Почему отключение Fasttrack режет скорость?

Question

[Dima_E]

Я не сисадмин и не обладаю какими то фундаментальными знаниями, это к сведению.
Лазая в коммутаторе микротик, разбираясь что за что отвечает, и гугля. Задался вопросом как ограничить скорость или распределить, чтобы один хост не отнимал у другого, погуглив, первое что понял, надо в Firewall отключить Fasttrack, так как проходящие через него соединения игнорируют дерево очередей и часть других функции, что не позволяет контролировать распределение.
Вопщем отключил, и понял что теперь скорость инета не 500Мбит, а 140-150Мбит.
Так же наткнулся на запись об этом в микротике (а точнее картинку )
https://wiki.mikrotik.com/wiki/Manual:IP/Fasttrack
Подскажите настройки для деления между 24 портов коммутатора, чтобы общая скорость интернета так не резалась. ?
Точнее я вроде как знаю как все поделить, но можно ли это сделать без убийства большой части скорости ?

Answer 1

[Mystray]

А) Это коммутатор в первую очередь, хоть и с заявленным Л3-функционалом.
Б) Л3-функционал у него осуществаляется на процессоре.
В) Процессор у него слабый. Обычно коммутатору не надо мощный процессор, так как вся полезная работа должна осуществляться исключительно свич-чипом, за очень редким исключением.

Но сумрачный микротиковский гений решил, что форвардить траффик процом на коммутаторе - тоже норм, и начал толкать его как "L3-свич" хотя он таковым не является (все же под термином L3-свич чаще всего имеется ввиду устройство, способное маршрутизировать IP на свич-чипе, а не то, как сделано у Микротиков)

Fasttrack у микротиков в дефолте включен уже весьма давно, точно давнее появления CRS-серии домашних роутеров-переростков. И раньше оно помогало показывать роутерам с гигабитными портами и поганеньким ЦПУ почти-гигабитную скорость в стандартных NAT-сценариях, которые без него едва выдавали 200-300мбит (типа RB750G(R2)).

Оно сильно помогает слабым процам выполнять NAT и сложные правила фильтра путем замены полного пути пакета по ядру системы (классификация, пачка пакетных фильтров, маршрутизация, очереди интерфейсов) на короткий FASTPATH-путь, который умеет кое-что (например, NAT/PAT). Естественно, при этом все, что не поддерживается самим FASTPATH - не работает. У других производителей мелких роутеров для этих целей свои хитрости, типа NAT Offload, который, в принципе, работает очень похожим образом.

В конце концов, никто и не обещал гигабитов роутинга на этой железке, на странице производителя указан роутинг при 25 правилах (что примерно соответствует одному правилу NAT-трансляции) - до 700мбит, а если добавить к этому очереди и еще с десяток кривых правил фаервола, то 150 мбит - вполне ожидаемый результат. Кстати, больше гигабита он в принципе, вообще ни при каких условиях не промаршрутизирует - там линк в ЦПУ от свич-чипа - 1 гбит.

В обычном свичинге он вполне выдаст положенные 25 гигабит.

на некоторых моделях можно ограничивать скорость и без очередей, хардварными шейперами/полисерами на портах, которые не будут бить по производительности устройства в целом: https://wiki.mikrotik.com/wiki/Manual:CRS1xx/2xx_s...
Естественно, точнее чем порт/хардварная очередь там нарезки не получится, но это вполне ожидаемо от бюджетного свича.

Comments

[Dima_E]

Просто не много ужаснулся, что покупая коммутатор в 2020 (не знаю год его выпуска)
И захочешь на нем поделить трафик чтобы один хост не обделял другого, то получишь 4-5Мбит\с на компьютер.
Господи когда я был мелкий и играл в 2D игры у меня инет был 2Мбит, а тут в 2020 5 Мбит на комп.
Жесть...

[Mystray]

Dima_E, просто вы используете неподходящий инструмент. Шейпить траффик, как правило, работа маршрутизатора (а хорошо шейпить - еще и не самого слабого).
А вы пытаетесь навесить это на коммутатор.
Используйте его как коммутатор, и он будет честно отрабатывать на все свои деньги.

[Dima_E]

Mystray, 30-40 компов на 4 провайдерах, нужно объединить в 1 локальную сеть думал купить маршрутизатор из этих:
MIKROTIK CCR1016-12S-1S+
https://mikrotik.ru/katalog/katalog/hardware/route...

MIKROTIK CCR1036-12G-4S-EM
https://mikrotik.ru/katalog/katalog/hardware/route...

или это избыточная мощность ? Под ними производитель предоставил тест.

[Diman89]

Dima_E, CCR'ы однозначно оверкилл, 4011й за глаза

[RomanKu]

Я в свое время заменил CRS на RB4011 как раз по причине того, что свитч не может прокачать полноценно гигабит, особенно IPV6 , на котором нет fasttrack, а свитч теперь выполняет основные свои функции: разделяет транк с вланами от роутера по портам.

В вашем случае, если локалка не видна, то можно попробовать ограничивать скорость порта при помощи свитча, тогда общая производительность не будет теряться, но этот шейнинг самый тупой из всех вариантов.

Answer 2

[Дмитрий]

Потому что коммутатор имеет маломощный процессор. Отключив fasttrack вы заставляете этот процессор обрабатывать весь проходящий трафик. Процессор не справляется с нагрузкой, следовательно, образуется бутылочное горлышко и пропускная способность падает.

Comments

[Dima_E]

Коммутатор за 14к, и тестировал я только 1 гнездо, не думаю что подобное могло нагрузить процессор на 100%, да и как бы странно, это выходит что нельзя ограничивать скорость ?
Выходит что для офиса надо коммутаторы за 1лям+ рублей и дороже с 64+ ядерными процессорами.
Стоит понимать что я отнес данные изменения к 1 порту(локальному адресу) производя до и после изменения, проверку скорости, что же будет если отнесу подобное ко мосту на 24 порта, вроде как в интернете обычная практика распределение трафика поровну, или ограничивать его.

[Дмитрий]

Dima_E, что бы более детально ответить, хотелось бы узнать модель, конфигурацию устройства и как нагружали.

[Dima_E]

MIKROTIK CRS125-24G-1S-2HND-IN, CRS125-24G-1S-2HND-IN или в магазине :
https://www.citilink.ru/catalog/computers_and_note...
Сам не настраивал, прошивку обновив и выполнил авто-настройку она почти не чем не отличаться от той что предлагают в интернете.
При используемых 8 портов нагрузка на процессор была >8 %. (но это не тестирование, а обычное использование)
Когда проверял скорость, был подключен ток 1 хост.(ну я не тестировщик так что как правило фиг знает)
В Firewall по умолчанию роутер прописывает 10 правил. Хотя именно отключение Fasttrack дает такое снижение. Да и мысль была , что не на всех роутерах Fasttrack есть, но скорость они показывают заявленную провайдером, да процессоры на дешевых роутеров я думаю тоже сильно уступают.

2ip показывает следующие 480\502 когда все правила, 130-160\130 когда отключил Fasttrack,
230\230 когда отключил все правила Firewall
Так начинаю думать что дело в процессоре, но ведь порт то один (, что будет если дать нагрузку на все.
Вопще забавно зачем ему гигабитные порты если проц загибается от проверки скорости на одном.
Выходит что пропускная способность проца это 120Мбит на 24 порта = >5Мбит на компьютер, это если я хочу ввести любые ограничения скорости. Вопще круто )

[Ziptar]

Dima_E, не надо пытаться использовать свич как роутер, и возлагать на него те функции, для которых он не предназначен, несмотря на то, что он наминально их поддерживает.

[Dima_E]

Ziptar, Причем тут это, дело в Fasttrack, надо же распределить или ограничить на нескольких устройствах трафик, обычное дело даже для коммутатора. Ведь по заявлениям в интернете без отключения Fasttrack этого не сделать.
Да и микротике Fasttrack, появился не так давно, не ужели до этого он так же работал.
Да и процессор там вроде лучше чем в большинстве маршрутизаторов.

[Ziptar]

Dima_E, реальность такова, что этот микротиковский свич не способен без фасттрака выдавать 500 мегабит\сек на аплинке. Делайте с этим что хотите. Да и про "обычное дело" - спорно.

Что касается проблемы fasttrack vs queues.
С микротиковского форума:

>can I use FastTrack AND Simple Queues?
Yes, but only if you have an "accept" rule in the firewall to accept the traffic that needs to flow through the simple queue (with established,related setting), and place it directly before the fasttrack rule that would otherwise fasttrack the traffic. That way you can continue to fasttrack all traffic except the traffic that you need to run through a simple queue.

If you want to run all traffic through simple queues this will not be worth doing because then there won't be anything left to fasttrack after you have made all of the accept rules.