Объявление

Свернуть
Пока нет объявлений.

Базовая оптимизация роутеров Mikrotik

Свернуть
Это закреплённая тема.
X
X
 
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

    Базовая оптимизация роутеров Mikrotik

    Начинающие пользователи и админы часто спрашивают, как добиться от устройств Mikrotik максимальной производительности. Вот об этом и пойдет речь, а точнее, о самых первых шагах в этом направлении.

    1. "Первым делом - самолеты".

    На коробках многих Mikrotik-ов сейчас, со всех сторон, присутствуют наклейки с рекомендацией сразу же пойти на http://www.mikrotik.com/ и обновить прошивку. Но кто-же обращает внимание на такие мелочи?
    А, между тем, это вполне разумная рекомендация, поскольку устройство с завода может поставляться с довольно старой прошивкой. Идем на официальный сайт, скачиваем прошивку для своего устройства, обновляем.

    Из собственного опыта, для всех устройств, кроме серии CRS, имеет смысл ставить RouterOS v6.9 или v6.10 (на сегодня самая новая версия).
    Для серии CRS лучше использовать v6.6, так как более новые работают несколько странно, что обещают исправить в следующей v6.11.

    Проверить версию установленной RouterOS можно, например, через Winbox (System - Resources).

    Нажмите на изображение для увеличения.

Название:	Снимок1.JPG
Просмотров:	1
Размер:	15.2 Кб
ID:	233786

    Также желательно проверить и при необходимости обновить Firmware устройства. Для этого требуется подключение устройства к Internet.
    Делается это в System - Routerboard.

    Нажмите на изображение для увеличения.

Название:	Снимок2.JPG
Просмотров:	1
Размер:	28.3 Кб
ID:	233789


    2. Отключаем ненужные пакеты ОС.
    "Из коробки" роутеры поставляются со всеми включенными пакетами (за исключением IPv6), подавляющему большинству пользователей некоторые пакеты ни к чему, поэтому есть смысл их отключить.

    Идем в System - Packages и помечаем для отключения (Disable) всё, что вы не планируете использовать. Если IPv6 будет использоваться, то его, наоборот, включаем.

    Нажмите на изображение для увеличения.

Название:	Снимок3.JPG
Просмотров:	1
Размер:	51.3 Кб
ID:	233787

    Изменения вступят в силу после перезагрузки роутера, поэтому перегружаемся.

    Краткое описание пакетов RouterOS:
    advanced-tools это утилиты тестирования (тест скорости, ping, traceroute и другие).
    dhcp - клиент и сервер протокола DHCP. Можно отключитиь при использовании в сети исключительно статических адресов.
    hotspot - пакет, позволяющий настроить и использовать роутер в качестве хотспота. Если вам это не нужно или вы не знаете, что это такое - можете смело отключать.
    ipv6 - пакет, позволяющий роутеру осуществлять маршрутизацию по протоколу IPv6 (http://ru.wikipedia.org/wiki/IPv6).
    mpls - http://ru.wikipedia.org/wiki/MPLS
    ppp - поддержка разнообразных тоннельных протоколов (клиент и сервер). Если вам это точно не понадобится, можно отключить.
    routing - если не хотите, чтобы ваш роутер превратился в неуправлямый свич - не трогайте!
    system - не трогаем ни в коем случае, поскольку это системные функции самой RouterОS!
    wireless - если у вас роутер без WiFi, либо вы не планируете использовать WiFi или 3G/LTE-модемы, то этот пакет можно отключить.

    3. Отключаем ненужные сервисы.
    Идем в IP - Services и отключаем то, что вам не нужно. Следим за тем, чтобы не отключить что-то нужное, например winbox.

    Нажмите на изображение для увеличения.

Название:	Снимок4.JPG
Просмотров:	1
Размер:	28.9 Кб
ID:	233788

    Если роутер будет иметь выход в интернет, то желательно либо сменить порты стандартных сервисов (типа telnet и ssh), либо заблокировать их в firewall. Ну и само собой использовать только достаточно сложные пароли для доступа к МТ.

    #2
    Некоторые простые, но полезные способы снижения нагрузки на сам Микротик, а также "лишнего" трафика.

    1. Ограничение количества одновременных сессий на весь трафик, кроме HTTP и HTTPS.

    Одним правилом, но отдельно на каждый хост. С торрентами включительно.

    Код:
    /ip firewall filter
    add action=drop chain=forward comment="Session Limit" connection-limit=10,32 dst-port=!80,443 protocol=tcp src-address=192.168.88.0/24 tcp-flags=syn
    add action=drop chain=forward connection-limit=10,32 protocol=udp src-address=192.168.88.0/24
    В данном примере каждый хост ограничивается 10 TCP + 10 UDP сессиями по маске /32. Можно менять эти значения на свои. 192.168.88.0/24 меняем на адрес своей локалки.

    2. Убиваем сессии с ошибками.


    Код:
    /ip firewall filter
    add action=drop chain=input comment="Drop Invalid Sessions" connection-state=invalid
    add action=drop chain=forward connection-state=invalid
    3. Блокируем NetBios.

    Код:
    /ip firewall filter
    add action=drop chain=input comment="Block NetBios" dst-port=137,138 protocol=udp
    add action=drop chain=forward dst-port=137,138 protocol=udp
    add action=drop chain=input dst-port=137,139 protocol=tcp
    add action=drop chain=forward dst-port=137,139 protocol=tcp

    4. Блокировка различного мусора, идущего из Интернет.


    Код:
    /ip firewall filter
    add chain=input comment="Incoming to MT" dst-port=23,47,80,1723,8291,8728 in-interface=Inet protocol=tcp
    Указывайте только те порты, которые должны быть открыты для входящих на Микротике. Вместо Inet указывайте ваш интернет-интерфейс. Если нужны входящие подключения по UDP, сделайте аналогичное правило для этого протокола.

    Код:
    add chain=input comment="Established & related" connection-state=established
    add chain=input connection-state=related
    Разрешаем сессии, инициированные MT и пользователями.

    Код:
    add action=drop chain=input comment="Block Other" disabled=yes in-interface=Inet
    Блокируем всё остальное.

    Комментарий


      #3
      Полезный для определения "узких мест" инструментарий в RouterOS.


      1. Контроль напряжения питания, энергопотребления, температуры процессора и материнской платы, а также управления встроенными вентиляторами (на устройствах, где они есть).


      System - Health

      Нажмите на изображение для увеличения.

Название:	Снимок5.JPG
Просмотров:	1
Размер:	22.9 Кб
ID:	217020


      2. Контроль общей нагрузки системы (процессор, оперативная и флеш память, другие носители).


      System - Resources

      Нажмите на изображение для увеличения.

Название:	Снимок6.JPG
Просмотров:	1
Размер:	35.1 Кб
ID:	217021

      Здесь-же дополнительно можно посмотреть распределение нагрузки по ядрам (для многоядерных систем), статистику использования прерываний и т.п. дополнительную информацию.

      Нажмите на изображение для увеличения.

Название:	Снимок8.JPG
Просмотров:	1
Размер:	51.6 Кб
ID:	217023

      3. Контроль нагрузки на процессор различными задачами.

      Tools - Profile

      Нажмите на изображение для увеличения.

Название:	Снимок7.JPG
Просмотров:	1
Размер:	27.3 Кб
ID:	217022

      Краткое описание основных процессов:
      bridging - обслуживание мостов между интерфейсами
      dns - служба кеширования доменных имен
      firewall - обработка трафика брандмауэром
      management - общее управление системой
      networking - обслуживание сетевых интерфейсов
      queuing - шейперы, QoS на базе очередей и т.п.
      routing - маршрутизация трафика
      idle - свободные ресурсы процессора

      4. Основные настройки системы.


      System - Settings

      Нажмите на изображение для увеличения.

Название:	Снимок9.JPG
Просмотров:	1
Размер:	26.7 Кб
ID:	217024

      Комментарий


        #4
        Еще полезная вещь адрес листы :)
        Местный Хам - надо бы исправить... :dirol:

        Комментарий


          #5
          Согласен, но если делать статью по их использованию, то туда нужно включать общую схему обработки трафика, и маркировку, и принципы обработки уже промаркированного трафика... в общем, это скорее материал на книгу (по объему), а не небольшую статью ))

          Комментарий

          Обработка...
          X