» MikroTik RouterOS (часть 3)

garbals
все что вы хотите можно настроить, но для начала попробуйте переживать следующее, а именно, что все приоритеты будут работать лишь в том случае если у вас забит канал на 100%, если канал свободен то приоритеты работать не будут, но это как бы и не должно влиять, весь трафик должен проходить свободно.
далее, что бы выделить работу скайпа, онлайн видео, VoIP и дать им нужный приоритет это надо будет постараться, так все это работает по разным протоколам, для этого придется очень серьезно анализировать трафик для того что бы потом создать L7 фильтры.
так же и с торентами, их вообще очень сложно выловить, но есть надежда, если вы выловите весь предыдущий трафик - игры скайп видео и т.д. то тогда отдадите низкий приоритет всему остальному.
RO это вам не кошки SCE, которые на лету анализируют трафик и располагают его в соответствии с приоритетами, им цена совсем другая например -http://dharmaroute.ru/2010/09/09/cisco-sce-overview/

а каким образом ограничить торренты т.е. скорость и количество соединений по айпи или маку?
ограничить целиком понял, а вот отдельно не совсем

Может кто поможет с маркировкой пакетов для двойного шейпера примером

Цитата:

Может кто поможет   с маркировкой пакетов для двойного шейпера   примером

это что за двойной шейпер?

Chupaka
подскажи если в ROS какая нибудь защита от DHCP пользователей? например на сервере win 2003 поднят DHCP, и есть wi-fi точки доступа на ROS, что ни будь можно на точках настроить, что бы они блокировали сторонние DHCP.

vlh

Цитата:

есть wi-fi точки доступа на ROS, что ни будь можно на точках настроить, что бы они блокировали сторонние DHCP

ну дык DHCP использует порты 67,68 протокола UDP - их и заблокировать

Цитата:

ну дык DHCP использует порты 67,68 протокола UDP - их и заблокировать

спасибо, что то я не сообразил.

Доброе время суток,

Интересует несколько вопросов:
1) Можно ли по COM подключить UPS APC так что бы при пропадании электричества, остатке заряда 10% и появлении электричества роутер слал сообщение
2) Можно ли пинговать заданные IP адресса и при превышении времени отклика 100ms и при проподании пинга больше чем 1мин приходило соответствующее уведомление

Цитата:

RO это вам не кошки SCE, которые на лету анализируют трафик и располагают его в соответствии с приоритетами, им цена совсем другая например -http://dharmaroute.ru/2010/09/09/cisco-sce-overview/

микротик это совсем не умеет делать?(в 5.х)


П.С.
Речь не в названиях, терминах, а в конечном функционале, необходимом
для выделения "канала" под определенные виды трафика.
Все работает(rb1200), может что-то не понимаю, объясните плиз:
ЧТО НЕ СМОЖЕТ МИКРОТИК?(до 5 гбит на слот)

Доброе время суток,

есть проблемка, мой ip постоянно попадает в спам базу.
подскажите, как посмотреть от кого идет спам?

Подскажите, пожалуйста, как поместить содержимое лога в тело письма? Проще говоря, хочу отправить лог в письме (не файлом, а именно в теле письма).
В консоли даю команду:

Код: /tool e-mail send to=example@example.com subject=("log") body=([/log print])

Цитата:

trikachuka
микротик это совсем не умеет делать?(в 5.х)

умеет и не только в 5 версии.


Цитата:

Речь не в названиях, терминах, а в конечном функционале, необходимом
для выделения "канала" под определенные виды трафика.
Все работает(rb1200), может что-то не понимаю, объясните плиз:
ЧТО НЕ СМОЖЕТ МИКРОТИК?(до 5 гбит на слот)

еще раз, приоритет будет работать если у вас внешний канал забит под плешку так сказать, тогда да, он пропускает сначала тот трафик у которого больший приоритет, но заметьте что надо еще умудрится выявить трафик что бы ему дать приоритет, с простыми сервисами у которых стабильные протоколы порты вопроса нет, а вы попробуйте выловить например трафик скайпа или того же торрента, что бы им дать приоритет? вот в этом весь вопрос, так же как отделить просмотр видео от TCP на 80 порту...
в кошке SCE это делается может не на 100% но достаточно хорошо и сигнатуры постоянно обновляются и цена вопроса соответственно другая, а в микротике вам придется самому снифить трафик причем постоянно, писать сигнатуры и т.д.
у меня тоже работает приоритет, тот который смог выловить, но это мы включаем на слабом канале, потому что деваться некуда, лучше иметь канал с запасом тогда и приоритет не нужен достаточно очереди PCQ.

вцелом понятно, спасибо.


Цитата:

а вы попробуйте выловить например трафик скайпа или того же торрента, что бы им дать приоритет? вот в этом весь вопрос, так же как отделить просмотр видео от TCP на 80 порту...

это бубен. ))

П.С.
А по поводу скайпа, если он открывает дст порты 1024-65535,
запретить обращаться по ним или дать полосу под такой трафик.

Цитата:

А по поводу скайпа, если он открывает дст порты 1024-65535,
запретить обращаться по ним или дать полосу под такой трафик.

классно, только в первом случае он перейдёт на 80 и 443 порты, а во втором в ту же полосу явно попадут и торренты. торрент + скайп на узком канале - вещь жутко неуживающаяся

Цитата:

классно, только в первом случае он перейдёт на 80 и 443 порты, а во втором в ту же полосу явно попадут и торренты. торрент + скайп на узком канале - вещь жутко неуживающаяся

ну это принцип, который сужает как бы диаметр бубна.
а разве p2p весь нельзя ограничить средствами RO?(там даже галка есть
готовая p2p в файрволе). Потом срезать порты "не нужные",
а дальше заниматься 80 и 443, 443 обрезаем сразу, только для бухгалтерии
и те кому нужно и куда нужно, остается 80...теория ессно все, на деле в конторе у каждого "свой канал"(pppoe, hotspot).

Вопрос: возможноли обеспечить прокачку свыше 20 гбит на слот
с помощью РО, и если возможно, то на каком оборудовании?

Цитата:

возможноли обеспечить прокачку свыше 20 гбит на слот

о каком слоте речь? прокачку равномерную по всем направлениям, или с преимущественным выходом на один линк?

Добавлено:
http://www.mikrotikrouter.com/
тут пишут про 5.9 гбит/с на шести портах модели 732...

Подскажите, а можно ли повесить на один физический WAN порт несколько IP как это делается в Linuх? И если можно то как?

Пробовал VLAN-ами, но что-то не получилось

jfx
всё гораздо проще, чем в Linux: надо просто создать несколько адресов, и указать для всех interface=нужный_интерфейс. VLAN - это отдельный интерфейс

Цитата:

о каком слоте речь? прокачку равномерную по всем направлениям, или с преимущественным выходом на один линк?

вопрос както задавал: что такого в циско, чего нет в микротик.
{после эксплуатации RBxxxx и ПС RouterOS, вопрос
встал достаточно актуально, то есть циско это развод на бабки,
просто установившийся исторически как бы.
Единственный нюанс это сетификация фсб и фстэк.
Было бы здорово, если бы микротик файрвол был
сертифицирован и обеспечивал законный доступ
к персональным данным.(как и тунели ВПН).}

Ответ: а ты попробуй прокачать 40 гбит на слот.
Слот как понял, это одно место в серверной-стойке?
Микротик RB1200 маленький девайс, их штук 6 влезет
в слот, то есть 10-15 гбит можно обеспечить без "посредников",
т.е. аппаратными средствами микротик.

Но рассмотрим так, слот это 1 сервер, то есть один комп, одно устройство,
который был бы способен прокачивать через себя 40 гбит,
то есть 40 вход 40 выход, так понимаю.(или это уже 80? в рекламе насчитают)

Вот вопрос КАКОЕ НУЖНО ОБОРУДОВАНИЕ, ЧТОБЫ
ОБЕСПЕЧИТЬ ТАКУЮ ПРОПУСКНУЮ СПОСОБНОСТЬ?
(без файрвола, роутинг только, просто 40 вход, 20+20 выход или чтото подобное)


П.С.
Возможно чтото не знаю, подскажите если что.

Цитата:

Слот как понял, это одно место в серверной?

место в серверной - это юнит, а все хай-энд коммутаторы/маршрутизаторы Сиско - это сборный комплект. есть шасси за несколько тысяч вечнозелёных, а потом в него напихиваются слоты с нужным функционалом: либо процессоры, либо порты, либо ещё какие-нибудь служебные модули, типа NetFlow.

под "40 гбит на слот" явно имеется в виду стандартный слот с четырьмя десятигигабитными портами

да, в машину с RouterOS (x86) можно вставить десятигигабитные карты, и да, они по ним держат поток как минимум выше 4 Гбит/с (это в одной из версий оси не так давно исправляли, на Graphing не показывало такие скорости, вроде - обрезало)

другое дело, что аппаратная маршрутизация и ACL (доступные в роутербордах со свитч-чипами) по скорости значительно выигрывают перед программной маршрутизацией и полноценным файрволом с натированием RouterOS

ну и если сравнить цену машины RouterOS с Сиской, умеющей аппаратно натировать - получится разница до двух десятичных порядков... не так уж и мало так что, Кесарю - кесарево...

Цитата:

место в серверной - это юнит, а все хай-энд коммутаторы/маршрутизаторы Сиско - это сборный комплект. есть шасси за несколько тысяч вечнозелёных, а потом в него напихиваются слоты с нужным функционалом: либо процессоры, либо порты, либо ещё какие-нибудь служебные модули, типа NetFlow.

под "40 гбит на слот" явно имеется в виду стандартный слот с четырьмя десятигигабитными портами

да, в машину с RouterOS (x86) можно вставить десятигигабитные карты, и да, они по ним держат поток как минимум выше 4 Гбит/с (это в одной из версий оси не так давно исправляли, на Graphing не показывало такие скорости, вроде - обрезало)

другое дело, что аппаратная маршрутизация и ACL (доступные в роутербордах со свитч-чипами) по скорости значительно выигрывают перед программной маршрутизацией и полноценным файрволом с натированием RouterOS

ну и если сравнить цену машины RouterOS с Сиской, умеющей аппаратно натировать - получится разница до двух десятичных порядков... не так уж и мало так что, Кесарю - кесарево...

Chupaka


спасибо огромное.
То есть мы сможем обеспечить на сервере интел такую скорость?
Про функционал не речь, тут все ясно.

Цитата:

То есть мы сможем обеспечить на сервере интел такую скорость?

"такую" = 40 Гбит/с? вроде как на линуксе с дикими оптимизациями делали 10 Гбит/с чистого роутинга, без всяких файрволов. так что о сорока на современных процах речь явно не идёт

ну и многое зависит от сетевой карты - всякие MSI-X сотоварищи ой как облегчают жизнь...

Chupaka
Спасибо.

микротику осталось выпустить "железку с прокачкой 10 гбит/с+", сертифицировать
свои девайсы в фсб и встэк России и будет хорошая вещь на все случаи жизни.

с выходом закона о персональных данных(сейчас уже проверять будут,
москва точно), большинство решений стали не_законными
и не могут быть использованы в бизнесе без бубна.

Друзья... возник один вопрос - не могу придумать никакого решения
может конечно решения вообще нет... надеюсь на вашу помощь

Суть:
есть несколько компов в сети1, сети2, сети3 и т.д.... на компах стоит софт, который для установки связи отправляет бродкаст в сеть99. Доступ из сетейN в сеть99 идет через маскарадинг(это обязательное условие)
в сети99 стоит неизвестное число серверов, текущий статус которых неизвестен, но те сервера которые активны - отвечают на бродкаст с определенного порта.
Теоретически, комп отправивший бродкаст получив первый ответ устанавливает связь с откликнувшимся сервером.
Т.о. клиент в сетиN у меня никогда не может получить ответ от серверов в сети99

Как решить проблему? можно ли как-то персонифицировать ответы? или хотя бы делать реплику на определенный адрес-лист

MAVrADMIN
так ведь проблема не в маскараде, а в том, что бродкаст не проходит через роутер

Цитата:

так ведь проблема не в маскараде, а в том, что бродкаст не проходит через роутер

а Proxy ARP микротик поддерживает?

Подскажите, пожалуйста, как вручную инициировать обновление времени по NTP? При загрузке долго обновляет, хочу написать скрипт, чтобы сразу.

Цитата:

а Proxy ARP микротик поддерживает?

поддерживает. а вот directed broadcast, который вы, видимо, имели в виду (сужу по цитате) - вроде нет

Seventhsite

Цитата:

При загрузке долго обновляет

удалите пакет ntp. NTP-клиент очень медленный. после удаления появится SNTP-клиент, он значительно быстрее

Цитата:

так ведь проблема не в маскараде, а в том, что бродкаст не проходит через роутер

Не соглашусь... бродкаст проходит... вижу я это по тому факту, что в фаерволе получаю кучу зарезанных ответов от серверов из сетиN на адрес микротика... а микротик их режет и не задумывается

Может менгл не видить (не маркеровать) какие либо пакеты? Маркерую довнлоад на пострутинге add action=mark-packet chain=postrouting disabled=no new-packet-mark=Tarif_usje_L_D out-interface=Local passthrough=no
создаю соответственно в дереве очередей правило, в результате в очереди показывает 450мегабит, а на адаптере 500мегабит, что то не отмаркеровалось, а что?