xakep7

Можно скрин в личку если не затруднит? У меня никак не выходит выжать столько. Упираюсь в одно ядро.

Не знаю как будет рб4011, но рб3011 работает откровенно хреново дома. Упираясь в одно ядро (NAT, static) выдает 860-880 мбит/с. Не решается никак. При этом напрямую стабильно 950/950.

Из вашей же темы. Карта с двумя портами по 10 гиг - 553 доллара. (Даже на ебее/али эти карточки идут по 200-400 баксов в зависимости от производителя) Сервер с двумя е5-2670 стоит от 1200 долларов на ебее. Вы скинули другой конфиг который хуже по производительности не говоря уже о одноканальном режиме памяти который скажется на итоговой производительности данного конфига в качестве маршрутизатора. То что вы скинули (бдком) лишь свитч, который не может отсеивать флуд. Считайте сами. Повторю тема не об этом.

зависит от скоростей и где именно прокладывать. Если до 1 гбит и внутри здания то лучше обычным кабелем. Если больше 1 гбит/с или снаружи то оптика.

Удачи собрать сервер с 8-ю 10 гбит портами и 2-мя ксеонами за 400 баксов, при цене 1-ой 2-х протовой карты в 200-300 баксов. Учитывая что сервер с 2-мя е5-2670 уже стоит 1200-2000 баксов с ebay. P.s. тема не об этом.

Видимо вы не читали пост полностью. В другом ДЦ стоит такой же ccr через который проходит 8-12 гбит/с с успехом. Маршруты обновляются около 1 минуты. Кстати у юников есть проблема с флудом на бгп порт. Гуглите. Сможет ли ваш самосбор отфильтровать 12 гбит трафика?

Реальные атаки. Железка стоит на ядре в Дата-Центре, на ней подняты 3 фулл bgp сессии (2 миллиона маршрутов). Глупо было бы если при защите от атаки сама атака через нее проходила не так ли? Далее железки атака не шла, пинги были нормальные т.е. поднятия задержек не фиксировалось. Среднее потребление обычное у дц - 100-200 мбит/с на исход днем, ночью 10-30 мбит. Атака последняя была уже ночью. Смысл и цели данной атаки были непонятны. Атака шла сначала на клиента с кэшером, потом на сайт дц (udp флуд ntp/ldap), далее лупили в порт бгп (tcp/syn флудом) на ccr. В европейском ЦОД

12 гбит/с udp (ntp/dns/ldap амплификации) флуда устроит? Отфильтрованного на ccr1072 с помощью RAW правил при нагрузке в 10-11%. 1 гбит/с TCP/SYN флуда в 1.2 Mpps, тоже с помощью правил raw но нагрузка уже 15-19% Последняя атака была в 3.2 гбит/с В swos это называется LAG, в RouterOS бондинг поддерживает 802.3ad на данных устройствах.

Все? У всех есть поддержка lacp.

Логин и пасс поддерживается.

В апп сторе есть бесплатная утилита под тики, правда с ссл она не умеет работать, только по обычному api.

На 6-ой ветке работало. Но видимо из-за DHCP/PPPoE

По идее да.

В основном udp, ну а вообще оба. https://www.securitylab.ru/blog/personal/aodugin/296669.php

Да, так и есть. Раньше работало так, сейчас уже поменяли видимо. Тогда верно, только лочить внешние запросы через фаер на порт.

Эта фитча влияет только на ответы через внешний интерфейс. На локалку она не влияет, на сколько я помню.

Смысл? Если можно просто отключить ответ на запросы извне локалки через данную функцию? Загрузки от этого будет меньше чем резать через фаер.

Уверены? Эпоха атак через днс сервера еще не прошла. А это как раз отвечает за ответ на запросы извне.

Отключите Allow Remote Requests. Это старая тема с DNS Amplification

Ну и желательно покажите настройки днса

Profile включите и посмотрите что грузит именно.

В тему про 3011 чтобы не быть голословным прикладываю скрины: Настройки такие же, как и у теста х86 На счет первого посмотрю. На счет второго: если будет у меня в наличии такое, то проверю. Может быть в следующем месяце закажу, в крайнем случае как хранилку заюзаю на центоси.

1) Пока не замечено. 2) В курсе, но и тест был на канале 500 мбит/с поэтому. Собрал из того что лежало без дела, чтобы получить примерное представление о производительности железа данного.

Почитайте это: https://wiki.mikrotik.com/wiki/Manual:Maximum_Transmission_Unit_on_RouterBoards

Пробовал. Результат был примерно такой же или чуток хуже. Шейперов нет никаких.