Chiphell - 分享与交流用户体验

标题: rb5009感觉性能瓶颈了 [打印本页]

作者: liuleisail 时间: 2024-2-6 17:08
标题: rb5009感觉性能瓶颈了
就是按照狐狸老大的防火墙规则，ipv4是最简单的，ipv6基本上上了全套（高级那套），有些狐狸的个性化防火墙没上。
但没上之前不开通FastTrack 测速时候也是cpu占用很高（自己之前设置了一些简单的防火墙），后来开了基本上啥都不干cpu占用超过30%

ps：家里孩子看网课，还跑着个网心云……

之前偶尔来了兴致，旁路有上n100，esxl8开了个爱快，结果电信、网通双线，竟然千兆也跑不慢，看了看esxi中虚拟机cpu占用（分配了4核），结果100%了都……

ipv6
filter roules 53个
nat 2个
mangle只开了mms

ipv4
filter roules 24个
net也就20个
raw 4个
(, 下载次数: 231) (, 下载次数: 252) (, 下载次数: 238) (, 下载次数: 244) (, 下载次数: 240) (, 下载次数: 213) (, 下载次数: 210)

作者: liuleisail 时间: 2024-2-6 17:11
ipv6没有截取完整，补充一下，大佬们也帮忙看看，啥情况这是
(, 下载次数: 222)

作者: blanksign 时间: 2024-2-6 17:44
看ip firewall connection或者ipv6 firewall conneciton的会话数就知道了。啥FT都是废的。

作者: kerafyrm 时间: 2024-2-6 18:24
自己组个X86的软路由刷RouterOS，性能不再是瓶颈

作者: pdvc 时间: 2024-2-6 18:37
别是单核心跑满了

作者: aitkots 时间: 2024-2-6 18:38

一看你的防火墙应该导入了两遍（

看你开 ikuai 结果 cpu 满载，说明内网有繁重网络业务咯，

当然，也可能是风暴了

作者: 数不清 时间: 2024-2-6 19:18
防火墙规则参考官方文档设置即可，过多的规则没必要，规则排列顺序可以参考官方视频基础教程。

https://help.mikrotik.com/docs/d ... Your+First+Firewall
https://help.mikrotik.com/docs/d ... g+Advanced+Firewall

https://www.youtube.com/watch?v=hMj80ZIVBQs

作者: liuleisail 时间: 2024-2-6 20:16

blanksign 发表于 2024-2-6 17:44
看ip firewall connection或者ipv6 firewall conneciton的会话数就知道了。啥FT都是废的。 ...

看了看，ipv4的是3091，最多3400，ipv6的少一些，不到900.

作者: liuleisail 时间: 2024-2-6 20:17

kerafyrm 发表于 2024-2-6 18:24
自己组个X86的软路由刷RouterOS，性能不再是瓶颈

有这个打算，但是n100物理路由直接用这个，感觉有些浪费……

作者: 525165 时间: 2024-2-6 20:18
5009，pppoe跑个2.5G很轻松

检查设置是否存在问题

作者: liuleisail 时间: 2024-2-6 20:25
本帖最后由 liuleisail 于 2024-2-6 20:31 编辑

aitkots 发表于 2024-2-6 18:38
一看你的防火墙应该导入了两遍（

看你开 ikuai 结果 cpu 满载，说明内网有繁重网络业务咯，

我靠，果然ipv6的导入了2遍……ros这么弱智吗？以为重复的它不会执行添加一次。……感谢！

抽空捋一下网络结构，我家的比较简单，没有啥交换机，就是一个rb5009.

也没啥网络业务，就是2孩子上上网课啥的。个人就跑着一个网心云……

奇怪的就是爱快双路竟然cpu满载了……也是没想到。照理说，就我家这网络结构，风暴也不可能啊，除非ros的基础设置有问题。

作者: liuleisail 时间: 2024-2-6 20:27

525165 发表于 2024-2-6 20:18
5009，pppoe跑个2.5G很轻松

检查设置是否存在问题

工程太浩大了……里面设置了太多东西……真没有重新设置一遍的勇气了

抽大空再一个一个看看设置是不是有问题。

作者: windows 时间: 2024-2-6 20:28
要当做nfgw,上双路e5吧

作者: liuleisail 时间: 2024-2-6 20:28

数不清发表于 2024-2-6 19:18
防火墙规则参考官方文档设置即可，过多的规则没必要，规则排列顺序可以参考官方视频基础教程。

好，谢谢！看来做基础的防火墙就可以了……

作者: liuleisail 时间: 2024-2-6 20:29

windows 发表于 2024-2-6 20:28
要当做nfgw,上双路e5吧

也就是过年偶尔折腾下，日常没啥大空。唉，几年前经常折腾，家里经常断网……

作者: arieslo 时间: 2024-2-6 21:40
好奇楼主是怎么把字体这么漂亮的。。是在winbox下么？

作者: liuleisail 时间: 2024-2-6 23:02

arieslo 发表于 2024-2-6 21:40
好奇楼主是怎么把字体这么漂亮的。。是在winbox下么？

crossover下虚拟的。

作者: blanksign 时间: 2024-2-6 23:08

liuleisail 发表于 2024-2-6 20:16
看了看，ipv4的是3091，最多3400，ipv6的少一些，不到900.

加起来4000的会话数，也还行。虚拟机拉满那都是正常的。

作者: kevinho86 时间: 2024-2-6 23:10
本帖最后由 kevinho86 于 2024-2-6 23:13 编辑

不知LZ是否有那么的需要那么多的防火墙设定，觉得是太多防火墙规则导致的
我同样使用狐狸的设定，还有黑洞路由（但没有IPv6方面的设定，因为我这边未有IPv6的安排，广州广电珠江宽频），
但全速下载（200Mbps）也极少达到总体30%占用率。
(, 下载次数: 224)

作者: liuleisail 时间: 2024-2-6 23:33

blanksign 发表于 2024-2-6 23:08
加起来4000的会话数，也还行。虚拟机拉满那都是正常的。

5009这么弱啊

作者: blanksign 时间: 2024-2-6 23:56

liuleisail 发表于 2024-2-6 23:33
5009这么弱啊

你没弄清楚你的问题点，你说的是N100的CPU100%。

作者: liuleisail 时间: 2024-2-7 09:53

blanksign 发表于 2024-2-6 23:56
你没弄清楚你的问题点，你说的是N100的CPU100%。

物理机纯装 routeros 不会拉满吧

作者: kerafyrm 时间: 2024-2-7 11:58
直接上服务器的板子
Asrock rack 新主板 D1848TERD4U-4T4O，英特尔至强 Xeon D-1848TER 处理器，4个万兆LAN（英特尔X557-AT4），以及4个万兆SFP电口和一个可远程控制千兆LAN（Realtek RTL8211E）。

作者: kerafyrm 时间: 2024-2-7 11:59

kevinho86 发表于 2024-2-6 23:10
不知LZ是否有那么的需要那么多的防火墙设定，觉得是太多防火墙规则导致的
我同样使用狐狸的设定，还有黑洞 ...

狐狸的设定是啥？能不能分享下

作者: Emmerich 时间: 2024-2-7 13:46

kerafyrm 发表于 2024-2-7 11:59
狐狸的设定是啥？能不能分享下

https://gitee.com/callmer/routeros_toss_notes

作者: blanksign 时间: 2024-2-7 15:55

liuleisail 发表于 2024-2-7 09:53
物理机纯装 routeros 不会拉满吧

那难说，至少我没做网心的测试，但是X86依旧是各种秒杀我RB系列硬件。

作者: kerafyrm 时间: 2024-2-7 16:50

Emmerich 发表于 2024-2-7 13:46
https://gitee.com/callmer/routeros_toss_notes

感谢分享，我来看看啊。
Interface接口里有一个LO接口，你们有吗？怎么我的设备里没有这个LO

作者: aitkots 时间: 2024-2-7 17:16

kerafyrm 发表于 2024-2-7 16:50
感谢分享，我来看看啊。
Interface接口里有一个LO接口，你们有吗？怎么我的设备里没有这个LO ...

Lo 接口是 7.14 才会出来的功能，我先提前放出来了（

作者: kerafyrm 时间: 2024-2-7 18:52
本帖最后由 kerafyrm 于 2024-2-7 18:54 编辑

aitkots 发表于 2024-2-7 17:16
Lo 接口是 7.14 才会出来的功能，我先提前放出来了（

正主在这，问一下，防火墙规则里，backtohome，wireguard之类规则放在哪条后面？

(, 下载次数: 232)

作者: xzg19911123 时间: 2024-2-7 18:53
一看就是瞎设置把路由器干懵逼了

作者: aitkots 时间: 2024-2-7 20:31

kerafyrm 发表于 2024-2-7 18:52
正主在这，问一下，防火墙规则里，backtohome，wireguard之类规则放在哪条后面？

...

drop all not from LAN 之前，input 链（

作者: kerafyrm 时间: 2024-2-7 22:28

aitkots 发表于 2024-2-7 20:31
drop all not from LAN 之前，input 链（

感谢，你的RouterOS攻略全网最详实最方便，适合我这样的小白

作者: kerafyrm 时间: 2024-2-8 16:04

aitkots 发表于 2024-2-7 20:31
drop all not from LAN 之前，input 链（

发现个问题，使用你的防火墙策略后，wireguard之类全部不能用了。。

作者: kerafyrm 时间: 2024-2-8 16:58
本帖最后由 kerafyrm 于 2024-4-10 19:11 编辑

搞定了，wireguard，zerotier之类额外服务
第一步：在你的/ip firewall address-list里添加一条规则

/ip firewall address-list
add address=X.X.X.0/24 comment="lanconf: local Wireguard address" list=local_lan_ipv4

复制代码

第二步：在Interface list里把wireguard加入到Lan里面

(, 下载次数: 344)

作者: liuleisail 时间: 2024-2-12 10:48
看来有必要购买个克隆盘，直接在n100上试试看看了，看了看profile中的cpu占用，routing占比太高，不知道为啥有那么多并发连接。搞不好是网心云的问题，之前先停用一下看看cpu能不能下来。

作者: vancho 时间: 2024-2-12 12:58
看规则感觉有点玩脱了，我5009收了2个bgp community set 然后几个同城wireguard隧道。防火墙规则合计不过10条，平均6%，最大10%。

作者: liuleisail 时间: 2024-2-12 20:49
本帖最后由 liuleisail 于 2024-2-12 20:50 编辑

晚上看了看，更可怕，同时并发connections到了7k+，cpu占用经常能上到65%以上，甚至偶尔70%，这个占用率，网络丢包肯定是常态了。
关闭了网心云……，cpu占用瞬间下来了，最高不超过20%，并发连接降低到1k2多点，正常了……

作者: mzxmum 时间: 2024-2-27 19:28
那个教程不错，但是过于复杂了，实在没有必要，规则越多，5009压力越大。

我建议在出厂默认防火墙的基础上完善一下，增加一些自己的需要的就可以了

作者: aaronz 时间: 2024-2-28 11:24
我就是5009默认的12个防火墙规则，足够用了。

作者: kevinho86 时间: 2024-2-28 11:49

aaronz 发表于 2024-2-28 11:24
我就是5009默认的12个防火墙规则，足够用了。

觉得获得非公网ip的用户，用默认的12条规则是足够的。

作者: 卟雨忆萧萧 时间: 2024-2-28 12:55
哈哈哈三人行
慢慢看

作者: zsecsqawdx 时间: 2024-2-28 15:54

liuleisail 发表于 2024-2-7 09:53
物理机纯装 routeros 不会拉满吧

RB5009性能在ROS硬件里算中下水平把。pppoe拨号网速拉起来就很耗cpu了。
你esxi里装个ros虚拟机，RB5009和N100的ROS分别跑一下Tools-Bandwidth Test 127.0.0.1的UDP和TCP，就很形象的知道性能差距了。
你可以Tools-Profile里看看那个项目cpu占用高，IP-Firewall里看Bytes列在跳流量的，就知道触发那个规则，来调整规则。

作者: welladam 时间: 2024-2-28 16:11

zsecsqawdx 发表于 2024-2-28 15:54
RB5009性能在ROS硬件里算中下水平把。pppoe拨号网速拉起来就很耗cpu了。
你esxi里装个ros虚拟机，RB5009 ...

手上没有 N100 没法测，请问大概差多少呢？

作者: rx_78gp02a 时间: 2024-2-28 16:40
RB5009也就四核，没有fastpath或者fasttrack的加持根本干不过X86。原厂机器就是要开加速，不然很容易瓶颈。官方的测试数据没有NAT、PPPOE、IPV6，看看就好。跑策略还是X86强。
1.2Gbps下载，180Kpps，2.3万连接，CAKE流控，CPU 25%。
(, 下载次数: 403)

作者: 老饭 时间: 2024-2-28 19:45
没必要的规则太多了

作者: zsecsqawdx 时间: 2024-2-28 20:30

welladam 发表于 2024-2-28 16:11
手上没有 N100 没法测，请问大概差多少呢？

这个是4405U cpu的，性能要比N100差不少。

作者: blanksign 时间: 2024-2-28 21:02

zsecsqawdx 发表于 2024-2-28 20:30
这个是4405U cpu的，性能要比N100差不少。

跑那玩意看重的不是速率，而是会话数。而且，自环测也没啥实际效果。J6412 4核心+PVE。
(, 下载次数: 381) (, 下载次数: 380)

作者: zsecsqawdx 时间: 2024-2-28 21:24

blanksign 发表于 2024-2-28 21:02
跑那玩意看重的不是速率，而是会话数。而且，自环测也没啥实际效果。J6412 4核心+PVE。
...

是不是严谨的测试，就是简单直观反映cpu在ros里的大致性能，你cpu是真4核UDP就高点。

作者: blanksign 时间: 2024-2-28 21:29

zsecsqawdx 发表于 2024-2-28 21:24
是不是严谨的测试，就是简单直观反映cpu在ros里的大致性能，你cpu是真4核UDP就高点。 ...

PVE虚拟，给的4核。这bandwidth-test就是一个图一乐的玩意。最高只能200条会话，没啥用。

作者: zsecsqawdx 时间: 2024-2-28 21:33

blanksign 发表于 2024-2-28 21:29
PVE虚拟，给的4核。这bandwidth-test就是一个图一乐的玩意。最高只能200条会话，没啥用。 ...

我也是PVE虚拟，给的4核，我的cpu是双核超线程。

作者: blanksign 时间: 2024-2-28 22:36

zsecsqawdx 发表于 2024-2-28 21:33
我也是PVE虚拟，给的4核，我的cpu是双核超线程。

我是实打实的4核心的U。

作者: 7zki 时间: 2024-5-3 17:33

rx_78gp02a 发表于 2024-2-28 16:40
RB5009也就四核，没有fastpath或者fasttrack的加持根本干不过X86。原厂机器就是要开加速，不然很容易瓶颈。 ...

请问这个探针是哪个工具提供的呀？

作者: rx_78gp02a 时间: 2024-5-3 22:00

7zki 发表于 2024-5-3 17:33
请问这个探针是哪个工具提供的呀？

prtg 通过snmp获取流量数据，ROS原生支持SNMP，还能自定义脚本获取连列数。

作者: 7zki 时间: 2024-5-4 14:51

rx_78gp02a 发表于 2024-5-3 22:00
prtg 通过snmp获取流量数据，ROS原生支持SNMP，还能自定义脚本获取连列数。

感谢！

作者: 豆沙包子 时间: 2024-11-15 20:51
N100 放在爱快手里都是 A700X 了，10G x 2 ➕ 2.5G x 4，两条500M 宽带，cpu 跑到 100%，那估计好几万连接了吧，看个网课不至于这么大压力

作者: farwish 时间: 2024-11-15 22:44

数不清发表于 2024-2-6 19:18
防火墙规则参考官方文档设置即可，过多的规则没必要，规则排列顺序可以参考官方视频基础教程。

标记，收藏
顺便问下，怎么收藏回复，有人知道吗

作者: gxlwrc 时间: 2024-12-8 11:52

xzg19911123 发表于 2024-2-7 18:53
一看就是瞎设置把路由器干懵逼了

我很同意，就上个网课跑个网心是不可能这么大负载的~~

作者: 心是勇敢的 时间: 2024-12-26 15:44
用DoH 服务器的时候用阿里的会断网，DNSPod Public的就没事，不知道什么原因

作者: sypqj 时间: 2024-12-26 15:51
本帖最后由 sypqj 于 2024-12-26 15:58 编辑

RB5009在家用都能成为瓶颈

我现在也是RB5009，动态公网IPv4和v6。300M宽带，PT上下行都能差不多跑满+三个wireguard好像没有什么问题。

就是默认的防火墙，甚至还关了几个，不然从外面Winbox连不上。

家用动态IP的宽带其实最不怕DDoS了

，重启一下换个IP。甚至真给你来个DDoS，最先受不了的可能是你的光猫。

作者: silverymoon 时间: 2024-12-26 16:23
你家不对外提供公网服务的话，搞那么多防火墙规则干啥
只跑基础规则加qos的话（关闭fasttrack），2千兆左右不成问题，适应他的2.5G设计目标

作者: liuleisail 时间: 2024-12-27 22:35
已经找到原因了……现在回复正常了……

作者: tarsier 时间: 2024-12-28 11:40

liuleisail 发表于 2024-12-27 22:35
已经找到原因了……现在回复正常了……

pcdn导致连接数过高的原因？

作者: liuleisail 时间: 2024-12-29 20:40

tarsier 发表于 2024-12-28 11:40
pcdn导致连接数过高的原因？

之前导入了好几k条静态路由……

作者: zhanghaobaohu 时间: 2025-4-7 16:15
留个底，回家研究！

作者: 幻呤乐 时间: 2025-4-7 16:28

liuleisail 发表于 2024-2-12 10:48
看来有必要购买个克隆盘，直接在n100上试试看看了，看了看profile中的cpu占用，routing占比太高，不知道为 ...

不懂ros系统

用过网心云，是不是网心云一试便知，你在高峰的时候直接把网心云网线拔了。看还卡不卡就知道了。

网心云这东西，配置越高，网速越快，网络类型越好，上游给的会话数，连接数就越高，轻松持满上行，我去年前年用过最高的单条百兆上行的宽带连接数能到一万多，完全是顶着上行带宽在跑，这时候这条线如果还接入了家用多无线路由器，其他手机平板刷抖音或者微信视频聊天等，就会特别卡。但这时候的收益也更高。后来宽带被限速了，再后来拆机了，现在再也不跑这玩意了。

作者: jerning 时间: 2025-6-13 11:22

kevinho86 发表于 2024-2-6 23:10
不知LZ是否有那么的需要那么多的防火墙设定，觉得是太多防火墙规则导致的
我同样使用狐狸的设定，还有黑洞 ...

我也是 crossover ，但是为啥我的的winbox字体很细很模糊一样。。。

作者: kevinho86 时间: 2025-6-13 11:27

jerning 发表于 2025-6-13 11:22
我也是 crossover ，但是为啥我的的winbox字体很细很模糊一样。。。

忘记哪里找的补丁导入注册表用的。
不过我现在转用了Winbox4.0了

作者: swordkj 时间: 2025-6-13 15:06

jerning 发表于 2025-6-13 11:22
我也是 crossover ，但是为啥我的的winbox字体很细很模糊一样。。。

有mac版的winbox

作者: jerning 时间: 2025-6-17 18:29

swordkj 发表于 2025-6-13 15:06
有mac版的winbox

那个是4.0 的 bate版本吧，那个用起来，还是没旧版的好用

作者: jerning 时间: 2025-6-17 18:29

kevinho86 发表于 2025-6-13 11:27
忘记哪里找的补丁导入注册表用的。
不过我现在转用了Winbox4.0了

我用4.0 的版本发现connection有个bug，连接数有时不刷新的。。。

作者: IceyHeart 时间: 2025-6-24 14:50
ros防火墙默认设置足够了，不需要画蛇添足。这个狐狸设定有的还会导致网络不通

作者: liuleisail 时间: 2025-6-25 06:10

IceyHeart 发表于 2025-6-24 14:50
ros防火墙默认设置足够了，不需要画蛇添足。这个狐狸设定有的还会导致网络不通 ...

截止到现在我这边还好，没出现这种情况

欢迎光临 Chiphell - 分享与交流用户体验 (https://www.chiphell.com/)