Скорость между vlan

Dan · 18 авг 2021, 15:16

Добрый день! Имеется CCR1016-12G
Сеть поделена на вланы:
192.168.0.0/24 сервера
10.16.16.0/23 пользователи
10.16.18.0/27 супер пользователи и т.д.

Вланы настроены в бридже. И направлены звездой в CRS326-24G.

В фаерволе имеется около 60 правил, около 40 правил нат, примерно 10 правил Mangle и 5 правил raw.
В фильте первыми правилами идут Allow established\related connections.

Скорость в 10.16.16.0/23 (700-900). Независимо в каком свиче подключен конечный пользователь.
Если замерять из 10.16.18.0/27 в любую другую, то скорость 300-400.

Естественно если отключить mangle, raw то скорость повышается до 600-700. Как лучше сделать, что бы оставить ограничения между сетями, но скорость повысить?

Я так понимаю, нужен fasttrack connection из всех влан в 192.168.0.0/24 сервера? а между собой, они все равно не работают

xvo · 18 авг 2021, 15:37

Dan писал(а): ↑18 авг 2021, 15:16 Вланы настроены в бридже. И направлены звездой в CRS326-24G.

Имеется ввиду в несколько разных CRS326-24G?
Тогда в первую очередь перестроить сеть так, чтобы в рамках своего vlan'а трафик вообще никак на CCR не заходил и не отнимал на себя его ресурсы впустую.
Т.е. эту звезду собирать на отдельном свитче, а не на роутере.
Если этого будет недостаточно, то да - fasttrack где можно, плюс попытаться разбить цепочки на более короткие - особенно критично для mangle.

Dan · 18 авг 2021, 16:02

xvo писал(а): ↑18 авг 2021, 15:37
Dan писал(а): ↑18 авг 2021, 15:16 Вланы настроены в бридже. И направлены звездой в CRS326-24G.
Имеется ввиду в несколько разных CRS326-24G?

Да

Тогда в первую очередь перестроить сеть так, чтобы в рамках своего vlan'а трафик вообще никак на CCR не заходил и не отнимал на себя его ресурсы впустую.
Т.е. эту звезду собирать на отдельном свитче, а не на роутере.

Т.е. все вланы собирать на отдельном свиче, там же под траффик вланов делать фаервол. Чёт пока сложно понимаю как это грамотно сделать.
Так как у меня есть доступ в эти сети из филиалов. Т.е. я маршрутизацией все равно поднимаю трафик до CCR и там его фильтрую?! Или в таком случае весь внутренний трафик будет на свитче и до роутера не дойдет, а то что из впн, то тот трафик обрабатывает роутер?!

xvo · 18 авг 2021, 16:29

Dan писал(а): ↑18 авг 2021, 16:02 Т.е. все вланы собирать на отдельном свиче, там же под траффик вланов делать фаервол.

В теории на большинстве CRS3XX свитчей в ROS7 можно будет сделать и так.

Но я все-таки имею ввиду не совсем это: сделать так, чтобы все vlan'ы проходили через этот один свитч, и чтобы хотя бы трафик в рамках одного vlan'а, но между двумя разными CRS326 разруливались через этот свитч, а не бегали через CCR (даже тупой бриджинг без всяких фильтров все равно отнимает какую-то часть его процессорного времени).
В итоге CCR останется толь трафик между разными vlan'ами, туннелями и т.д.
И уже тогда имеет смысл как-то пробовать оптимизировать firewall.

Но вот если и этого всего будет недостаточно, тогда да, уже думать о том, как разделить например фильтрацию внешнююю и внутреннюю (и может переложить внутреннюю на L3-свитч, или просто отдельную железку под это выделить).

Dan · 18 авг 2021, 17:15

xvo писал(а): ↑18 авг 2021, 16:29
Dan писал(а): ↑18 авг 2021, 16:02 Т.е. все вланы собирать на отдельном свиче, там же под траффик вланов делать фаервол.
Но я все-таки имею ввиду не совсем это: сделать так, чтобы все vlan'ы проходили через этот один свитч, и чтобы хотя бы трафик в рамках одного vlan'а, но между двумя разными CRS326 разруливались через этот свитч, а не бегали через CCR (даже тупой бриджинг без всяких фильтров все равно отнимает какую-то часть его процессорного времени).
В итоге CCR останется толь трафик между разными vlan'ами, туннелями и т.д.
И уже тогда имеет смысл как-то пробовать оптимизировать firewall.

Т.е. я физически собираю их на отдельном CRS и тегирую вланы туда? а как мне настроить работу вланов не доходя до ccr если там настроена фильтрация между вланами? он же все равно через фаервол весь трафик прогнать должен?!

xvo · 18 авг 2021, 17:20

Между vlan'ами будет через CCR.
Внутри каждого vlan'а будет до CCR.

Dan · 18 авг 2021, 17:29

xvo писал(а): ↑18 авг 2021, 17:20 Между vlan'ами будет через CCR.
Внутри каждого vlan'а будет до CCR.

Так у меня нету проблем внутри одного влан. Даже если они на разных crs, скорость 700-800. У меня падение скорости как раз, когда идет обмен данными между разными влан.

xvo · 18 авг 2021, 17:33

Dan писал(а): ↑18 авг 2021, 17:29 Так у меня нету проблем внутри одного влан. Даже если они на разных crs, скорость 700-800. У меня падение скорости как раз, когда идет обмен данными между разными влан.

1) 700-800 вместо гигабита - это нормально?

2) Если у вас роутер нагружен трафиком, который через него вообще говоря ходить не должен в принципе, какой смысл пытаться оптимизировать остальное?

Dan · 20 авг 2021, 09:44

xvo писал(а): ↑18 авг 2021, 17:33
Dan писал(а): ↑18 авг 2021, 17:29 Так у меня нету проблем внутри одного влан. Даже если они на разных crs, скорость 700-800. У меня падение скорости как раз, когда идет обмен данными между разными влан.
1) 700-800 вместо гигабита - это нормально?

2) Если у вас роутер нагружен трафиком, который через него вообще говоря ходить не должен в принципе, какой смысл пытаться оптимизировать остальное?

А еще тупой вопрос. Я ставлю CRS main до CCR, в этот новый CRS main я подключаю остальные свои свитчи. C CCR тегирую вланы в CRS main и от туда уже все вланы расходятся в остальные свитчи. так?

Какие то, дополнительные настройки нужны?

xvo · 20 авг 2021, 10:30

Dan писал(а): ↑20 авг 2021, 09:44 Какие то, дополнительные настройки нужны?

Помимо того, что настроить "раздачу" vlan'ов на новом свитче - нет.

Скорость между vlan

Вход • Регистрация