Auteur Sujet: Mikrotik et routeurOS7 (Lu 18534 fois)

doctorrock · « **Réponse #60 le:** 13 décembre 2021 à 22:03:16 »

Citation de: Gnubyte le 13 décembre 2021 à 16:43:47

Qui a essayé et réussi le bridge filter cos=6 avec un RouterOS v7.1?

Comme dit plus haut : moi, mais avec mon switch, ca ne fonctionne pas sur le routeur

Mackila · « **Réponse #61 le:** 13 décembre 2021 à 23:15:06 »

Je n'ai pas la même hypothèse pour expliquer que les règles bridge filter en RoS 7.1 fonctionnent sur le CRS312 et pas sur le CCR, autre que l'archi du CPU. P'tet ben que si ça marche sur le CRS, c'est parceque c'est le 98DX8212 qui prend la règle en hardware (et que le support via le CPU reste buggué) ?

doctorrock · « **Réponse #62 le:** 14 décembre 2021 à 19:13:16 »

Citation de: Mackila le 13 décembre 2021 à 23:15:06

Je n'ai pas la même hypothèse pour expliquer que les règles bridge filter en RoS 7.1 fonctionnent sur le CRS312 et pas sur le CCR, autre que l'archi du CPU. P'tet ben que si ça marche sur le CRS, c'est parceque c'est le 98DX8212 qui prend la règle en hardware (et que le support via le CPU reste buggué) ?

Nop je ne pense pas, et je vais te dire pourquoi.

J'ai crée un bridge dédié, pour les 2 ports, logique.
Mais j'avais déja un bridge puisque c'est mon switch "de prod", c'est un CRS3.XXX , donc tout le switching actuel de ma "prod" se fait via le bridge. Ca fonctionne comme ça sur les CRS3.XXXX (et j'aime bien plus que le old-fashion ou les != CRS3, via le menu "switch", quelle galère !)

Donc le premier bridge, mon "LAN", est Hardware Offloadé (il passe pas par le CPU), mais .... pas le second.
Les ASIC ne peuvent être sollicités que pour un seul bridge. Si tu "coupes" ton switch en plusieurs bridges, seul le premier sera entièrement Hardware Offloadé, mais aucun des suivants.
C'est d'ailleurs très clairement indiqué dans la doc (et logique).

Donc non, ça passe par le CPU, et comme le CPU est microscopique (logique, c'est un switch), je me suis tourné vers une autre solution (j'ai un autre switch matériel, Mikrotik, dans un placard : je l'ai ressorti).

Mackila · « **Réponse #63 le:** 14 décembre 2021 à 20:42:30 »

Ça ne te limite pas en débit de faire le filtrage pour la CoS avec un CPU anémique ?

dmfr · « **Réponse #64 le:** 14 décembre 2021 à 20:46:42 »

Citation de: Gnubyte le 13 décembre 2021 à 16:43:47

Qui a essayé et réussi le bridge filter cos=6 avec un RouterOS v7.1?

Oui, sur RB4011 (arm 32bit) depuis les RC.
En revanche, ça ne fonctionnait pas sur les betas.

doctorrock · « **Réponse #65 le:** 14 décembre 2021 à 22:06:40 »

Citation de: Mackila le 14 décembre 2021 à 20:42:30

Ça ne te limite pas en débit de faire le filtrage pour la CoS avec un CPU anémique ?

Je t'ai dit que j'ai ressorti un autre switch plus puissant pour ;-)
(En fait c'est un routeur, mais avec un CPU potable, qui arrive à faire du switching @ 1gbps , oui)

LordK1 · « **Réponse #66 le:** 15 janvier 2022 à 23:01:05 »

Bon, puisque l'information est remontée à Mikrotik, en attendant des nouvelles, je reste avec mon ERL $:-\$

https://lafibre.info/remplacer-livebox/configuration-routeros-mikrotik-pour-livebox/756/

nscheffer · « **Réponse #67 le:** 16 janvier 2022 à 07:03:27 »

Citation de: Mackila le 14 décembre 2021 à 20:42:30

Ça ne te limite pas en débit de faire le filtrage pour la CoS avec un CPU anémique ?

@Mackila

Pour avoir fait des tests sur pleins de Mikrotik et des Ubiquiti, quand on fait la CoS au travers d'un changement de CoS dans le VLAN (VLAN Priority) et que pour les paquets DHCP cela revient (je pense) à inspecter et traiter tout le trafic :
- si cela est fait avec une Switch Rule comme sur un Mikrotik c'est l'Asic du Chip Switch qui est devant le CPU qui fait cela de manière native en hardware sans solliciter le CPU et comme on-dit "Line Rate" (une telle assistance hardware produit le même résultat que l'on est 1Kbps, 1Mbps ou 1Gbps de trafic)
- si cela est fait avec un bridge filter c'est le CPU qui doit vérifier chaque paquet et le traiter d'ou l'effondrement des performances en général quelque soit le CPU sauf monstreux multi-core CPU

Toinou · « **Réponse #68 le:** 23 janvier 2022 à 21:32:15 »

Bonjour,

Avec le passage à la version 7 (7.1.1), mon RB3011 limite maintenant la connexion internet à 180 Mbps. Un des 2 CPUs sature. Je suis dans la configuration où le SFP est directement inséré dans le RB3011. C'est visiblement cette règle qui fait monter le CPU:

Code: [Sélectionner]

/interface bridge filter
add action=set-priority chain=output dst-port=67 ip-protocol=udp log-prefix="Set CoS to 6 on DHCP" mac-protocol=ip new-priority=6 \
    out-interface=vlan832-internet
add action=set-priority chain=output dst-port=547 ip-protocol=udp mac-protocol=ipv6 new-priority=6 out-interface=vlan832-internet

Si je les désactive, je retrouve la bande passante de ma connexion (300/300 Mbps, Sosh).

Je n'avais pas ce problème en v6.

J'ai également constaté qu'une connexion iperf à 1Gbps sur le switch du RB3011 (entre 2 PC en local) faisait aussi monter le CPU à 100 %. Je mesure 927 Mbit/s en IPv4 et 900 Mbit/s en IPv6 donc cela ne m'impacte pas vraiment... Je ne me rappelle pas que j'avais cette saturation en v6.

Avez-vous remarqué ces limitations en passant en v7 ?

dmfr · « **Réponse #69 le:** 24 janvier 2022 à 02:08:59 »

Citation de: nscheffer le 16 janvier 2022 à 07:03:27

Pour avoir fait des tests sur pleins de Mikrotik et des Ubiquiti, quand on fait la CoS au travers d'un changement de CoS dans le VLAN (VLAN Priority) et que pour les paquets DHCP cela revient (je pense) à inspecter et traiter tout le trafic :
- si cela est fait avec une Switch Rule comme sur un Mikrotik c'est l'Asic du Chip Switch qui est devant le CPU qui fait cela de manière native en hardware sans solliciter le CPU et comme on-dit "Line Rate" (une telle assistance hardware produit le même résultat que l'on est 1Kbps, 1Mbps ou 1Gbps de trafic)
- si cela est fait avec un bridge filter c'est le CPU qui doit vérifier chaque paquet et le traiter d'ou l'effondrement des performances en général quelque soit le CPU sauf monstreux multi-core CPU

L'implémentation est assez différente,

- Sur les ubiquiti edgerouters, il y a un vrai offload matériel par des hooks/APIs du SDK (Cavium). Les paquets offloadés ne sont même pas "vus" par le kernel.
La complexité d'une telle implémentation est probablement en rapport avec le gain obtenu.

- Chez Mikrotik, sur les modèles ARM récents tout du moins, c'est beaucoup moins central.

Les CPU utilisés (ARM Alpina ou Marvell) ne disposent d'aucun ASIC, et le "fast-track" n'est qu'un bypass sofware des règles netfilter pour toute connexion taggée comme telle.
La différence n'est pas comparable à l'ERL par exemple "avec ou sans".

Ce fast-track n'existe d'ailleurs pas en IPv6, et ca ne semble pas une priorité vu le faible gain pour les modèles actuels (RB4011 / 5009 / CCR-2xxx) et on peut imaginer que les modèles plus anciens (sous MIPS, tels que hEX, RB2011) ne sont plus leur première préoccupation, même si le gain serait là intéressant sous réserve d'ASICs disponibles sur ces CPUs.

En revanche le fast path sur des interfaces de type bridge reste l'exception réellement matérielle, c'est le switch-chip qui fait la commutation sans remonter au CPU.

Anonyme · « **Réponse #70 le:** 24 janvier 2022 à 02:28:43 »

J'en ai pris un au hasard,
Je vous invite à regarder de plus prêt les sections, switching, bridge, routing et leurs capacités de commutation ou routage.

https://mikrotik.com/product/crs305_1g_4s_in#fndtn-testresults

dmfr · « **Réponse #71 le:** 24 janvier 2022 à 03:04:13 »

Citation de: Anonyme le 24 janvier 2022 à 02:28:43

https://mikrotik.com/product/crs305_1g_4s_in#fndtn-testresults

C'est un switch.
Et donc ?