TR069 一般都能跑到线速，因为是运营商直接搞的 L2TP VPN，不像 PPPoE 会被 Radius 下发限速模版。

不过想限制当然也可以，一开始谁想过你们还能这么玩 😂

@stevefan1999 要是跑 BGP，@noahzh 提到的的按照源 IP 路由的功能就能基于 BGP FlowSpec 做了，然而 Mikrotik 太懒了，到现在还没有加 FlowSpec 支持。。

@onion83 是的，如果 ipset + routing mark + 监控脚本自动切路由，那效果可以达到基本一致。最大的坑就是 RoS 6 到现在也不支持 IPv6 的 PBR，所以如果想搞 IPv6 的分流就没辙了。虽然有传言 RoS 7 支持，但是看论坛里报的那个 bug 的数量。。实在是不敢用

实际上跑 OSPF 除了一开始配置稍微麻烦点，后面更新起来和健康检查什么的都要好做的多。因为都可以在旁路由上实现，路由器上的配置就只有几行，也没有频繁修改配置的风险。

@noahzh 更新的话，先把 https://github.com/dndx/nchnroutes/blob/main/Makefile 里面最后的几行注释去掉，然后直接在旁路由上用 root 跑了个 cron：

```
0 0 * * 0 make -C /home/pi/nchnroutes
```

然后 BIRD 就会自动把变更了的的 prefix 宣告给 RoS 。

@noahzh 这个是不行的，如果要按照来源来路由那就只能走 PBR 了。

这套方案不依赖于 UDP，比如你在旁路由上跑个 ss-redir + iptables 来转发效果也是一样的。

@noahzh 只要能 tunnel 跑 UDP 就可以，实际上我用了 udp2raw，把 UDP 包装成 TCP 。关键是要把 MTU 设对，否则一分片马上延迟爆炸。目前找到的好办法就是 `tcpdump` 配合 `ping -s` 来看封装后的 IP 包的大小。

@ericbize 这个方法我一开始考虑过，然而 RoS 不知道为什么导入静态路由速度爆炸，后来被迫放弃。后来我在找解决方法的时候还是在网上搜到了 RoS 论坛里有人抱怨这个问题 https://forum.mikrotik.com/viewtopic.php?t=117529 才想到可以跑路由协议。不过如果有国外的 IP 路由表，那也可以在隧道另一头拉路由，这样就可以不用默认路由了。

@ihipop VRRP 的话，因为不希望国内流量也走旁路由，所以不能满足需求

@miyunda fixed

@cwbsw 路由器最基本的功能就是根据路由表决定下一跳，如果这个性能都做不好那也不可能有性能更好的办法了。ipset 这种要走防火墙额外处理的只会比路由表更慢。

实际上 BGP 全表就算聚合后现在的大小也有快 50 万条路由了，10000 条跟这个比起来是小巫见大巫。用 ROS 跑 BGP 全表的人很多，要是这些都处理不了 ROS 就没法用了。

另外 Linux 的路由表查询其实是有缓存的，并不是每个数据包都要完整的查一遍。

http://linux-ip.net/html/routing-cache.html
https://superuser.com/questions/419659/iptables-vs-route
https://serverfault.com/questions/334885/use-iptables-or-null-route-for-blacklisting-about-1-million-ip-addresses

@avastms 相对于 PBR 的好处上面也都说了，的确是比较折腾一些，但是也能学到不少知识。另外的确可用性要比 PBR 和静态路由高一些。具体需不需这么高的可用性就看每个人各自的需求了。。。

其实我想说那些用 PBR 的看起来也挺折腾的...虽然看起来旁路由上配置简单，但是 ROS 上的配置可就复杂多了。

@zro 自带的肯定都不行，但是在树莓派上稍微伪装一下就可以。

有这么做的，比如 LMDB 就是靠 mmap 和操作系统来管理 page buffer 的。

好吧， 在美国的服务器上测试了一下这个命令发现也有 MPLS label，所以可能只是 AGA 内网转发的一个实现...

ChinaNet 那边应该只是接了很高 QoS 的线路....但是的确是稳定的不像 ChinaNet 。

扫描太正常了，只要禁用密码登录，更新 OpenSSH 版本，没有什么好怕的。

如果实在是强迫症，可以上 port knocking 。但是相信我，如果 OpenSSH 爆出什么 0day，有无数个网站要比你先倒霉。

这个是正常的，最终用户机器上分配的都是 /64 的地址，至于 /56 是让你在路由器上可以多分几个子网。如果只有一个子网，那就只有 /64 。

@moonfly 这个不好说，用的是 iperf 的 UDP 模式吗？丢包率是多少？

理论上来说，只要疯狂发包，哪怕 90% 的丢包率 100Mbps 也可以保证接收端这边 10Mbps，但是并不代表着说是高质量的线路。

电信国际线路就这样，回国堵出国不堵，如果是重要业务只能考虑上 CN2 GIA 或者 IPLC 。

@tctc4869 合适，MQTT 本身就是可以双向通信的，而且还帮你处理了分包，消息分类，加密等等功能。

@cue 没有问题，进去可以选地区，我试过安徽电信上海电信，都是秒给改公网 IP 。

哪要这么麻烦，上个月电信微信客服要的，连电话都没打当场就给了。前后花了 5 分钟。

对于这种可给可不给的，可能投诉人家反而会不想给吧。