Xorp Blog Podcast

RouterBOARD 2011UiAS-2HnD-IN – a mindentudó router

Napjainkban mindennapi dolognak számít, hogy az otthoni internet kapcsolat meg van osztva több gép között (céges környezetben pedig magától értetődő). A piac tele van ilyen-olyan home vagy SOHO kategóriás routerekkel, melyeknél már nem kuriózum a wifi támogatás illetve egyéb extra képességeik is vannak (dinamikus dns kliens, egyszerűbb QOS, stb.). Az évek során nekem is volt jó néhány ilyen routerem, de amiben az egyik jó volt, az más képességekben szegényebb. Valami olyasmit szerettem volna, ami valóban mindent tud. A címben szereplő router egy ilyen darab, és bár a hardvere is figyelemre méltó, tudását a Mikrotik nevű operációs rendszer teszi teljessé.

Mi ez a router tulajdonképpen és mitől annyira különleges?

 

1., A hardware

A kategória jól ismert brandjei (Linksys, D-Link, TP-Link, stb.) között valószínűleg idegenül cseng a Routerboard név. Pedig ez a rigai székhelyű, lett cég közel 20 éve, 1995 óta gyárt routereket és szolgálja ki a piacot a home kategóriás eszközöktől kezdve az ISP volumenű routerekig termékeivel. Maga a routerboard, mint neve nagyon találóan mutatja, egy célhardver, voltaképpen egy alaplap, melyet igény szerint több és többféle hálózati interfésszel szereltek fel. A fenti routert egy 600MHz-es processzor hajtja meg és 128MB RAM-mal rendelkezik. Hálózati oldalról 10 RJ45-ös portja van (5db gigabit port és 5db 10/100-as), melyekből 1 db élvez POE támogatottságot. Található rajta egy microUSB port és egy egy SFP port, mely kompatibilis bővítőport segítségével akár a 10GB-es link is elérhetővé válik. Van továbbá egy konzol portja is, just in case. A vezetéknélküli hálózati kapcsolatért pedig egy Atheros AR9300-as chip felel (B/G/N szabványú), mely 1W-os (!!!) wifi teljesítménnyel képes adni.

 

RB2011UiAS-2HnD alaplapja

RB2011UiAS-2HnD alaplapja

 

Természetesen nem ilyen, a fenti képen látható “pucéron” kapjuk a terméket. A doboz tartalmazza a router-t magát, a tápkábelt, egy microUSB – USB konverter kábelt. Kicsomagolás után ezt látjuk:

 

 

 

Jobban megnézve a dobozt, feltűnik, hogy felülnézetből a jobb felső sarokban egy ablakhoz hasonló kis téglalap látható. Nos, ez egy mini LCD érintőképernyő, mely egy sor információt tud megjeleníteni az eszközről, beleértve a realtime színes grafikonokat a hálózati interfészek forgalmáról. A megfelelő menüből a router szabályos újraindítása is kieszközölhető.

2., A szoftver

Nos, ez az, ami igazán naggyá teszi ezt az eszközt. Én magam a Mikrotik OS-sel 2004 körül találkoztam először. Túlzás nélkül: már akkor olyan lehetőségei voltak (itt még a 3.x-es verzióról beszélünk, most 6.7-nél tart), amelyeket csak a több százezer vagy 1-2 millió forintos Cisco routerekben lehetett megtalálni.  A feature-k terjedelme meghaladja ezt a leírást, ezért a hivatalos linkjét illesztem ide: http://wiki.mikrotik.com/wiki/Manual:RouterOS_features . Saját shell-je van, mely jó átláthatósága és következetessége mellett tartalmaz egy igen jól használható script-nyelv támogatást. Maga az OS Linux alapú. A menedzsmentje történhet ebből a shell-ből, webböngészőbőből vagy a saját, egyedi megoldású WinBOX felületen keresztül (mindháromról írok később). A szoftver különféle license-ekkel vásárolható, e router esetében a Level 5-ös license az, ami “jár” a routerrel és természetesen a lifetime upgrade. A license szintekről itt: http://wiki.mikrotik.com/wiki/Manual:License

3
 

 

A beüzemelés

Csatlakoztatjuk a 230V -ra és várunk. A kis LCD-n azonnal megjelenik a Mikrotik logo, két-három boot üzenet, majd a router kis beépített hangszórója kettőt pittyen, és az eszköz működik. Itt először egy pici negatívumot is kell írnom: ez a router nem a kezdőknek készült. Nem a D-Link-féle “adok-hozzá-egy-telepítő-cd-t-és- azonnal-mindent-megcsinál” szemlélete van. Van ugyan egy alapkonfigja, ez a csomagolódobozra is rá van írva (default IP: 192.168.88.1, 2-10-es portig figyel, ill. az 1-es port dhcp client módúra van állítva), de ennyi. Még a wifi sem működik alapból (konfiguráltság hiányában le van tiltva az interfész). Mi hát a teendő?

Mint írtam, háromféle módon menedzselhető az eszköz. Shell (telnet, ssh, konzol, mindhárom esetén működik a dupla TAB-os kiegészítés), webes felület (ennek egyébként WebFig a neve), ill. a Winbox. Mi ez a Winbox? A Winbox egy egyszerű ,telepítést sem igénylő .exe file, melyből az eszköz minden paramétere elérhető. Nagyon következetes és barátságos felülete van. Én ezt a megoldást választottam (és ajánlom is) a menedzsmentre.

 

1
 

A router IP-címe vagy hostneve, felhasználónév és jelszó megadása után a ‘Connect’ gombra kattintva bejelentkeztünk a routerbe:

 

2
 

Látjuk, hogy az ablak bal oldalán egy rakat menü helyezkedik el; némelyiknek almenüje is van. Ezeket használva tudjuk a router konfigurálni.

 

A menedzsment

Őszintén szólva kicsit nehéz helyzetben vagyok, ha erről kell írnom, mivel a lehetőségek hatalmas száma miatt nem vállalkozhatom egy komplett manuál megírásása, nem is beszélve arról, hogy ezt már megtették helyettem: http://wiki.mikrotik.com/wiki/Manual:TOC . Ennél alaposabb és jobban részletekbe menő leírást nehezen lehetne írni.

Fontos tudnunk, hogy bár az alapkonfigurációban a 2-től a 10-ig portok össze vannak “fűzve” egy switchbe, ez nem magától értetődő. A 10 port lehet 10, egymástól független port is, azaz egy 10 portos router, de lehet egy 10 portos menedzselhető switch is. Akár egy 7 portos switch és 3 portos router felállás is. Switch oldalon természetesen VLAN-ozható is, ill. több switch között bonding-olhatóak is a portok, a nagyobb sávszélesség elérése végett. Bármely interfésznek adható IP cím, több is, ha erre van igény. Közös és ugyancsak praktikus dolog minden menüben, hogy az elemek nemcsak hozzáadhatók és elvehetők a konfigból, de engedélyezhetőek, letilthatóak és kommentezhetőek is. Router nagyon ki van hegyezve arra, hogy gazdája minden pillanatban pontos képet kaphasson a forgalomról, terheltségről, stb. Minden interfészhez tartozik realtime grafikon, TX/RX pillanatnyi és összes forgalom packet per sec és kilobyte per sec alapon.

Az én konfigurációm (egyelőre) a következőképpen néz ki. Egy interfész a VDSL modem felé (kvázi WAN port), a többi 9 port plusz a wlan interfész pedig összefogva egy multiport bridge-be a local LAN felé.

4
 

 

Packet filter és translation oldalról pedig kifelé minden, befelé csak a válaszkapcsolatok, ill. a belső hálós 192.168.55.x tartományt NAT-olja a WAN interfacen.

5
6
 

Továbbá egy redirect szabály, mely minden kifelé a 80-as tcp célportra tartó forgalmat a router 8080-as portjára irányít. Miért? A router OS tartalmaz egy nagyon jól használható beépített webproxy-t (én a router USB portjára dugott 2GB-s pendrive-ot használom e proxy cache drive-jának), és ide irányítja a webforgalmat. Egyszóval, ez az egy szabály egy transzparens proxy-vá is tette a routert egyben.

 

Extrák

1,  SMB szerver

Az USB portra (akár USB hubon keresztül is) rádugott merevlemez megosztható SMB protokoll használatával (windows network share). Megosztások, user kezelés működik, egyelőre munkacsoport módban csak, de könnyen el tudom képzelni, hogy a jövőben az AD integrációt is megoldják.

 

2., Traffic flow

Cisco routerekben régi és bevált technológia a “netflow”. A Mikrotik is tudja ezt,  támogatja a version 1, 5, és 9-et is. Megfelelő collector használatával a hálózat totálisan nyomonkövethető forgalom és kapcsolatok tekintetében.

 

3., QOS és packet manipulation

Abszolút kifinomult QOS kezelés, forgalom priorizálás. Csomagok, kapcsolatok megjelölése és ezek alapján osztályozása, stb. Linux Iptables ismeretekkel nagyon egyszerű a kezelése.

 

4., Layer 7 classification

Támogatja a Layer 7 reguláris kifejezéseket, ami által a forgalom sokkal finomabb (igaz, erőforrás igényesebb) megfigyelése lehetővé válik. http://l7-filter.sourceforge.net/protocols (az össze itt felsorolt regexp beilleszthető).

 

5., Metarouter

Nos, igen, a virtualizáció. Ami a Solarisnak a zóna, az AIX-nak az LPAR, a Linuxnak a jail, az a Mikrotik-nek a METARouter. Virtuális router a routeren belül.

 

6., VPN-ek

Gyakorlatilag majd minden VPN majd minden módban támogatott. IPSEC, L2TP with IPSEC, OpenVPN, PPTP VPN, mindezek network-network vagy host-network topológiában is. VPLS és MPLS ugyancsak támogatott.

 

7., Hotspot

Nos, ezt annyira összehozták, hogy komplett központok, csarnokok, nyilvános helyek forgalom vagy idő alapú számlázással,  felhasználónévre és jelszóra, de akár MAC addressre épülő autentikációval megoldott hotspotja működtethető. Támogatja a RADIUS szervereket és a voucherek (hotspot ticketek) nyomtatását is.

 

7., Egyebek

Említettem már a scriptelhetőséget. Feladatütemező. NTP kliens és szerver.

 

8., Enterprise routing

Teljeskörű BGP, OSPF, RIP, RIPng, MPLS, VPLS, VRF, MME (Mesh Made Easy) támogatás

 

9., Source ill .policy routing

Redundáns,failover ill forgalomfüggő routing-ok konfigurációja

 

10., VRRP

Virtual Router Redundancy Protocol. Segítségével és egy másik Mikrotik eszközzel redundáns gateway-ek, tűzfalak építhetők. Teljeskörűen támogatja.

 

Hirtelen ennyi, ami eszembe jutott és ezeket különböző környezetekben magam is használtam. Természetesen sokkal több ennél az, amit tud.

 

 

Összegzés

 

Nem is titkolom: erről a rendszerről csak szuperlatívuszokban tudok nyilatkozni. Iskolapéldája annak, hogy egy jó csapat, ha gondolkodik és akarja, akkor elfogadható áron tud kiváló TERMÉK-et gyártani. Összehasonlításul: egy Cisco 2600-as router vmikor 1999-2000 környékén súlyos százezrekbe került (talán millión fülül volt árban). Tudásban ugyanez Routerboard-dal és Mikrotikkel kialakítva bőven százezer forint alatt volt. Ami pedig az enterprise volument illeti, egyik előző munkahelyemen a BIX BGP peering routert építettem ilyenből, és évekig ment mindenféle probléma nélkül. A fentebb bemutatott Routerboard RB2011UiAS-2HnD ára szálítással és utánvéttel együtt ~33 ezer forintba került. 2012-től pedig a cloud routerek gyártását is megkezdték (Cloud Core Router CCR1036-8G-2S+EM, 36 CPU core, 1200Mhz/core és 16GB RAM).A cég évek óta és szinte heti gyakorisággal szervez világszerte ún. MUM-okat (Mikrotik User Meeting), ahol a workshopok mellett certified Mikrotik előadók osztják meg tudásukat az jelenlevőkkel.

Categories: Informatika, Wireless

SUNcenter videó: Blade x6250 modul » « SUNcenter videó: SUN blade 6000

5 Comments

  1. Remek a mikrotik, de a teljesítménye kiábrándító. Persze 1-200 Mbitig 50-80e pps-ig jó lehet. Tovább nem nagyon skálázódik legutóbbi tesztjeim alapján. Szóval az enterprise erős kifejezés.

    • Varga Tamás

      2014. január 4. — 18:50

      Ezt nehéz így megítélni. Nem jelezted, mit használtál a teszthez, mekkora load-ot generált milyen hardwaren. Ha mondjuk 10-20 user tolta, ami a csövön kifért, akkor persze hiába a gigabit port, oda már kell a számítási teljesítmény is. Ergo: el tudom ezt képzelni képzelni egy RB750G-n, de nehezen egy kicsit komolyabb board-on. Szóval azt akarom ezzel mondani, hogy a tesztkörülményektől is sok függ, ami az eredményt illeti. Köszönöm a hozzászólást mindenesetre :)

      • Egyszerű volt a test mint a faék.
        Tegnap egész nap DDoS-olták egyik ügyfelünket, gondoltam remek alkalom tesztre.
        A gépet ~100e pps és gigabittel tömték ki. Betettem a gép elé egy CCR 36magos vasat. A 2 portját brdig-be. Egyik porton látom jön a 100e pps, másik porton ki is megy. Eddig ok. Mondom akkor bepipáltam hogy zavarjuk át az IP Firewall on. Beállítom semmi gond megy minden tovább. Ekkor felvettem egy egyszerű szabály ami forward láncon acceptál minden csomagot. Ekkor jött a meglepetés, ether1 en bejött a 100e pps de a másik lábon már csak 50-80e pps ment ki. Néztem a tűzfal statot is ahol elvileg 200e pps nek kellett volna lennie, de ott se volt több 50-80e nél. Ekkor mondtam gyenge a hw, betoltam egy CISCO UCS C200-as szerver 2db Xeon X5690 essel ami 6magos 3GHz es. Ezen először 5.26 os mikrotik volt, de az eredmény hasonló volt, felfrissítettem 6.7-esre semmi változás. Természetesen a CPU ~20-25% terhelést mutatott minden esetben. Akkor akadt meg csak egy kicsit mikor tiltottam vagy engedélyeztem a tűzfal szabályt.

        Ezen a vason bebootoltam egy ubuntut, ott is csak csináltam egy bridge-t + iptables -A FORWARD -j ACCEPT és ahány packet bejött az eth0 -n annyi kiment az eth1-n. Tehát az egész mikrotik OS-ben nagyon gyenge valami.

        És ami szép a dologban hogy ilyet használunk pppoe koncentrátornak, ügyfelek szoktak panaszkodni hogy esténként nem jön ki sávszél. Mikor mi ránéztünk nekünk nem volt gond. Aztán most szombat este látom hogy egyik lábon bejön 400Mbit másikon már csak 300 van. Hasonlóan 60e pps. Szóval kb ennyit tud áthajtani a tűzfalon.

        Szóval ezek elég komoly hw-ek, azért és ennyit tud velük a mikrotik, Jövőhéten még azért nézek 1-2 tesztet. Viszont sok sok év tapasztalatából jobbra nem számítok.

        Valamint meglesem az Ubiquiti EdgeMax routerét, ő is állítja hogy 1Mpps-t tud. Ezek után nagyon kiváncsi leszek rá.

        • Varga Tamás

          2014. január 4. — 19:16

          Köszi, hogy ilyen részletesen megosztottad az eredményeket! Ilyen vason még nem volt módom tesztelni sajnos :( Nem tudom, mi lehet ennek az oka, ha csak optimalizálás, azt nehéz elhinni, hiszen az Ubuntu is Linux, és a Mikrotik is arra alapul. Érdekes mindenesetre. No meg, én azért ekkora sévszéllel nem tudtam tesztelni még. Ahogy írtam, BIX-en lógott egy pc-ből épített, az még 4.x-es verzió volt, és tizenegynéhény ezer prefixet fogadott, ott nem volt gond évekig vele. Kíváncsi vagyok a további tesztjeidre is. Üdv :)

  2. Kedves ventura!

    Én csak annyit mondanák, hogy nálunk majdnem minden mikrotik.
    Egy nem megfelelő konfigurációval drasztikusan változhat a teljesítmény.
    A minap egy RB450G helyeztünk üzembe… egy 100/100 bérelt vonalra van fellógatva.
    Ez a kis router 100-110 végpontot szolgál ki. Ha nincs korlátozva a sávszélesség akkor az usereknél stabilan jön a 95-96 mbit/s.

    A másik dolog, hogy stabilan bírunk a következővel:
    CCR1036 2db
    1-1 db 1000/1000 mbit/s optikán
    Nem akarok hazudni, de cca. 3-500 ügyfél van / router
    De ezeket a routerket mikrotik szakemberek (szóval nem én) programozták. Olyanok akik ismerik minden fortélyukat. Ennek a routernek cca. 200eFt az ára, de ugyan ez egy Cisco vagy más kategóriába szerintem millió fölött vagy közelben van.
    Szóval szerintem a teljesítményük teljesen jó!

    Megjegyzés: RouterBOARD 2011UiAS-2HnD-IN még mindig SOHO kategóriának hívja, de annál több. Szerintem egy kis-közepes méretű céget simán kiszolgál.

Hozzászólás

Copyright © 2018 Xorp Blog Podcast

Theme by Anders NorenUp ↑

%d blogger ezt szereti: