Cloud Hosted Router (CHR). Опыт использования.

Базовая функциональность RouterOS
Antares
Сообщения: 7
Зарегистрирован: 24 май 2017, 21:03

Cloud Hosted Router (CHR). Опыт использования.

Сообщение Antares »

Доброго времени!
Относительно недавно появился новый вариант Router OS - Cloud Hosted Router или сокращенно CHR. Предлагаю делиться здесь опытом и особенностями его использования.

Главным плюсом данного решения является использование возможностей архитектуры x64, т.е. большого объема RAM, большого количества ядер процессоров и т.п., а также "железа" произвольной конфигурации (ограничения накладываются только используемым гипервизором).
Главный минус - работа в виртуальной машине. Со всеми вытекающими последствиями.

Поводом посмотреть в сторону CHR (для меня) стала низкая пакетная производительность аппаратных решений от Mikrotik (даже старших моделей CCR), а также существенные ограничения RouterOS x86 в плане используемого железа (ограничения по используемым ресурсам и небольшой список поддерживаемых устройств).

Для первых экспериментов был взят далеко не новый, но еще достаточно мощный HP Proliant (2x Xeon по 6 ядер каждый, 48GB RAM), на который была дополнительно установлена 2-портовая SFP-карта производства Intel. В качестве гипервизора, ESXi от VMWARE. Виртуальной машине с CHR отданы практически все ресурсы хоста.
Основное назначение данного "чуда враждебной техники" - стать firewall между сетью магистрального провайдера и нашим NAS на Mikrotik CCR. Основная задача - предварительная фильтрация входящего трафика из интернет и отражение DoS и DDoS атак, основанных на флуде большим количеством мелких пакетов (с чем практически не справляются аппаратные Mikrotik).

Первые результаты вызвали довольно противоречивые чувства. Как водится, не обошлось без плясок с бубном, как при установке/настройке ESXi, так и RouterOS CHR. Но в итоге всё заработало... ну почти всё...
До полутора гигабит трафика нескольких тысяч пользователей вызывают нагрузку процессоров до 60%. CHR успешно блокирует одиночные флуд-атаки, при этом нагрузка повышается в приемлемых пределах. Серьезных DDoS-атак пока не было, да и не поможет при них никакой firewall...

Общее впечатление: CHR пока сыроват, хотя и довольно активно допиливается разработчиками. В ранних версиях как-то странно работал conntrack, сейчас вроде бы всё ок.
Весьма странно ведут себя PPP-подключения, фактически не функционируют. С VLAN, EoIP и т.п. такая-же картина. Транзитом из мира на CCR и обратно (через CHR) всё нормально ходит, а вот сам CHR подключения принимает, но дальше куча "странностей", с которыми я пока не разобрался, возможно проблема и не в CHR, а в ESXi. В общем, еще ковыряться и ковыряться :)