Насколько soft VLAN нагружает проц. Mikrotik'ов?

Question

[2k21]

Планирую роутер Mikrotik для разбиения сети на VLAN сегменты.
Смотрю варианты для центральной железки, которая будет маршрутизировать трафик, vlan+fw+firewall правила по разрешенным портам, одних сетей в другие.

Вопрос
Насколько критично, что у 4011 нет HW Offload VLAN? Ведь трафик по идее всё-равно будет проходить процессор при моей схеме.
VLAN + FORWARD + FIREWALL на RB4011 насколько рабочий вариант? Сильно-ли будет жрать проц? Могу-ли завернуть тэгированный трафик в SFP порт?

UPD1: Информацию по возможностям устройств брал здесь: https://wiki.mikrotik.com/wiki/Manual:Switch_Chip_...

Answer 1

[Дмитрий Александров]

Все зависит от нагрузок что дать ходите.
А так для RB4011 в чейнджлогах есть строка

7.1rc1
added bridge HW offload support for vlan-filtering on RTL8367 switch chip (RB4011, RB1100AHx4);

Т.е. по идее начиная с версии 7.1 есть hw offload. Другой вопрос а готовы ли вы к 7й версии?

Comments

[2k21]

7.1rc1
added bridge HW offload support for vlan-filtering on RTL8367 switch chip (RB4011, RB1100AHx4);

Спасибо за очень дельную информацию!

К 7 версии пока не готов, но её активно пилят, через три-шесть месяцев уже могу и попробовать, если проблемы будут - раньше.
По нагрузкам, 100 человек в паре-тройке vlan, 100 телефонов в отдельном, 5 серверов в отдельном, дата центр - отдельная подсеть через ВПН.
Весь трафик между подсетями должен проходить через роутер, по правилам например такой-то сети доступна шара на таком диске, а вот другой подсети - веб-сервер в дата-центре, третьей - 1с.
Задача будет выполнена если будут полностью "задействованы" порты серверов без просадок и не до упора нагружен роутер (чтобы был какой-то запас).

В SFP+ же можно заворачивать тегированный трафик? С роутера на свитч. Понимаю, что ограничений быть не должно, но не делал, поэтому мало-ли, может какие-то подводные камни?

[Дмитрий Александров]

2k21, в целом 7ка уже стабильна достаточно но перенести конфиг между 6 и 7 версией врядли получится поэтому будьте готовы к этому.

С учетом описанной схемы, бутылочным горлышком вероятнее будет связь с серверами через vpn. Ну и в целом я бы сначала отрисовал схему сети, возможно(и вероятно) что то можно гонять иначе через свитчи где хардварные vlanы как правило везде. Да и вообще держать все яйца в одной корзине плохая идея.

По части sfp и свитчей, смотрите всегда блок схемы для девайса, сразу станет все понятно, где хардвар может быть и как он будет ограничен. Для тика пофиг, медь это, sfp или тунель типа eoip.

А для статистики, есть в использовании RB1100AHx4 Dude edition, поднята дудка на 300+ железок, ospf, 5 vlan через софтверный влан,eoip тунели, довольно большой фаирволл. Трафика не так чтобы дофига бегает, встроенным тестом скорости с другого тика выдавалвал на линк через vlan гигабит, проц был около 40%, в остальное время в пределах 10-15% нагрузка. НО для заметки, трафик у меня довольно однотипный и специфичный (modbus и другие IEC\МЭК протоколы, есть телефонка, snmp и т.д.)

[Zerg89]

2k21, если впн то лучше rb3011, у него hw ipsec,
Ps хмм пересмотрел характеристики rb4011, у него тоже появилась поддержка ipsec hw

[2k21]

А для статистики, есть в использовании RB1100AHx4 Dude edition, поднята дудка на 300+ железок

А у вас какая версия RouterOS? Если 1100 ROS 7+, посмотрите пожалуйста есть-ли у VLAN интерфейса галка HW Offload?
Или если такой галки не бывает на VLAN интерфейсах, как понять что работает HW?

[2k21]

Бывает-ли HW Offload вообще или HW Offload VLAN на SFP+ портах?