Решили вопрос с UI для роутинга/шлюза.

Решили вопрос с UI для роутинга/шлюза., wifiman

corbyatkingsway

Guest

30.01.2025 18:39:00

Я использую UI gear с 2007 года. Большой фанат. Однако, за последние несколько лет я натыкаюсь на ограничения по пропускной способности шлюзов и сетевых контроллеров. Сейчас использую Dream Machine Pro Max. У меня 46 коммутаторов и 65 точек доступа, а в среднем 1400 клиентов ежедневно. Мы — растущая частная школа/церковь, использующие общую физическую сеть. Обе организации готовятся к строительству/расширению, так что нагрузка будет только увеличиваться. DMPMax используется только для размещения сетевого контроллера. У меня есть отдельные UNVR для Protect и Access. У меня 8 SSID, около 10 VLAN. Что происходит, так это то, что CPU на DMPm несколько раз в день (с понедельника по пятницу) достигает 100%. Ночью падает до 20%, память стабильно на уровне 70% (горизонтальная линия). Контроллер становится неотзывчивым, а кампус начинает капризничать, иногда с задержками в подключении. Ранее я использовал UXG-Pro с подписочным Cloud Key на время, а затем локальный сервер контроллера. В обоих случаях производительность контроллера достигала пика и вызывала тормоза. DMP-Max был специфицирован на тот момент, чтобы удовлетворить мои потребности, но в реальности я немного в отчаянии. Так что вот мой вопрос: могу ли я настроить контроллер на месте и управлять только коммутаторами и точками доступа, заменив UniFi Gateway чем-то другим? Думаю, ответ да, или хотя бы раньше был да, но я пытаюсь продумать это в голове. Я очень доволен Protect и Access и хотел бы сохранить все остальное на UniFi насколько это возможно. Моя сторона с ОЦР предпочитает, чтобы все было под одним брендом/крышей/управлением, насколько это возможно. Я бы не хотел полностью переходить на Fortinet для шлюза/коммутаторов/точек доступа (хотя я и побывал в бурных водах UniFi APs в течение многих лет, и это было непросто). Да, я знаю, что нечто вроде Fortinet — это платное решение, но оно также обычно оценивается лучше в этом масштабе и выше. Я хотел бы знать, возможно ли то, что я предлагаю, а мнения приветствуются (вторые).

packetengines

Guest

31.01.2025 13:12:00

@corbyatkingsway Вы развернули Ubiquiti's Router on a Stick Architecture, которая подходит для небольших сетей, но у вас растёт корпоративная сеть, где эта архитектура не масштабируется. Корпоративные сети строятся с распределёнными L3-коммутаторами, но проблема в том, что Ubiquiti's Layer 3 Switches не полностью функциональны. Если не делать полную перестройку сети с коммутаторами сторонних производителей с полной функциональностью L3, придётся разделить плоскость маршрутизации от плоскости управления сетью и как минимум обновить роутер. Другими словами, разделить контроллер от роутера и обновить роутер. Оценка относительной производительности CPU роутеров - хороший отправной пункт.

Относительное сравнение CPU/SoC основных Ubiquiti роутеров из базы данных PassMark:

* Ubiquiti UXG/UCG Max/Ultra: Qualcomm Quad-core ARM® Cortex®-A53 на 1.5 GHz
* Ubiquiti UXG-Pro/UDM-P: Amazon Quad-core ARM® Cortex®-A57 на 1.7 GHz
* Сторонний AMD Ryzen Embedded V1500B Quad-core @ 2.20GHz

_Space

Guest

31.01.2025 12:05:00

@corbyatkingsway, похоже, у вас проблема с CPU (в смысле, вы исчерпываете ресурсы процессора). Вопрос в том, почему. Похоже, использование CPU в обеденное время примерно в пределах нормы — около 20%. Работает сетевое приложение, управление AP и коммутаторами. Для вашей конфигурации это выглядит вполне разумно. Увеличение связано с ростом трафика пользователей (ну да, спасибо, доктор Очевидность). Так что давайте подробнее рассмотрим вашу конфигурацию. Вы упоминали две SFP+ LAN-связи, этого делать не стоит. Лучше использовать одну SFP+ связь с агрегационным коммутатором. —примечание… нет, не используйте все встроенные 8 портов вообще. Это только вызовет проблемы.

Можете рассказать подробнее о вашей конфигурации? Сколько VLAN? Насколько велики подсети /24? /16? Как организована маршрутизация между ними? Множество правил межсетевого экрана на уровне VLAN? Правила трафика / фильтры / блокировки по приложениям или категориям? Я копаю в том, что все эти мелочи используют CPU для работы.

Например, в почте, когда вы блокируете адрес из-за спама, каждое новое сообщение нужно сравнивать со списком заблокированных адресов. Чем больше вы добавляете, тем больше мощности требуется для сравнения. Может быть (я не знаю), у вас настроено много вещей, которые нагружают CPU?

У вас есть двойной WAN? (это также использует CPU/RAM).

Как я уже упоминал (и деньги — это не бесплатные вещи), для решения этой проблемы придется что-то потратить. Вы можете попробовать настроить VM и перенести управление сетью на нее (VM тоже "что-то" стоят, даже если у вас есть локальный хост). Это также будет стоить вам в виде сложности и времени на выполнение самых простых задач. Замена оборудования на более мощное устройство UniFi будет стоить, переход на сторонний маршрутизатор тоже будет стоить. Так что вопрос в том, если вы не сможете контролировать использование CPU, куда уходят ваши деньги.

Вы можете продать uxg-pro и udmp-max и покрыть часть расходов.

Лично я бы рассмотрел Federation Gateway. Да, это стоит немало денег. Даже если вы сможете снизить текущее использование CPU на 15%, я уверен, что со временем вы будете добавлять пользователей, оборудование, функции, и все вернется к этому снова.

Дома я использовал UXG-Pro с саморазвернутым сетевым приложением И UDMP. Все работало идеально. Так что я уверен, что вы сможете все настроить, независимо от того, что вы решите. Но усложнение (как я делал… но у меня были причины) не дешевле, если учесть стоимость управления/сложности и т.д.

Я заменил все это на pro-max, чтобы упростить. Это мягкая экономия стоила затрат на оборудование (и я избавился от кучи ненужного оборудования).

Давайте углубимся в ваши конкретные настройки конфигурации.

athurdent

Guest

01.02.2025 04:36:00

Если у вас нет EFG и вы не используете SSL Inspection, то IPS/IDS не особо помогут клиентам. Они не взламывают SSL, поэтому и не могут анализировать основную часть трафика клиентов в любом случае. Всё сейчас зашифровано. Лучше отключите их, используйте правила App/DPI, возможно, в сочетании с фильтрующим DNS, чтобы обезопасить трафик ваших клиентов.

corbyatkingsway

Guest

30.01.2025 21:36:00

@acebmxer В последнее время нет. Раньше да. Говорят, нужно отключать некоторые функции, например, идентификацию трафика или частоту обновления веб-интерфейса. В принципе, я считаю, что мне этого не должно быть нужно делать. Может, маркетинговые спецификации нужно сделать более конкретными, или предложить ссылку на "эти спецификации/результаты при этих условиях: количество VLAN, количество SSID, IDS/IPS включены/выключены и т.д.". Их калькулятор предполагает 10 клиентов на точку доступа, ну, они что-то должны предполагать, а значит, если у меня 65 точек доступа, это 650 клиентов, что в моем случае получается верно, но распределение очень разное. У меня будет 50 клиентов на точку доступа в этом здании с 4 точками, 40/точка в этом здании, может быть 10 на этих точках на этой части кампуса. Калькулятор также не учитывает коммутаторы, что, возможно, не имеет значения, не уверен. В общем, хотел сказать, что в прошлом служба поддержки UI (для меня она была отличной, когда была реальная проблема) не будет считать это проблемой как таковой. Если они захотят, и один из них наткнулся на этот пост, потому что он был отмечен ранее, я был бы рад помочь.

acebmxer Guest	#6 30.01.2025 21:16:00 Извини, не прочитал весь пост, так что если вопрос уже задавали или кто-то предлагал, прошу прощения. Ты уже обращался в поддержку Unifi и предоставил им файл поддержки для анализа?

corbyatkingsway

Guest

30.01.2025 20:27:00

@kanewolf Ок, вижу. Очень мало трафика между VLAN, практически весь трафик VLAN идёт к шлюзу. Возможно, стоит ещё раз рассмотреть возможность переложить маршрутизацию VLAN на коммутаторы, которые смогут это обработать и где физически имеет смысл изолировать.

RobbieH Guest	#8 30.01.2025 20:27:00 Можно всегда переложить задачи IPS или IDS на внешнее устройство или воспользоваться услугами MSSP, например, SecureWorks. Я никогда не работал с крупной сетью, где это решалось на уровне шлюза.

kanewolf

Guest

30.01.2025 20:25:00

Что я и пытался сказать, так это то, что если у тебя два коммутатора подключены к UDMP через DAC, то трафик между ними должен проходить через ЦП UDMP. Возможно, переход с USW-Aggregation на USW-Pro-Aggregation, который может переложить маршрутизацию L3 между твоими VLAN, поможет снизить нагрузку на ЦП UDMP. Это будет зависеть от объема трафика между VLAN.

corbyatkingsway

Guest

#10

30.01.2025 20:20:00

@kanewolf Я использую Port 9 (встроенный медный) для WAN-подключения (объединен с двумя SFP+ портами), и, поскольку он у меня есть, DAC 10gb от одного из других SFP+ портов к моему USW Aggregation коммутатору, который распределяет трафик по всему кампусу. Ты говоришь, если я объединю соединение со стороны LAN DMPmax к моему первому хопу/коммутатору LAN, это снизит загрузку CPU на DMPmax? Сделает ли разницу, если я буду пропускать трафик LAN через один из 8 портов коммутатора, а не через SFP+ порт? И/или WAN? Мне бы даже в голову не пришло, что разгрузка CPU зависит от того, какие порты используются.

kanewolf Guest	#11 30.01.2025 20:02:00 Если у вас WAN 1GE, используете ли вы два порта 10GE для LAN? Если да, то весь трафик проходит через CPU UDMP. L3 агрегирующий коммутатор потенциально может решить эту проблему.

corbyatkingsway

Guest

#12

30.01.2025 19:59:00

Вот рекламный текст для DMPmax: «10-гиговый облачный шлюз с поддержкой 200+ устройств UniFi / 2000+ клиентов, маршрутизация IPS 5 Гбит/с и резервное хранилище NVR». У меня включены IDS/IPS, несколько правил переадресации портов, идентификация трафика, так что у меня тут всякие навороты включены. ИМХО, маркетинговые материалы должны отражать возможности, когда всё включено на 100%. UI раньше советовал мне отключать некоторые функции для лучшей скорости работы контроллера, но я не думаю, что мне это нужно.

Вот как выглядят наши клиенты и нагрузка на сеть. Пиковый клиентский трафик — 1372 клиента. Пиковая пропускная способность сети — около 500, но я не знаю, можно ли ей доверять. Неделю назад был кратковременный пик в 4 Гбит/с, но наш провайдер пикает в 500, а проводное соединение — 1 Гбит/с. Не знаю, что это было.

corbyatkingsway Guest	#13 30.01.2025 19:49:00 У нас тут обед, поэтому трафик немного снизился, но это обычная картина по будням. Хотя, надо сказать, экран долго грузился, чтобы этот скрин сделать.

packetengines

Guest

#14

31.01.2025 22:43:00

"Router on a stick" означает, что вы используете коммутаторы Layer 2 по всей вашей сети. Теперь вы полностью зависите от Spanning Tree Layer 2 для управления избыточностью. Проблемы с Spanning Tree в одной части сети могут, и часто приводят к, полному краху всей сети. У вас может быть огромный Router, но это не обеспечивает избыточность по всей сети.

corbyatkingsway

Guest

#15

31.01.2025 20:56:00

К слову, за последние 30 минут с тех пор, как я выключил Traffic ID, загрузка CPU, как описано выше в top, вообще не изменилась. Но опять время обеда, и объем трафика значительно снизился, как и загрузка CPU в GUI. В top Java и Suricata все еще скачут от 50% до 100+%. Если задуматься, я не очень хорошо знаю top, поэтому не знаю, показывает ли он общую загрузку всех ядер или как это отображается. Но GUI не соответствует данным top. Когда объем трафика снизился, GUI стал работать гораздо быстрее. Возможно, попробую подключиться к GUI напрямую, а не через Site Manager, просто для оценки отзывчивости.

corbyatkingsway

Guest

#16

31.01.2025 20:25:00

@otherbarry С Dream machines сетевое приложение выгрузить нельзя. На них контроллер должен работать на гейтвее. С VM способность загружать и использовать веб-контроллер ухудшилась и стала бы бесполезной. Сеть в целом продолжала работать. Но, если я запускаю top в ssh-сессии, Suricata занимает 40-50% CPU. Java обычно на втором месте, иногда всплескивает до 100%+ (только что видел 117%). ubnt-id висит примерно на 20-30%, dpi-flow и mcad то и дело выскакивают в топ-5 с примерно 15% каждый. Так что похоже, IDS/IPS немного жирует. Но мне они нужны здесь, без необходимости собирать/управлять каким-то отдельным inline-боксом, не говоря уже о каких-то будущих правилах, основанных на трафике. Однако, для тестирования я выключу Traffic Identification и посмотрим, что произойдёт.

otherbarry

Guest

#17

31.01.2025 20:04:00

Похоже, проблема в том, сколько CPU «съедает» сетевое приложение, а не IPS/IDS. Это не самый удобный способ получить информацию, но пробовали ли вы запустить `top` в активной SSH-сессии на шлюзе и посмотреть, что потребляет ресурсы? Если выяснится, что сетевое приложение использует большую часть CPU, то перенос его на другой сервер, скорее всего, решит проблемы на шлюзе. Вы упомянули, что оно работает в VM (довольно большой, кстати), и через неделю у вас начинаются проблемы. Два вопроса по этому поводу: (1) какие конкретно проблемы возникали, и (2) оставалась ли хорошей производительность интернета? Если виновато сетевое приложение, то его лучше перенести на отдельный выделенный сервер (на PC-железе или на CloudKey Enterprise). Если же сетевое приложение не основная причина нагрузки на CPU на шлюзе, то стоит задуматься о более мощном шлюзе (EFG) или не-UniFi-маршрутизаторе.

athurdent Guest	#18 31.01.2025 18:46:00 Сравнивать энергопотребление управляющего CPU у SoCs, которые могут использовать аппаратное ускорение сети, с энергопотреблением программных маршрутизаторов - это вообще имеет смысл?

_Space Guest	#19 31.01.2025 17:24:00 @corbyatkingsway вот ссылка на fedex и Fortress: https://www.youtube.com/watch?v=mOl1wzDSM0k

corbyatkingsway Guest	#20 31.01.2025 17:01:00 @packetengines Я слышу, что ты говоришь. @AlexWilsonsBlog Ты упоминал, что район FedEx перешел на Fortress. Они используют его как роутер на одном канале (router on a stick)? Fortress занимается всей маршрутизацией для всех подсетей, или маршрутизация распределена частично?

Читают тему (гостей: 1)