ludvik píše:Základní problém všeho je počet paketů za vteřinu. A u věcí vyžadujících conntrack (tedy NATka především) též počet spojení, resp. nová spojení. Rozdělením na dva stroje sériově si sice lze trochu pomoci, ale není to nic výrazného.
Obrovský problém mikrotiku je nutnost použití mangle, resp. markování paketů. To je zabiják. Sice to lze poměrně úspěšně optimalizovat (různé stromečky pravidel), ale opět je to jen nevýrazné. Přitom stačí jedna krásná věc - target CLASSIFY v netfilteru. Při jeho použití klesne náročnost QOSu řádově. Hardcore admini používají dokonce hash tabulky v TC filterech, to je ještě výkonnější. Běžné C2D pak zvládne stovky megabit levou zadní, jak QOSovat, tak NATkovat.
A každé řešení musí být v netfilteru alespoň trochu optimalizované. Nudle pravidel bez ladu a skladu je zabiják. Kde to lze, tam je nutné využít IPSET (address-listy v pojetí mikrotiku, alespoň mám takový pocit, že to je to samé).
Proto pro vyšší potřeby preferuji čistý linux. Tam si lze vyhrát. Co lze na mikrotiku? Leda tak pravidlo většího kladiva.
Na mikrotiku jsme udělali mangle do stromu a při 250 Mbitech (20 kpps/14 kpps) na nejpomalejším E3 Xeonu (3,1 GHz) jedeme na nějakých 18% loadu
a s tokem to moc neroste. Jak by taky mohlo, když je to do stromu a složitost vyhledávání je tedy log n ... Pravidel je v manglu 2300, v address listech 6500 pravidel.