+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Использование ЦПУ: "/tool profile" против "/system resources"

Использование ЦПУ: "/tool profile" против "/system resources", RouterOS

smite

Guest

26.01.2011 15:20:00

Привет! У меня несколько RB1100 с полным BGP по таблице (BGP-сессии с 7 роутерами, только iBGP). Сейчас идет трафик около 100 Мбит/с, и у меня есть пара вопросов по загрузке CPU:

Вопрос 1: Я смотрю в “/system resource” и вижу:
[admin@rb1100-1] /system resource> print
…
cpu-load: 26%
Когда сравниваю с /tool profile, вижу:
[admin@rb1100-1] > /tool profile duration=10
NAME USAGE
ethernet 0.5%
console 0.5%
firewall 4%
winbox 0%
management 1%
idle 86%
profiling 0.5%
queuing 7%
routing 0.5%
unclassified 0%
Откуда берется такая разница?

Вопрос 2: Я почти не пользуюсь очередями, но они автоматически добавляют «ethernet-default» на все ethernet-интерфейсы и «default» на все vlan-интерфейсы. Можно ли полностью отключить очереди, чтобы сэкономить CPU, который они используют?

Вопрос 3: Использую файрвол только чтобы разрешить SSH и Winbox с нескольких конкретных IP, только на входящем трафике:
/ip firewall filter add action=accept chain=input disabled=no src-address=ip1
add action=accept chain=input disabled=no src-address=ip2
add action=accept chain=input disabled=no src-address=ip3
add action=accept chain=input disabled=no src-address=ip4
add action=reject chain=input disabled=no dst-port=8291 protocol=tcp reject-with=tcp-reset
add action=reject chain=input disabled=no dst-port=22 protocol=tcp reject-with=tcp-reset
Почему файрвол всё равно грузит CPU на 4%, если к самому роутеру почти нет трафика, а только FORWARD?

smite Guest	#2 0 11.02.2011 09:33:00 Вброс. Кто-нибудь знает ответы на мои вопросы?

smite

Guest

12.02.2011 16:18:00

Спасибо за ответ, но он не отвечает на вопросы. Почему почти на 100% отличается нагрузка на процессор в выводе “/tool profile” и “/system resources”? Можно ли полностью отключить очередь? Если да, то как? Почему firewall использует 4% CPU, если есть только INPUT правила и всего несколько Кбит/с трафика непосредственно на роутер?

fewi

Guest

12.02.2011 18:05:00

Не знаю. Я бы сильно подозревал, что только MT может тебе объяснить, исходя из supout.rif. Нет, нельзя. «Фаервол» скорее всего включает отслеживание соединений. Возможно, ты сможешь это отключить, в зависимости от того, для чего используется твой роутер. http://wiki.mikrotik.com/wiki/Manual:Connection_tracking перечисляет затронутые функции, самая важная из которых — NAT.

smite Guest	#5 0 13.02.2011 00:02:00 Хорошо, спасибо, я свяжусь с ними. На этом устройстве отслеживание соединений отключено. Есть ещё какие-нибудь идеи?

forne Guest	#6 0 20.02.2011 11:53:00 Ты проверял все подменю в разделе /ip firewall? Есть ли там какие-нибудь правила nat или mangle, включая динамические (настройки tcp mss на vpn-соединениях)?

Caci99

Guest

20.02.2011 14:52:00

А где ты видишь разницу в загрузке CPU!? По ресурсу /system у тебя 26%, а по /tool profile — 14%. Процесс простаивания, который занимает 86%, просто бездействует, ничего не делает. Я бы не стал называть это офисным роутером — он очень мощный: 800 МГц CPU по умолчанию, а может разгоняться до 1066 МГц. Всегда полезно включить графики, чтобы видеть, как роутер работает в течение дня, недели, месяца и так далее.

normis Guest	#8 0 21.02.2011 06:39:00 Откуда вообще эта разница взялась? Я согласен, никакой разницы нет.

smite

Guest

22.02.2011 16:26:00

Это полный вывод: [admin@rb1100-1] /ip firewall> export
# 22 фев 2011 16:20:09, RouterOS 5.0rc9
# software id = K5SQ-1FFG
#
/ip firewall connection tracking
установлено enabled=no generic-timeout=10m icmp-timeout=10s tcp-close-timeout=10s tcp-close-wait-timeout=10s tcp-established-timeout=1d tcp-fin-wait-timeout=10s tcp-last-ack-timeout=10s tcp-syn-received-timeout=5s tcp-syn-sent-timeout=5s tcp-syncookie=no tcp-time-wait-timeout=10s udp-stream-timeout=3m udp-timeout=10s
/ip firewall filter
добавлено action=accept chain=input disabled=no dst-address=xx
добавлено action=accept chain=input disabled=no src-address=xx
добавлено action=accept chain=input disabled=no src-address=xx
добавлено action=accept chain=input disabled=no src-address=xx
добавлено action=accept chain=input disabled=no src-address=xx
добавлено action=reject chain=input disabled=no dst-port=8291 protocol=tcp reject-with=tcp-reset
добавлено action=reject chain=input disabled=no dst-port=22 protocol=tcp reject-with=tcp-reset
/ip firewall service-port
установлено ftp disabled=no ports=21
установлено tftp disabled=no ports=69
установлено irc disabled=no ports=6667
установлено h323 disabled=no
установлено sip disabled=no ports=5060,5061
установлено pptp disabled=no
[admin@rb1100-1] /ip firewall> Смотрите приложенную картинку. В профиле показывается 93% простоя (то есть 7% нагрузки), а в ресурсах — 21% использования. Разница в три раза.

Caci99

Guest

#10

22.02.2011 17:42:00

Судя по прикреплённой фотографии, у вас частота процессора 1199 МГц. Это RB1100 или что-то другое? Что касается разницы, может быть, профайлер вычисляет загрузку процессора на основе среднего значения за определённый период времени? Просто предположение, как на графиках.

smite

Guest

#11

22.02.2011 21:48:00

Это разогнанный RB1100. Но понижение частоты до 800 МГц не меняет ничего. Что касается разницы, может быть, профайлер считает загрузку процессора как среднее за определённый промежуток времени? Просто догадка, как на графиках. Профайлер постоянно показывает намного меньше, чем общая загрузка, которую дают ресурсы. Если смотреть на это минуту, профайлер ни разу не приближается к значениям ресурсов или не превышает их.

Caci99 Guest	#12 0 23.02.2011 10:29:00 В моём RB1100 есть опция разгона до 1066 МГц, поэтому я не понимаю, как у тебя получилось разогнать до 1199 МГц. Ты включал графики? Что они показывают по CPU?

omidkosari

Guest

#13

05.08.2011 12:19:00

У меня такая же проблема. Между /tools profile и /system resources огромная разница. Как видно на первом изображении, /system resources показывает нагрузку на cpu0 в 90%, а /tools profile в то же время выдаёт 42.5% простоя! На втором изображении /system resources показывает 96% нагрузки, а /tools profile — 63.5% простоя!

jo2jo

Guest

#14

04.10.2011 00:32:00

У меня есть RB1200 в дата-центре, и мне стало интересно насчёт этого «спада», который я тоже замечаю. После обновления с версии 5.2 до 5.7 в целом роутер стал использовать гораздо меньше процессора (хотя раньше я его никогда не загружал полностью). Это только предположение, но неужели у этих CPU два ядра? (мой RB1200, который я купил месяц назад, показывает PowerPC 460GT как процессор и количество ядер — 1, но это не значит, что там нет двух ядер). В общем, я очень доволен этим рэковым RB1200, всегда думал, что mikrotik нужен надежный и мощный роутерboard только для LAN, и, похоже, у них получается с этим продуктом. Спасибо!

normis Guest	#15 0 04.10.2011 04:44:00 Нет, это не двухъядерные устройства. Первым двухъядерным устройством, которое у нас появится, будет RB1100AHx2 (двухъядерность указана знаком x2).

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры