[GTER] Opiniões sobre o RouterOS v7
Fred Pedrisa [HyperFilter DDoS Protection Solutions]
pedrisa at hyperfilter.com
Thu May 19 10:48:18 -03 2022
Pois é, isso é um tipo de offload, porém ainda via software, uma vez que
em conceito o que essa função fará, será um RIB/FIB lookup c/ algum
cache adicional implementado, de modo que na maior parte do tempo o
tráfego irá diretamente para os respectivos MACs/Interfaces sem precisar
de muitos recursos de CPU pra isso. (É muito melhor do que ter o pacote
atravessando toda a network stack desnecessariamente, poderia comportar
regras raw ? Poderia, mas daí tem o impacto do locking/synchronization
entre os cores/threads e regras, sem contar o tempo necessario entre
pacotes que vão dar match na primeira regra e na última regra, que
também iriam fazer a performance variar).
On 19/05/2022 10:30, Douglas Fischer wrote:
> Interessante saber disso...
>
> Eu enxergava o FastPath como um Hardware OffLoad de pobre.
> E por isso imaginava que se não fossem muitas regras RAW poderiam ser
> processadas nesse hardware offload.
>
> Aprendi mais uma.
>
>
> Em qui., 19 de mai. de 2022 às 10:26, Fred Pedrisa [HyperFilter DDoS
> Protection Solutions] via gter <gter at eng.registro.br> escreveu:
>
> A questão do FastPath, é que basicamente isso seria outro nome para
> "Kernel Bypass", basicamente, o tráfego "bypassa" a maior parte do
> kernel, então nesse caso, sequer, vai para camada raw/prerouting, é
> praticamente um "atalho mesmo", só usando a RIB/FIB, isso de tirar as
> regras do Firewall é apenas para deixar a pessoa ciente do que está
> acontecendo, mas na verdade, nem seria necessário. Ela poderia ter
> uma
> checkbox pra habilitar/desabilitar o Fastpath, sabendo das
> vantagens/desvantagens do procedimento...
>
> On 19/05/2022 10:20, Douglas Fischer via gter wrote:
> > Complementação sobre o FastPath.
> > A parte mais complicada de usar FastPath é que tem que ZERAR tudo de
> > Firewall e deixar a caixa arreganhada.
> >
> > Bem que esses caras poderiam pelo menos fazer algo do tipo:
> > "Fast-Path ficará ativo até 15 Rules RAW"
> > Regras RAW não precisa de lookup em contrack, e poderia ser
> calculado
> > diretamente lá na NIC.
> >
> >
> > Em qua., 18 de mai. de 2022 às 16:59, Douglas Fischer <
> > fischerdouglas at gmail.com> escreveu:
> >
> >> Aooba Luiz!
> >>
> >> Muitos já sabem que não morro de amores pela Mikrotik.
> >> MAAAAS, eu tive que aprender a conviver com ele.
> >>
> >> O que posso falar muito superficialmente sobre o teu cenário é:
> >> 1 - Não recomendo ir para a v7 ainda para esse teu cenário.
> >> (Depois enviarei um outro e-mail compartilhando minha visão
> sobre isso.)
> >>
> >> 2 - Com uma boa dose trakitanagem na escolha de rotas(sem
> full-routing),
> >> Fast Path ativado, e poucas rotas no IGP, essa 1009 dá e sobra
> pra esses 2
> >> Gbps.
> >>
> >> Vou tentar detalhar de trás pra frente:
> >> - Evite muitas rotas de IGP (OSPF) no teu border. O Mínimo
> possível!
> >> Prum cenário com 2Gbps de banda passante, se tiver mais de 30
> rotas OSPF é
> >> provável que tenha que rever esse plano de numeração e sumarização.
> >> - Fast-Path Ativado!
> >> Esse aqui é polêmico hein... Estilo o vídeo dos "mamilos".
> Principalmente
> >> numa 1009.
> >> Mas se você conseguir cumprir TODOS os requisitos[1] do Fast
> Path, ele vai
> >> fazer com que os pacotes não tenham que passar pela CPU para serem
> >> encaminhados. Ou seja, entra por uma NIC e sai pela outra.
> >> Só esse tópico já renderia uma imensa novela, mas pensando que
> grosso do
> >> teu Download estaria vindo pelas Interfaces de 1Gbps e indo pra
> de 10Gbps,
> >> você não sofreria com assimetria de velocidades e buffer.
> >> - Escolha de rotas MAROTA
> >> Quanto mais rotas na RIB/FIB mais a CCR sofre, então tem que
> fazer uns
> >> malabarismos para tirar rotas da RIB/FIB. Como?
> >> Vai ter dois Links de trânsito? Aceita a Default dos dois, e
> escolhe as
> >> melhores rotas de cada um e rejeita todo o resto.
> >> Se os seus provedores de trânsito forem empresa TOP, vão te dar
> >> communities para você fazer um match na community e escolher o
> que presta.
> >> Se for provedor de trânsito feito a facão, faz um REGEX de
> AS-PATH e é o
> >> melhor que vai conseguir.
> >>
> >> [1]https://wiki.mikrotik.com/wiki/Manual:Fast_Path#IPv4_handler
> >>
> >> Em ter., 17 de mai. de 2022 às 16:39, Luiz Filipe Silva Lopes
> via gter <
> >> gter at eng.registro.br> escreveu:
> >>
> >>> Saudações, gostaria de tirar uma dúvida com os ISPs e a galera
> da TI:
> >>>
> >>> Um contexto geral para a pergunta:
> >>>
> >>> Aqui no meu provedor tem uma CCR1009-7G-1C-1S+ fazendo o BGP
> passando
> >>> seus 2GB sem nenhum problema, porém eu gostaria de aumentar
> meu segundo
> >>> link, que é de 1GB para 2GB e assim eu teria 4GB.
> >>>
> >>> Fiz uma breve pesquisa e encontrei duas opções para o meu caso:
> >>> - CCR1036-8G-2S+
> >>> - CCR2004-16G-2S+
> >>>
> >>> Outro detalhe, já existe versões stable do RouterOS v7 mas eu
> nunca tive
> >>> coragem de testar elas nos roteadores em produção,
> especialmente em um
> >>> lugar tão sensível que é o BGP.
> >>>
> >>> Ai eu tenho duas alternativas para escolher:
> >>>
> >>> 1. Eu fico com a CCR2004 e, enquanto não houver uma versão
> long-term do
> >>> RouterOS v7, eu fico com a 6.43.16
> >>>
> >>> 2. Eu pego a CCR1036, coloco a versão stable da v7 e tento
> aproveitar
> >>> todos os 36 núcleos para BGP e quem sabe sonhar com um full
> routing
> >>> nela.
> >>>
> >>> Alguém ai já usa ou teve alguma experiência com a RouterOS v7
> em BGP?
> >>>
> >>> --
> >>> Atte.,
> >>> Luiz Filipe
> >>> Portal Link Telecom
> >>> --
> >>> gter listhttps://eng.registro.br/mailman/listinfo/gter
> <http://eng.registro.br/mailman/listinfo/gter>
> >>>
> >>
> >> --
> >> Douglas Fernando Fischer
> >> Engº de Controle e Automação
> >>
> >
> --
> *Fred Pedrisa - CEO/CTO*
> HyperFilter DDoS Protection Solutions <https://www.hyperfilter.com>
> A FNXTEC, Company.
> *Mobile:* +55 (11) 97177-7000
> --
> gter list https://eng.registro.br/mailman/listinfo/gter
>
>
>
> --
> Douglas Fernando Fischer
> Engº de Controle e Automação
--
*Fred Pedrisa - CEO/CTO*
HyperFilter DDoS Protection Solutions <https://www.hyperfilter.com>
A FNXTEC, Company.
*Mobile:* +55 (11) 97177-7000
More information about the gter
mailing list