[GTER] Opiniões sobre o RouterOS v7

Fred Pedrisa [HyperFilter DDoS Protection Solutions] pedrisa at hyperfilter.com
Thu May 19 10:25:49 -03 2022 

A questão do FastPath, é que basicamente isso seria outro nome para 
"Kernel Bypass", basicamente, o tráfego "bypassa" a maior parte do 
kernel, então nesse caso, sequer, vai para camada raw/prerouting, é 
praticamente um "atalho mesmo", só usando a RIB/FIB, isso de tirar as 
regras do Firewall é apenas para deixar a pessoa ciente do que está 
acontecendo, mas na verdade, nem seria necessário. Ela poderia ter uma 
checkbox pra habilitar/desabilitar o Fastpath, sabendo das 
vantagens/desvantagens do procedimento...

On 19/05/2022 10:20, Douglas Fischer via gter wrote:
> Complementação sobre o FastPath.
> A parte mais complicada de usar FastPath é que tem que ZERAR tudo de
> Firewall e deixar a caixa arreganhada.
>
> Bem que esses caras poderiam pelo menos fazer algo do tipo:
> "Fast-Path ficará ativo até 15 Rules RAW"
> Regras RAW não precisa de lookup em contrack, e poderia ser calculado
> diretamente lá na NIC.
>
>
> Em qua., 18 de mai. de 2022 às 16:59, Douglas Fischer <
> fischerdouglas at gmail.com> escreveu:
>
>> Aooba Luiz!
>>
>> Muitos já sabem que não morro de amores pela Mikrotik.
>> MAAAAS, eu tive que aprender a conviver com ele.
>>
>> O que posso falar muito superficialmente sobre o teu cenário é:
>> 1 - Não recomendo ir para a v7 ainda para esse teu cenário.
>> (Depois enviarei um outro e-mail compartilhando minha visão sobre isso.)
>>
>> 2 - Com uma boa dose trakitanagem na escolha de rotas(sem full-routing),
>> Fast Path ativado, e poucas rotas no IGP, essa 1009 dá e sobra pra esses 2
>> Gbps.
>>
>> Vou tentar detalhar de trás pra frente:
>> - Evite muitas rotas de IGP (OSPF) no teu border. O Mínimo possível!
>> Prum cenário com 2Gbps de banda passante, se tiver mais de 30 rotas OSPF é
>> provável que tenha que rever esse plano de numeração e sumarização.
>> - Fast-Path Ativado!
>> Esse aqui é polêmico hein... Estilo o vídeo dos "mamilos". Principalmente
>> numa 1009.
>> Mas se você conseguir cumprir TODOS os requisitos[1] do Fast Path, ele vai
>> fazer com que os pacotes não tenham que passar pela CPU para serem
>> encaminhados. Ou seja, entra por uma NIC e sai pela outra.
>> Só esse tópico já renderia uma imensa novela, mas pensando que grosso do
>> teu Download estaria vindo pelas Interfaces de 1Gbps e indo pra de 10Gbps,
>> você não sofreria com assimetria de velocidades e buffer.
>> - Escolha de rotas MAROTA
>> Quanto mais rotas na RIB/FIB mais a CCR sofre, então tem que fazer uns
>> malabarismos para tirar rotas da RIB/FIB. Como?
>> Vai ter dois Links de trânsito? Aceita a Default dos dois, e escolhe as
>> melhores rotas de cada um e rejeita todo o resto.
>> Se os seus provedores de trânsito forem empresa TOP, vão te dar
>> communities para você fazer um match na community e escolher o que presta.
>> Se for provedor de trânsito feito a facão, faz um REGEX de AS-PATH e é o
>> melhor que vai conseguir.
>>
>> [1]https://wiki.mikrotik.com/wiki/Manual:Fast_Path#IPv4_handler
>>
>> Em ter., 17 de mai. de 2022 às 16:39, Luiz Filipe Silva Lopes via gter <
>> gter at eng.registro.br> escreveu:
>>
>>> Saudações, gostaria de tirar uma dúvida com os ISPs e a galera da TI:
>>>
>>> Um contexto geral para a pergunta:
>>>
>>> Aqui no meu provedor tem uma CCR1009-7G-1C-1S+ fazendo o BGP passando
>>> seus 2GB sem nenhum problema, porém eu gostaria de aumentar meu segundo
>>> link, que é de 1GB para 2GB e assim eu teria 4GB.
>>>
>>> Fiz uma breve pesquisa e encontrei duas opções para o meu caso:
>>> - CCR1036-8G-2S+
>>> - CCR2004-16G-2S+
>>>
>>> Outro detalhe, já existe versões stable do RouterOS v7 mas eu nunca tive
>>> coragem de testar elas nos roteadores em produção, especialmente em um
>>> lugar tão sensível que é o BGP.
>>>
>>> Ai eu tenho duas alternativas para escolher:
>>>
>>> 1. Eu fico com a CCR2004 e, enquanto não houver uma versão long-term do
>>> RouterOS v7, eu fico com a 6.43.16
>>>
>>> 2. Eu pego a CCR1036, coloco a versão stable da v7 e tento aproveitar
>>> todos os 36 núcleos para BGP e quem sabe sonhar com um full routing
>>> nela.
>>>
>>> Alguém ai já usa ou teve alguma experiência com a RouterOS v7 em BGP?
>>>
>>> --
>>> Atte.,
>>> Luiz Filipe
>>> Portal Link Telecom
>>> --
>>> gter listhttps://eng.registro.br/mailman/listinfo/gter
>>>
>>
>> --
>> Douglas Fernando Fischer
>> Engº de Controle e Automação
>>
>
-- 
*Fred Pedrisa - CEO/CTO*
HyperFilter DDoS Protection Solutions <https://www.hyperfilter.com>
A FNXTEC, Company.
*Mobile:* +55 (11) 97177-7000

More information about the gter mailing list