Добрый день! Имеется CCR1016-12G
Сеть поделена на вланы:
192.168.0.0/24 сервера
10.16.16.0/23 пользователи
10.16.18.0/27 супер пользователи и т.д.
Вланы настроены в бридже. И направлены звездой в CRS326-24G.
В фаерволе имеется около 60 правил, около 40 правил нат, примерно 10 правил Mangle и 5 правил raw.
В фильте первыми правилами идут Allow established\related connections.
Скорость в 10.16.16.0/23 (700-900). Независимо в каком свиче подключен конечный пользователь.
Если замерять из 10.16.18.0/27 в любую другую, то скорость 300-400.
Естественно если отключить mangle, raw то скорость повышается до 600-700. Как лучше сделать, что бы оставить ограничения между сетями, но скорость повысить?
Я так понимаю, нужен fasttrack connection из всех влан в 192.168.0.0/24 сервера? а между собой, они все равно не работают
Скорость между vlan
-
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Имеется ввиду в несколько разных CRS326-24G?
Тогда в первую очередь перестроить сеть так, чтобы в рамках своего vlan'а трафик вообще никак на CCR не заходил и не отнимал на себя его ресурсы впустую.
Т.е. эту звезду собирать на отдельном свитче, а не на роутере.
Если этого будет недостаточно, то да - fasttrack где можно, плюс попытаться разбить цепочки на более короткие - особенно критично для mangle.
Telegram: @thexvo
-
- Сообщения: 22
- Зарегистрирован: 27 окт 2020, 08:45
Да
Т.е. все вланы собирать на отдельном свиче, там же под траффик вланов делать фаервол. Чёт пока сложно понимаю как это грамотно сделать.Тогда в первую очередь перестроить сеть так, чтобы в рамках своего vlan'а трафик вообще никак на CCR не заходил и не отнимал на себя его ресурсы впустую.
Т.е. эту звезду собирать на отдельном свитче, а не на роутере.
Так как у меня есть доступ в эти сети из филиалов. Т.е. я маршрутизацией все равно поднимаю трафик до CCR и там его фильтрую?! Или в таком случае весь внутренний трафик будет на свитче и до роутера не дойдет, а то что из впн, то тот трафик обрабатывает роутер?!
-
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
В теории на большинстве CRS3XX свитчей в ROS7 можно будет сделать и так.
Но я все-таки имею ввиду не совсем это: сделать так, чтобы все vlan'ы проходили через этот один свитч, и чтобы хотя бы трафик в рамках одного vlan'а, но между двумя разными CRS326 разруливались через этот свитч, а не бегали через CCR (даже тупой бриджинг без всяких фильтров все равно отнимает какую-то часть его процессорного времени).
В итоге CCR останется толь трафик между разными vlan'ами, туннелями и т.д.
И уже тогда имеет смысл как-то пробовать оптимизировать firewall.
Но вот если и этого всего будет недостаточно, тогда да, уже думать о том, как разделить например фильтрацию внешнююю и внутреннюю (и может переложить внутреннюю на L3-свитч, или просто отдельную железку под это выделить).
Telegram: @thexvo
-
- Сообщения: 22
- Зарегистрирован: 27 окт 2020, 08:45
Т.е. я физически собираю их на отдельном CRS и тегирую вланы туда? а как мне настроить работу вланов не доходя до ccr если там настроена фильтрация между вланами? он же все равно через фаервол весь трафик прогнать должен?!xvo писал(а): ↑18 авг 2021, 16:29Но я все-таки имею ввиду не совсем это: сделать так, чтобы все vlan'ы проходили через этот один свитч, и чтобы хотя бы трафик в рамках одного vlan'а, но между двумя разными CRS326 разруливались через этот свитч, а не бегали через CCR (даже тупой бриджинг без всяких фильтров все равно отнимает какую-то часть его процессорного времени).
В итоге CCR останется толь трафик между разными vlan'ами, туннелями и т.д.
И уже тогда имеет смысл как-то пробовать оптимизировать firewall.
-
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
Между vlan'ами будет через CCR.
Внутри каждого vlan'а будет до CCR.
Внутри каждого vlan'а будет до CCR.
Telegram: @thexvo
-
- Сообщения: 22
- Зарегистрирован: 27 окт 2020, 08:45
-
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва
1) 700-800 вместо гигабита - это нормально?
2) Если у вас роутер нагружен трафиком, который через него вообще говоря ходить не должен в принципе, какой смысл пытаться оптимизировать остальное?
Telegram: @thexvo
-
- Сообщения: 22
- Зарегистрирован: 27 окт 2020, 08:45
А еще тупой вопрос. Я ставлю CRS main до CCR, в этот новый CRS main я подключаю остальные свои свитчи. C CCR тегирую вланы в CRS main и от туда уже все вланы расходятся в остальные свитчи. так?
Какие то, дополнительные настройки нужны?
-
- Сообщения: 4204
- Зарегистрирован: 25 фев 2018, 22:41
- Откуда: Москва