官方也刚说明7.9之后有些架构会有一核有难众核围观问题,按说的意思,刚发布的7.12 rc4应该解决了这个问题。
不过按照Mikrotik的尿性,这个版本解决的问题,不保证后面版本也能解决,V7整个进程就是不停地解决bug和制造更多的bug,更新日志放一起看跟迷宫一样。
好在我的功能需求不复杂,V7拉胯影响没那么大。还是希望这个比较异类的开发和发布模式,迟早能有一个真正的稳定版出来吧。
blanksign 发表于 2023-10-31 10:26
所以嘛,,,你的速度上1Gbps,CPU还是2%左右,那只能说是fasttrack了。
宽于律己 严以待人
红色狂想 发表于 2023-10-30 17:49
猫棒那么热,时间长了会不会热坏RB5009的SFP+光模块笼子,出现掉线,包转发能力下降,丢包等现象呢? ...
猫棒底部也贴了导热垫,厚一点,也是贴住弱电箱的金属部分。效果还可以,棒棒至少不烫手了
本帖最后由 leviz 于 2023-10-31 13:11 编辑
红色狂想 发表于 2023-10-24 17:33
我是不会在路由器上搞docker这些应用的,它应该只做它的本职工作软路由,这样才能省心省力。至于工作温度 ...
我把5009塞在弱电箱的,说下温度仅供参考,我家弱电箱虽然密闭空间,但体积蛮大的。
无风扇 夏天 63
有风扇 夏天 45
冬天不开风扇的 50以下
箱子里还有个crs326,温度比5009高5度,不过开了风扇都能降至45
5009或crs326升级后 偶尔会遇到无法正常重启的问题,必须冷启动一次才行,有人遇到过吗,不过最新几个v7 版本没遇到此问题。
数不清 发表于 2023-10-31 10:24
的确是原因之一,性能相差10%
V6的Fast Path依赖Route Cache,V7 的内核没有Route Cache,跑NAT副作用很明显。环回测试看不出差异,它没有路由,没有NAT,甚至连网络中断都没有,这些都需要消耗资源。
以C3558为例,环回测试跑28Gbps,千兆测速cpu 30%,千兆BT2.3W连接 CPU 75%。NAT表越大消耗资源越多,而测速只跑8条流。
官方论坛也有反馈
leviz 发表于 2023-10-31 13:04
我把5009塞在弱电箱的,说下温度仅供参考,我家弱电箱虽然密闭空间,但体积蛮大的。
无风扇 夏天 63
有风 ...
这个温度可以了,你那夏天不开空调室温多少度?
JKSTAFF 发表于 2023-10-31 11:30
猫棒底部也贴了导热垫,厚一点,也是贴住弱电箱的金属部分。效果还可以,棒棒至少不烫手了 ...
如果不贴在弱电箱上,而是独立放在机柜托盘上,长期运行猫棒会热到什么程度?
rx_78gp02a 发表于 2023-10-30 18:56
SFP笼子就一连接器,直连CPU,中间就两个AC 耦合电容,不存在热坏笼子这一说法。 ...
电容最怕高温,爆浆了连接器不就废了[傻笑]
blanksign 发表于 2023-10-30 14:37
只想说,这些数据就是一个参考,不同的环境,不同的终端,不同的ISP网络,都有不同的参数。我只跑带宽,1Gb ...
官方给出的一组测试数据对于普通用户很难理解,其实我是想用一个通俗易懂的应用实例来评价,比如千兆宽带,BT多线程下载跑满带宽,此时路由器CPU及内存开销情况
红色狂想 发表于 2023-10-31 16:18
官方给出的一组测试数据对于普通用户很难理解,其实我是想用一个通俗易懂的应用实例来评价,比如千兆宽带 ...
我用过的设备里面,在使用的过程中,感受到的和官方给出来的数据,基本是大差不差(我只做简单上网,一两台PC终端测试,对标的官方数据的routing(no filting)的项。
红色狂想 发表于 2023-10-31 16:07
电容最怕高温,爆浆了连接器不就废了
陶瓷电容永不爆浆,信号线没有用电解的。
rx_78gp02a 发表于 2023-10-30 20:24
不知道你定义硬路由的标准是什么,是CPU里面有没有包加速器?还是包加速器有没有被使用?或是单纯的“千 ...
ctf应该也是把已经建立的链接扔给交换机减负了,博通给linux内核提交的b53驱动提到过操作交换机vlan建立链接
堕落的翼 发表于 2023-10-31 21:17
ctf应该也是把已经建立的链接扔给交换机减负了,博通给linux内核提交的b53驱动提到过操作交换机vlan建立 ...
你说的是FA(Flow Accelerator ),可以和CTF一起使用。
The switch from a BCM4708 to BCM4709 bumps the CPU clock to 1 GHz, in addition to supporting more advanced hardware acceleration. This chip adds Flow Accelerator support (FA for short) on top of the usual Cut-Through-Forwarding (or CTF). This is configurable on the webui as being "Level 1 CTF" or "Level 2 CTF" (the latter adding FA on top of it).
Level 1: CTF (Cut Through Forwarding)
Software optimization technique to accelerate NAT traffic, usually used with speeds over 100Mbits/s, may be required for peak speeds over 200Mbits/s depending on your router hardware.
When CTF/Level 1 acceleration is enabled, the router sends out frames as soon as it knows their destination, without waiting for any acknowledgements, or flow control. This method relies on the destination device to provide information whether the data is corrupt and needs to be resent, however, it only supports adaptive QoS and may cause issues with some applications. It is recommended for fast connections (over 150Mbps) and few local clients, as it improves throughput while reducing latency and router CPU/memory utilization.
Level 2: CTF+FA (CTF/Level 1 + Flow Acceleration)
Hardware NAT acceleration mechanism designed for accelerating wired internet connections. This is typically only needed with very fast broadband connections at speeds over ~500 Mbps, as the traditional full TCP/IP stack and congestion/flow control becomes very taxing on the router's CPU and limited hardware resources.
CTF+FA (Level 2 NAT Acceleration) does not support QoS, and you may have to disable PPPoE and STP (Spanning Tree Protocol).
rx_78gp02a 发表于 2023-10-30 20:24
不知道你定义硬路由的标准是什么,是CPU里面有没有包加速器?还是包加速器有没有被使用?或是单纯的“千 ...
请教一下大佬,你知道像华三那种企业级路由里面用的啥CPU吗,我手上有个ER8300G2-X,官方只说了MIPS架构4核1.5G的处理器(有个朋友告诉我说用的是cavium的7系),虽然跑千兆测速无压力(PPPOE和专线都试过),但跑的时候能明显能看到CPU是有占用的,并不像现在主流的消费级路由器处理器那样跑测速的时候CPU0%占用,那这种算是有加速还是没加速?按照我自己的理解消费级都有加速,企业级不是更应该有吗?
hasuboy 发表于 2023-11-5 23:10
请教一下大佬,你知道像华三那种企业级路由里面用的啥CPU吗,我手上有个ER8300G2-X,官方只说了MIPS架构4 ...
许多低端企业路由器用的确实是Cavium,marvell等芯片,企业路由为了软件特性的丰富,并没有开pppoe,nat等加速,因为开启条件很严格,开了许多功能就失效了。
本帖最后由 rx_78gp02a 于 2023-11-6 01:11 编辑
hasuboy 发表于 2023-11-5 23:10
请教一下大佬,你知道像华三那种企业级路由里面用的啥CPU吗,我手上有个ER8300G2-X,官方只说了MIPS架构4 ...
1、Mips架构的基本确定是Cavium,新型号都转ARM内核了,Mips方案存量不多,主要是太弱了。
2、Cavium带PPPOE/IPV4/IPV6和Ipsec的硬件加速,ERL用的CN5020可以跑1Mpps,ER4用的CN7130可以跑3.8Mpps,EdgeRouter Infinity用的CN7360可以跑18Mpps。
3、硬件加速失效的情况下性能就比较惨了,ERL大包跑150Mbps,13Kpps左右;ER4大包跑700Mbps,58.3Kpps左右,EdgeRouter Infinity跑3.4Gbps,283Kpps左右。
4、Mips不开硬件加速跑满千兆是很吃力的,就算可以跑,CPU的占用也很高,不确定你这个明显占用是多少百分比,我个人认为硬件加速是生效的。
5、还有一种可能是测速时开着GUI,对羸弱的Mips而言,GUI的负荷比较重。而高通/博通方案用的ARM性能比较强,GUI影响不大。
漏了一点,有硬件加速和是否开硬件加速是两回事,例如负载均衡、ACL、SFLOW、上网行为管理、QOS这些需要CPU实时干预的场景,一般打开后硬件加速会失效。有的厂商固件做的比较好,不开上述功能加速默认开启,一旦打开有冲突的功能加速自动失效,而有的厂商一开始就没打开硬件加速,比如TP老款路由tl-wvr450G,用的AR9344方案,只能跑200Mbps,而Dlink同方案的机器可以跑满千兆。
rx_78gp02a 发表于 2023-11-6 01:02
1、Mips架构的基本确定是Cavium,新型号都转ARM内核了,Mips方案存量不多,主要是太弱了。
2、Cavium带PP ...
试了用speedtest跑测速,单向速度跑到970左右的时候(企业专线,非PPPOE),CPU占用30%的样子,这算是有加速还是没加速,同样的线路下用BCM4912的华硕红蜘蛛测试,CPU基本不怎么动,但是如果用P2P来测试,连接数多了的时候CPU4个核心有一个不定期涨到10%左右,其它几个核心个位数。华三这个不管是普通网页测速还是P2P高连接数,CPU占用基本都差不多。两个路由器就配置了可以上外网,除此之外不开其它任何策略。
我现在有点迷惑的就是家用级这些所谓的硬件NAT可以让CPU通用处理部分不参与工作的作用体现在什么地方?是把CPU空闲出来可以全力参与其它工作,比如外接USB存储应用,还比如开启QOS之后的流控,还比如其它防火墙,策略啥的,这样理解对吗?企业级路由这边,我平时接触得比较多的是华三,我接触过好几款都是什么策略都不开反正一跑测速CPU就会有占用,按照我自己的理解这种就是没有加速,那么在这种情况下对比家用那些博通,高通,联发科这些带硬件NAT加速的,在用户体验上比如延时丢包这些方面会不会有影响?如果再开其它策略那岂不是CPU会爆掉?
cigiti 发表于 2023-10-27 14:02
是的,这套概念是一样的,不管是Mikrotik RouterOS还是现在的OpenWRT还是Vyos。
再请教一个问题,初次使用RouterOS,当设置好PPPoE拨号和NAT伪装后,防火墙规则还需要优化设置吗,如果它会自动为用户配置好,那是否能达到家用成品路由器的内外网安全隔离级别呢?
还有就是,如果内网有某台服务器需要对外提供不受限的访问需求,是启用UPnP好呢,还是手动添加端口转发好呢?
hasuboy 发表于 2023-11-6 10:45
试了用speedtest跑测速,单向速度跑到970左右的时候(企业专线,非PPPOE),CPU占用30%的样子,这算是有 ...
不能单看CPU的占用率来判断硬件加速是否生效,实现决定了软件参与的程度。
以高通NSS加速为例:
红色路径所示,新连接进入加速器匹配不到规则,转入linux核心进行软处理,完成握手和防火墙过滤后,如果能够被加速,则在加速器里添加映射规则,后续接收到的数据匹配到源目标地址在加速器规则内,数据直接由加速器转发,不再经过LINUX内核。
接收到FIN关闭连接请求,同样转入LINUX核心进行软处理,同时注销掉加速器内对应的规则。
不能加速的流量同样由CPU处理,比如ARP 、 ICMP、不支持加速的**流量等。
硬件加速不是加速整个链路,只对已经建立完的连接加速;并发、防火墙、TCP握手依旧依赖CPU性能,数据进出加速器、网卡也需要CPU参与搬运。
我认为CPU减负空余出来的性能主要是为了无线,无线有大量加密和交互逻辑,还有各种软队列,速率也越来越快;无线和系统之间是软桥接,支持加速的方案并不多,基本全程由CPU参与。据说博通的WIFI已经是软件无线电的模式,前端只是物理层芯片,所有协议是软件定义,升级固件即可修正bug,在协议不完善时推广市场有很大的优势。
体感是综合指标,毕竟我们用的都是容损网络,内网存在资源抢夺,运营商、服务商对线路做了QOS,跨域访问也存在资源抢夺;如何在有限资源内做合理的分配才是最重要的。你在看小视频,同伴在疯狂的下BT下迅雷,带宽满载导致关键时刻视频卡住了,体验十分糟糕;转发性能≠用户体验,运营商才是最大的短板。
红色狂想 发表于 2023-11-6 13:03
再请教一个问题,初次使用RouterOS,当设置好PPPoE拨号和NAT伪装后,防火墙规则还需要优化设置吗,如果它 ...
1、ROS默认防火墙是空的,建议增加防火墙禁止外网访问路由,包括WEBWINBOX和SSH。
2、只有单台设备可以用手工映射,但是要加脚本定期更新外网IP,使用UPNP就没这个问题,ROS只会更新动态映射表。如果你不需要环回功能,静态映射可以不指定外围IP,就不需要脚本定时更新,缺点是无法在内网使用域名访问内网设备。
红色狂想 发表于 2023-11-6 13:03
再请教一个问题,初次使用RouterOS,当设置好PPPoE拨号和NAT伪装后,防火墙规则还需要优化设置吗,如果它 ...
Mikrotik初始默认设置里面
防火墙(ipv4 & ipv6)
input 链有
"defconf: drop all not coming from LAN"
forward链有
"defconf: drop all from WAN not DSTNATed"
基本上,WAN口除DNAT外都会丢弃,而DNAT是需要你自己设置的。
这也关联到你后一个问题,开不开UPNP。我的建议是永远不要开启UPNP,需要的全部自己添加转发,如果临时需要用的,就用的时候enable该条DNAT,平时disable掉。
Mikrotik的默认防火墙设置,应该比一般成品路由器更安全或者说至少没有更不安全。
rx_78gp02a 发表于 2023-11-6 13:14
不能单看CPU的占用率来判断硬件加速是否生效,实现决定了软件参与的程度。
以高通NSS加速为例:
红色路径 ...
感谢大佬的科普,干货满满。
rx_78gp02a 发表于 2023-11-6 13:20
1、ROS默认防火墙是空的,建议增加防火墙禁止外网访问路由,包括WEBWINBOX和SSH。
2、只有单台设备可以 ...
按照知乎上这篇《RouterOS(ROS)软路由安全性配置指南进行设置是不是就可以了?
我这台对外提供访问需求的服务器内网IP是固定的,但远程IP、远程端口和本地端口必须是任意,这个在Winbox里怎么设置呢,相应文本框里不填写任何值就表示任意任何吗?
cigiti 发表于 2023-11-6 13:30
Mikrotik初始默认设置里面
防火墙(ipv4 & ipv6)
嗯,明白了。再问一下,端口转发对于本地内网IP固定的主机,但远程IP、远程端口和本地端口都不固定的,也可以实现吗?
本帖最后由 cigiti 于 2023-11-6 17:04 编辑
红色狂想 发表于 2023-11-6 16:32
嗯,明白了。再问一下,端口转发对于本地内网IP固定的主机,但远程IP、远程端口和本地端口都不固定的,也 ...
不是太明白你这个都不固定是什么意思。最好有具体例子。
正常来说你需要转发的服务,(内部)端口不会是不固定的,而是确定的。你外部端口可以自己在范围内随便设定。至于远程ip,如果你指源地址,基本是无关的,除非你要限定特定ip访问。如果你指目的地址,我们这里说的其实是Port Mapping,不涉及目的地址只涉及目的端口。
举一个现实的例子,PPPOE拨号非固定公网ip,假设你有台群晖NAS,需要外网访问桌面,转发https:
Winbox IP->FIrewall->NAT 点 + 增加一项
General-->
Chain: dstnat
Protocol: 6(tcp)
Dst Port: 15001 (自己设定一个)
Action-->
Action: dst-nat
To Address: 192.168.88.88 (假设群晖NAS的内网IP)
Tp Ports: 5001
(只是举例。最好的做法是只转发一个端口连回来,其他全部内网操作。现在Mikrotik加入了BTH功能(Back to Home),各个beta/RC版本里一会加进来一会删掉,可能下一个或者下下一个版本会稳定加入,可以用这个连回家,就不用搞太多设置。有时候可能越简单越安全)
cigiti 发表于 2023-11-6 16:58
不是太明白你这个都不固定是什么意思。最好有具体例子。
正常来说你需要转发的服务,(内部)端口不会是 ...
我这个需求一直没有说透是怕被封帖,其实就是内网有一台Windows服务器,Hyper-V里跑了个x86网心云虚拟机,之前的设置是腾达AC9路由器开了UPnP,所以什么都不用管就自动穿透了,打开路由器的UPnP视图可以看到以下动态更新的列表,每条链接的远程和本地端口都是一一对应的,貌似端口也是不确定的,而且远程IP显示的是任意,这个如果拿到ROS上该怎么配置呢?
[困惑]
本帖最后由 cigiti 于 2023-11-6 18:04 编辑
红色狂想 发表于 2023-11-6 17:42
我这个需求一直没有说透是怕被封帖,其实就是内网有一台Windows服务器,Hyper-V里跑了个x86网心云虚拟机 ...
这种问题就回答不了了,可能开这种服务的话,老老实实开UPNP,安全性已经是次要的了。
硬要转发,你可以了解一下端口范围,假设肯定是五位数端口号,可以直接转发一个端口范围 Dst Ports: 10000-65535。