Использование второго ядра в Ultra II

[connection_info]

Привет

Практически с момента появления в продаже этой модели, меня мучает вопрос, может ли второе ядро использоваться для маршрутизации и подобных задач. Как пример:

У меня сейчас Giga II, 700 МГц ЦП и канал 100 мбит (IPoE). Зайдя сюда - http://beststresser.com/ и начав "тест" (специально в кавычках написал), я вижу загрузку ЦП 60-70%, на входящих 92 мбит/с максимум. Что будет при более высоких скоростях, напр., 200 мбит, могу лишь предположить. Думаю, ЦП не хватит.

У Giga III 880 МГц, что, по идее, даст прирост в 25%. А у Ultra II уже 2 х 880 МГц. Но как там там распределяется нагрузка?

Техподдержка ZyXEL намекнула, что в такой ситуации Ultra II будет себя чувствать легче, т.к. присутствует "сложная балансировка".

Хотелось бы узнать ваше мнение. А если кто-то протестирует свою железку там, то будет ещё лучше. Сейчас почти у всех провайдеров есть "турбокнопка".

Будет просто замечательно сравнить результаты Giga III и Ultra II.

[Le ecureuil]

Ultra II спокойно пропускает по 940 Мбит/с в каждую сторону, то есть почти 1900 в дуплексе. Более того, при этом процессор должен быть практически свободен. Это проверено на Spirent и других тестовых стендах.

У себя же проверьте, включены ли ppe hardware и ppe software. При включеных ускорителях такая загрузка ЦПУ выглядит странно.

[T@rkus]

Ultra II спокойно пропускает по 940 Мбит/с в каждую сторону, то есть почти 1900 в дуплексе. Более того, при этом процессор должен быть практически свободен. Это проверено на Spirent и других тестовых стендах.

У себя же проверьте, включены ли ppe hardware и ppe software. При включеных ускорителях такая загрузка ЦПУ выглядит странно.

А ppe hardware и ppe software могут работать одновременно?

[Александр Рыжов]

Практически с момента появления в продаже этой модели, меня мучает вопрос, может ли второе ядро использоваться для маршрутизации и подобных задач. Как пример:

Ещё осенью проверял: второе ядро используется.

Если уж быть точным, у SoC'а два ядра по два потока команд в каждом. Что в этом случае считать сто процентной загрузкой? Если считать за 100% ситуацию, когда заняты все потоки, то 100% в веб-интерфейсе мы никогда не увидим.

[KorDen]

А ppe hardware и ppe software могут работать одновременно?

Где-то на этом форуме уже говорили, что чтобы работал HW, надо включить и HW и SW.

У меня на Giga 2 спокойно качались-раздавались торренты при тарифе в 300 мбит/с (IPoE), нагрузка даже к 50% не подходила. В провайдерской локалке файлики гоняли на 500-700 мбит/с...

[dexter]

Проверял iperf'ом на гигабитном канале. Скорость чуть больше 800мбит/с, что на Ultra 1, что на Ultra 2. Загрузка CPU, при этом, около "0" на Ultra 1.

iperf запускался с компа.

[Александр Рыжов]

iperf запускался с компа.

А со стороны WAN что было?

[dexter]

Со стороны WAN, что-то провайдерское. Постараюсь узнать.

[Le ecureuil]

Ultra II спокойно пропускает по 940 Мбит/с в каждую сторону, то есть почти 1900 в дуплексе. Более того, при этом процессор должен быть практически свободен. Это проверено на Spirent и других тестовых стендах.

У себя же проверьте, включены ли ppe hardware и ppe software. При включеных ускорителях такая загрузка ЦПУ выглядит странно.

А ppe hardware и ppe software могут работать одновременно?

Конечно.

ppe hardware обрабатывает трафик для случая работы IPoE/PPPoE через провод (имеется в виду, что клиенты соединен с роутером по проводу),

ppe software обрабатывает трафик для случая работы IPoE/PPPoE через WiFi (имеется в виду, что клиенты соединены с роутером по WiFi), всех случаев с L2TP/PPTP, мультикастом и USB DSL.

[Le ecureuil]

А ppe hardware и ppe software могут работать одновременно?

Где-то на этом форуме уже говорили, что чтобы работал HW, надо включить и HW и SW.

Уже нет, начиная с 2.06B0 и выше возвращено старое поведение с полностью разделными ppe hardware и ppe software.

[Александр Рыжов]

Со стороны WAN, что-то провайдерское.

Тогда поздравляю, вы намеряли исходящую скорость, да ещё непонятно с чем.

[T@rkus]

А ppe hardware и ppe software могут работать одновременно?

Где-то на этом форуме уже говорили, что чтобы работал HW, надо включить и HW и SW.

Уже нет, начиная с 2.06B0 и выше возвращено старое поведение с полностью разделными ppe hardware и ppe software.

По умолчанию HW и SW включены? Какой командой можно посмотреть их состояние?

[Le ecureuil]

Где-то на этом форуме уже говорили, что чтобы работал HW, надо включить и HW и SW.

Уже нет, начиная с 2.06B0 и выше возвращено старое поведение с полностью разделными ppe hardware и ppe software.

По умолчанию HW и SW включены? Какой командой можно посмотреть их состояние?

По умолчанию все включено, посмотреть можно через

> show running-config

[connection_info]

Просьба не путать с тестилками скорости типа SpeedTest и скачкой/закачкой в торрент-клиенте. Эти задачи не представляют труда для таких железок. Тот "тест", на который я дал ссылку, по сути, самый настоящий DDoS (1-2 гбит/с как пишут) с UDP-флудом.

Я ддосил себя и свой сервачок (разные провайдеры). Вот это совсем другая загрузка и hardware/software ppe ситуацию не меняют.

Ultra II спокойно пропускает по 940 Мбит/с в каждую сторону, то есть почти 1900 в дуплексе. Более того, при этом процессор должен быть практически свободен. Это проверено на Spirent и других тестовых стендах.

У себя же проверьте, включены ли ppe hardware и ppe software. При включеных ускорителях такая загрузка ЦПУ выглядит странно.

Скачка/закачка ЦП не грузит, если включен т.н. "Сетевой ускоритель". Но я писал про случай, когда к нам идёт огромное количество UDP-флуда, забивая весь канал. Через маршрутизатор это, разумеется, не проходит (порты закрыты).

Ещё осенью проверял: второе ядро используется.

Если уж быть точным, у SoC'а два ядра по два потока команд в каждом. Что в этом случае считать сто процентной загрузкой? Если считать за 100% ситуацию, когда заняты все потоки, то 100% в веб-интерфейсе мы никогда не увидим.

Как я понял, это с software ppe? А вы не могли бы проделать нечто похожее но с флудом? Меня смутил ответ техподдержки, про "сложную балансировку" и "ему будет полегче". Почему не в два раза легче?

Также они написали, что железка не спасёт от профессионального ддоса. А тот, что я указал, это профессиональный или школьный? Я не пишу про платные. Мне бы хоть как-то защититься от бесплатных (школьных) и с минимальными затратами

[Александр Рыжов]

Как я понял, это с software ppe? А вы не могли бы проделать нечто похожее но с флудом? Меня смутил ответ техподдержки, про "сложную балансировку" и "ему будет полегче". Почему не в два раза легче?

Также они написали, что железка не спасёт от профессионального ддоса. А тот, что я указал, это профессиональный или школьный? Я не пишу про платные. Мне бы хоть как-то защититься от бесплатных (школьных) и с минимальными затратами

Да. Нет. Не знаю. Школьный.

[KorDen]

ppe hardware обрабатывает трафик для случая работы IPoE/PPPoE через провод (имеется в виду, что клиенты соединен с роутером по проводу),

ppe software обрабатывает трафик для случая работы IPoE/PPPoE через WiFi (имеется в виду, что клиенты соединены с роутером по WiFi), всех случаев с L2TP/PPTP, мультикастом и USB DSL.

В случае с Ultra 2 (где WAN отдельная сетевушка) в данном случае не имеет значения, куда воткнут аплинк? Скажем, если у меня два гигабитных линка от двух разных провайдеров с IPoE, один воткнут в WAN, другой в LAN1, то железный PPE (для проводного клиента) будет одинаково хорошо работать для любого из них?

[connection_info]

Да. Нет. Не знаю. Школьный.

Если так, то ЦП Ultra II уйдёт в полку и при школьном DDoS'е.

Ещё раз посмотрел видео с загрузкой. Написано, что загрузка при 8 мбайт/с (64 мбит). Допустим, одновременная загрузка 1-го ядра 56% и в этот момент 2-го на 77.9% (доп. потоки не считаю). Словно будь у нас одно ядро на 880 МГц, его не хватило бы, а этого быть не может. Или же криво загрузка отображается.

И возможно, что загрузка между ядрами распределяется только между двумя сетевыми интерфейсами, т.е. только одно ядро сможет одновременно обрабатывать один сетевой интерфейс (интересует WAN). А смогут ли два ядра одновременно работать только на WAN, я непонял.

В общем, пока сам не попробую, не узнаю, а то может и смысла связываться нет - текущее решение может оказаться мощнее. Но как попробую (можно взять с возвратом), отпишусь. Для начала прогоню на 200 мбит.

В дополнение в первому сайту, ещё один http://beststresser.com/ Похоже, то один, то другой, глючат.

[Le ecureuil]

ppe hardware обрабатывает трафик для случая работы IPoE/PPPoE через провод (имеется в виду, что клиенты соединен с роутером по проводу),

ppe software обрабатывает трафик для случая работы IPoE/PPPoE через WiFi (имеется в виду, что клиенты соединены с роутером по WiFi), всех случаев с L2TP/PPTP, мультикастом и USB DSL.

В случае с Ultra 2 (где WAN отдельная сетевушка) в данном случае не имеет значения, куда воткнут аплинк? Скажем, если у меня два гигабитных линка от двух разных провайдеров с IPoE, один воткнут в WAN, другой в LAN1, то железный PPE (для проводного клиента) будет одинаково хорошо работать для любого из них?

Да, должно работать нормально.

[Le ecureuil]

В случае DDoS бороться с ним со стороны клиента бесполезно - к этому обязательно должен быть привлечен провайдер.

Даже если у вас девайс устоит при флуде в 100 Мбит/сек, это бесполезное геройство: канал у вас будет забит настолько, что работать в интернете будет невозможно.

[roma48]

В случае DDoS бороться с ним со стороны клиента бесполезно - к этому обязательно должен быть привлечен провайдер.

Даже если у вас девайс устоит при флуде в 100 Мбит/сек, это бесполезное геройство: канал у вас будет забит настолько, что работать в интернете будет невозможно.

Понятно

[connection_info]

Попробовал Giga II на 200 мбит... Как и ожидалось, даже по телнету нормально ответить не может, web-интерфейс недоступен сразу. Всё упирается в ЦП. Я очень сомневають, что Ultra II здесь поможет.

Казалось бы, самый простой режим для роутера, это когда нет ни одного правила проброса портов и подобного. Но если создать аналог DMZ (перебросить всё на ПК), то при таком DDoS ЦП роутера грузится на 0-1%. Железка не заморачивается, а всё пропускает через себя.

ПК, на который всё мапится, регистрирует на своём сетевом интерфейсе 25 млн. байт/с. Т.е. те самые 200 мбит/с. Это работает только в том случае, если в DMZ указан адрес существующего ПК, "пустоту" указывать нельзя.

И посему у меня вопрос - можно как-то сделать, что роутер ничего не пропускал, но ЦП его не грузился

Наверняка, какой-нибудь ZyWall уровня выше среднего, решил бы проблему, но этот вариант я не рассматривал ибо дорого и если он справится даже с 1 гигабитом, у меня канал возможен максимум на 500 мбит.

В случае DDoS бороться с ним со стороны клиента бесполезно - к этому обязательно должен быть привлечен провайдер.

Даже если у вас девайс устоит при флуде в 100 Мбит/сек, это бесполезное геройство: канал у вас будет забит настолько, что работать в интернете будет невозможно.

А что сделает провайдер? В этом DDoS учавствует множество простых устройств разных пользователей, в т.ч. домашних, которые ничего не подозревают. Здесь только самому решать. Я не пишу про услуги хостинг-провайдеров, которые предоставляют услуги по защите от DDoS. У меня домашний сервачок

Если бы у провайдера была возможность в личном кабинете выбрать порты, которые необходимо открыть, то это помогло бы. Но ничто не мешает направить флуд на те порты, которые мне необходимы.

По-хорошему, надо оперативно закрывать сайты, которые предоставляют услуги хотя бы бесплатного DDoS'а, это сразу отсечёт скучающих вредителей и школьников.

Насчёт 100 мбит я не могу согласиться. Если забит 100-200, то не факт, что будут забиты 500 мбит. А если и будут, то полностью.

[Le ecureuil]

И посему у меня вопрос - можно как-то сделать, что роутер ничего не пропускал, но ЦП его не грузился

Сперва опишите формальные критерии, по которым железка будет понимать что вот этот пакет - плохой, и его не нужно пропукать, а вот этот - хороший, поскольку предназначается компу в локальной сети для браузера (например). Причем критерии должны быть невероятно "дешевы" вычислительно.

[connection_info]

Причем критерии должны быть невероятно "дешевы" вычислительно.

Думаю, такое пока невозможно

Но у меня есть другой оптический модем (от провайдера), который, по идее, проще по начинке (ЦП и всё такое). Sercomm RV6688. Он себя в похожей ситуации вёл лучше, по крайней мере, по виду. Из локалки пинговался, но с редкими здержками до 40 мс, веб-интерфейс отвечал как обычно, а загрузка ЦП там отображалась в ~45%. Он не отображал входящий трафик, поэтому не могу этого знать. Может, он его просто резал до удобного для себя значения. Если так, то это тоже выход.

Как себя Ultra II поведёт в такой ситуации?

Я когда создал DMZ, то во время флуда видел часть (наверное часть) соединений в web-интерфейсе Giga II, но на ПК, по команде netstat -an, всего этого добра не видел. Поскольку первый роутер не нагружается при этом, то что будет, если за ним поставить другой, более мощный? Второму будет проще или из этого ничего не выйдет и тот, что мощнее, лучше сразу ставить в одиночку?