Данный опус является частью единого цикла заметок o CLI.  Для его написания использовалось множество различных источников (скилы крутых специалистов, статьи с тематических сайтов, техническая документация, комментарии с форумов и социальных сетей и т. д и т. п.).  К сожалению, указать все источники точно не представляется  возможным!  По этому,  в конце заметки,  будет указана ссылка только  на основной источник.  Материалы,  использованные для написания заметки, изменялись автором под конкретную задачу! Вам, скорее всего, тоже  придется поступить аналогичным образом для получения желаемого результата) 

Mikrotik - замечательное дешёвое оборудование, уже сейчас успешно конкурирующее с Cisco и Juniper.
Идеально для дома и для малого филиала. Прекрасно работает с центральным более серьёзным оборудованием.

По стоимости Mikrotik находится в том же сегменте, что и те же dlink, asus, при этом обладая "профессиональными" свойствами, включая единой ОС, функциональности и стабильности.
Вместе с тем Mikrotik требует некоторого базового понимания, и его невозможно привести в рабочее состояние нажатие пары кнопок.

В данном материале мы подробно ознакомимся с продукцией компании Mikrotik.
Ознакомимся с возможностями Router OS. Научимся настраивать маршрутизатор с нуля.
Опишем, как настраивать маршрутизатор не только в графическом интерфейсе, но и в консоли.

Цикл статей Mikrotik с нуля 01-10 посвящен базовым понятиям, и рекомендуется для решения повседневных задач в "простой" установке. Это может быть домашний роутер или небольшой офис.

Компания Микротик находится в Латвии, город Рига, была основана в 1996г. Для установки ПО управления вы можете воспользоваться готовым проектом, где все собрано в одном месте - winbox-installer.

RouterOS

RouterOS - это ОС, которая базируется на Linux. Она поддерживает очень богатый набор функций, который позволяет реализовывать проекты практически любого уровня сложности.

RouterOS может быть установлена на следующее железо:
- "родные" платформы Mikrotik типа RouterBoard, Cloud Core Router, Coud Router Switch (RouterOS предустановлена вместе с лицензией)
- На ПК или виртуальную машину. (должна быть приобретена лицензия)
- На виртуальную платформу Cloud Hosted Router

Существуют различные уровни лицензий для RouterOS.
Все лицензии не ограничены по количеству интерфейсов или сроку действия

RouterOS выпускается в виде различных версий, среди них можно выделить три ветки:

• Bugfix only - функции остаются те же, но ликвидируются обнаруженные баги. Например 6.45.1, 6.45.2, 6.45.3
• Current - ветка стабильных версий. Здесь различия идут в функционале. например: 6.45, 6.46, 6.47
• Release Candidate - тестовая версия. Содержит всё самое новое. Например: 6.45rc1, 6.45rc2

RouterBOARD

RouterBOARD - это оборудование, железо, на которой запускается операционная система RouterOS
Cloud Core Router - это тот же RouterBOARD, но с высокой производительностью.

RouterBOARD можно приобрести в виде устройства в коробке, или в виде платы.

Можно приобрести отдельно платы, корпуса, WiFi интерфейсы и т.д. Это позволяет сделать свою сборку под какие-то специфические цели.

Block Diagram - это схема, отражающая внутреннее устройство роутера.
Схему можно скачать с сайта Mikrotik.
Block Diagram полезна для понимания, каким образом мы будем настраивать то или иное устройство.
Например из данной диаграммы можно понять, что на борту устройства имеется два коммутатора с разными скоростями. При этом, гигабитный коммутатор имеет связь с ЦПУ лишь 1Гбит, что может стать узким местом, если все 5 портов начнут передавать данные.
Поскольку коммутаторы разные, для их объединения понадобится настроить Bridge.

Из следующей схемы можно понять, что процессор имеет аппаратную поддержку шифрования.
Оборудование с таким процессором имеет смысл брать, если будут использоваться туннели IPSec.

Оценка быстродействия
Быстродействие сетевого оборудования оценивается через его пропускную способность.
Test results можно посмотреть на сайте mikrotik.com, например:

Как видно, пропускная способность сильно зависит от размера пакета и от количества правил.
В реальности маршрутизатор выполняет множество сервисов типа DNS, DHCP, NAT, QoS, Firewall, шифрование IPsec и т.д., поэтому для оценки его реальных способностей, следует рассматривать самый малый пакет и 25 правил.

Как видно, модель hEX lite держит лишь 27мбит, и это нешифрованный трафик. Колоссальное отличие от маркетинговых 493Мбит.

Также, если ваш роутер будет использовать IPSec необходимо выбирать модель с аппаратной поддержкой шифрования.

Cloud Hosted Router

Cloud Hosted Router - это Router OS, которая функционирует в виртуальной среде.

Cloud Hosted Router поддерживает VMWare, Hyper-V, VirtualBox

System Requirements
- Package version: RouterOS v6.34 or newer (v7.1+)
- Host CPU: 64-bit with virtualization support
- RAM: 128MB or more
- Disk: 128MB disk space for the CHR virtual hard drive (Max: 16GB)

Лицензирование CHR отличается и регулирует скорость на интерфейсе:

Cloud Router Switch

По мнению автора, коммутаторы не являются сильной стороной Mikrotik, по крайней мере на момент написания данного материала.
Cloud Router Switch - это роутер с множеством портов. Там та же RouterOS.

Ранее уже обсуждалось, что RouterBOARD может в себя включать встроенный коммутатор.

В данной схеме устройство в себе объединяет два чипа коммутации: гигабитный и 100мбитный.
Любой порт данного устройства можно либо объединить в логически единый коммутатор, либо порт может работать отдельно, на 3-м уровне.

Нужно понимать что сам по себе чип коммутации способен коммутировать без участия процессора, при этом существуют разные чипы коммутации, которые могут быть включены в состав RouterBOARD.
https://wiki.mikrotik.com/wiki/Manual:Switch_Chip_Features

Выше приведена диаграмма RB2011, в составе которого входят два чипа: Atheros8327 (ether1-ether5+sfp1); Atheros8227 (ether6-ether10)
Возможности данных чипов приведена ниже:

hAP ac lite (RB952Ui-5ac2nD)

hAP ac lite имеет на борту чип Atheros8227 (ether1-ether5)

На уровне switch мы можем управлять элементами:
- switch
- port
- port-isolation
- host
- vlan
- rule

При этом при попытке создать rule, мы получим ошибку, поскольку данный switch не поддерживает rule.

Объединение портов

Здесь стоит упомянуть, что до версии 6.41 в коммутации было понятие master-port. После версии 6.41 все объединения портов выполняются через bridge.
Поэтому не рекомендуется даунгрейдить на версию ниже 6.41 - Далее весь материал будет применяться к версии 6.41 и старше.

Итак, принадлежность портов к тому или иному свитчу или чипу можно определить командами:
interface ethernet print
interface ethernet switch port print

[admin@Mik01] > interface ethernet print

Flags: X - disabled, R - running, S - slave # NAME MTU MAC-ADDRESS ARP SWITCH 0 R ether1-isp1 1500 48:8F:5A:62:14:EE enabled switch1 1 ether2-isp2 1500 48:8F:5A:62:14:EF enabled switch1 2 R ether3-LAN 1500 48:8F:5A:62:14:F0 enabled switch1 3 ether4-LAN 1500 48:8F:5A:62:14:F1 enabled switch1 4 ether5-LAN 1500 48:8F:5A:62:14:F2 enabled switch1 

[admin@Mik01] > interface ethernet switch port print

Flags: I - invalid # NAME SWITCH VLAN-MODE VLAN-HEADER D 0 ether1-isp1 switch1 disabled leave-as-is 1 ether2-isp2 switch1 disabled leave-as-is 2 ether3-LAN switch1 disabled leave-as-is 3 ether4-LAN switch1 disabled leave-as-is 4 ether5-LAN switch1 disabled leave-as-is 5 switch1-cpu switch1 disabled leave-as-is

Как видно, в данной модели RouterBOARD все порты "живут" на одном чипе switch1.

Для объединения портов используется Bridge.
Порты, объединённые в Bridge, оказываются в одном широковещательном домене, подобно портам в классическом свитче.
Bridge позволяет объединить разные интерфейсы, в том числе Ethernet, Wifi, SFP и др.
В нулевой конфигурации порты не объединены, т.е. каждый порт на 3-и уровне, и на него можно повесить IP адрес.

Hardware Offload - опция, позволяющая разгрузить CPU и нагрузить свитч-чип для коммутации объединённых портов.
В зависимости от модели чипа, и от настроенной Feature Hardware Offload будет применима или неприменима.

Например, hAP ac lite имеет на борту чип Atheros8227 (ether1-ether5). И при включении функции Bridge VLAN Filtering, Hardware Offload будет невозможна, т.к. данный чип не поддерживает эту функцию. Hardware Offload будет автоматически отключена и в обработке коммутации Bridge будет участвовать CPU.

Подробнее :
https://wiki.mikrotik.com/wiki/Manual:Interface/Bridge#Bridge_Hardware_O...

Fast Path

Fast Path - опция ИМХО бесполезная. Позволяет пропускать пакеты без обработки в ядре ОС. Как результат значительно увеличивает скорость. Естественно эту скорость маркетологи пишут на коробке микрота и в рекламе.

Fast Forward - примерно такая же опция, но она работает только на Bridge с двумя интерфейсами.

Настройка Bridge:

interface bridge add name=lan-bridge
interface bridge port add bridge=lan-bridge interface=ether3
interface bridge port add bridge=lan-bridge interface=ether4
interface bridge port add bridge=lan-bridge interface=ether5
ip address add address=192.168.100.1/24 comment=lan interface=lan-bridge

DHCP также должен быть привязан к интерфейсу Bridge:

/ip address
add address=192.168.100.1/24 interface=lan-bridge network=192.168.100.0
add address=10.10.100.1/24 interface=lan-bridge network=10.10.100.0
add address=192.168.150.1/24 interface=lan-bridge network=192.168.150.0
/ip dhcp-server
add address-pool=lan100-DHCP-pool disabled=no interface=lan-bridge lease-time=1d name=lan100-DHCP-server

Вывод команды interface bridge port print: 

interface bridge port print

Можно добавить в созданный Bridge интерфейсы wifi:

interface bridge port add bridge=lan-bridge interface=wlan1
interface bridge port add bridge=lan-bridge interface=wlan2

interface bridge port print

Как видно, на интерфейсах wlan отсутствует Hardware Offload. Это из-за того, что интерфейсы wlan "не живут" на чипе switch

Источник:

# /etc/openvpn/server.conf
 - Комментируем строчки;
;push "redirect-gateway def1 bypass-dhcp"
;push "dhcp-option DNS 77.88.8.88"
;push "dhcp-option DNS 77.88.8.2"
 - Перезапускаем демон;
# /etc/init.d/openvpn restart

 Смотрим логи:

/log/print

 

Если у вас есть профессиональный интерес в расширении данной статьи – заполните форму запроса!

Cпасибо автору!

     Источник:

http://sytes.ru/admin/supportkb.php

http://ciscomaster.ru/content/mikrotik-s-nulya-01-obzor

Конец!