RouterOS MikroTik это операционная
система для оборудования MikroTik RouterBOARD.
Так же она может
быть установлена на обычном PC, превратив его в маршрутизатор со всеми
необходимыми функциями - маршрутизация, брандмауэр, контроль пропускной
способности, работа с беспроводными сетями, Hotspot шлюз, VPN-сервер и
многое другое.
На
момент написания статьи существовало 3-и версии RouterOS MikroTik -
2.9.Х, 3.Х, а также 4, которая находилась в стадии бэтта тестирования.
Бесплатную версию Вы можете скачать с сайта www.mikrotik.com, она
содержит в себе все возможные функции.
Оборудование
Прежде всего RouterOS это операционная
система для RouterBOARD устройств, но Вы можете установить ее на обычный
PC x86, использовав для этого как старенький системный блок с Intel
Pentium 200, так новейшие материнские платы с многоядерными
процессорами.
RouterOS
поддерживает установку на IDE, SATA и USB устройства хранения
информации, в том числе HDD, CF и SD карты и SSD диски, потребуется по
крайней мере 64Mb дискового пространства. При установке система
отформатирует раздел и станет системой по умолчанию!
И конечно же RouterOS поддерживает
множество сетевых устройств, включая последние 10 Gigabit Ethernet
карты, 802.11a/b/g/n беспроводные карты и 3G модемы.
Настройка
RouterOS поддерживает несколько методов
настройки - локально, последовательная консоль, Telnet, SSH, GUI
приложение Winbox (только для OS Windows), простой web интерфейс, а так
же API интерфейс для создания собственных приложений.
В случае
отсутствия доступа на уровне IP RouterOS поддерживает доступ на MAC
уровене, через MAC Telnet или Winbox.
RouterOS имеет мощный, но в тоже время
легкий в освоении коммандный интерфейс с поддержкой скриптов.
В новой версии RouterOS v4 появляется
поддержка скритового языка Lua, который расширяет возможности по
автоматизации и программированию Вашего маршрутизатора.
Firewall (брандмауэр)
Firewall (брандмауэр) осуществляет контроль и фильтрацию
проходящих через него сетевых пакетов в соответствии с заданными
правилами.
Network Address
Translation (NAT) позволяет предотвратить или ограничить обращение
снаружи ко внутренним хостам, оставляя возможность обращения изнутри
наружу.
Firewall
предоставляет возможность маркирования пакетов для дальнейшей
маршрутизации их.
Есть
возможность задать фильтрацию по IP-адресу, диапазону адресов, портам,
диапазону портов, IP протоколу, DSCP и другим параметрам, а также
поддерживаются статические и динамические списки адресов.
Layer7 filter позволяет фильтровать
пакеты на основе данных уровня приложения. Иными словами, он позволяет
распознавать пакеты HTTP, FTP, Gnucleus, Kazaa и т.д., независимо от
порта.
Firewall
RouterOS поддерживает IPv6.
Маршрутизация
RouterOS поддерживает статическую
маршрутизацию и множество динамических протоколов маршрутизации.
Для IPv4 это RIP v1 and v2, OSPF v2, BGP
v4.
Для IPv6 это
RIPng, OSPFv3 and BGP.
RouterOS также
поддерживает виртуальную маршрутизацию и перенаправление (VRF). Вы
можете использовать фильтр Firewall-а, чтобы отметить определенные
подключения маркером маршрутизации, и затем отмеченный трафик
перенаправить на определенного провайдера.
RouterOS
добавлена поддержка MPLS и VRF.
VRF (Virtual Routing and Forwarding) - технология позволяет
сосуществовать нескольким таблицам маршрутизации в пределах одного
маршрутизатора. Благодаря подобной виртуализации можно сделать так,
чтобы разные клиенты пользовались одним и тем же адресным пространством
или разными протоколами маршрутизации.
MPLS
(Multiprotocol Label Switching) - механизм передачи данных, который
эмулирует различные свойства сетей с коммутацией каналов поверх сетей с
коммутацией пакетов. Он был разработан с целью обеспечения универсальной
службы передачи данных как для клиентов сетей с коммутацией каналов,
так и сетей с коммутацией пакетов. С помощью MPLS можно передавать
трафик самой разной природы, такой как IP-пакеты, ATM, SONET и кадры
Ethernet. В традиционной IP сети пакеты передаются от одного
маршрутизатора другому и каждый маршрутизатор читая заголовок пакета
(адрес назначения) принимает решение о том, по какому маршруту отправить
пакет дальше. В протоколе MPLS никакого последующего анализа заголовков
в маршрутизаторах по пути следования не производится, а переадресация
управляется исключительно на основе меток. Это имеет много преимуществ
перед традиционной маршрутизацией на сетевом уровне.
VPN
VPN (Virtual Private Network) логическая
сеть, создаваемая поверх другой сети, например Интернет. Несмотря на то,
что коммуникации осуществляются по публичным сетям с использованием
небезопасных протоколов, за счёт шифрования создаются закрытые от
посторонних каналы обмена информацией. VPN позволяет объединить,
например, несколько офисов организации в единую сеть с использованием
для связи между ними неподконтрольных каналов.
RouterOS
поддерживает различные методы VPN и тунельных протоколов: Ipsec, OpenVPN, PPTP, PPPoE, L2TP, MLPPP,
BCP, IPIP, EoIP, IPv6 over IPv4, VLAN – IEEE802.1q Virtual LAN support,
Q-in-Q support, MPLS based VPNs
Беспроводные
технологии
RouterOS
поддерживаем множество беспроводных технологий, основная из них это
точка доступа + клиент. Основные
поддерживаемые технологии:
IEEE802.11a/b/g/n
Nstreme и Nstreme2
Client polling
RTS/CTS
Wireless
Distribution System (WDS)
Virtual AP
WEP,
WPA, WPA2
Access
control list
Wireless
client roaming
WMM
HWMP+ Wireless MESH protocol
MME wireless routing protocol
Hotspot
Шлюз Hotspot позволяет предоставлять
доступ к сети Интернет в общественных местах используя беспроводную сеть
для устройств, использующих технологию Wi-Fi.
RouterOS
MikroTik позволяет создавать профили для различных пользователей,
ограничивая по скорости доступа, объему трафика, времени работы. Основные особенности:
Plug-n-Play доступ к сети
Локальная аутентификация
Управление пользователями
Поддержка RADIUS для аутентификации и
управления пользователями
Создание конфигурации для не интерактивных устройств
Качество обслуживания
Управление пропускной способностью это
ряд механизмов по контролю за распределением нагрузки, задержками,
своевременностью доставки данных и надежностью.
Качество
обслуживания (QoS), означает, что маршрутизатор может расставлять
приоритеты сетевого трафика.
Основные
возможности:
ограничивать
скорость передачи данных для определенных IP адресов, подсети,
протоколов, портов
ограничения
одноранговой движения
приоритетность некоторых пакетной по сравнению с другими
использование очереди для ускорения
веб-просмотра
применение
ограничений на фиксированные временные интервалы
распределение скорости доступа в
зависимости от нагрузки на канал
Web Proxy
RouterOS MikroTik позволяет организовать
кэширующий прокси сервер для ускорения "браузинга" клиентов т.к.
объекты, попавшие в кэш передаются по локальной сети с гораздо большей
скоростью.
Основные
возможности:
HTTP
прокси сервер
прозрачный
прокси сервер
списки
доступа по источнику, назначению, URL, запросам (HTTP firewall)
задание объектов, подлежащих кэшированию и
объектов - исключений
использование многоуровневых прокси серверов
логирование
поддержка SOCKS proxy
хранение кэша на внешних устройствах
Инструменты
Для помощи в администрировании в RouterOS
были добавлены небольшие инструменты, такие как:
Ping, traceroute
Bandwidth test, ping flood
Packet sniffer, torch
Telnet, SSH
E-mail and SMS send tools
Automated script execution tools
Выборка содержимого из файлов
Таблица активных соединений
NTP Client and Server
TFTP server
Поддержка динамического DNS
VRRP
SNMP для построения графиков и сбору
статистики
RADIUS
client and server
Дальше я
постараюсь описать различные варианты настройки RouterOS MikroTik, основываясь на своем
опыте.