Привет, @everyone. Я хочу обеспечить DarkFiber (уровень 2) двумя мощными роутерами MikroTik с IPsec. Конфигурация: 2x CCR2004-1G-12S+2XS 2x XS+27LC15D SingleMode 10Gbit DarkFiber, расстояние 6 км.
Первая попытка: соединение уровня 2 через EoIP туннель:
0 name="eoip-tunnel-destinationA" mtu=auto actual-mtu=1458 l2mtu=65535
mac-address=02:B1:B6:4A:B7:33 arp=enabled arp-timeout=auto
loop-protect=default loop-protect-status=off
loop-protect-send-interval=5s loop-protect-disable-time=5m
local-address=0.0.0.0 remote-address=172.31.0.14 tunnel-id=2
keepalive=10s,10 dscp=inherit clamp-tcp-mss=yes dont-fragment=no
ipsec-secret="ipsecsecret" allow-fast-path=no
Профиль IPsec:
0 * name="default" hash-algorithm=sha256 enc-algorithm=aes-256 dh-group=modp1024
lifetime=1d proposal-check=obey nat-traversal=yes dpd-interval=2m
dpd-maximum-failures=5
Результаты:
Тест пропускной способности (прием TCP) напрямую: 3.2 Гбит/с (нагрузка CPU 70%)
через туннель EoIP: 966 Мбит/с (нагрузка CPU 46%)
Вопрос: Есть ли варианты повышения производительности? Другие методы (MAC-secure)? Переход на уровень 3? Спасибо.
Первая попытка: соединение уровня 2 через EoIP туннель:
0 name="eoip-tunnel-destinationA" mtu=auto actual-mtu=1458 l2mtu=65535
mac-address=02:B1:B6:4A:B7:33 arp=enabled arp-timeout=auto
loop-protect=default loop-protect-status=off
loop-protect-send-interval=5s loop-protect-disable-time=5m
local-address=0.0.0.0 remote-address=172.31.0.14 tunnel-id=2
keepalive=10s,10 dscp=inherit clamp-tcp-mss=yes dont-fragment=no
ipsec-secret="ipsecsecret" allow-fast-path=no
Профиль IPsec:
0 * name="default" hash-algorithm=sha256 enc-algorithm=aes-256 dh-group=modp1024
lifetime=1d proposal-check=obey nat-traversal=yes dpd-interval=2m
dpd-maximum-failures=5
Результаты:
Тест пропускной способности (прием TCP) напрямую: 3.2 Гбит/с (нагрузка CPU 70%)
через туннель EoIP: 966 Мбит/с (нагрузка CPU 46%)
Вопрос: Есть ли варианты повышения производительности? Другие методы (MAC-secure)? Переход на уровень 3? Спасибо.
