+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

CCR – правила QoS/управления, 100% загрузка ЦП.

CCR – правила QoS/управления, 100% загрузка ЦП., RouterOS

nuskope

Guest

04.12.2013 05:40:00

Привет всем. У нас сейчас в эксплуатации несколько CCR, и мы довольны их производительностью при обработке больших объемов PPPoE-соединений и маршрутизируемого трафика. В начале нашей деятельности у нас были очень детальные правила QoS для контроля использования полосы пропускания, однако со временем мы отключили эти правила, чтобы сэкономить ресурсы ЦП, и просто купили больше полосы пропускания. Сейчас мы пропускаем пиковые 600 Мбит/200 Мбит через наш «фаервол»-маршрутизатор и на наш пограничный маршрутизатор (оба CCR). На каждой основной точке доступа у нас теперь есть LNS, модели которых различаются в зависимости от количества подключений в каждой точке, но большинство из них были обновлены до CCR. Вот моя проблема: когда я включаю свои 200 правил mangle на моем фаервол-маршрутизаторе (который обычно просто защищает нашу сеть и выступает маршрутизатором для множества диапазонов IP-адресов) [обычная загрузка ЦП составляет 1-3%], вся штука зависает и умирает… 100% загрузка ЦП, и я не могу подключиться к нему даже локально, подключенному к управляющему интерфейсу. Нам приходится физически изолировать его от сети, отключать правила mangle и затем снова подключать. - это плохо.

Примечание: Это происходит только при включении правил mangle, очередь (queue tree) пока отключена. Те же самые правила работают нормально на LNS (CCR) с 120 PPPoE-соединениями.

Однако трафика значительно больше. Из моих 200 правил mangle, 130 - правила Layer 7. (может быть, это моя проблема?) Некоторые правила для списков IP с примерно 20-30 диапазонов IP-адресов, остальные - порты. Мы используем такую схему: помечаем соединение и помещаем каждую категорию в свою цепочку, затем помечаем пакеты и переходим к следующей цепочке:

Пример: пометки p2p:
add action=mark-connection chain=p2p comment="ALL p2p" disabled=yes new-connection-mark=p2pC p2p=all-p2p
add action=mark-connection chain=p2p comment="P2P - Layer7" disabled=yes layer7-protocol=P2P-bittorrent new-connection-mark=p2pC
add action=mark-connection chain=p2p disabled=yes layer7-protocol=torrent-wwws new-connection-mark=p2pC
add action=mark-connection chain=p2p disabled=yes layer7-protocol=torrent-dns new-connection-mark=p2pC
add action=mark-connection chain=p2p disabled=yes layer7-protocol=P2P-kugoo new-connection-mark=p2pC
add action=mark-connection chain=p2p disabled=yes layer7-protocol=P2P-jabber new-connection-mark=p2pC
add action=mark-connection chain=p2p disabled=yes layer7-protocol=P2P-ares new-connection-mark=p2pC
add action=mark-connection chain=p2p disabled=yes layer7-protocol="P2P-bittorrent II" new-connection-mark=p2pC
add action=mark-connection chain=p2p disabled=yes layer7-protocol="P2P-bittorrent III" new-connection-mark=p2pC
add action=mark-connection chain=p2p disabled=yes layer7-protocol=P2P-100bao new-connection-mark=p2pC
add action=mark-connection chain=p2p disabled=yes layer7-protocol=P2P-applejuice new-connection-mark=p2pC
add action=mark-connection chain=p2p disabled=yes layer7-protocol=P2P-audiogalaxy new-connection-mark=p2pC
add action=mark-connection chain=p2p disabled=yes layer7-protocol=P2P-directconnect new-connection-mark=p2pC
add action=mark-connection chain=p2p disabled=yes layer7-protocol=P2P-fasttrack new-connection-mark=p2pC
add action=mark-connection chain=p2p disabled=yes layer7-protocol=P2P-freenet new-connection-mark=p2pC
add action=mark-connection chain=p2p disabled=yes layer7-protocol=P2P-gnucleuslan new-connection-mark=p2pC
add action=mark-connection chain=p2p disabled=yes layer7-protocol=P2P-imesh new-connection-mark=p2pC
add action=mark-connection chain=p2p disabled=yes layer7-protocol=P2P-gnutella new-connection-mark=p2pC
add action=mark-connection chain=p2p disabled=yes layer7-protocol=P2P-goboogy new-connection-mark=p2pC
add action=mark-connection chain=p2p disabled=yes layer7-protocol=P2P-hotline new-connection-mark=p2pC
add action=mark-connection chain=p2p disabled=yes layer7-protocol=P2P-mute new-connection-mark=p2pC
add action=mark-connection chain=p2p disabled=yes layer7-protocol=P2P-napster new-connection-mark=p2pC
add action=mark-connection chain=p2p disabled=yes layer7-protocol=P2P-openft new-connection-mark=p2pC
add action=mark-connection chain=p2p disabled=yes layer7-protocol=P2P-poco new-connection-mark=p2pC
add action=mark-connection chain=p2p disabled=yes layer7-protocol=P2P-soribada new-connection-mark=p2pC
add action=mark-connection chain=p2p disabled=yes layer7-protocol=P2P-tesla new-connection-mark=p2pC
add action=mark-connection chain=p2p disabled=yes layer7-protocol=P2P-thecircle new-connection-mark=p2pC
add action=mark-connection chain=p2p disabled=yes layer7-protocol=P2P-xunlei new-connection-mark=p2pC
add action=mark-packet chain=p2p comment="p2p Download > Flow" connection-mark=p2pC disabled=yes in-interface="GbE6 - Internet comes from here" new-packet-mark=p2pFlow-download passthrough=no
add action=mark-packet chain=p2p comment="p2p Upload > Flow" connection-mark=p2pC disabled=yes new-packet-mark=p2pFlow-upload passthrough=no
add action=jump chain=prerouting comment=p2p disabled=yes jump-target=p2p

Пока мой CCR обрабатывает около 250k пакетов в секунду по всем интерфейсам с общей пропускной способностью 600/200 Мбит/с, должен ли CCR справляться с обработкой и маркировкой пакетов для QoS? Что я могу сделать, чтобы решить эту проблему, и снова использовать QoS, чтобы не приходилось покупать больше трафика?

Примечание: Я также пытался включить правила на маршрутизаторе только с 200 Мбит трафика, и там происходит тот же сбой.

morf Guest	#2 0 12.12.2013 06:45:00 У меня похожая проблема. [Ticket#2013121166000685]

derr12

Guest

12.12.2013 19:10:00

У тебя ОЧЕНЬ много правил уровня 7 для обработки. Возможно, стоит подумать об отказе от использования правил уровня 7 в таком большом масштабе на этом оборудовании, так как это сильно нагружает процессор. Попробуй создать теги QoS для другого трафика, который легко идентифицировать, например, DNS, VoIP, HTTP и электронную почту. Назначь им более высокий приоритет в дереве очередей. Все остальное можно пометить как "другое". Это не так точно, но главное, чтобы важный трафик получал приоритет…

Вот что я делаю с CCR в качестве прозрачного шейпера, который, кажется, минимально влияет на загрузку процессора, хотя я и не обрабатываю столько пропускной способности, сколько ты:

`/ip firewall mangle`

add action=mark-packet chain=forward comment="DNS Uploads" dst-port=53 new-packet-mark=p1_up passthrough=no protocol=tcp \
src-address-list=public
add action=mark-packet chain=forward comment="DNS Downloads" dst-address-list=public new-packet-mark=p1_down passthrough=no \
protocol=tcp src-port=53
add action=mark-packet chain=forward comment="DNS Uploads" dst-port=53 new-packet-mark=p1_up passthrough=no protocol=udp \
src-address-list=public
add action=mark-packet chain=forward comment="DNS Downloads" dst-address-list=public new-packet-mark=p1_down passthrough=no \
protocol=udp src-port=53
add action=mark-connection chain=forward comment="VOIP Connection mark SIP" dscp=26 layer7-protocol=sip new-connection-mark=VOIP26 \
protocol=udp
add action=mark-connection chain=forward comment="VOIP Connection mark RTP" dscp=46 layer7-protocol=RTP-accurate \
new-connection-mark=VOIP46
add action=mark-packet chain=forward comment="SIP Uploads" connection-mark=VOIP26 new-packet-mark=p2_up passthrough=no \
src-address-list=public
add action=mark-packet chain=forward comment="SIP Downloads" connection-mark=VOIP26 dst-address-list=public new-packet-mark=p2_down \
passthrough=no
add action=mark-packet chain=forward comment="RTP Uploads" connection-mark=VOIP46 new-packet-mark=p2_up passthrough=no \
src-address-list=public
add action=mark-packet chain=forward comment="RTP Downloads" connection-mark=VOIP46 dst-address-list=public new-packet-mark=p2_down \
passthrough=no
add action=mark-connection chain=forward comment="HTTP Download conn mark" dst-address-list=public new-connection-mark=http_down \
protocol=tcp src-port=80,443,8080,81
add action=mark-connection chain=forward comment="HTTP upload conn mark" dst-port=80,443,8080,81 new-connection-mark=http_up \
protocol=tcp src-address-list=public
add action=mark-packet chain=forward comment=HTTP-Download connection-mark=http_down new-packet-mark=p3_down passthrough=no
add action=mark-packet chain=forward comment=HTTP-Upload connection-mark=http_up new-packet-mark=p3_up passthrough=no
add action=mark-connection chain=forward comment="Mark p2p with connection-mark" new-connection-mark=p2p_con p2p=all-p2p
add action=mark-connection chain=forward comment="E-mail Connection" dst-port=25,110,143,465,585,587,993,995 new-connection-mark=\
Email protocol=tcp
add action=mark-packet chain=forward comment="E-mail Upload" connection-mark=Email new-packet-mark=p3_up passthrough=no \
src-address-list=public
add action=mark-packet chain=forward comment="E-mail Downloads" connection-mark=Email dst-address-list=public new-packet-mark=\
p3_down passthrough=no
add action=mark-connection chain=forward comment="Xbox + PS3 Download tcp" new-connection-mark=xbox+ps3_down protocol=tcp src-port=\
3074,5223,3074
add action=mark-connection chain=forward comment="Xbox + ps3 download UDP" dst-address-list=public new-connection-mark=\
xbox+ps3_down protocol=udp src-port=88,3074,3478,3479,3658
add action=mark-connection chain=forward comment="Xbox+ps3 Up TCP" dst-port=3074,5223,3074 new-connection-mark=xbox+ps3_Up \
protocol=tcp
add action=mark-connection chain=forward comment="Xbox + PS3 up UDP" dst-port=88,3074,3478,3479,3658 new-connection-mark=\
xbox+ps3_Up protocol=udp
add action=mark-packet chain=forward comment="Xbox+ps3 Download" connection-mark=xbox+ps3_down dst-address-list=public \
new-packet-mark=p3_down passthrough=no
add action=mark-packet chain=forward comment="Xbox&ps3 Upload" connection-mark=xbox+ps3_Up new-packet-mark=p3_up passthrough=no \
src-address-list=public
add action=mark-packet chain=forward comment="P2P up" connection-mark=p2p_con new-packet-mark=p5_up passthrough=no \
src-address-list=public
add action=mark-packet chain=forward comment="p2p Down" connection-mark=p2p_con dst-address-list=public new-packet-mark=p5_down \
passthrough=no
add action=mark-packet chain=forward comment="Mark all remaining Upload." new-packet-mark=p4_up out-bridge-port=ether1 passthrough=\
no src-address-list=public
add action=mark-packet chain=forward comment="Mark all remaining Download" dst-address-list=public in-bridge-port=ether1 \
new-packet-mark=p4_down passthrough=no /queue tree
add max-limit=11M name=Uploads_Full parent=ether1 priority=1 queue=default
add max-limit=38M name=Downloads_Full parent=ether2 priority=1 queue=default
add limit-at=256k max-limit=38M name=DN_priority1 packet-mark=p1_down parent=Downloads_Full priority=1 queue=downloads_pcq
add limit-at=768k max-limit=38M name=DN_priority2 packet-mark=p2_down parent=Downloads_Full priority=2 queue=downloads_pcq
add limit-at=23M max-limit=37M name=DN_priority3 packet-mark=p3_down parent=Downloads_Full priority=3 queue=downloads_pcq
add limit-at=9M max-limit=37M name=DN_priority4 packet-mark=p4_down parent=Downloads_Full priority=4 queue=downloads_pcq
add limit-at=3M max-limit=37M name=DN_priority5 packet-mark=p5_down parent=Downloads_Full priority=5 queue=downloads_pcq
add limit-at=256k max-limit=11M name=UP_priority1 packet-mark=p1_up parent=Uploads_Full priority=1 queue=uploads_pcq
add limit-at=768k max-limit=11M name=UP_priority2 packet-mark=p2_up parent=Uploads_Full priority=2 queue=uploads_pcq
add limit-at=6M max-limit=10M name=UP_priority3 packet-mark=p3_up parent=Uploads_Full priority=3 queue=uploads_pcq
add limit-at=3M max-limit=10M name=UP_priority4 packet-mark=p4_up parent=Uploads_Full priority=4 queue=uploads_pcq
add limit-at=1M max-limit=10M name=UP_priority5 packet-mark=p5_up parent=Uploads_Full priority=5 queue=uploads_pcq

Asket Guest	#4 0 14.12.2013 18:04:00 Серьёзно, дерево очередей просто нерабочее — CCR вырубается за 3-5 секунд, спасает только отключение upstream-интерфейса. Пытался использовать дерево очередей на CCR-1036-8G-2S+, тест провалился. Трафик не превышает 200 мегабит (для 10G устройства!), пользователь жалуется на бурю, армагеддон… #CCR #queueing

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры