Обзор Mikrotik SXT Lite5, и тест мостом на расстоянии 2 км. Тест роутеров mikrotik


Тестирование производительности маршрутизаторов Mikrotik RB850Gx2 и RB3011UiAS-RM

Перед тем, как начать тестирование, проведем сравнение данных, полученных самой компанией Mikrotik. Результаты тестирования мы решили сопоставить с решением предыдущего поколения – RB2011 (модель RB2011UiAS-RM). Все данные были внесены в общую таблицу производительности, которая предоставляет возможность удобного сравнения.

 

Как видите, Mikrotik RB850Gx2 в большинстве тестов оказывается примерно вдвое быстрее моделей на платформе RB2011. Конечно, к нему требуется докупить корпус CA150, но даже с дополнительными затратами прирост производительности гораздо выше прироста в цене.

Говоря о платформе RB3011, прирост производительности вполне ожидаем. В зависимости от конфигурации, 3011 оказывается в среднем вдвое быстрее 850Gx2, не говоря уже о 2011, в сравнении с которым, прирост может составлять от 3 до 6 раз.

Обычно другие компании при росте производительности существенно повышают цену, уравнивая прирост производительности приростом цены. Политика Mikrotik в этом плане достаточно демократична – немного доплатив можно получить гораздо больше.

Чуть ранее для модели RB850Gx2 (в июле 2015-го), была заявлена поддержка аппаратного ускорения шифрования. Таким образом, компания Mikrotik выпустила обновленную ревизию с поддержкой аппаратного ускорения шифрования. Новые ревизии этого маршрутизатора имеют серийный номер, который начинается с цифры 5. У нас же на тесте ревизия без поддержки аппаратного шифрования (серийный номер начинается с 4). Будет интересно посмотреть на производительность RB850Gx2 при работе с шифрованным трафиком, но без ускорения. В свою очередь, версия с аппаратным ускорением, по заявлению Mikrotik, способна обеспечить 500 Мбит/сек с шифрованием AES 128-bit.

Что же касается RB3011, его выход был отложен из-за смены процессора. Изначально 3011 планировался на другом процессоре, с появлением ARM-процессора IPQ у Qualcomm, было принято решения делать маршрутизатор на новой платформе. В обзоре RB3011 мы упоминали поддержку шифрования на аппаратном уровне со стороны процессора, но как дела обстоят на практике?

Пользователи официального англоязычного сообщества Mikrotik отметили отсутствие аппаратного ускорения, на что получили следующий ответ:

A: IPsec accelerator support for RB3011 is still being worked on, the HW acceleration is not yet supported for this model. The CPU is much faster than RB2011 even without HW accelerator.

Q: But HW acceleration will be supported in the near future?

A: We are working on it, yes.

Если кратко, разработчики работают над этим вопросом, ссылаясь при этом на более высокую производительность даже без блока шифрования. Сообщается, что работы над аппаратным ускорением идут, правда до конца не ясно, будет ли поддержка аппаратного шифрования введена в одном из обновлений RouterOS, или же будет выпущена обновленная ревизия RB3011.

RB3011 построен на новой для компании платформе ARM, поэтому оптимизации и улучшения в RouterOS однозначно будут в последующих обновлениях. В свою очередь, поддержка аппаратного шифрования для RB3011 официально никогда не заявлялась, учитывая рыночную стоимость и общую производительность платформы – какие-либо претензии в сторону Mikrotik здесь полностью бессмысленны. Пришло время приступить к практическому тестированию.

Производительность RB850Gx2 и RB3011 при работе с L2TP

На первом этапе нами было проведено тестирование производительности маршрутизаторов при использовании в качестве корпоративного сервера VPN.

Поскольку RB3011UiAS-RM – более производительное решение, он был выбран в роли сервера L2TP. Настройка была выполнена по инструкции, которую мы публиковали чуть ранее. Firewall содержал базовый набор правил (по-умолчанию), а также правила, необходимые для работы L2TP.

Используя для тестирования встроенный инструмент Bandwidth Test вы не получите достоверных данных о производительности, поскольку клиент BT использует только 1 вычислительное ядро процессора. Таким образом, на практике не получится задействовать оба ядра процессора, используя, встроенный в маршрутизатор, клиент BT. Для получения точных данных требуется использовать как минимум 3 маршрутизатора: 2 маршрутизатора соединены между собой, на одном из них запущен Bandwidth Test Server; третий маршрутизатор генерирует трафик.

Второй нюанс состоит в том, что при использовании шифрования и сжатия, необходимо генерировать случайный набор данных, чтобы алгоритмы шифрования и сжатия не искажали результаты, полученные в ходе тестирования. Генерация данных отнимает значительные ресурсы процессора, что также искажает результаты измерения и приводит к необходимости третьего «звена».

К счастью, без третьего маршрутизатора можно обойтись, запустив клиент Mikrotik Bandwidth Test на компьютере под управлением Windows. Учитывая солидный потенциал по производительности обеих маршрутизаторов, мы решили прибегнуть к уже привычному методу проверки пропускной способности – с помощью утилиты IPerf (с графической оболочкой JPerf).

JPerf позволяет создать большое количество одновременных потоков, выжав максимум из маршрутизатора, что будет весьма актуально для канала с полосой пропускания до 1 Гбит/сек.

В роли генератора и получателя траффика выступили 2 мощные рабочие станции с 8-ядерными процессорами, 8 ГБ оперативной памяти и сетевыми картами Intel PRO/1000 PT (Intel 82572GI, Hardware Offload).

Использование ресурсов ЦП во время генерации траффика

Первый тест был проведен в базовой конфигурации L2TP без использования базового шифрования MPPE 128-bit.

Генерация траффика в JPerf, 50 потоков

При запуске 50 одновременных потоков, средняя скорость составила 250 Мбит, но загрузка ресурсов процессора на обеих маршрутизаторах свидетельствует о том, что это далеко не предел. Таким образом, количество одновременных потоков было увеличено до 150, дальнейшее увеличение не привело к росту скорости.

RB850Gx2, L2TP без шифрования

Максимально достигнутая нами скорость при указанной конфигурации – чуть более 300 Мбит/сек. И тут есть ряд замечаний, дело в том, что загрузка ресурсов RB850Gx2 в среднем составила 80-90%, т.е. потенциально, этот маршрутизатор может выдать большую скорость. Также следует понимать, что эта скорость включает только «реальные данные» и не включает всю служебную информацию – на сетевых портах общая скорость выше.

Маршрутизатор RB3011UiAS-RM справился с задачей заметно лучше, его производительность ограничилась возможностями RB850Gx2, чего и следовало ожидать. При скорости чуть более 300 Мбит, загрузка ресурсов процессора составила всего 22-24%.

RB3011, L2TP без шифрования

В сравнении с RB2011UiAS-RM, который мы также тестировали на предмет производительности при работе с L2TP, новый RB3011 демонстрирует многократное превосходство.

Как поведут себя маршрутизаторы, если активировать стандартное шифрование MPPE 128-bit? Активируем новые настройки и тестируем повторно.

RB850Gx2, L2TP MPPE 128-bit

Загрузка ресурсов маршрутизатора RB850Gx2 достигла 99-100%, при этом средняя скорость составила 125-140 Мбит – это максимум, что удалось выжать из 850Gx2.

Впрочем, результат для этой модели вполне ожидаем, ведь он оснащен процессором с двумя ядрами по 533 МГц каждое. В свою очередь, большой объем оперативной памяти и архитектура PowerPC дает свои преимущества. Для сравнения, RB2011 с разгоном процессора да 700 МГц (вместо штатных 600 МГц)  дает скорость 58 Мбит/сек. Производительность архитектуры, применяемой в 850Gx2, в расчете на 1 МГц тактовой частоты заметно выше (примерно в полтора раза).

RB3011,, L2TP MPPE 128-bit

Вернемся к RB3011, при максимальной скорости в 140 Мбит/сек, загрузка процессора составила 38%. Учитывая, что скорость ограничена со стороны RB850Gx2, а также взяв в расчёт степень загрузки процессора, можно с абсолютной уверенностью говорить о том, что RB3011 по L2TP + MPPE может справить с каналом более 300 Мбит. Верхний предел находится в диапазоне 350-370 Мбит.

Тестирование IPSec

Многих интересует вопрос производительности при работе с IPSec, в частности с применением стойкого шифрования AES 128-bit. Для проверки производительности, конфигурация маршрутизаторов была изменена: L2TP исключен, маршрутизаторы перенастроены объединение внутренних сетей посредством туннеля IPSec. Аутентификация SHA1, алгоритм шифрования AES 128-bit (aes cbc).

На этот раз уже была использована утилита Mikrotik Bandwidth Test.

При отправке случайного набора данных с ПК через B3011 до RB850Gx2, производительность достигает 82-83 Мбит.

Скорость отправки с RB3011 на RB850Gx2

Загрузка ресурсов RB850Gx2 – 70%, RB3011 – 51%.

RB850Gx2, IPSec 128-bit AES

RB3011, IPSec 128-bit AES

Если же отправлять данные с ПК через RB850Gx2 на RB3011, максимальная скорость в среднем составляет 64 Мбит. Все дело в том, что процесс шифрования отнимает больше ресурсов, нежели расшифровка.

RB850Gx2, IPSec 128-bit AES

RB3011, IPSec 128-bit AES

Вот тут и проявляется разница в производительности. Загрузка RB850Gx2 при 64 Мбитах осталась на прежнем уровне – 70%, в то время как RB3011 для расшифровки такого траффика требуется всего 24% ресурсов процессора.

В обоих случаях мы генерировали трафик на отправку на ПК, чтобы не использовать ресурсы маршрутизаторного процессора (в случае с «Direction: receive»). К этому же приводит использование «Direction: Both», ведь на втором конце, трафик генерирует процессор маршрутизатора, чем отнимаются его ресурсы и искажаются общие данные по производительности.

Наиболее правильным будет сгенерировать трафик на отправку с двух ПК. Так и делаем, запускаем встречную отправку с двух ПК на удаленные маршрутизаторы: из сети A на маршрутизатор B, из сети B на маршрутизатор A.

RB850Gx2, IPSec 128-bit AES, duplex

RB3011, IPSec 128-bit AES, duplex

Результаты вполне ожидаемые, общая скорость в дуплексе доставляет ~95 Мбит, при этом загрузка RB850Gx2 составляет 100%. Сопоставив все данные, получаем следующее. Для маршрутизатора RB850Gx2 максимальная скорость составляет 83 Мбит на прием (расшифровка пакетов) и 64 Мбит на отправку (шифрование пакетов). В режиме полного дуплекса максимальная производительность – 90-95 Мбит/сек, в зависимости от структуры траффика.

RB3011 может похвастаться куда более высоким уровнем производительности: при использовании половину ресурсов он может зашифровать и отправить ежесекундно 83 Мбит, при этом декодирование имеет хороший уровень оптимизации, что позволяет расшифровать 64 Мбит, используя всего 24% от ресурсов центрального процессора.

RB3011: работа в качестве файлового сервера

Новый RB3011 оснащен полноразмерным портом USB 3.0, вдобавок центральный процессор маршрутизатора поддерживает USB 3.0 на аппаратном уровне.

Ранее мы уже сталкивались с проблемой нехватки ресурсов процессора при использовании в качестве небольшого файл-сервера на маршрутизаторах предыдущего поколения, в частности у RB2011 и RB951Ui-2HnD. Файловый доступ на этих моделях работает, с вполне неплохой скоростью, но при этом загрузка ресурсов процессора достигает 100%, что для маршрутизатора, обеспечивающего и другие функции, такие как выход в Интернет, недопустимо.

В первом тесте в роли накопителя выступил флеш-накопитель Goodram Point 8 GB (PD8Gh4GRPOSR10) с поддержкой USB 3.0. Скорость записи на флешку не поднялась выше 1.66 МБайт/сек, правда загрузка ресурсов составила в среднем всего 3%.

Копирование на флеш-накопитель

Использование ресурсов при копировании

После чего было принято решение подключить внешний винчестер. Под руками оказался старенький диск 2.5” на 120 Гбайт производства Seagate. При форматировании диска в FAT32, загрузка процессора достигала 9%.

Форматирование диска

Средняя скорость записи на диск составила 10 МБайт/сек, что достаточно хороший результат. Загрузка процессора – всего 15%.

Копирование на диск

Использование ресурсов при копировании

Тест скорости чтения с диска показал 5.9 МБайт/сек, при загрузке процессора 12%. Запись данных осуществлялась на твердотельный накопитель OCZ Agility 3.

Копирование с диска

Загрузка при копировании

В целом, работа с накопителями дается RB3011 легко. В нашем случае, узким местом был старый жесткий диск. Если предполагается использование маршрутизатора в качестве сервера на предприятии, лучше всего использовать специальные модели дисков, рассчитанных на постоянную работу, к примеру, Constellation ES производства Seagate. Можно также использовать SSD-накопители, если вас не пугает их износ при постоянной перезаписи. Основная рекомендация – наличие USB 3.0 и поддержка SATA II (SATA III) на винчестере, так вы сможете получить хорошую скорость записи/копирования.

Для важных данных наиболее правильным же вариантом является использование отдельного сетевого хранилища – NAS. Желательно с 2 винчестерами в RAID (зеркалирование) и гигабитным сетевым интерфейсом.

Выводы по тестам RB850Gx2 и RB3011UiAS-RM

Новый RB850Gx2 является отличным решением, если вам необходимо создать сервер VPN L2TP с целью объединения в одну сеть нескольких небольших филиалов. Скорость подключения к интернет-провайдеру, в таком случае, может составлять 100 Мбит, при этом у вас останется достаточный запас производительности для дополнительных правил, политик и ограничений. Своего рода типичный вариант использования в сети предприятия, когда подключены удаленные офисы, внутренняя сеть гигабитная, а сотрудникам необходимо ограничить скорость или доступ.

RB850Gx2 для таких целей будет отличным вариантом, предоставив хорошую производительность и возможность сложной конфигурации сети предприятия.

Если же VPN не используется, этот маршрутизатор будет отличным вариантом для офиса со скоростью внешнего канала до 1 Гбит/сек. Большой объем оперативной памяти и хороший потенциал процессора позволяют разграничить доступ пользователям к ресурсам Интернет так, как это необходимо (лимит скорости, шейпинг, Burst, ограничение и лимитирование пирингового траффика и т.д.).

Третий вариант использования – в качестве сервера HotSpot и CAPsMAN с внешним каналом до 1 Гбит/сек.

Загрузка процессора RB850Gx2 во время тестирования

Загрузка процессора RB3011 во время тестирования

Что же касается обновления стоечных маршрутизаторов начального уровня, RB3011UiAS-RM показывает отличную производительность за относительно невысокую стоимость. В плане производительности, этот маршрутизатор, в зависимости от конфигурации сети, в 2-3 раза превосходит RB850Gx2. Не говоря уже о RB2011, в сравнении с которым, новинка имеет превосходство, уверенно обгоняя предшественника в 3-6 раз.

RB3011 – отличный вариант для организации доступа к сети Интернет на предприятии с внешний каналом 1 Гбит/сек. Наличие слота SFP позволяет подключиться к провайдеру оптоволоконным кабелем, без необходимости применения дополнительного оборудования. Маршрутизатор может выступить в роли центрального сервера VPN для организации удаленных подключений, например, с целью объединения офисов с несколькими подсетями.

Если предполагается использовать шифрование AES, наиболее комфортно RB3011 чувствует себя в условиях, когда входящий трафик превосходит исходящий. Например, когда в главном офисе находится сервер компании, на который отправляются данные из периферийных офисов (филлиалов). При этом, периферийные филиалы могут быть оснащены менее производительными (более доступными) маршрутизаторами Mikrotik. При построении беспроводной сети в большом отеле (торговом центре, учебном заведении), RB3011 может выступить в роли мощного сервера HotSpot.

lanmarket.ua

Тестирование производительности маршрутизаторов Mikrotik RB850Gx2 и RB3011UiAS-RM — asp24.ru

Перед тем, как начать тестирование, проведем сравнение данных, полученных самой компанией Mikrotik. Результаты тестирования мы решили сопоставить с решением предыдущего поколения – RB2011 (модель RB2011UiAS-RM). Все данные были внесены в общую таблицу производительности, которая предоставляет возможность удобного сравнения.

 

Как видите, Mikrotik RB850Gx2 в большинстве тестов оказывается примерно вдвое быстрее моделей на платформе RB2011. Конечно, к нему требуется докупить корпус CA150, но даже с дополнительными затратами прирост производительности гораздо выше прироста в цене.

Говоря о платформе RB3011, прирост производительности вполне ожидаем. В зависимости от конфигурации, 3011 оказывается в среднем вдвое быстрее 850Gx2, не говоря уже о 2011, в сравнении с которым, прирост может составлять от 3 до 6 раз.

Обычно другие компании при росте производительности существенно повышают цену, уравнивая прирост производительности приростом цены. Политика Mikrotik в этом плане достаточно демократична – немного доплатив можно получить гораздо больше.

Чуть ранее для модели RB850Gx2 (в июле 2015-го), была заявлена поддержка аппаратного ускорения шифрования. Таким образом, компания Mikrotik выпустила обновленную ревизию с поддержкой аппаратного ускорения шифрования. Новые ревизии этого маршрутизатора имеют серийный номер, который начинается с цифры 5. У нас же на тесте ревизия без поддержки аппаратного шифрования (серийный номер начинается с 4). Будет интересно посмотреть на производительность RB850Gx2 при работе с шифрованным трафиком, но без ускорения. В свою очередь, версия с аппаратным ускорением, по заявлению Mikrotik, способна обеспечить 500 Мбит/сек с шифрованием AES 128-bit.

Что же касается RB3011, его выход был отложен из-за смены процессора. Изначально 3011 планировался на другом процессоре, с появлением ARM-процессора IPQ у Qualcomm, было принято решения делать маршрутизатор на новой платформе. В обзоре RB3011 мы упоминали поддержку шифрования на аппаратном уровне со стороны процессора, но как дела обстоят на практике?

Пользователи официального англоязычного сообщества Mikrotik отметили отсутствие аппаратного ускорения, на что получили следующий ответ:

A: IPsec accelerator support for RB3011 is still being worked on, the HW acceleration is not yet supported for this model. The CPU is much faster than RB2011 even without HW accelerator.

Q: But HW acceleration will be supported in the near future?

A: We are working on it, yes.

Если кратко, разработчики работают над этим вопросом, ссылаясь при этом на более высокую производительность даже без блока шифрования. Сообщается, что работы над аппаратным ускорением идут, правда до конца не ясно, будет ли поддержка аппаратного шифрования введена в одном из обновлений RouterOS, или же будет выпущена обновленная ревизия RB3011.

RB3011 построен на новой для компании платформе ARM, поэтому оптимизации и улучшения в RouterOS однозначно будут в последующих обновлениях. В свою очередь, поддержка аппаратного шифрования для RB3011 официально никогда не заявлялась, учитывая рыночную стоимость и общую производительность платформы – какие-либо претензии в сторону Mikrotik здесь полностью бессмысленны. Пришло время приступить к практическому тестированию.

Производительность RB850Gx2 и RB3011 при работе с L2TP

На первом этапе нами было проведено тестирование производительности маршрутизаторов при использовании в качестве корпоративного сервера VPN.

Поскольку RB3011UiAS-RM – более производительное решение, он был выбран в роли сервера L2TP. Настройка была выполнена по инструкции, которую мы публиковали чуть ранее. Firewall содержал базовый набор правил (по-умолчанию), а также правила, необходимые для работы L2TP.

Используя для тестирования встроенный инструмент Bandwidth Test вы не получите достоверных данных о производительности, поскольку клиент BT использует только 1 вычислительное ядро процессора. Таким образом, на практике не получится задействовать оба ядра процессора, используя, встроенный в маршрутизатор, клиент BT. Для получения точных данных требуется использовать как минимум 3 маршрутизатора: 2 маршрутизатора соединены между собой, на одном из них запущен Bandwidth Test Server; третий маршрутизатор генерирует трафик.

Второй нюанс состоит в том, что при использовании шифрования и сжатия, необходимо генерировать случайный набор данных, чтобы алгоритмы шифрования и сжатия не искажали результаты, полученные в ходе тестирования. Генерация данных отнимает значительные ресурсы процессора, что также искажает результаты измерения и приводит к необходимости третьего «звена».

К счастью, без третьего маршрутизатора можно обойтись, запустив клиент Mikrotik Bandwidth Test на компьютере под управлением Windows. Учитывая солидный потенциал по производительности обеих маршрутизаторов, мы решили прибегнуть к уже привычному методу проверки пропускной способности – с помощью утилиты IPerf (с графической оболочкой JPerf).

JPerf позволяет создать большое количество одновременных потоков, выжав максимум из маршрутизатора, что будет весьма актуально для канала с полосой пропускания до 1 Гбит/сек.

В роли генератора и получателя траффика выступили 2 мощные рабочие станции с 8-ядерными процессорами, 8 ГБ оперативной памяти и сетевыми картами Intel PRO/1000 PT (Intel 82572GI, Hardware Offload).

Использование ресурсов ЦП во время генерации траффика

Первый тест был проведен в базовой конфигурации L2TP без использования базового шифрования MPPE 128-bit.

Генерация траффика в JPerf, 50 потоков

При запуске 50 одновременных потоков, средняя скорость составила 250 Мбит, но загрузка ресурсов процессора на обеих маршрутизаторах свидетельствует о том, что это далеко не предел. Таким образом, количество одновременных потоков было увеличено до 150, дальнейшее увеличение не привело к росту скорости.

RB850Gx2, L2TP без шифрования

Максимально достигнутая нами скорость при указанной конфигурации – чуть более 300 Мбит/сек. И тут есть ряд замечаний, дело в том, что загрузка ресурсов RB850Gx2 в среднем составила 80-90%, т.е. потенциально, этот маршрутизатор может выдать большую скорость. Также следует понимать, что эта скорость включает только «реальные данные» и не включает всю служебную информацию – на сетевых портах общая скорость выше.

Маршрутизатор RB3011UiAS-RM справился с задачей заметно лучше, его производительность ограничилась возможностями RB850Gx2, чего и следовало ожидать. При скорости чуть более 300 Мбит, загрузка ресурсов процессора составила всего 22-24%.

RB3011, L2TP без шифрования

В сравнении с RB2011UiAS-RM, который мы также тестировали на предмет производительности при работе с L2TP, новый RB3011 демонстрирует многократное превосходство.

Как поведут себя маршрутизаторы, если активировать стандартное шифрование MPPE 128-bit? Активируем новые настройки и тестируем повторно.

RB850Gx2, L2TP MPPE 128-bit

Загрузка ресурсов маршрутизатора RB850Gx2 достигла 99-100%, при этом средняя скорость составила 125-140 Мбит – это максимум, что удалось выжать из 850Gx2.

Впрочем, результат для этой модели вполне ожидаем, ведь он оснащен процессором с двумя ядрами по 533 МГц каждое. В свою очередь, большой объем оперативной памяти и архитектура PowerPC дает свои преимущества. Для сравнения, RB2011 с разгоном процессора да 700 МГц (вместо штатных 600 МГц)  дает скорость 58 Мбит/сек. Производительность архитектуры, применяемой в 850Gx2, в расчете на 1 МГц тактовой частоты заметно выше (примерно в полтора раза).

RB3011,, L2TP MPPE 128-bit

Вернемся к RB3011, при максимальной скорости в 140 Мбит/сек, загрузка процессора составила 38%. Учитывая, что скорость ограничена со стороны RB850Gx2, а также взяв в расчёт степень загрузки процессора, можно с абсолютной уверенностью говорить о том, что RB3011 по L2TP + MPPE может справить с каналом более 300 Мбит. Верхний предел находится в диапазоне 350-370 Мбит.

Тестирование IPSec

Многих интересует вопрос производительности при работе с IPSec, в частности с применением стойкого шифрования AES 128-bit. Для проверки производительности, конфигурация маршрутизаторов была изменена: L2TP исключен, маршрутизаторы перенастроены объединение внутренних сетей посредством туннеля IPSec. Аутентификация SHA1, алгоритм шифрования AES 128-bit (aes cbc).

На этот раз уже была использована утилита Mikrotik Bandwidth Test.

При отправке случайного набора данных с ПК через B3011 до RB850Gx2, производительность достигает 82-83 Мбит.

Скорость отправки с RB3011 на RB850Gx2

Загрузка ресурсов RB850Gx2 – 70%, RB3011 – 51%.

RB850Gx2, IPSec 128-bit AES

RB3011, IPSec 128-bit AES

Если же отправлять данные с ПК через RB850Gx2 на RB3011, максимальная скорость в среднем составляет 64 Мбит. Все дело в том, что процесс шифрования отнимает больше ресурсов, нежели расшифровка.

RB850Gx2, IPSec 128-bit AES

RB3011, IPSec 128-bit AES

Вот тут и проявляется разница в производительности. Загрузка RB850Gx2 при 64 Мбитах осталась на прежнем уровне – 70%, в то время как RB3011 для расшифровки такого траффика требуется всего 24% ресурсов процессора.

В обоих случаях мы генерировали трафик на отправку на ПК, чтобы не использовать ресурсы маршрутизаторного процессора (в случае с «Direction: receive»). К этому же приводит использование «Direction: Both», ведь на втором конце, трафик генерирует процессор маршрутизатора, чем отнимаются его ресурсы и искажаются общие данные по производительности.

Наиболее правильным будет сгенерировать трафик на отправку с двух ПК. Так и делаем, запускаем встречную отправку с двух ПК на удаленные маршрутизаторы: из сети A на маршрутизатор B, из сети B на маршрутизатор A.

RB850Gx2, IPSec 128-bit AES, duplex

RB3011, IPSec 128-bit AES, duplex

Результаты вполне ожидаемые, общая скорость в дуплексе доставляет ~95 Мбит, при этом загрузка RB850Gx2 составляет 100%. Сопоставив все данные, получаем следующее. Для маршрутизатора RB850Gx2 максимальная скорость составляет 83 Мбит на прием (расшифровка пакетов) и 64 Мбит на отправку (шифрование пакетов). В режиме полного дуплекса максимальная производительность – 90-95 Мбит/сек, в зависимости от структуры траффика.

RB3011 может похвастаться куда более высоким уровнем производительности: при использовании половину ресурсов он может зашифровать и отправить ежесекундно 83 Мбит, при этом декодирование имеет хороший уровень оптимизации, что позволяет расшифровать 64 Мбит, используя всего 24% от ресурсов центрального процессора.

RB3011: работа в качестве файлового сервера

Новый RB3011 оснащен полноразмерным портом USB 3.0, вдобавок центральный процессор маршрутизатора поддерживает USB 3.0 на аппаратном уровне.

Ранее мы уже сталкивались с проблемой нехватки ресурсов процессора при использовании в качестве небольшого файл-сервера на маршрутизаторах предыдущего поколения, в частности у RB2011 и RB951Ui-2HnD. Файловый доступ на этих моделях работает, с вполне неплохой скоростью, но при этом загрузка ресурсов процессора достигает 100%, что для маршрутизатора, обеспечивающего и другие функции, такие как выход в Интернет, недопустимо.

В первом тесте в роли накопителя выступил флеш-накопитель Goodram Point 8 GB (PD8Gh4GRPOSR10) с поддержкой USB 3.0. Скорость записи на флешку не поднялась выше 1.66 МБайт/сек, правда загрузка ресурсов составила в среднем всего 3%.

Копирование на флеш-накопитель

Использование ресурсов при копировании

После чего было принято решение подключить внешний винчестер. Под руками оказался старенький диск 2.5” на 120 Гбайт производства Seagate. При форматировании диска в FAT32, загрузка процессора достигала 9%.

Форматирование диска

Средняя скорость записи на диск составила 10 МБайт/сек, что достаточно хороший результат. Загрузка процессора – всего 15%.

Копирование на диск

Использование ресурсов при копировании

Тест скорости чтения с диска показал 5.9 МБайт/сек, при загрузке процессора 12%. Запись данных осуществлялась на твердотельный накопитель OCZ Agility 3.

Копирование с диска

Загрузка при копировании

В целом, работа с накопителями дается RB3011 легко. В нашем случае, узким местом был старый жесткий диск. Если предполагается использование маршрутизатора в качестве сервера на предприятии, лучше всего использовать специальные модели дисков, рассчитанных на постоянную работу, к примеру, Constellation ES производства Seagate. Можно также использовать SSD-накопители, если вас не пугает их износ при постоянной перезаписи. Основная рекомендация – наличие USB 3.0 и поддержка SATA II (SATA III) на винчестере, так вы сможете получить хорошую скорость записи/копирования.

Для важных данных наиболее правильным же вариантом является использование отдельного сетевого хранилища – NAS. Желательно с 2 винчестерами в RAID (зеркалирование) и гигабитным сетевым интерфейсом.

Выводы по тестам RB850Gx2 и RB3011UiAS-RM

Новый RB850Gx2 является отличным решением, если вам необходимо создать сервер VPN L2TP с целью объединения в одну сеть нескольких небольших филиалов. Скорость подключения к интернет-провайдеру, в таком случае, может составлять 100 Мбит, при этом у вас останется достаточный запас производительности для дополнительных правил, политик и ограничений. Своего рода типичный вариант использования в сети предприятия, когда подключены удаленные офисы, внутренняя сеть гигабитная, а сотрудникам необходимо ограничить скорость или доступ.

RB850Gx2 для таких целей будет отличным вариантом, предоставив хорошую производительность и возможность сложной конфигурации сети предприятия.

Если же VPN не используется, этот маршрутизатор будет отличным вариантом для офиса со скоростью внешнего канала до 1 Гбит/сек. Большой объем оперативной памяти и хороший потенциал процессора позволяют разграничить доступ пользователям к ресурсам Интернет так, как это необходимо (лимит скорости, шейпинг, Burst, ограничение и лимитирование пирингового траффика и т.д.).

Загрузка процессора RB850Gx2 во время тестирования

Загрузка процессора RB3011 во время тестирования

Что же касается обновления стоечных маршрутизаторов начального уровня, RB3011UiAS-RM показывает отличную производительность за относительно невысокую стоимость. В плане производительности, этот маршрутизатор, в зависимости от конфигурации сети, в 2-3 раза превосходит RB850Gx2. Не говоря уже о RB2011, в сравнении с которым, новинка имеет превосходство, уверенно обгоняя предшественника в 3-6 раз.

RB3011 – отличный вариант для организации доступа к сети Интернет на предприятии с внешний каналом 1 Гбит/сек. Наличие слота SFP позволяет подключиться к провайдеру оптоволоконным кабелем, без необходимости применения дополнительного оборудования. Маршрутизатор может выступить в роли центрального сервера VPN для организации удаленных подключений, например, с целью объединения офисов с несколькими подсетями.

Если предполагается использовать шифрование AES, наиболее комфортно RB3011 чувствует себя в условиях, когда входящий трафик превосходит исходящий. Например, когда в главном офисе находится сервер компании, на который отправляются данные из периферийных офисов (филлиалов). При этом, периферийные филиалы могут быть оснащены менее производительными (более доступными) маршрутизаторами Mikrotik. При построении беспроводной сети в большом отеле (торговом центре, учебном заведении), RB3011 может выступить в роли мощного сервера HotSpot.

© http://lanmarket.ua/stats/testirovanie-proizvoditelnosti-marshrutizatorov-Mikrotik-RB850Gx2-i-RB3011UiAS-RM

asp24.ru

MikroTik в роли тестера сети / Geektimes

Приобрели MikroTik RouterBoard mAP 2n. Отличная модель. Поиграв с ним вдоволь, решили задействовать в качестве тестера малой провайдерской сети. Очень часто, чтобы проверить состояние сети, необходимо расчехлять ноутбук, что порой крайне неудобно в виду расположения оборудования в подвалах, чердаках. Заменить ноутбук полностью, конечно, невозможно, но стандартные тесты можно переложить на плечи нашего «маленького друга». Об этом и будет идти речь в моем посте. Одна из особенностей mAP 2n — это наличие в нем microUSB, по которому роутер можно питать. Данная особенность дает возможность совместно с портативным зарядным устройством использовать роутер мобильно. В качестве портативного зарядного устройства был выбран HIPER WP-222. В основном его выбор был обусловлен ценой, ну а его водонепроницаемый корпус и наличие фонарика окончательно убедил нас в правильности решения.

Для тестера необходим канал связи с человеком. Первая мысль была задействовать спикер, на котором можно посредством RouterOS творить чудеса, но, к сожалению mAP 2n обделили им. Все, что осталось — это задействовать LED-индикацию. У mAP 2n на передней панели есть 7 светодиодов: Power — им управлять нельзя, один красный — питание кого либо по второму порту и 5 зеленых (WI-Fi, Eth2,2 USR, AP/CAP). Управлять светодиодом можно, назначив ему бридж интерфейс. Включаем, интерфейс светодиод загорается, отключаем — гаснет.

/system leds set 1 interface=br1 type=interface-status /interface bridge set br1 disabled=yes; # гаснет set br1 disabled=no; # загорается Кроме того, чтобы оповестить человека, мы должны придумать, как получить от него какую либо команду. Долго копал в сторону кнопки Reset/Mode, но ничего толком не узнал кроме возможности сбросить настройки, а хотелось бы знать, что же это такое Mode. Пришлось придумать нечто иное. У mAP 2n на борту есть два 10/100 Ethernet порта. По первому роутер можно питать, а по второму он сам будет источником питания, более того, роутер в состоянии определить, что к нему подключили устройство, которое можно питать. Это происходит ввиду наличие сопротивления на 4,5 — 7,8 контактах Ethernet порта от 3kΩ до 26.5kΩ. Не долго думая, соорудили на основе Ethernet коннектора, кнопки от корпуса ПК и резистора на 4kΩ следующую штуку:

Программно проверяем кнопку так:

/interface ethernet poe set eth3 poe-out=auto-on; :local status; /interface ethernet poe monitor eth3 once do={ :set status $"poe-out-status"; }; :if ($status = "powered-on") do={ # нажали кнопку }; Канал связи с человеком имеется необходимо определиться, что именно будем проверять и в какой последовательности.

Начнем:

1. Наличие линка на порту без него дальше и проверять ненужно ничего. Проверять линк будем cable-test инструментом что проверит кабель физически.

:local link; /interface ethernet cable-test eth2 once do={ :set link $"status"; }; :if ($link = "link-ok") do={ # все ок }; 2. На порту должно быть 100Mbps. Многие коммутаторы в виду своих железных проблем начинают глючить и выдают 10Mbps на порт, что нам и нужно исключить. Делаем это так::if ([/interface ethernet get eth2 speed] = "100Mbps") do={ # все ок }; 3. Пинги куда без них? Пингуем шлюз. Тут нужно пропинговать шлюз обычными и большими пакетами это выявит возможные проблемы в цепочке до шлюза. Делаем это так::if ([/ping address=[/ip dhcp-client get 0 gateway] interface=ethernet count=1 interval=200ms] = 1) do={ :if ([/ping address=[/ip dhcp-client get 0 gateway] interface=ethernet count=1 interval=200ms size=1500] = 1) do={ # все ок }; }; 4. Дополнительно по нажатию нашей кнопки тестируем VPN(можно и что либо другое в нашем случае это pptp) и доступ в интернет.:local gateway "8.8.8.8"; # наш шлюз в интернете :if ([/interface pptp-client get vpn disabled] != false) do={ /interface pptp-client set vpn disabled=no; }; :if ([/interface pptp-client get vpn running] = true) do={ :if ([/ping address=$gateway interface=vpn count=1 interval=200ms size=1500] = 1) do={ # все ок }; }; Информировать человека было решено так: Первый тест — проверка линка если все хорошо, то ничего не горит, если все плохо то горит красный светодиод. Второй тест — проверка на порту 100Mbps, если все хорошо, то горит первый зеленый светодиод, если все плохо то ничего не горит. Третий тест — пинги если короткие и длинные пинги прошли горит второй зеленый светодиод, если прошли короткие, а длинные пинги нет, то второй светодиод моргает, если ничего не получается второй светодиод не горит. Четвертый тест по нажатию кнопки, только если все предыдущие удачно завершились — тест VPN и интернета если VPN работает и пинг до внешнего шлюза прошли то горит третий зеленый светодиод, если VPN работает, а пинги не прошли, то третий зеленый светодиод моргает иначе третий зеленый светодиод не горит.

На любом из этапов при провале какого либо теста все тестирование должно возвращаться к началу. Ведь мы можем перебирать кабеля и тестить несколько по очереди. Так же повторюсь кнопкой для проверки VPN и интернета можно воспользоваться только при удачном прохождении предыдущих тестов.

Для первого порта сделали маленький удлинитель, что стало поудобнее и главное исключило возможность запитать его по данному порту. Светодиод Eth3 — сигнализирует об Wi-Fi активности, ну а Eth2 об линке Eth2. Wi-Fi на устройстве настроен и есть доступ к его управлению со смартфона. Тут можно еще приложение написать для дополнительных тестов через смартфон, но это уже другая история.

Минус реализации после уже трех месяцев его использовании в боевых условиях это сравнительно долгая загрузка, но привыкнув к этому стали заблаговременно его включать занимаясь параллельно другими задачами. Теперь ноутбук живет в машине и редко когда достается. В конце приведу весь скрипт целиком.

Вот такой скрипт получился в итоге:В скрипте: test1, test2, test3 — бридж интерфейсы с привязкой к ним трех светодиодов крайне левых (кроме первого — Power) link — второй Ethernet порт ethernet — первый Ethernet порт off — бридж интерфейс для программной остановки скрипта. Нужен был в отладке для удобства. 8.8.8.8 — заменил адрес нашего шлюза на Google DNS vpn — pptp соединение{ :log info [ :time { :local gateway "8.8.8.8"; /interface bridge set test1 disabled=yes; /interface bridge set test2 disabled=yes; /interface bridge set test3 disabled=yes; /interface ethernet poe set link poe-out=forced-on; /interface pptp-client set vpn disabled=yes; :delay 3; :local link; :local status; :local flag false; :while ([/interface bridge get off disabled] = true) do={ /interface ethernet cable-test ethernet once do={ :set link $"status"; }; :if ($link = "link-ok") do={ :if ([/interface ethernet poe get link poe-out] = "forced-on") do={ /interface ethernet poe set link poe-out=off; }; :if ([/interface ethernet get ethernet speed] = "100Mbps") do={ :if ([/interface bridge get test1 disabled] != false) do={ /interface bridge set test1 disabled=no; }; :if ([/ping address=[/ip dhcp-client get 0 gateway] interface=ethernet count=1 interval=200ms] = 1) do={ :if ([/ping address=[/ip dhcp-client get 0 gateway] interface=ethernet count=1 interval=200ms size=1500] = 1) do={ :if ([/interface bridge get test2 disabled] != false) do={ /interface bridge set test2 disabled=no; }; :if ($flag != true) do={ :if ([/interface ethernet poe get link poe-out] != "auto-on") do={ /interface ethernet poe set link poe-out=auto-on; }; }; /interface ethernet poe monitor link once do={ :set status $"poe-out-status"; }; :if (([/interface ethernet poe get link poe-out] = "auto-on" and $status = "powered-on") or $flag = true) do={ :if ($flag != true) do={ :set flag true; :if ([/interface pptp-client get vpn disabled] != false) do={ /interface pptp-client set vpn disabled=no; }; :if ([/interface ethernet poe get link poe-out] != "off") do={ /interface ethernet poe set link poe-out=off; } }; :if ([/interface pptp-client get vpn running] = true) do={ :if ([/ping address=$gateway interface=vpn count=1 interval=200ms size=1500] = 1) do={ :if ([/interface bridge get test3 disabled] != false) do={ /interface bridge set test3 disabled=no; } } else={ :if ([/interface bridge get test3 disabled] != false) do={ /interface bridge set test3 disabled=no; }; :delay 0.5; :if ([/interface bridge get test3 disabled] != true) do={ /interface bridge set test3 disabled=yes; }; :delay 0.5; } } else={ :if ([/interface bridge get test3 disabled] != false) do={ /interface bridge set test3 disabled=no; }; :delay 0.5; :if ([/interface bridge get test3 disabled] != true) do={ /interface bridge set test3 disabled=yes; }; :delay 0.5; } } } else={ :if ([/interface ethernet poe get link poe-out] = "auto-on") do={ /interface ethernet poe set link poe-out=off; }; :if ([/interface pptp-client get vpn disabled] != true) do={ /interface pptp-client set vpn disabled=yes; }; :set flag false; :if ([/interface bridge get test3 disabled] != true) do={ /interface bridge set test3 disabled=yes; }; :if ([/interface bridge get test2 disabled] != false) do={ /interface bridge set test2 disabled=no; }; :delay 0.5; :if ([/interface bridge get test2 disabled] != true) do={ /interface bridge set test2 disabled=yes; }; :delay 0.5; } } else={ :if ([/interface ethernet poe get link poe-out] = "auto-on") do={ /interface ethernet poe set link poe-out=off; }; :if ([/interface pptp-client get vpn disabled] != true) do={ /interface pptp-client set vpn disabled=yes; }; :set flag false; :if ([/interface bridge get test2 disabled] != true) do={ /interface bridge set test2 disabled=yes; }; :if ([/interface bridge get test3 disabled] != true) do={ /interface bridge set test3 disabled=yes; } } } else={ :if ([/interface ethernet poe get link poe-out] = "auto-on") do={ /interface ethernet poe set link poe-out=off; }; :if ([/interface pptp-client get vpn disabled] != true) do={ /interface pptp-client set vpn disabled=yes; }; :set flag false; :if ([/interface bridge get test1 disabled] != true) do={ /interface bridge set test1 disabled=yes; }; :if ([/interface bridge get test2 disabled] != true) do={ /interface bridge set test2 disabled=yes; }; :if ([/interface bridge get test3 disabled] != true) do={ /interface bridge set test3 disabled=yes; } } } else={ :if ([/interface ethernet poe get link poe-out] != "forced-on") do={ /interface ethernet poe set link poe-out=forced-on; }; :if ([/interface pptp-client get vpn disabled] != true) do={ /interface pptp-client set vpn disabled=yes; }; :set flag false; :if ([/interface bridge get test1 disabled] != true) do={ /interface bridge set test1 disabled=yes; }; :if ([/interface bridge get test2 disabled] != true) do={ /interface bridge set test2 disabled=yes; }; :if ([/interface bridge get test3 disabled] != true) do={ /interface bridge set test3 disabled=yes; }; :delay 3; } }; :if ([/interface ethernet poe get link poe-out] != "off") do={ /interface ethernet poe set link poe-out=off; }; :if ([/interface pptp-client get vpn disabled] != true) do={ /interface pptp-client set vpn disabled=yes; }; :if ([/interface bridge get test1 disabled] != true) do={ /interface bridge set test1 disabled=yes; }; :if ([/interface bridge get test2 disabled] != true) do={ /interface bridge set test2 disabled=yes; }; :if ([/interface bridge get test3 disabled] != true) do={ /interface bridge set test3 disabled=yes; }; :if ([/interface bridge get off disabled] != true) do={ /interface bridge set off disabled=yes; } } ] } Сам скрипт должен стартовать сразу после запуска роутера. Для этого воспользуемся scheduler:/system scheduler add name=tester on-event=":delay 3;/system script run tester;" policy=ftp,reboot,read,write,policy,test,password,sniff,sensitive start-time=startup Конфиг роутера.# RouterOS 6.21.1 # /interface bridge add disabled=yes mtu=1500 name=off add mtu=1500 name=test1 add mtu=1500 name=test2 add mtu=1500 name=test3 /interface ethernet set [ find default-name=ether1 ] name=ethernet set [ find default-name=ether2 ] name=link poe-out=off /interface wireless set [ find default-name=wlan1 ] band=2ghz-b/g/n channel-width=20/40mhz-Ce \ country=russia disabled=no distance=indoors frequency=2437 \ frequency-mode=superchannel l2mtu=1600 mode=ap-bridge radio-name="" ssid=\ wifiточка wireless-protocol=802.11 /interface wireless nstreme set wlan1 enable-polling=no /ip neighbor discovery set ethernet discover=no /interface wireless security-profiles set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk eap-methods="" \ group-ciphers=tkip,aes-ccm mode=dynamic-keys unicast-ciphers=tkip,aes-ccm \ wpa-pre-shared-key=пароль wpa2-pre-shared-key=пароль /ip pool add name=default-dhcp ranges=192.168.88.10-192.168.88.254 /ip dhcp-server add address-pool=default-dhcp disabled=no interface=wlan1 name=default /interface pptp-client add add-default-route=no allow=mschap1,mschap2 connect-to=vpn.сервер.ru \ dial-on-demand=no disabled=no keepalive-timeout=60 max-mru=1400 max-mtu=\ 1400 mrru=disabled name=vpn password=пароль profile=default-encryption \ user=логин /system logging action set 1 disk-file-name="" set 2 remember=yes /interface bridge port add interface=link add interface=wlan1 /ip address add address=192.168.88.1/24 interface=wlan1 \ network=192.168.88.0 /ip dhcp-client add dhcp-options=hostname,clientid disabled=\ no interface=ethernet use-peer-ntp=no /ip dhcp-server network add address=192.168.88.0/24 dns-server=\ 192.168.88.1 gateway=192.168.88.1 /ip dns set allow-remote-requests=yes /ip dns static add address=192.168.88.1 name=router /ip firewall filter add chain=input protocol=icmp add chain=input connection-state=established add chain=input connection-state=related add action=drop chain=input in-interface=\ all-ppp add chain=forward connection-state=\ established add chain=forward connection-state=related add action=drop chain=forward \ connection-state=invalid /ip firewall mangle add action=mark-routing chain=prerouting new-routing-mark=vpn src-address=\ 192.168.88.10-192.168.88.254 /ip firewall nat add action=masquerade chain=srcnat \ out-interface=all-ppp /ip route add distance=1 gateway=vpn routing-mark=vpn /ip upnp set allow-disable-external-interface=no /snmp set trap-community=public /system clock manual set time-zone=+05:00 /system leds set 1 interface=wlan1 type=wireless-status set 3 interface=test2 type=interface-status set 4 interface=test1 type=interface-status add interface=test3 leds=user-led type=interface-status /system routerboard settings set cpu-frequency=400MHz /system scheduler add name=tester on-event=":delay 3;\r\ \n/system script run tester;" policy=\ ftp,reboot,read,write,policy,test,password,sniff,sensitive start-time=\ startup /system script add name=tester policy=\ ftp,reboot,read,write,policy,test,password,sniff,sensitive source="{:log i\ nfo [:time {:local gateway \"8.8.8.8\";/interface bridge set test1 di\ sabled=yes;/interface bridge set test2 disabled=yes;/interface bridge set \ test3 disabled=yes;/interface ethernet poe set link poe-out=forced-on;/int\ erface pptp-client set vpn disabled=yes;:delay 3;:local link;:local status\ ;:local flag false;:while ([/interface bridge get off disabled] = true) do\ ={/interface ethernet cable-test ethernet once do={:set link \$\"status\";\ };:if (\$link = \"link-ok\") do={:if ([/interface ethernet poe get link po\ e-out] = \"forced-on\") do={/interface ethernet poe set link poe-out=off;}\ ;:if ([/interface ethernet get ethernet speed] = \"100Mbps\") do={:if ([/i\ nterface bridge get test1 disabled] != false) do={/interface bridge set te\ st1 disabled=no;};:if ([/ping address=[/ip dhcp-client get 0 gateway] inte\ rface=ethernet count=1 interval=200ms] = 1) do={:if ([/ping address=[/ip d\ hcp-client get 0 gateway] interface=ethernet count=1 interval=200ms size=1\ 500] = 1) do={:if ([/interface bridge get test2 disabled] != false) do={/i\ nterface bridge set test2 disabled=no;};:if (\$flag != true) do={:if ([/in\ terface ethernet poe get link poe-out] != \"auto-on\") do={/interface ethe\ rnet poe set link poe-out=auto-on;}};/interface ethernet poe monitor link \ once do={:set status \$\"poe-out-status\";};:if (([/interface ethernet poe\ \_get link poe-out] = \"auto-on\" and \$status = \"powered-on\") or \$flag\ \_= true) do={:if (\$flag != true) do={:set flag true;:if ([/interface ppt\ p-client get vpn disabled] != false) do={/interface pptp-client set vpn di\ sabled=no;};:if ([/interface ethernet poe get link poe-out] != \"off\") do\ ={/interface ethernet poe set link poe-out=off;}};:if ([/interface pptp-cl\ ient get vpn running] = true) do={:if ([/ping address=\$gateway interface=\ vpn count=1 interval=200ms size=1500] = 1) do={:if ([/interface bridge get\ \_test3 disabled] != false) do={/interface bridge set test3 disabled=no;}}\ \_else={:if ([/interface bridge get test3 disabled] != false) do={/interfa\ ce bridge set test3 disabled=no;};:delay 0.5;:if ([/interface bridge get t\ est3 disabled] != true) do={/interface bridge set test3 disabled=yes;};:de\ lay 0.5;}} else={:if ([/interface bridge get test3 disabled] != false) do=\ {/interface bridge set test3 disabled=no;};:delay 0.5;:if ([/interface bri\ dge get test3 disabled] != true) do={/interface bridge set test3 disabled=\ yes;};:delay 0.5;}}} else={:if ([/interface ethernet poe get link poe-out]\ \_= \"auto-on\") do={/interface ethernet poe set link poe-out=off;};:if ([\ /interface pptp-client get vpn disabled] != true) do={/interface pptp-clie\ nt set vpn disabled=yes;};:set flag false;:if ([/interface bridge get test\ 3 disabled] != true) do={/interface bridge set test3 disabled=yes;};:if ([\ /interface bridge get test2 disabled] != false) do={/interface bridge set \ test2 disabled=no;};:delay 0.5;:if ([/interface bridge get test2 disabled]\ \_!= true) do={/interface bridge set test2 disabled=yes;};:delay 0.5;}} el\ se={:if ([/interface ethernet poe get link poe-out] = \"auto-on\") do={/in\ terface ethernet poe set link poe-out=off;};:if ([/interface pptp-client g\ et vpn disabled] != true) do={/interface pptp-client set vpn disabled=yes;\ };:set flag false;:if ([/interface bridge get test2 disabled] != true) do=\ {/interface bridge set test2 disabled=yes;};:if ([/interface bridge get te\ st3 disabled] != true) do={/interface bridge set test3 disabled=yes;}}} el\ se={:if ([/interface ethernet poe get link poe-out] = \"auto-on\") do={/in\ terface ethernet poe set link poe-out=off;};:if ([/interface pptp-client g\ et vpn disabled] != true) do={/interface pptp-client set vpn disabled=yes;\ };:set flag false;:if ([/interface bridge get test1 disabled] != true) do=\ {/interface bridge set test1 disabled=yes;};:if ([/interface bridge get te\ st2 disabled] != true) do={/interface bridge set test2 disabled=yes;};:if \ ([/interface bridge get test3 disabled] != true) do={/interface bridge set\ \_test3 disabled=yes;}}} else={:if ([/interface ethernet poe get link poe-\ out] != \"forced-on\") do={/interface ethernet poe set link poe-out=forced\ -on;};:if ([/interface pptp-client get vpn disabled] != true) do={/interfa\ ce pptp-client set vpn disabled=yes;};:set flag false;:if ([/interface bri\ dge get test1 disabled] != true) do={/interface bridge set test1 disabled=\ yes;};:if ([/interface bridge get test2 disabled] != true) do={/interface \ bridge set test2 disabled=yes;};:if ([/interface bridge get test3 disabled\ ] != true) do={/interface bridge set test3 disabled=yes;};:delay 3;}};:if \ ([/interface ethernet poe get link poe-out] != \"off\") do={/interface eth\ ernet poe set link poe-out=off;};:if ([/interface pptp-client get vpn disa\ bled] != true) do={/interface pptp-client set vpn disabled=yes;};:if ([/in\ terface bridge get test1 disabled] != true) do={/interface bridge set test\ 1 disabled=yes;};:if ([/interface bridge get test2 disabled] != true) do={\ /interface bridge set test2 disabled=yes;};:if ([/interface bridge get tes\ t3 disabled] != true) do={/interface bridge set test3 disabled=yes;};:if (\ [/interface bridge get off disabled] != true) do={/interface bridge set of\ f disabled=yes;}}]}" /tool mac-server set [ find default=yes ] disabled=yes add interface=link add interface=wlan1 add interface=ethernet /tool mac-server mac-winbox set [ find default=yes ] disabled=yes add interface=link add interface=wlan1 add interface=ethernet Надеюсь данный материал будет кому нибудь полезен. В конце прикреплю несколько фото поделки.

P.S. Сейчас по нажатию кнопки еще и статистика сбрасывается на email сисадмина. Так же результат теста ширины канала и еще некоторая информация которая может пригодиться.

geektimes.ru

Обзор Mikrotik SXT Lite5, и тест мостом на расстоянии 2 км

Mikrotik SXT Lite5  - точка доступа внешнего исполнения с интегрированной двухполяризационной антенной 16dBi диапазона 5ГГц, работает в режиме 802.11 a/n,  имеет защиту от статического напряжения по антенному входу.

В MikroTik SXT Lite5 установлен 600 МГц процессор Atheros AR9344 и оперативная память объемом 64 МБ. Устройство имеет один Ethernet порт 100 Мбит/с. Выходная мощность Wi-Fi передатчика составляет 27 dBm (500 мВт).

MikroTik SXT Lite5 комплектация

В стандартную комплектацию устройства входят:- Точка доступа MikroTik SXT Lite5- Блок питания с PoE инжектором- Крепление и металлический хомут для установки на мачту

 

 

Таблица характеристик:

Система

Процессор

Atheros AR9344 600 MГц

Оперативная память

64 MB SDRAM

Интерфейс

1 × 10/100 Base-TX (Cat. 5, RJ-45) Ethernet

ОС

MikroTik RouterOS Level4 license (заявлен Level3)

Радиомодуль

Стандарты:

802.11a/n

Режимы работы:          

Station, Point-to-point, AP Bridge

Пропускная способность:

300 Мбит/с

Частоты:

5 ГГц

Мощность передатчика:

500 мВт

Встроенная антенна

Усиление:

16 дБи

Поляризация:

Двойная

Угол:

35°

Другое

Размеры:

140 × 140 × 56 мм

Вес:

265 г

Электропитание:

24В, 0,38А, POE

Рабочая температура:

от -30°C до +80°С

 

Подключение и базовая настройка:

Подключаем точку доступа программой Winbox.

Неожиданный сюрприз!

Выясняется, что по необъяснимым причинам, на SXT Lite5 установлена лицензия Level4, а не Level3, как заявлено производителем.

Это позволит использовать её в качестве базовой станции.

Но! Отметим, что это скорее всего, исключение для первых партий устройств, стандартно здесь 3 уровень лицензии.

Обновляем версию Router OS

Настраиваем радиомодуль и сканируем доступные AP.

Со стороны AP клиент выглядит так.

Уровни и качество сигнала находятся в пределах рекомендуемых значений.Настраиваем DNS, DHCP, NAT и делаем тестовый замер скорости передачи данных по радиоканалу посредством встроенной утилиты Bandwich Test.

110-116 мегабит на расстоянии около 2х км - прекрасный результат для устройства данной ценовой категории.

lantorg.com

Объединение нескольких беспроводных каналов на Mikrotik SXTG с помощью маршрутизатора Mikrotik RB2011LS-IN для передачи 680 мегабит/сек по Wi-Fi.

С повсеместным распространением оптических линий связи остро встал вопрос с резервированием канала на случай ее повреждения. Обычно для этой цели крупные операторы применяют РРЛ, но что делать мелким? Конечно же, использовать Mikrotik. Можно сделать несколько параллельных беспроводных каналов на устройствах с гигабитным сетевым портом, например Mikrotik SXTG или SEXTANTG, а объединять их кабельным маршрутизатором Mikrotik RB2011LS-IN с оптическим SFP портом.

Если у вас стоит задача не резервирования оптического канала, а просто требуется передать 200-700 мегабит через улицу, или из одного здания в другое без использования проводов, а так же прокинуть высокоскоростной канал Интернета на 20-30 километров – то же можете использовать микротик по аналогии с описываемым здесь решением.

Раньше, для создания беспроводных каналов передачи данных применялось оборудование стандарта 802.11 a/b/g, которое на канале точка-точка позволяло передавать около 20 мегабит трафика. С появлением стандарта 802.11 n реальная скорость передачи стала в пределах 100 мегабит. Однако многие производители указывали максимальную теоретическую скорость - 300 мегабит, что вводило в заблуждение потребителей, т.к. более 200 мегабит обычно передать по одному беспроводному каналу затруднительно. Однако если увеличить количество каналов и заставить их работать параллельно - можно легко наращивать скорости до 400 мегабит, 500 мегабит, 600 мегабит и так далее. Однако чем больше скорость - тем больше нагрузка на устройство, занимающееся разделением каналов. Mikrotik RB2011LS позволяет агрегировать порядка 600-900 мегабит трафика, если вам требуется передать 1000 мегабит по радио, понадобится уже как минимум Mikrotik RB1100AH.

Для создания резервного канала понадобится 6 устройств Mikrotik RB SXTG и 2 Mikrotik RB2011LS-IN. На беспроводных маршрутизаторах будут созданы 3 не зависимых беспроводных канала точка-точка, а на кабельных маршрутизаторах будет осуществляться их параллельная работа для увеличения производительности и резервирования на случай отказа.

Вот так выглядит решение на базе Mikrotik RB2011LS-IN и SXTG для передачи 700 Mbps по Wi-Fi.

 

Для начала нужно настроить один беспроводной канал связи.

На вкладке WIRELESS настраиваем базовую станцию на одного клиента по аналогии с представленной информацией на скрине. Указываем основные параметры:

Mode – Bridge – т.к. лицензия на устройствах L3 и работа в AP Bridge не поддерживается.

Band – 5GHz-only-N – для ускорения работы использовать только N.

Channel Width - 20/40MHz HT Above – использовать полосу 40мгц, т.к. в ней можно передавать более 100 мегабит по радиоканалу.

Frequency – 5180 – частота работы.

SSID – BS1 – имя базовой станции.

Radio Name – BS1 – для отображения в списке клиентов имени базовой станции.

Wireless Protocol – NV2 – самый современный и скоростной поллинговый протокол.

На вкладке DATA RATES снимаем все галочки, т.к. работа на режиме A не нужна.

На вкладке ADVANCED указываем:

Periodic Calibration – Enabled – включаем автоматическое определение уровня шума.

Calibration Interval – 00:00:10 – интервал между измерениями уровня шума.

Hw. Retries – 15 – количество переповторов. На канале точка-точка нужно ставить максимальное значение.

Hw. Protection Mode – RTS/CTS – включение защиты от скрытого узла.

На вкладке HT нужно включить все 4 галочки каналов, иначе MIMO не будет работать.

На вкладке HT MCS нужно отметить галочками следующие значения.

На вкладке WDS нужно указать WDS Mode – Dynamic и выбрать имя бриджа – Bridge1 (который нужно создать заранее и добавить в него интерфейсы Ether1 и Wlan1).

Для возможных опытов с Nstreme следует произвести и его настройку на соответствующей вкладке.

Но самое важное, это минимальная задержка через канал, поэтому на вкладке NV2 в пункте TDMA Period Size ставим 1.

Для тестирования на столе следует уменьшить мощность до минимума, что и нужно сделать на вкладке TX POWER, выбрав Tx Power Mode – All Rates Fixed и уровень мощности 2dBm.

В разделе BRIDGE на вкладке Ports после подключения клиента (который настраивается аналогичным образом, только вместо режима работы bridge нужно поставить Station WDS) должна появиться динамическая WDS запись, сигнализирующая, что клиент подключился в режиме WDS и может передавать данные на уровне L2.

Для возможности запуска теста пропускной способности, нужно в разделе IP--+ADDRESS указать IP-адрес на бридже, например 10.0.0.200/24.

Запустим Bandwidth Test с одного Mikrotik SXTG на другой.

При установившихся канальных скоростях 300/300 и CCQ 100/100 максимальная передача данных в одну сторону 216 мегабит в секунду.

Для проведения сквозного теста через радиоканал, подключаем SXTG в 5 порт Mikrotik RB2011LS-IN с каждой стороны. Запускаем тест.

На прием данных с соседнего устройства через радиоканал максимальная скорость 185 мегабит/сек.

На прием максимальная скорость – 215 мегабит в секунду. Очень даже не плохо!

Для увеличения скорости в 2 раза настроим Bonding на RB2011. Для этого в разделе INTERFACE зайдем на вкладку Bonding и создадим новое правило. Настройки нужно делать на обоих микротиках.

Укажем порты для объединения Slaves – Ether1 и Ether2, метод балансировки Mode – Balance rr.

В итоге в списке интерфейсов порты Ether1 и Ether2 примут следующий вид – перед ними появятся буквы RS. Естественно нужно настроить второй беспроводной канал и подключить один к первому порту, второй ко второму с каждой стороны. На втором канале следует установить другую частоту, для исключения взаимного влияния друг на друга.

Проведем серию тестов, которые покажут пропускную способность по каждому из каналов, общую и задержку прохождения пингов.

Тест на передачу показал, что по каждому каналу идет поток данных со скоростью 240 мегабит, общий поток передачи данных через wi-fi – 480 мегабит, задержка 5-8 мс.

Тест на прием показал, что передача данных через каждый канал идет со скоростью 183 и 185 мегабита, общая скорость 368 мегабит и пинги не стабильные с потерями. Нужно ограничить пропускную способность в канале.

После ограничения суммарной пропускной способности до 320 мегабит, скорость по каждому каналу сравнялась до 164 мегабит, и пинги нормализовались.

Двунаправленный тест показал 207 мегабит на передачу и 145 мегабит на прием. Видно, что имеется проблема при работе на прием. Если запускать тесты с противоположной стороны канала, то будут аналогичные результаты, что говорит о не совершенности программы для тестирования пропускной способности.

Если во время работы один из каналов отключить, допустим, провести имитацию его повреждения или обрыва связи, скорость уменьшиться до максимальной скорости оставшегося канала – 243 мегабита. Потери связи не произойдет.

Если второй канал восстановить – сразу пропускная способность увеличиться обратно до максимальных 480 мегабит/сек.

Для увеличения скорости еще больше, добавим третий канал передачи данных. В настройках Bonding достаточно указать еще один Slaves – Ether3 с каждой стороны.

Теперь можно провести тесты работы на 3-х каналах точка-точка на устройствах Mikrotik RB/SXTG.

Результат не заставил себя ждать. Максимальная скорость по каждому каналу 227 мегабит, а суммарная – 681 мегабит. То есть по wi-fi передаются данные со скоростью почти 700 мегабит.

В обратную сторону скорость хуже, всего 593 мегабита и пинги с потерями. Но если уменьшить поток данных до 550 мегабит все нормализуется.

Двунаправленный тест показал 319 мегабит на передачу и 240 мегабит на прием.

Теперь нужно создать еще один бридж и включить на нем Protocol Mode – RSTP. Что позволит автоматически переключаться с основного канала на резерв. Протокол STP и его более продвинутая версия RSTP позволяет сделать кольцо на уровне L2 и разорвать его, то есть отключить один из каналов для исключения заворота трафика. При потере связи через рабочую часть кольца, автоматически включиться отключенный ранее канал и связь восстановится.

В этот бридж следует добавить порты SFP1 и Bonding1. Делать нужно на каждом Mikrotik RB2011LS-IN.

У порта Bonding1 следует указать Patch Cost – 1000, что бы увеличить цену прохождения данных по этому каналу. Это сделает его резервным по отношению к SFP1.

Теперь проведем тест на отключение оптического канала. Что бы смоделировать ситуацию повреждения кабеля.

Изначально данные передаются по оптическому каналу через порт SFP1. Скорость передачи – 642 мегабита в секунду. Задержка через канал – 0 мс.

Теперь оптический канал отключен. Поток данных уменьшился и сразу восстановился до уровня 591 мегабит в секунду. Повысилась задержка, до 5-13мс.

 

Теперь вы знаете, каким образом можно передавать большие потоки данных через несколько параллельных радиоканалов с помощью оборудования Mikrotik RB2011LS-IN. Стоимость решения достаточно низкая, что позволит конкурировать по цене с серьезным операторским оборудованием, например с различными РРЛ, стоимость которых выше в разы.

Если вы сможете передать более 700 мегабит по Wi-Fi – обязательно сообщите нам в комментариях статьи.

www.lanmart.ru

Обзор и настройка нового высокопроизводительного маршрутизатора Mikrotik RB951G-2HnD с разгоном процессора до 750МГц.

Трудно представить себе, как жили люди до появления маршрутизатора Mikrotik RB751U-2HnD, сколько времени было потрачено на ожидание перезагрузки устройств других производителей для применения настроек, сколько раз вспоминали недобрым словом зависшие красивые коробочки, а куда хотели засунуть антенны огромных размеров, беспомощно торчащих сзади роутера, когда ноутбук через стену не мог подключиться к беспроводной сети, лучше умолчим, технический ресурс все же=)

Но все когда-то заканчивается, вот и сейчас, когда многие провайдеры перешагнули планку тарифных планов в 100 мегабит, потребовалось повышение производительности старого доброго маршрутизатора, и Mikrotik тут же среагировал, выпустив достойного приемника в виде RB951G-2HnD, который не только обладает более быстрым процессором, но и переработанным радиомодулем с новыми антеннами. Кроме быстрого процессора добавили и оперативную память, теперь доступно 128 мегабит, вместо 32 в предыдущей модели. А это значит можно гибко управлять шейперами с более глубокой буферизацией - памяти теперь хватит для любой задачи.

Начнем с обзора комплекта поставки и упаковки. Она проста и лаконична, однако крепка и функциональна - не только защищает роутер RB951G во время транспортировки, но и может использоваться в быту для складирования различных сетевых комплектующих, например пигтейлов и радиокарт.

Внутри ничего лишнего, только Mikrotik RB951G-2HnD с блоком питания.

Как и предыдущая модель, Mikrotik RB951G располагает 5-ю гигабитными сетевыми портами с возможностью подачи питания PoE через первый из них, USB портом для подключения модема или дополнительного беспроводного адаптера. Вверху индикаторы активности интерфейсов.

Разъема для подключения внешней антенны нет. RB751U и RB751G позволяли подключить внешнюю через разъем MMCX, расположенный сзади корпуса, однако в следствии конструктивного просчета, это было достаточно не удобно и не красиво. Энтузиасты полностью удаляли внутренние антенны и припаивали вместо них пигтейлы, однако приходилось устанавливать 3 штуки, ведь один канал использовал разные антенны для приема и передачи.

С нижней стороны, как и у всех устройств серии RB751U-2HnD и RB951G-2HnD расположен кружок сброса настроек и пазы для крепления на стену. С помощью плоской отвертки нужно подцепить защелки и аккуратно снять нижнюю крышку, с задней стороны она приклеена к липучке, поэтому нужно подцепить ее со стороны сетевых портов и осторожно потянуть на себя.

Нижняя часть RouterBOARD 951G 2HnD. Обратите внимание, что теперь под антенными расположен вырез в плате, что позволяет увеличить зону покрытия беспроводной сетью не только за счет повышения мощности передатчика, но и увеличения чувствительности.

Обратите внимание что верхняя левая антенна изогнута, чуть ниже мы вернем ей первоначальную форму.

Внутренности нового маршрутизатора Mikrotik RB951G-2HnD. Компоновка полностью изменилась. Беспроводной модуль уменьшен в габаритах и закрыт индивидуальными экранами для каждого канала. Появились 2 разъема для подключения внешних антенн, да и самих антенны теперь две. Новые модули памяти компактных размеров, на процессорах установлены хорошие радиаторы. Появились и не распаянные контакты для подключения тачскрина, так что не исключено в скором времени появления не нужной примочки на устройствах в пластмассовых корпусах. Если так пойдет дело, то можно ожидать выход модели Mikrotik SXT с тачскрином для удобного наведения по уровню сигнала, который можно будет контролировать визуально=).

Вид сбоку на USB разъем RB951G-2HnD. Внизу чуть правее расположены светодиодные индикаторы, которые показывают активность сетевых портов. А еще правее видно погнутую антенну.

Возвращаемся к кривой антенне. Для обеспечения нормальной работы ее естественно нужно распрямить, однако делать это надо аккуратно, что бы не загнуть ее в обратную сторону. Ведь потом придется ее выгибать снова, а это может привести к поломке или еще большему нарушению геометрии, что ухудшит качество работы.

Изгибаем ее по аналогии с нормальной. Заодно снимаем экраны с радиомодулей, что бы убедиться что там ничего интересного нет. Любители работы с паяльником могут припаять разъемы MMCX для подключения внешних антенн, либо найти редкие пигтейлы для подключения к существующим.

Теперь, пройдя ОТК, плата Mikrotik RB951 может снова отправляться в свой пластиковый корпус.

Кстати о корпусе - он состоит из двух половинок, в верхней его части расположены места для установки 4-х разъемов под внешние антенны, еще одного разъема USB большого размера, маленького micro-USB и даже консольного порта в формате RG-45. Так что корпус не так прост, как кажется, хранит много секретов, которые еще только предстоит узнать.

 

Переходим к настройке.

Как и обычно, при первом включении отменяем начальную конфигурацию, нажав на кнопку Remove Configuration. Если это окно не появилось, то в меню System->Reset Configuration делаем сброс, поставив галочку No Default Configuration, после перезагрузки можно приступать к настройке. Естественно не забываем про обновление прошивки.

Новое устройство обладает 5-ю сетевыми портами и беспроводным адаптером.

Для подключения к Интернету может использоваться несколько способов, начнем с автоматического получения адреса. Для этого в меню IP->DHCP Client добавляет новую запись, где указываем интерфейс, подключенный к сети провайдера, а так же устанавливаем все галочки - получение адреса DNS сервера и адреса сервера точного времени, самая нижняя галочка позволяет устанавливать маршрут по умолчанию через данное подключение. Она используется при одновременном подключении сразу к нескольким провайдерам.

При использовании подключения через PPPoE, понадобиться зайти в раздел PPP и добавить PPPoE_Client (нужно выбрать в выпадающем меню при нажатии на +). В нем выбираем интерфейс для подключения к провайдеру и переходим на следующую вкладку.

Где указываем логин и пароль на доступ, устанавливаем галочку Use Peer DNS для получения адреса сервера DNS от провайдера. Вот и все.

Если требуется указывать IP-адрес вручную, тогда следует посетить меню IP->Address и нажав на + указать необходимые настройки. При этом так же нужно выбрать интерфейс, куда подключен кабель провайдера. Маска подсети задается через слеш, что может внести некоторую путаницу. Например /24 означает 255.255.255.0, /23 - 255.255.252.0, /30 - 255.255.255.252, /29 - 255.255.255.248. Если в настройках указана другая маска, следует найти в Google "калькулятор маски подсети", в котором введя настройки можно получить полную расшифровку.

Кроме IP-адреса нужно не забыть указать и маршрут по умолчанию. В меню IP->Routes добавляем новый маршрут, и только указываем Gateway = 10.10.10.1 или данные вашего провайдера. Check Gateway = ping можно не ставить, эта настройка включает проверку доступности шлюза пингом и обычно используется при подключении сразу к нескольким провайдером с автоматическим переключением в случае отключения одного из них.

Для превращения микротика в маленький коммутатор следует создать бридж в разделе Bridge. Нажимаем на + и сразу на Ok, настраивать здесь нечего.

Переходим на вкладку Ports и добавляем сетевые порты в бридж, для этого нажимаем на +, выбираем нужные интерфейс и бридж из списка. Требуется добавить 2-5 сетевые порты и беспроводной адаптер.

Указываем IP-адрес на бридже. Так же в разделе IP->Address добавляем адрес 192.168.0.1/24 на интерфейс bridge1.

Настраиваем и DNS сервер микротика. В меню IP->DNS вводим адрес сервера, можно указать гуглевский 8.8.8.8, а так же нужно обязательно поставить галочку Allow Remote Requests, для разрешения отвечать на запросы с других компьютеров. Если ее не поставить, то Интернет работать не будет.

Для автоматической выдачи адресов подключенным клиентам в разделе IP->DHCP Server запускаем мастер настроек, нажатием на кнопку DHCP Setup. В первом окне выбираем интерфейс, на котором он будет работать. Т.к. все порты объединены в бридж, то выбираем bridge1.

Указываем подсеть адресов для выдачи. Все данные подставляются автоматически, однако есть возможность их корректировать. При выборе интерфейса был определена подсеть, установленная на нем - 192.168.0.0/24. Изменять ее не следует.

Шлюз для клиентов так же устанавливается автоматически 192.168.0.1 - этот адрес вводили во время настройки IP-адреса на бридже.

Адреса для выдачи клиентам. По умолчанию установлен диапазон 192.168.0.2 - 192.168.0.254, адреса выдаются с конца. Если в сети у каких-то устройств адреса установлены вручную, например в диапазоне 10-50, то можно исключить их, указав 192.168.0.100 - 192.168.0.254. Если используется более сложная конфигурация сети и в ней несколько диапазонов, установленных вручную, то можно нажав на стрелку вниз, открыть еще одно поле для указания диапазона. И ввести к примеру вверху 192.168.0.100 - 192.168.0.150, а внизу 192.168.0.200 - 192.168.0.254. Тогда адреса 2-99 и 151-199 можно указывать статически на компьютерах локальной сети.

Адрес DNS сервера для выдачи - 192.168.0.1, то есть адрес микротика. Нажав на стрелку вниз можно указать и альтернативный, либо сразу выдавать альтернативный, если не требуется использовать свой DNS сервер и перенаправлять все запросы на сервер провайдера.

Время аренды адреса. По умолчанию 3 дня, можно поставить меньше, хоть 10 минут. После нажатия на кнопку Next настройка завершена.

Для настройки НАТ требуется зайти в меню IP->Firewall на вкладку NAT и нажать на +.

Откроется окно, где нужно указать подсеть клиентов, которые могут иметь доступ в сеть, в нашем случае указываем 192.168.0.0/24. То есть правило будет работать только для адресов с 192.168.0.1 до 192.168.0.254.

На вкладке Action выбираем Masquerade.

Для защиты от атак со стороны Интернета не требуется создавать фильтры в файрволе, достаточно снять все галочки в разделе IP->Services, нужно оставить только Winbox для доступа на устройство. Если лишние сервисы не отключать, то в логах будут появляться сообщения о попытках входа с не правильными учетными данными, особенно много их будет по Telnet.

Переходим к настройке беспроводного адаптера. На вкладке Security Profiles раздела Wireless открываем профиль default и указываем.

Mode: dynamic keys.

Authentication Types: WPA PSK и WPA2 PSK - поддерживаемые типы шифрования.

Unicast и Group Ciphers: tkip и aes ccm - первое программное шифрование, второе аппаратное. Если установить все галочки, то к сети смогут подключаться новые и старые устройства вне зависимости от поддерживаемого шифрования.

WPA и WPA2 Pre-Shared Key: 1234567890 - ключи шифрования. Для подключения к сети нужно будет вводить эти же цифры/буквы на беспроводных устройствах.

Открываем окно настроек беспроводного адаптера на вкладке Interfaces, где указываем:

Mode: ap bridge - режим работы в качестве точки доступа.

Band: 2GHz-B/G/N - поддерживаемые режимы, в данном случае 2ГГц B/G/N, можно выбрать и просто B/G, либо only-G, в зависимости от требуемых скоростей.

Channel Width: 20 - ширина рабочей полосы, можно выбрать либо 20, либо 20/40 HT Above или 20/40 HT Below. Другие беспроводные адаптеры ноутбуков и коммуникаторов не поддерживают. Выбор режима Above или Below нужно проводить опытным путем, если на определенной частоте один режим не работает, следует попробовать другой.

Frequency: 2412 - рабочая частота.

SSID: TEST - имя беспроводной сети, которая будет отображаться при поиске сетей в беспроводном окружении.

Wireless Protocol: 802.11 - работа в режиме стандартного вайфая, только в нем могут подключаться другие устройства, например ноутбуки. Если указать что-то другое, беспроводная сеть может быть недоступна.

На вкладке Data Rates оставляем настройки без изменений. Что бы открыть ее нужно сперва нажать кнопку Advanced Mode внизу справа, сейчас там написано Simple Mode.

Если требуется отключить скорости B-режимов, нужно установить переключатель в Configured и снять все галочки с режимов Supported Rates B и Basic Rates B, однако не все беспроводные устройства могут корректно работать в таком случае, проверяется опытным путем. Если нужно разрешить работу только в режиме N, следует снять с этой вкладке все галочки.

На вкладке Advanced устанавливаются следующие значения:

Distance: indoors - расстояние до клиентов будет минимальным.

Periodic Calibration: enabled - включение переопределения уровня шума. Особенно важно, если рядом есть много других точек доступа.

Calibration Interval: 00:00:10 - интервал времени, через которое будет определятся уровень шума.

Hw. Protection Mode: RTS CTS - включение механизма защиты от скрытого узла. Даже при использовании внутри помещений следует включать данный режим, особенно если рядом имеются и другие беспроводные сети.

На вкладке HT нужно поставить все 4 галочки вверху. После сброса там включены только 2 у канала chain0, поэтому MIMO работать не сможет. Следует поставить так же 2 галочки напротив канала chain1.

На вкладке WDS следует выбрать режим Dynamic и указать бридж из списка. Собственно для подключения обычных устройств, например ноутбуков, данный режим не нужен. Но возможно понадобится в дальнейшем, а оборудование уже будет настроено.

Если включить беспроводной адаптер, то мощности по умолчанию будут высокие, на вкладке Current Tx Power это видно, 26dBm по каждому каналу, или 29dBm суммарно. Это очень много и мощность следует уменьшить.

Для уменьшения следует зайти на вкладку Tx Power и выбрать там All Rates Fixed, а чуть ниже 18dBm.

Смотрим на изменение мощностей - все стоят на уровне 18dBm или 21dBm суммарно. При таком уровне мощности оборудование сможет работать на максимальных скоростях при близко расположенных клиентских устройствах, например в пределах одной комнаты.

Если провайдер предоставляет белый IP-адрес, можно включить автоматический проброс портов в меню IP->UPnP. Устанавливаем галочку Enabled и добавляем интерфейс Bridge1 в качестве внутреннего, а Ether1 и PPPoE-Out1 в качестве внешнего.

Для ограничения доступа к настройкам в меню System->Users указываем пароль на доступ, зайдя в свойства существующего пользователя Admin.

Теперь самое интересное. Для сохранения конфигурации в текстовом виде нужно зайти в окно New Terminal и ввести там команду Export Compact.

После нажатия Enter в окно будет выведена вся конфигурация устройства в текстовом виде, если нажать в фон правой кнопкой мышки и выбрать Copy All, можно скопировать данные в буфер обмена, которые потом следует вставить в текстовый редактор, например блокнот:

/interface bridge

add name=bridge1

/interface wireless

set 0 band=2ghz-b/g/n disabled=no distance=indoors ht-rxchains=0,1 ht-txchains=\

    0,1 hw-protection-mode=rts-cts l2mtu=2290 mode=ap-bridge \

    periodic-calibration=enabled periodic-calibration-interval=10 radio-name="" \

    ssid=TEST tx-power=18 tx-power-mode=all-rates-fixed wds-default-bridge=\

    bridge1 wds-mode=dynamic wireless-protocol=802.11

/interface pppoe-client

add add-default-route=yes disabled=no interface=ether1 name=pppoe-out1 \

    password=test use-peer-dns=yes user=test

/interface wireless nstreme

set wlan1 enable-polling=no

/interface wireless security-profiles

set [ find default=yes ] authentication-types=wpa-psk,wpa2-psk eap-methods=\

    passthrough group-ciphers=tkip,aes-ccm mode=dynamic-keys unicast-ciphers=\

    tkip,aes-ccm wpa-pre-shared-key=1234567890 wpa2-pre-shared-key=1234567890

/ip pool

add name=dhcp_pool1 ranges=192.168.0.2-192.168.0.254

/ip dhcp-server

add address-pool=dhcp_pool1 disabled=no interface=bridge1 name=dhcp1

/interface bridge port

add bridge=bridge1 interface=ether2

add bridge=bridge1 interface=ether3

add bridge=bridge1 interface=ether4

add bridge=bridge1 interface=ether5

add bridge=bridge1 interface=wlan1

/ip address

add address=10.10.10.10/24 interface=ether1

add address=192.168.0.1/24 interface=bridge1

/ip dhcp-client

add default-route-distance=0 disabled=no interface=ether1

/ip dhcp-server network

add address=192.168.0.0/24 dns-server=192.168.0.1 gateway=192.168.0.1

/ip dns

set allow-remote-requests=yes servers=8.8.8.8

/ip firewall nat

add action=masquerade chain=srcnat src-address=192.168.0.0/24

/ip route

add check-gateway=ping distance=1 gateway=10.10.10.1

/ip service

set telnet disabled=yes

set ftp disabled=yes

set www disabled=yes

set ssh disabled=yes

/ip upnp interfaces

add interface=bridge1 type=internal

add interface=ether1 type=external

add interface=pppoe-out1 type=external

/user set 0 password=test

 

Последнюю строчку с паролем следует добавить самостоятельно, при сохранении конфигурации в текстовом виде он не сохраняется. В конфиге видны все настройки IP-адресов, их можно легко поменять и загрузить конфигурацию обратно, так же вставив в окно New Terminal.

В текстовом виде очень удобно хранить и вставлять конфигурацию, вот так, например, можно сделать DMZ с помощью Mikrotik на адрес 192.168.0.254, кроме порта винбокса:

 

/ip firewall nat

add action=netmap chain=dstnat dst-port=1-8290 in-interface=ether1 protocol=tcp to-addresses=192.168.0.254 to-ports=1-8290

add action=netmap chain=dstnat dst-port=8292-65535 in-interface=ether1 protocol=tcp to-addresses=192.168.0.254 to-ports=8292-65535

add action=netmap chain=dstnat dst-port=8292-65535 in-interface=ether1 protocol=udp to-addresses=192.168.0.254 to-ports=8292-65535

add action=netmap chain=dstnat dst-port=1-8290 in-interface=ether1 protocol=udp to-addresses=192.168.0.254 to-ports=1-8290

 

Достаточно вставить конфиг, как изменения можно просмотреть через WinBox. Перезагрузка не требуется.

Если зайти в раздел System->Resources можно увидеть что объем оперативной памяти 128 мегабайт, частота процессора 600 МГц.

Процессор можно разогнать, нажав на кнопку Settings, выбираем из списка 750MHz.

Перезагружаемся и смотрим - частота 750МГц.

Тест пропускной способности на себя показал, что Mikrotik RB951G-2HnD выдает почти 800 мегабит в секунду.

Аналогичный показатель у Mikrotik RB751U-2HnD лежит на уровне 565 мегабит в секунду, намного ниже. Но и частота процессора у него всего 450МГц.

 

Благодаря более быстрому процессору, новому радиомодулю и грамотному размещению антенн (конечно если они не гнутые), Mikrotik RB951G-2HnD вполне достойно справится с пропуском больших объемов трафика через подключение к Интернету, а так же обеспечит уверенную зону покрытия в пределах не большой квартиры или частного дома. Компьютеры локальной сети смогут обмениваться данными на скорости 1 гигабит в секунду, что позволит экономить много времени во время переноса больших объемов информации, например вместо 2-х часов понадобится всего около 30 минут.

www.lanmart.ru

Mikrotik- Дополнительный Функционал И Настройка

Все самое необходимое для настройки Mikrotik RouterOS Вы сможете найти в нашем пособии "Микротик.Базовая настройка". Настройка от А до Я с разбором функций и проблем, которые могут возникнут у простого пользователя в процессе внедрения Mikrotik под свои задачи. Mstream делает шаг помощи для своих клиентов. С нашим руководством настройка Mikrotik RouterOS не станет помехой для достижения поставленных целей.

Сюда вошли настройка дополнительного функционала микротик и решения некоторых задач.

Теперь они собраны в одном месте, а не разбросаны по крупицам по все му интернету.

Есть что добавить? - оставляйте Ваши комментарии.

Дополнительный функционал и настройка Mikrotik

 

8. Настройка WiFi

8.1. В режиме AP Bridge (раздача инета по Wi-Fi) 8.2. В режиме Station Bridge (прием интернета по WiFi)

9. Настройка USB модемов

10. Дополнительный функционал

10.1. Web-Proxy

11. Инструменты-помощники

11.1. Ping. Arp-Ping. Traceroute 11.2. IP Scan 11.3. Watch Dog. NetWatch

12. Терминал. Telnet. SSH. FTP. API

13. Скрипты Mikrotik

 

8. Настройка WiFi

 

8.1. В режиме раздачи AP

Настройка  в режиме раздачи описана в первом разделе - "Микротик - быстрый старт" 

 

8.2. В режиме клиента Station

В режиме клиента Station настройки аналогичны режиму  раздачи AP.

Единственные отличия - это вместо режима AP нужно выбрать режим "Station Bridge" 

И конечно же в RouterOS есть инструменты для сканирования и анализа Wi-Fi сетей.

...

9. Настройка USB модемов  

Это пример показывает как настроить модем Option Globetrotter HSDPA USB  для работы с  LMT (Латвийской мобильной телефонной сетью  UMTS/GPRS) или с  Amigo (GPRS) в Латвии.

Сервис в Вашей стране возможно имеет другие требования и настройки. Это просто схема  того, что нужно делать. 

 Железо 

USB Модем: Option N.V. Globetrotter HSDPA USB Modem H7.2

 Производитель: Teltonika, model number U3G150

Роутер: MikroTik Router с USB портом  (RB230, любая x86 система, RB433UAH, или, RB411U)

Роутерный софт 

RouterOS V4.2. Работает на предыдущих версиях 2.9 and 3, но с небольшими отличиями в конфигурации.

USB модем распознается  RouterOS как USB устройство и определяется среди  USB ресурсов:

[[email protected]] > /system resource usb print # DEVICE VENDOR NAME SPEED 0 2:1 RB400 EHCI 480 Mbps 1 1:1 RB400 OHCI 12 Mbps 2 1:3 Option N.V. Globetrotter HSDPA... 12 Mbps [[email protected]] >

Убедитесь, что  USB порт виден разделе port:

[[email protected]] > /port print Flags: I - inactive # NAME CHANNELS USED-BY BAUD-RATE 0 serial0 1 Serial Console auto 1 usb2 3 9600 [[email protected]] >

До версии  RouterOS V3.23, для модема показывались все порты. Начиная с версии V3.23 - один порт на модем, и модем имеет каналы, используемые для команд и данных. Каналы имеют номера 0,1,2, и пр. Некоторые модемы могут иметь два канала, некоторые имеют больше. Установите  baud rate в 9600 для связи с модемом, в случае если это уже не сделано:

[[email protected]] > /port set usb2 baud-rate=9600

Проверьте ответ модема используя serial-terminal, например:

[[email protected]] > /system serial-terminal usb2 channel=2 [Ctrl-A is the prefix key] ATI Manufacturer: Option N.V. Model: GTM378 Revision: 2.3.3Hd (Date: Jul 17 2007, Time: 15:49:23) OK

Разорвите связь с модемом, нажав "Ctrl-A", а затем "Q":

[Q - quit connection] [B - send break] [A - send Ctrl-A prefix] [R - autoconfigure rate] Welcome back! [[email protected]] >

 Обходной путь для устройств Globetrotter не имеющих модемного интерфейса 

Нет никакой гарантии, что эти команды работают на всех модемах, которые нуждаются в HSO драйверах. 

ТЕстируемые устройства - это T-Mobile branded Globetrotter iCON 225 "web'n'walk Stick".

Это устройство подключилось без проблем после описанного метода. 

That device was able to connect without problems after the method described. Некоторые карты Globetrotter HSDPA, например iCON 225 (бренд Orange, T-Mobile web'n'walk stick, и пр. имеют последовательный интерфейс по умолчанию отключенным, и предлагают только  NDIS интерфейс для соединения. Если команда дозвона сработала, но нет ответа соединения от модема, это может быть полезным для такой проверки. Для проверки настроек:

[[email protected]] > /system serial-terminal port=usb1 channel=0 [Ctrl-A is the prefix key] ATZ OK ATI0 Manufacturer: Option N.V. Model: GlobeTrotter HSDPA Modem Revision: 2.5.24Hd (Date: Apr 17 2009, Time: 08:59:36) OK AT_OIFC? _OIFC: 2,1,1,0 OK AT_OIFC=? _OIFC: [2-3], [0,1], [1], [0-5] mdm, diag, app1, pcsc/gps MDM (0: N/A) (1: N/A) (2: ndis) (3: modem and ndis) DIAG (0: none) (1: enable) APP1 (0: none) (1: enable) PCSC/GPS (0: none) (1: pcsc enable) (2: GPS enable) (3: app2 enable) (4: GPS & PCSC) (5: GPS & app2) OK

В этом примере, MDM (модем) интерфейс установлен в 2, так, что не включен последовательный интерфейс модема.

Для изменения настроек:

AT_OIFC=3,1,1,0

Вы должны получить: OK

Для записи изменений в память NVRAM устройства:

AT&W

Отключите и включите устройство, и на выходе получим:

[[email protected]] > /port print Flags: I - inactive # NAME CHANNELS USED-BY BAUD-RATE 0 usb1 4 9600

Число каналов должно быть увеличено. На тестовом устройстве, последний канал - это модемный интерфейс (номер 3 в RouterOS).

В соответствии со страницей драйверов Linux HSO, существует по меньшей мере пять устройств , которые не имеют интерфейс модема по умолчанию включенным.

 Конфигурация роутера для  PPP 

Начиная с  RouterOS V4 (и последней версси 3) настройка PPP клиента гораздо проще, чем в предыдущих версиях. Там не нужно использовать ppp профили, а интерфейс клиента ppp может быть добавлен автоматически /interface ppp-client:

[[email protected]] > /interface ppp-client [[email protected]] /interface ppp-client> print Flags: X - disabled, R - running 0 X name="ppp-out1" max-mtu=1500 max-mru=1500 mrru=disabled port=usb2 data-channel=2 info-channel=2 apn="internet" pin="" user="" password="" profile=default phone="" dial-command="ATDT" modem-init="" null-modem=no dial-on-demand=yes add-default-route=yes use-peer-dns=yes allow=pap,chap,mschap1,mschap2 [[email protected]] /interface ppp-client> info 0

Интерфейс имеет 3G/GPRS особые модемные аргументы, наподобие apn, pin. Узнайте у Вашего провайдера как использовать APN, user, и password. Подгоните настройки peer-dns и default-route в соответствии с тем, что Вы хотите сделать на Вшем интерфейсе!В нашем случае, мы хоти постоянное соединение, но не хотим дозвон по требованию:

[[email protected]] /interface ppp-client> set 0 dial-on-demand=no [[email protected]] /interface ppp-client> enable 0 [[email protected]] /interface ppp-client> print Flags: X - disabled, R - running 0 R name="ppp-out1" max-mtu=1500 max-mru=1500 mrru=disabled port=usb2 data-channel=2 info-channel=2 apn="internet" pin="" user="" password="" profile=default phone="" dial-command="ATDT" modem-init="" null-modem=no dial-on-demand=no add-default-route=yes use-peer-dns=yes allow=pap,chap,mschap1,mschap2 [[email protected]] /interface ppp-client>

После включения интерфейса проверьте логи, для того, чтобы увидеть установку соединения с USB-модемом. 

 

[[email protected]] /interface ppp-client> /log print 12:29:16 async,ppp,info ppp-out1: initializing... 12:29:16 async,ppp,info ppp-out1: reseting link... 12:29:16 system,info device changed by admin 12:29:16 system,info dns changed 12:29:17 async,ppp,info ppp-out1: initializing modem... 12:29:17 async,ppp,info ppp-out1: dialing out... 12:29:17 async,ppp,info ppp-out1: authenticated 12:29:20 async,ppp,info ppp-out1: could not determine remote address, using 10.112.112.119 12:29:20 async,ppp,info ppp-out1: connected 12:29:20 system,info dns changed [[email protected]] /interface ppp-client>

Последовательные порты используемые в  ppp клиенте:

[[email protected]] > /port print Flags: I - inactive # NAME CHANNELS USED-BY BAUD-RATE 0 serial0 1 Serial Console auto 1 usb2 3 PPP 9600 [[email protected]] >

Проверьте адреса, в нашем случае мы имеем:

[[email protected]] > /ip address print Flags: X - disabled, I - invalid, D - dynamic # ADDRESS NETWORK BROADCAST INTERFACE 0 D 10.5.8.64/24 10.5.8.0 10.5.8.255 ether1 1 D 10.40.192.214/32 10.112.112.119 0.0.0.0 ppp-out1 [[email protected]] >

и маршруты:

[[email protected]] > /ip route print Flags: X - disabled, A - active, D - dynamic, C - connect, S - static, r - rip, b - bgp, o - ospf, m - mme, B - blackhole, U - unreachable, P - prohibit # DST-ADDRESS PREF-SRC GATEWAY DISTANCE 0 ADS 0.0.0.0/0 10.112.112.119 1 1 ADC 10.5.8.0/24 10.5.8.64 ether1 0 2 ADC 10.112.112.119/32 10.40.192.214 ppp-out1 0 [[email protected]] >

Вы можете получить еще информацию о статусе модема и сети запусти команду info.

В нашем случае модем использует тот же самый канал для данных и info 

 

[[email protected]] /interface ppp-client> info 0 failure: can't reuse channel while ppp-client running! [[email protected]] /interface ppp-client> disable 0 [[email protected]] /interface ppp-client> info 0 status: "ready" pin-status: "no password required" functionality: "minimum" gprs-class: "A - GPRS & GSM simultaneous" manufacturer: "Option N.V." model: "GTM378" revision: "2.3.3Hd (Date: Jul 17 2007, Time: 15:49:23)" serial-number: "356237010662581,S23977B51N" current-operator: "LV LMT GSM" access-technology: "3G" signal-strengh: -89 [[email protected]] /interface ppp-client>

Вам нужно использовать маскарадинг, чтобы спрятать локальную сеть когда выходите через  ppp!

 Привелигированные настройки модема 

Опционально модемы могут быть установлены для привелигированных операций в  UMTS(3G) or GPRS сетях.

Для изменения рабочего режима, используйте  AT_OPSYS команду через терминалl, или включите это внутрь строки инциализации модема:

AT_OPSYS=0,2 Only GPRS AT_OPSYS=1,2 Only UMTS(3g) AT_OPSYS=2,2 Prefer GPRS over UMTS(3G) AT_OPSYS=3,2 Prefer UMTS(3G) over GPRS

Запрос текущих _OPSYS настроек  используя AT_OPSYS? команду:

[[email protected]] > sys serial-terminal usb4 channel=0 [Ctrl-A is the prefix key] AT_OPSYS? _OPSYS: 3,2 OK

Настройка _OPSYS режима работы остается нетронутым после перезагрузки роутера и выключения/включения.

Если вы заблокируете режим настройки 3G для модема, то команда сканирования покажет GPRS сети и наоборот.

 

 Неполадки 

Вы не получили  "authenticated" и "connected" Что-то неверно с Вашими настройками. Вероятно настройка  интерфейса ppp-клиента должна быть изменена для совпадения с требованиями Вашего провайдера. Если настройка data-channel неверна, то не будет никакого содеинения. Число доступных каналов показано в  /port list, номер порта начинается с 0. Отключите интерфейс и попробуйте другой номер порта! Проверьте, можете ли Вы соединиться с модемом используя   serial-terminal!  Удостоверьтесь, что ppp-client  отключен! Выключите запрос PIN-кода для Вашей SIM карты, это сделает жизнь намного проще. Сделайте это в телефоне, если Вы не знаетет правильную AT-команду. Скорость линка, не такая, как ожидалась. Возможно, что модем соединился к GPRS сети, а не 3G. Используйте команду scan для поиска доступных сетей: [[email protected]] /interface ppp-client> scan 0 Flags: C - current, A - available, F - forbidden OPERATOR CODE ACCESS-TECHNOLOGY SIGNAL-STRENGH C LV LMT GSM 24701 GSM compact -65 A LV LMT GSM 24701 3G F BITE LV 24705 3G F LV TELE2 24702 GSM compact F LV TELE2 24702 3G F BITE LV 24705 GSM compact -- [Q quit|D dump|C-z pause] Требуется множественная инициализация (мультистрочная инициализация) Их возможно разделить используя символ ; . Например: modem-init="AT+CGDCONT=5,\"IP\",\"internet.lmt.l\";AT+CGDCONT=6,\"IP\",\"internet.lmt.lv\";AT" Модем не распознается после загрузки (порт становится invalid) Рекомендуется отключить встроенный флеш или CD привод. Вот некоторые команды для некоторых брендов:

Отключение:

AT+ZCDRUN=8

Включение:

AT+ZCDRUN=9 AT^U2DIAG=256

 

Отсылка sms не работает
  1. Проверьте порт
  2. Проверьте  PIN-код
  3. Включите отладочное логирование GSM, DEBUG
  4. Проверьте log
  5. Создайте supout
Не удается получить SMS
  1. Проверьте порт
  2. Проверьте  PIN-код
  3. Сервис доставки sms настроен?
  4. Корректно ли введен код страны +XXX ?
  5. пароль совпадает?
  6. Проверьте sms хранилище /sys serial usbX путем ввода команды at+cmgl=1 (список всех сообщений в хранилище sms)
  7. Включите отладочное логирование GSM, DEBUG
  8. Проверьте log
  9. Создайте supout
PPP клиент не работает
  1. Проверьте порт
  2. Проверьте  PIN-код
  3. Дозвон по требованию отключен?
  4. apn верный?
  5. Нужна специальная инициализация модема (для обработки PIN используйте at+cpin=XXXX) ?
  6. Включите отладочное логирование ASYNC, DEBUG
  7. Проверьте log
  8. Создайте supout
PPP info - не работает
  1. Проверьте порт
  2. Используйте тот же самый канал  info-channel == data-channel (НЕ может работать пока ppp-client включен) ?
  3. Включите отладочное логирование ASYNC, DEBUG
  4. Проверьте log
  5. Создайте supout
Команда PPP info сообщает  functionality=minimum
  1. Используйте /system serial-terminal usbX channel=X   и выполните at+cfun=1
  2. Команда ppp info должна сообщить -  functionality=full
  3. Если после каждой перезагрузки  functionality снова становиться minimum, то  добавьте в поле инициализации модема at+cfun=1 
После выполнения некоторых AT команд модем не отвечает корректно или сообщает об ошибке переменных
  1. Сброс модема может решить проблему
  2. Используйте /system serial-terminal usbX channel=X
  3. Выполните команду  at+cfun=0  подождите несколько секунд  и выполните at+cfun=1
Порт -  invalid или не работает
  1. Отсоедините модем
  2. Отключите интерфейс ppp-client 
  3. Перезагрузите роутер
  4. Подключите моде и после 5 сек. продолжите следующий шаг
  5. Создайте supout
Модем перестал отвечать
  1. Обновите прошивку модема  и проверьте, решило ли это проблему
  2. Создайте supout

 Типичные методы проверки

Для проверки порта

  • порт занят ? /port print (проверьте used-by)
  • канал занят ? (Два приложения не могут использовать один и тот же канал)
  • Выбранный канал работает? Проверьте есть ли вывод  /sys ser usbX channel=X с командой ATI
  • порт отображается ? /port print
  • Устройство отображается ? /sys reso usb pr
  • Создайте supout

Для проверки PIN-кода

  • /int ppp-client info CONNAME  или запустите /sys serial usbX и затем at+cpin?
  • Введите pin at+cpin=XXXX

Создайте supout:

  • Запустите /sys sup-output
  • Свяжитесь с поддержкой и приложите файл  supout.rif

10. IP.

10.1. ARP

ARP-таблица соответствия MAC+IP.

Записи Динамические. Время жизни 5 минут.  

Записи можно сделать статическими. Make Static.

Тут же можно сделать жесткую привязку клиентов MAC+IP.

ARP-таблица показывает, кто с каким MAC и IP подключился.

Так же она используется для блокировки левых MAC+IP.

Для включения блокировки нужно зайти в Interfaces, выбрать Ваш интерфейс и в опции ARP - Reply Only. 

После этого динамические записи добавлятся не будут.

Доступ будет разрешен только тем, кто прописан в ARP-таблице.

Не забудьте добавить свой MAC+IP - иначе Вы не сможете зайти в админку роутера.

Также обязательно делелать Make Static в DHCP Server - Leases, чтобы клиенты получали свои IP-адреса.

Причем MAC+IP пары должны совпадать в DHCP Server - Leases и ARP таблице! 

Советую пользоваться PPPoE авторизацией, если Вы не хотите заморачиваться контролем MAC-адресов. 

 

10.2. Accounting 

Используется для подсчета трафика между разными IP.

В том чиле для учета локального трафика. 

 

10.3. Addresses

Список IP адресов, которые присвоены интерфейсам.

Любому интерфейсу нужно всегда назначать IP-адрес.

Следите, чтобы IP-адреса нигде не дублировались! 

Адреса могут быть динамические и статические. 

Динамические адреса и маршруты выдаются, если есть записи в DHCP-клиенте. 

 

10.4. DHCP Client

Используется для поключения к провайдеру или серверу, который раздает IP адреса автоматически. 

Для Dynamic IP.  

Если нужно прописать настройки вручную, то

IP адрес и маска подсети прописываются в IP - Address

Шлюз прописывается в разделе IP - Route

DNS-сервера прописываются в IP - DNS.  

DHCP - сервер нигде прописывать не нужно. 

 

10.5. DHCP Relay

Перенаправляет DHCP запросы от клиентов на другой DHCP сервер.

Обычно используется для Микротиков, работающих в режиме NAS и при наличии биллинга.

Удобно, когда IP клиентам нужно выдавать централлизовано. 

 

10.6. DHCP Server

Раздает IP адреса клиентам сети. А также может раздавать IP шлюза, DNS и DHCP -сервера.

Тут же можно посмотреть кто какие IP-адреса получил. Во вкладке Leases.  

Можно делать Make Static. Т.е. определенному MAC-адресу выдается определнный IP-адрес. 

На каждый физический интерфейс и bridge-интерфейс можно создавать свой DHCP-сервер.

DHCP сервер использует адреса из списка IP - Pool.

Pool - это диапазоны IP-адресов,  

Также здесь можно указать DHCP-Relay для каждого DHCP-сервера в отдельности.

 

 10.7. DNS

Сюда попадают DNS-сервера выданные провайдером.

При желании также можно прописать свои DNS-сервера.

Так же здесь сохраняется DNS-кеш клиентов.

И можно делать статические записи DNS - Static DNS.

Т.е. можно, к примеру, по адресу i.net - попадать на локальный IP 192.168.0.2 

 

10.8. Firewall

Мощный инструмент для:  

- разрешения и блокировки траффика - Filter

- организации NAT и проброса портов - NAT

- маркировки пакетов - Mangle. 

- Создания Адрес-листов - Address List. 

 

10.9. Hotspot

Тут можно организовать доступ в интернет через авторизацию посредством Web-страницы и логина-пароля.

Можно создать доступ по карточкам доступа. По времени или по траффику.  Например на сутки или 1GB трафика.

К HotSpot есть модуль UserManager. Он позволяет генерировать логины-пароли и управлять HotSpot. 

Используется для публичного доступа по карточкам в гостинницах, вокзалах, аэропортах, ВУЗах и др.публичных местах. 

 

10.10. IPSec

Включает шифрование траффика IPSec. 

Используется для защиты траффика от дешифровки. 

Ресурсоемко. 

 

10.11. Neighbors

Дословно - Соседи. Это список узлов (роутеров, точек доступа), которые подключены к Микротику.

Показывает версию прошивки, тип устройства, IP, MAC - адрес. 

 

10.12. Packing

Упаковывает мелкие пакеты в более крупные.

Используется для ускорения передачи данных и интернета. 

 

10.13. Pool

Диапазоны IP адресов. DHCP-сервер и HotSpot отсюда  берут свободные IP для раздачи клиентам. 

 

10.14. Routes

Маршрутизация.  Маршруты могут быть как динамические так и статические.

Здесь определяется на какой интерфейс и через какой IP будет идти каждый пакет в зависимости от его адреса назначения.

Разруливает исходящие пакеты.  

 

10.15. SMB

Сетевое окружение. Можно расшарить флешку или винт. И она станет доступна всем в сети.

Можно ставить пароль на доступ. Или доступ только на чтение. 

 

10.16. SNMP

Включает протокол SNMP - для управления Микротиком по этому протоколу 

 

10.17. Services

Разрешенные сервисы на Микротике.

Можно указать на каких портах они работают и с каких IP разрешен к ним доступ.

Это сервисы - API, ftp, ssh, telnet, winbox, www, www-ssl

Сервисы также можно блокировать в Firewall 

 

10.18. Socks

Включает контроль и работу через socks. 

Можно разрешать и запрещать socks соединения по IP адресам.  Можно ограничивать количество сессий.

 

10.19. TFTP

Включает работу по TFTP протоколу.

Это простой протокол обмена файлами между устройствами в сети, например Микротиком и видеокамерами. 

 

10.20. Traffic Flow

Аналог NetFlow от Cisco.  

На определенный IP адрес регулярно отсылает статистику по траффику клиентов.  

 

10.21. UPnP

Включает поддержку UPnP устройств. Например телевизоры, приставки и пр.  

 

10.22. Web-Proxy 

Может кешировать весь проходящий. Используется для более полного контроля HTTP трафиком.

Эффективно ускоряет медленный интернет и уменьшает объем траффика.

Экономит до 20% траффика при среднестатистических клиентах. 

 

11. SYSTEM. Дополнительный функционал.

11.1. Auto Upgrade

Автоматически  обновляет прошивку с указанного ресурса.

Это может быть локальный ресурс сети или удаленный. 

Удобно, когда нужно прошить много Микротиков на одну и туже прошивку.

11.2. Certificates

Импорт сертификатов. 

11.3. Clock

Установка часов и временной зоны. Используется совместно с SNTP Client.

11.4. Console

Настройка Консольного подключения через COM-порт и нульмодемный кабель 

11.5. Drivers

Установленные драйвера 

11.6. Health

Здоровье системы. Может быть пустым. Зависит от модели Микротика.

Обычно это температура и вольтаж. 

11.7. History 

Список команд пользователя, которые возможно отменить с помощью UNDO. 

11.8. Identity

Название железки. 

11.9. LEDs

Управление лампочками на Микротике. У меня почему-то не управляется. 

11.10. License

Тут можно обновить и поднять уровень лицензии. 

11.11. Logging

Логирование всех событий.  

11.12. Packages

Установленные пакеты. Лишние можно удалить. Пакеты можно скачать на сайте mikrotik.com.

Версия пакетов должна совпадать с версией Вашей RouterOS. Номер версии написан в самом верху окна WinBox. 

Вот список пакетов ....-5.17-mipsbe.npk:..

 Входят в RouterOS по умолчанию:advanced-tools - Инструменты-помощники.dhcp - службы DHCP.   Входит в RouterOS по умолчанию.hotspot - Доступ в интернет по карточкам.  Входит в RouterOS по умолчанию.ipv6 -  поддержка IP6-протокола.  Входит в RouterOS по умолчанию. mpls - Поддержка MPLS.  Входит в RouterOS по умолчанию.ppp - Поддеряжка PPP-протоколов.  Входит в RouterOS по умолчанию.routerboard - .  Входит в RouterOS по умолчанию.routing - Маршрутизация.  Входит в RouterOS по умолчанию.security - Шифрование траффика.  Входит в RouterOS по умолчанию.system - Сама ОС.  Входит в RouterOS по умолчанию.wireless -  Работа с WiFi.  Входит в RouterOS по умолчанию на железках у которых есть WiFi.

Не входят в RouterOS по умолчанию: 

gps - Поддержка GPS устройств

lcd - Поддержка LCD экранов.

ntp - Сервер-клиент времени. Для обновления времени с интернета. 

multicast - Поддержка Multicast и IPTV. 

ups - Работа с Источниками Бесперебойного питания.

user - Работа с HotSpot. Генерирование карточек доступа, страниц и пр. 

calea 

11.13. Password

Смена пароля админимстратора 

11.14. Ports 

 Настройка режима работы портов. USB и COM. 

11.15.1. Reboot - Перезагрузка роутера 

11.15.2. Reset Configuration - Сброс конфигурации роутера. 

11.15.3. Shutdown - Выключение роутера  

11.17. Resource

Свободные ресурсы роутера. Его характеристики. Время работы после последней перезагрузки и пр. 

11.18. RouterBoard

Модель и серийный номер роутера. Версия заводской прошивки.

Выбор частоты процессора. Выбор, откуда будет загружаться RouterOS - со встроенной памяти,  с флешки или по сети.

Выбор протокола загрузки. 

11.19. SNTP Client

Здесь указываем сервера времени, по которым Микротик будет обновлять свои часы. 

Нужен доступ к интернету. 

11.20. Sheduler

Планировщик.

Может запускать скрипты. Единоразово - через определенное время после старта Микротика . 

Может запускать скрипты. Единоразово - через определенное время после старта Микротика . 

Или Регулярно через определенный промежуток времени.

Имеет счетчик количества срабатываний скрипта.

Учитывайте, что после перезагрузки счетчик обнуляется.

Поэтому если в скрипте стоит к примеру перезегрузка роутера sys reb каждое утро в 4:00 - то счетчик всегда будет 0. 

11.21. Script 

Здесь можно создавать скрипты. И потом запускать эти скрипты по имени.

Также можно посмотреть все переменные окружения, счетчик запуска скриптов и время последнего запуска скриптов.

11.23. Special Login -  Содание спец. логина для определенного порта. 

11.24. Store - Работа с внешними накомпителями. Очистка, форматирование, монтирование.

11.25. Users - Созание групп с разными правами доступа, а также юзеров с логинами и паролями.

Тут же можно посмотреть список активных юзеров, и через что они подключены к Микротику.

Так же здесь можно импортировать SSH ключи для доступа к Микротику.

Это для защиты, чтоб каждый раз не пересылать логин-пароль к Микротику. 

Например, здесь можно создать юзеров только с правами на перезагрузку роутера и чтение.

11.26. WatchDog

Watch Dog - если определенное время указанный IP не пингуется, то  просто перезагружает роутер.

 

12. Tools. Инструменты-помощники. 

 

 12.1. Ping. Arp-Ping. Traceroute.

Это  основные инструменты для проверки состояния узлов сети.

Ping - может пинговать как по IP так и по NS-адресу.

Arp-Ping пингует внутри сегмента сети.

Т.е. Arp-Ping-ом нельзя пропинговать удаленный ресурс. 

Пингом также можно определить именно тот момент, когда узел готов к работе. 

Классический метод ping 8.8.8.8, ping ya.ru. Проверка доступности и проверка DNS. 

 

Есть также Flood Ping и Ping Speed.  

Flood Ping -  отсылает сразу большое количество ping пакетов. 

Ping Speed - проверяет макс. скорость к узлу с помощью Ping.

Используется для проверки макс. скорости  к любому узлу.

 

Tracerote - используется для определения всех промежуточных узлов сети.

Используется также для построения топологии и анализа сети.  

 

12.2. IP Scan.

Это замечательный инструмент.

Позволяет сканировать сетку на наличие компов и устройств в сети.

Показывает также ихние IP, MAC адреса, DNS имена. 

Использует ARP-Ping. Т.е. все машины в сети откликнутся

Может сканировать целые сегменты сети, причем очень быстро.

 

12.3. Watch Dog. NetWatch.

Это регулярные пинговалки IP-адресов.

Watch Dog - если определенное время указанный IP не пингуется, то  просто перезагружает роутер.

Watch Dog находится в разделе System. 

NetWatch  - если указанный IP начал пинговаться или перестал пингуоваться, то  выполняет скрипт.

По умолчанию просто показывает состояние удаленного IP.

 

Используется также для определения включено или выключено устройство.

Можно также вести статистику, кто и когда включался-выключался. 

Но использует обычный пинг.  

Поэтому некоторые устройства на пинг не ответят, даже будучи включенными.

Используйте IP SCAN. 

 

12.4. BTest Server

Должен быть включен, если Вы хотите с иметь возможность проверять макс. скорость с другого Микротика. 

11.5. Bandwidth Test

Проверка входящей-исходящей скорости. На другом Микротике должен быть включен  BTest Server.

Можно проверять скорость с компом под Windows c помощью утилиты Bandwidth Test. 

Для теста можно также использовать  Traffic Generator и Ping Speed

12.6. Email

Здесь пропишите почтовый SMTP-сервер, от кого, логин и пароль. Теперь Вы можете легко отправлять e-mail из скриптов или командной строки.

Также e-mail - можно отправлять прямо отсюда 

12.7. Graphing

Тут включаются графики потребления трафика, загрузки процессора, оперативной памяти и флеш-памяти.  

Графики по трафику доступны только для Simple Queue. 

Графики доступны из Web-интерфейса Микротика.   

12.8. MAC Server

Нужен для того, что бы Вы могли зайти на Микротик по его MAC-адресу. Через Winbox или Telnet. 

Здесь должны быть интерфейсы, для которых разрешен вход по MAC-адресу. 

12.9. Packet Sniffer

Простейший сниффер пакетов.  

12.10. Profile

Показывает загрузку процессора по разным типам задач. 

12.11. SMS

Можно отправлять и принимать SMS. Если конечно подключен USB-модем

Возможно реализовать, к примеру, ежедневные отчеты по траффику и удаленное управление Микротиком с помомщью SMS. 

12.12. Telnet

Можно заходить на другие железки по Telnet, SSH и MAC-Telnet (для Микротик железок)  

12.13. Torch

Утилита для анализа трафика. По сути тот же сниффер с фильтрами. 

12.14. Traffic Generator

Используется для генерации траффика с разными размерами пакетов.

По сути тот же SpeedTest. 

12.15. Traffic Monitor 

Следит за траффиком на интерфейсах.

При достижении определенного лимита может выполнять скрипт. 

 

13. Терминал. Telnet. SSH. FTP. API.

Терминал. Telnet. SSH - абсолютно идентичны между собой.

Заходить по Telnet и SSH можно с помощью программы Putty.

Используются как для локального  так и для удаленного управления.

Имеют подсветку синтаксиса.

Поддерживают продвинутый TAB-автокомплит.

Поудобнеее, чем у Unix-Linux.

 

Есть очень полезные команды export и import.

Позволяют сохранять настройки любого раздела в файл. Ну и восстанавливать из файла.

Это очень мощное средство автоматизации.

 

Так же поддерживается язык программирования Lua. Но это делать лучше из Скриптов.

Есть кроме того ряд команд, которые доступны только из терминала.

Например, /system reset и Wake on LAN - /tool wol interface=ether1 mac=FF:FF:FF:FF:FF:FF  

Т.е. удаленно в 8 утра можно включить все компы в локальной сети.

Сотрудники будут приятно удивлены такой заботой. 

 

API - используется для управления Микротиком из языков программирования.

Есть готовое API для программистов на Delphi, PHP, С.  

Но это не универсально. Управлять железками кроме Микротика Вы не сможете.

Если нужна универсальность, то используйте SSH или еще лучше Radius.   

 

14. Скрипты

Микротик использует язык LUA.

В нем есть все необходимые конструкции для программирования.

Переменные, циклы, условия, массивы. 

Может сохранять данные в файл или в лог по желанию. 

Может работать с файлами на чтение-запись.

Так же поддерживает обычные и специальные типы переменных: 

Обычные: 

string, number, boolean, nil

Специальные:

ip, time  - IP-адрес и  дата и время; 

 

а также array — массив данных.

По скриптам нужен отдельный мануал.

Понятнее будет всего - на простых примерах.

mstream.com.ua


Смотрите также