A legtöbbször feltett kérdés a MikroTik routerekkel kapcsolatban

Tudod mi a leggyakoribb kérdés, amit MikroTik routerekkel kapcsolatban feltesznek nekem?

Az, hogy valamilyen célra milyen routert ajánlok. Melyik router mire jó? És itt a kérdések általában arra vonatkoznak, hogy melyik routerenek elegendő az erőforrása bizonyos feladatok ellátásához. Főleg az irodai hálózatoknál szokat az ilyen jellegű kérdések előfordulni. Sajnos a kérdés pontos megválaszolása nem is olyan egyszerű.

Kezdjük az elején: egy router elvileg akkor elég egy bizonyos célra, ha azt a célt 100% CPU használtat nélkül tudja elérni. Gyakorlatban én nem engedném már 80% fölé se a CPU használatot, mert akkor már teljesítmény problémáink lehetnek. Ha azt látjuk egy roueteren, hogy tartósan magas a CPU használat, akkor el kell gondolkozni a cserén. Vagy tervezési fázisban: fel kell mérni a routerre rábízott feladatot és olyan routert kell választani, aminek a processzor használata nem lesz tartósan magas.

A gond az, hogy sokszor már a kérdésfeltevés sem jó. Az átlagos ilyen jellegű kérdés így néz ki: „Hello! Milyen router vinne el egy olyan hálózatot, ahol van 14 felhasználó?” Őőőő…hát nem tudom. Ugyanis azt, hogy milyen router lenne elég, azt nem közvetlenül a felhasználók száma szabja meg, hanem több tényező együttesen. Figyelembe kell venni a következőket:

• Mekkora sebességű az internet?
• Várható e sebesség emelkedés? (routert ugye nem egy évre szeretnénk venni.)
• Van e jelentősebb belső hálózatos forgalom? Pl. egy fájlszerver elérése. Ha van, akkor Bridge-elve, vagy switch-elve fog menni az a bizonyos forgalom? Ha switch-elve, akkor nem fogja terhelni a router CPU-ját. De ha Bridge-elve, akkor jelentős terhelést okozhat. A legtöbb helyen ilyen forgalom nincs, vagy nem annyira jelentős, vagy ha jelentős, akkor egy külön switch-en meg keresztül, így ennek hatásától most eltekintek és csak a netes forgalmakat veszem figyelembe.
• Lesznek e VPN-ek, ha igen, milyen protokollal?

Ha mindezeket átgondoltuk, akkor már csak egy dologra lesz szükségünk: a routerek benchmark eredményeire. Ezeket a https://mikrotik.com/products-ról szerezhetjük be. Rákattintunk bármelyik routerre, és a Test Results fülre kattintva  megkeressük a mérési eredményeket.

Na, itt van még egy kis bonyodalom. Ha arra számítottál, hogy itt végre kapsz egy számértéket arról, hogy „xyz típusú router 400 Mbps sávszélességet tud”, akkor sajnos van egy rossz hírem. A routerek teljesítményét még egy dolog befolyásolja, mégpedig nem is kicsit: a RouterOS konfigurációja. Hány tűzfal szabályunk van? Hány queue szabályunk? Használunk e fastpath/fasttrack konfigurációt? Egyáltalán a forgalom bridge-elt, vagy route-olt (a szolgáltató felé menő forgalmak szint minden esetben route-oltak) Mondtam, hogy a kérdés megválaszolása nem is egyszerű… Nézzük meg ezek hatását bővebben:

• Tűzfal: ha lérehozunk akár csak egyetlen Filter, vagy NAT szabályt, azonnal bekapcsol a RouterOS Connection Tracking funkciója. Ezzel az a gond, hogy ez már önmagában egy komoly CPU-zabáló tényező. Innentől kezdve nincs jelentős különbség, hogy 1, vagy 10 filter szabályunk van, mert a Connection Tracking önmagában lefelezi-harmadolja a routerünk áteresztő képességét.
• Queue: vegyes méretű csomagoknál 25 simple queue szabály akár 30%-kal is csökkentheti a routerünk áteresztő képességét. Ha van egy irodai hálózat, akkor lehetőleg ne hozz léter mindenkinek külön Simple Queue szabályt, hanem inkább fontold meg a PCQ haszálatát.
• Fasttrack használata: ez viszont egy igazi jolly joker lehet, ha nem akarunk pl. queue szabályokat használni. A MikroTik szerint akár megötszörözheti a router átviteli képességét. kicsit túlzó ez a szám, de egy háromszorozást már nekem is sikerült kimérnem.

Szóval itt van ez a rakás tényező, és van egy Performance test táblázatunk. ha megnézed még egyszer a táblázatot, látni fogod, hogy routing esetén pont arra a három esetre van minden router megmérve, amit említetem (vízszintes sorok). A függőleges oszlopokban pedig különböző csomagméreteket látsz. Így megtudható, hogy egy router bizonyos konfig és csomagméret mellett hány csomag/másodperc teljesítményre képes és ez hány Mbps-t jelent.

De milyen csomagméretből induljunk ki? Én azt javaslom, hogy számolj egy átlagot a három feltűntetett csomagméretből.

Így kijön pl., hogy egy RB2011UiAS-2HnD-IN fasttrack mellett (none (fast path) sor) (1481 Mbps + 860 Mbps + 116 Mbps)/3 = 820 Mbps átvitelre képes. Ugyanez a router 25 filter szabály mellett (670 Mbps + 244 Mbps + 31 Mbps)/3 = 315 Mbps átvitelt tud megvalósítani. Fontos, hogy ezek továbbra sem pontos értékek, de egy jó közelítést adnak! Persze arra figyelj oda, hogy hiába jön ki az, hogy a routered 300 Mbps-t tud, csak 10/100-as Ethernet portok vannak rajta.

Huh…megvagyunk. Ja, nem. Mi van akkor, ha VPN kapcsolat is kell? Ez technológia függő. Egy PPTP, vagy L2TP alapú VPN nem fogja súlyos százalékokkal megdobni a routerünk terheltségét, de még ha egyszerre tízen jelentkeznek be ilyen protokollokkal, akkor sem fog ugrásszerűen megnőni a CPU használat. Legalábbis a tunnel miatt nem, de a benne menő forgalom az már más tészta. A PPTP és L2TP gyenge tikosítást alkalmaz, nem dolgoztatja meg nagyon a CPU-t. Ugyanaz a forgalom tunnel-ben max 10% terhelés növekedést jelet a nem tunnel-ben küldött forgalomhoz képest. Más a helyzet viszont komolyabb titkosítással dolgozó protokollok esetén. Az SSTP tunnel-ben menő forgalom akár 25%-kal is nagyobb processzor terhelést okozhat, mint ugyanaz a forgalom nem tunnel-ben küldve. Az IPSec pedig igazi nagyágyú: akár képes ötödölni-hatodolni (!) a router áteresztő képességét. Szóval ha esetleg IPSec-re is szükség lesz és titkosítva is szeretnéd kihasználni a teljes sávszélességet, akkor keress egy routert adott net kapcsolat mellé, majd a biztonság kedvéért válassz egy hatszor erősebbet! Vagy válassz egy olyat, ami hardveres IPSec gyorsítással rendelkezik.