop protocol=udp dst-address=192.168.88.1 dst-port=1


[Radek Úlehla]

Špatně jsem se podíval, ale i tak stačí jedno pravidlo pro udp.

[hapi]

Tak si domluv zápůjčku, každý solidní prodejce to udělá.

nikdo to nechce zapůjčit. Podobný kolečko jsem absolvoval u RB1100AHx2. Všude řekly že ho mám koupit a pak vrátit a prachy pošlou zpátky. Víc nikdo nechtěl řešit i když jsme u nich dlouholetý zákazníci.

[hapi]

Hapi, V6 bych se možná na GW ještě bál, ale pokud ti to jen NATuje/shapuje, tka asi OK. Comám testovací sestavu nkolika routerů, tak je aktuálně u rc6 ta střední doba vytuhnutí 4 dny (ale je v tom nacpáno vše možné - OSPFv2/v3, BGP, IPsec, GRE tunely, SSTP, VRRP, DHCP, NAT, ...).

Add CCR, nezkoušel jste náhodou někdo, kolik to dokáže dát při šifrování IPsecu? Potřeboval bych nějak aktuálně pořešit něco, co dá aspoň 1 Gpbs (ideálně 7 tunelů po 1 Gpbs). Škoda, že to CCR nemá aspoň jeden (ideálně 2) 10 Gbps porty. Pokud by to dalo aspoň 1 Gpbs jeden port dovnitř data, druhým portem zašifrováno, tak jich bednu/dvě uživím.
Ten procák má hardwarovou podporu pro IPsec, ale Mikrotikové přiznávají, že ji v této chvíli nepoužívají, že časem, ale kolik to umlátí jen v CPU softwarově neuvádí.

známej to má na novym supermicru v6rc5 a uptime 21 dní. Nevim co s tim lidi vyvádí že se jim to restartuje ale jiak jistě, používáme na GW pouze nativní funkce kernelu nat/mangle/filter/qt

[Radek Úlehla]

Tohle je celkem běžné. Domluvím půjčení, dostanu fakturu, když do 14 dnů nevrátím, tak ji musím zaplatit. Když vrátím, tak buď nezaplatím nic nebo dobropisem 5-10% ceny, dle ochoty dodavatele. S půjčením zboží jsem měl problém jen jednou jedinkrát, a to když jsem chtěl půjčit docela drahý 230V LAN adaptéry, protože dodavatel moc dobře věděl, že když to koupí, tak už to nikdy nikomu neprodá.

[kure05]

Tak jsme do firmy koupily dva kousky CCR1016 protože neměli RB1100AH X2 a řešíme problém s POE. Ať do portu č. 12 strčíme jakejkoliv POE adaptér, tak RB neožije. Zkoušeli jsme klasický pasivní POE, pak GBit POE od Sextantů a stejnak nic. Nevíte někdo jak ten POE port rozchodit ?

[net.work]

Podle tohohle to POE nemá! http://routerboard.com/CCR1036-12G-4S