RB750GL загрузка ЦП Firewall-ом

Обсуждение оборудования и его настройки
vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

Я в небольших компаниях рядом с током ставил керио и на него заворачивал трафик простых пользователей. В керио есть весь необходимый инструмент для фильтрации трафика + учёт трафика


Есть интересная задача и бюджет? http://mikrotik.site
TuoH
Сообщения: 6
Зарегистрирован: 27 окт 2013, 22:01

За две недели тестов было выяснено, что RB750GL, даже без правил, в нашей ситуации, не способен протолкнуть через себя более 230Мбит трафика(т.к. все VLAN-ы собраны на 1 физическом интерфейсе, то общий трафик ~460Мбит). В следствии чего было принято решение выклянчить денег на что-то более умное, в т.ч. более многопортовое. И заодно таки перестроить сеть(кошмар наяву) для организации нормальной маршрутизации между отделами.
В итоге - вчера был заказан RB1100AHX2, но пока он доберется до пункта назначения пройдет недели 3-4..

Для минимизации влияния правил на нагрузку роутера, чтобы не гонять весь трафик в сети через фильтр, было сделано так:

Код: Выделить всё

/ip firewall mangle add chain=forward protocol=tcp in-interface=bridge1 out-interface=ISP action=mark-connection new-connection-mark=c-web-out passthrough=yes
/ip firewall mangle add chain=forward protocol=tcp dst-port=80,443 connection-mark=c-web-out action=mark-packet new-packet-mark=p-web-out passthrough=yes

ну и далее правила вида:

Код: Выделить всё

/ip firewall filter add chain=forward protocol=tcp packet-mark=p-web-out content="vk.com" action=reject reject-with=tcp-reset

Под нагрузкой в Tools->Profile теперь лидирует пункт "Ethernet", вместо "Firewall"-а. По-видимому это предел..

По идее там можно еще через Layer7 настроить, и нагрузка будет вообще копеечная.. Но это уже другая история =)

Всем спасибо, обсуждение натолкнуло на здравые мысли по настройке RouterOS.


Ответить