Mikrotik тормозит. Оптимизируем Firewall.

NetCloud

Простыми словами о сетевых технологиях

Mikrotik тормозит. Оптимизируем Firewall.

При создании сложных правил брандмауэра на маршрутизаторах MikroTik, особенно с высокими уровнями пропускной способности пакетов, важно, чтобы все правила обрабатывались эффективным образом. Mirkotik тормозит если приоритеты расставлены неправильно.

Про настройку firewall в Mirkotik можно почитать в статье по ссылке. Правила брандмауэра обрабатываются сверху вниз. Каждый новый пакет проверяется напротив каждого правила до тех пор, пока не будет найдено совпадение. Для трафика с большим количеством пакетов это может означать, что все эти пакеты должны обрабатываться много раз, прежде чем они будут сопоставлены. Это может потребовать более высокой вычислительной мощности, чем необходимо, и если процессор достигнет 100%, произойдет потеря пакетов. А mikrotik тормозит как раз по причине высокой загрузки ЦП.

Естественно, если брандмауэр вообще не требуется, то использование функций «fast-path» гарантирует, что пакеты будут перенаправлены на нужный интерфейс и вообще не будут обрабатываться процессором.

Но если брандмауэр нужен, то есть главное правило: самые популярные, наиболее используемые правила должны быть выше в списке по сравнению с неважными правилами. Таким образом, востребованный тип трафика будет обработан раньше и уменьшит использование ЦП, поскольку он будет обработан раньше, а не позже.

Вот почему разумно создать правило для соответствия самым важным пакетам и разместить его в верхней части списка. Вот список, опубликованный MikroTik, который показывает порядок того, как правила занимают процессорное время для обработки заказанных из наименее интенсивных к наиболее интенсивным:

1 – In Interface
2 – Out Interface
3 – Protocol
4 – fragment
5 – src-mac-address
6 – in-bridge-port
7 – out-bridge-port
8 – src-address
9 – dat-address
10 – src-address-type
11 – dat-address-type
12 – dst-address-list
13 – src-address-list
14 – ttl
15 – dscp
16 – packet-size
17 – ipv4-options
18 – dst-port
19 – src-port
20 – port
21 – tcp-flags
22 – tcp-mss
23 – icmp-options
24 – ingress-priority
25 – priority
26 – packet-mark
27 – routing-mark
28 – hotspot
29 – connection-mark
30 – connection-state
31 – connection-bytes
32 – connection-limit
33 – connection-rate
34 – connection-type
35 – random
36 – psd
37 – nth
38 – limit
39 – dst-limit
40 – per-connection-classifier
41 – p2p
42 – content
43 – layer7-protocol

Читайте также другие статьи про Mikrotik: настройка VPN между Mikrotik.


 

Один комментарий на «“Mikrotik тормозит. Оптимизируем Firewall.”»

  1. […] также другие статьи по теме Mikrotik: Mirkotik тормозит; настройка VPN между […]