Огляд mikrotik: маленька мережа для великих цілей

Відео: ч.08 Небезпечні битви в Minecraft - Міні боси і Ящики Пандори (Mini Boss)

Практично непомітно для пересічного користувача відбувається поступове завоювання ринку домашніх і корпоративних маршрутизаторів маленької, але гордої латвійською компанією.

Відмінний приклад того, як, використовуючи вільне ПЗ, недорогі компоненти і грамотну ліцензійну і торгову політику, а також колективний розум спільноти користувачів, можна повільно, але впевнено потіснити імениті бренди, давно вкорінені в стійках і вже, здавалося б, намертво спаяні з патч- панелями.



У плані технічного виконання існують найрізноманітніші моделі, від кишенькового mAP2n до стоечного 36-ядерного CCR1016-12G. Можна вибрати девайс з вбудованим Wi-Fi-модулем або навіть взяти готові материнські плати - роутерборди зі слотами розширення Mini PCI - і зібрати щось під свої потреби, але це більше для унікальних завдань і запитів. Трохи окремо від всієї родини роутерів стоять комутатори, вони ж свитчи, зі своєю операційною системою SwOS (Switch OS, ага).

Для домашнього сегмента і міні-офісів (так зване SOHO-обладнання) пропонується кілька моделей роутерів: найпростіша і поширена - RB750, останнім часом її замінює RB951Ui-2HnD, яка має вбудований Wi-Fi і процесор потужніший. Як правило, використовуються чіпи від Atheros (для комутації і для бездротового зв`язку), по крайней мере поки що мені інші не зустрічалися. На всій «домашньої» лінійці встановлені «негарячій» процесори архітектури MIPS-BE, вони непрожорліви, невибагливі і цілком справляються зі своїм завданням. Пропускна здатність, яка визначається CPU (якщо ми говоримо саме про маршрутизації, а не про комутації в межах чіпа, в якій CPU практично не бере участь), варіюється в залежності від кількості правил в фільтрі (Firewall) і інших ресурсоємних завдань, наприклад шифрування трафіку всередині VPN -тоннеля. У старших моделях, наприклад, які оснащуються процесором PowerPC, присутній вбудоване (hardware) шифрування алгоритмом AES, що знімає цю навантаження з центрального процесора.

В цілому політику даного виробника можна описати як використання якісних і недорогих деталей (залізо «кується» в Прибалтиці, частково в Азії, і великі замовлення віддаються в Китай, так як тільки там є величезні виробничі потужності з привабливою ціною), мінімальне комплектування з можливістю розширення (в комплекті немає навіть звичних різнокольорових патчкордів, книжечок, купи поролону і, власне, самої глянсовою квітчастій коробки) і «доопрацювання напилком», що дозволяє при наявності рук, що ростуть з плечей, замінити, н апример, штатну антену.

Практично всі пристрої здатні харчуватися через 1-й порт методом PoE (24 В) за стандартом, не сумісного з 802.3af, де використовується 48 В, але, звичайно ж, існують перехідники, тому від головної стійки на підприємстві можна і живити пристрій, і отримати зв`язок з ним (зрозуміло, якщо керівництво не буде жлобствовать і розщедриться на PoE-свитчи). Деякі прилади, заявлені як PoE, застосовують як раз цей «Passive PoE» стандарт, в якому при меншій напрузі (від 12 до 24 В) використовується велика сила струму (до 2,2 A проти 400 мА в стандарті 802.3af. Ряд роутерів ( в номенклатурі їх зазвичай присутній буква означає «injector») можуть живити інші пристрої зі свого останнього порту, зазвичай цей порт виділений жовтою рамкою на лицьовій стороні роутера. Також мініатюрна модель 750UP має блок живлення, який можна порівняти власним розмірами, і може живити до чотирьох PoE- пристроїв по 24V-стандарту.





Багато бездротові промислові моделі, такі як «тарілкоподібні» SXT, харчуються тільки через PoE, у них в комплекті присутній блок живлення і PoE-інжектор.

Мікротік має вбудований зумер і подає сигнал при перезавантаженні і при завантаженні, так що в перший раз не лякайтеся.




А тепер найцікавіше - програмна частина. Те, що виділяє MikroTik з побутових роутерів та інших «інтернет-центрів», і одночасно те, що робить їх професійним обладнанням, доступним для рядового тямущого користувача, - RouterOS.

Це не прошивка, яка робиться під конкретну модель і навіть під конкретну ревізію моделі, це реальна операційна система на базі Linux (але пропріетарна, і панове виробники в порушення GPL не публікують зміни коду, ай-яй-яй!). Ця ОС еволюціонує вже багато років, і її оновлені версії з різними «фіксами» і реалізацією нових «фіч» або «Допилювання» старих виходять чи не частіше, ніж поновлення для Windows. Свіжі версії викладаються у вигляді повноцінних контейнерів, в які включені всі потрібні пакети з оновленнями плюс пакет апаратної частини (мікропрошівка зразок BIOS). Є можливість відкоту назад, якщо раптом після апдейта «щось пішло не так».

Найприємніше, що ОС - модульна, складається з пакетів (packages), кожен з яких представляє будь-якої функціонал (бездротовий пакет, широкомовний, IPve-пакет, інструменти і т. Д.), Кожен з яких можна вмикати / вимикати і встановлювати / видаляти, і до того ж повністю керована.

Є, звичайно ж, і базова конфігурація, і можливість «швидкої настройки», але пізнав дзен починає з чистого аркуша і будує всю конфігурацію під себе з нуля. Управляти ж роутером можна різними способами: брутально через telnet, червонооких через SSH, універсально через web або ж кавайності через Winbox, рідне додаток під Windows-середовище, яке, на мій погляд, найбільш зручно представляє для користувача всі можливості і глибину налаштувань програмної частини. Недосвідченого користувача від одного погляду на список працюючих інтерфейсів призводить до стану легкого шоку, але повірте мені, все дуже логічно і інтуїтивно зрозуміло, якщо придивитися і освоїти нескладну термінологію. Як ви бачите, все представлено у вигляді категорій, в деяких присутні підкатегорії, і все це відкривається звичними віконцями. У кожному елементі ви можете бачити, що відбувається в реальному часі і втручатися так чи інакше, при бажанні можна налаштувати маленький тачскрін, яким оснащуються деякі моделі, на висновок потрібної інформації і підозріло поглядати в бік роутера. Якщо у вас вже був досвід адміністрування маршрутизаторів, то ви побачите все те ж, тільки з великою кількістю налаштувань, великою кількістю інструментів для перевірки, моніторингу, управління і автоматизації. Створюйте, об`єднуйте, розділяйте і володарюйте - справжнє технопорно! Якщо ж вас раптом налякає різноманіття і якась специфічна термінологія, завжди є інтернет, в якому тисячі і тисячі мінлива, відеолекцій, офіційна Wiki (в тому числі російськомовна), з якої можна почати знайомство ще навіть до придбання залізяки, а також латиші люб`язно надають доступ до демороутерам: demo.mt.lv і https://demo2.mt.lv (юзер demo, пароль порожній).

Багато хто вже знає, що таке Ubiquiti UniFi? У MikroTik є подібна технологія - CAPsMAN (Controlled Access Point system Manager), менеджер контрольованих точок доступу. Цей пакет може бути розгорнутий на будь-якому мікротіке з версії RouterOS 6.11 і вище, він дозволяє отримати єдину мережу з безшовним роумінгом з декількох точок з однієї керуючої точкою, яка сама може і не мати бездротового інтерфейсу. Пакет поки що функціонує в бета-режимі, а значить, він буде вдосконалений і отримає ще безліч тонких налаштувань, але він вже працює стабільно. Це варіант для тих, хто хоче єдину бездротову мережу без падіння продуктивності і має проводове мовлення між точками або бажає мати однакову мережу в різних місцях з єдиним центром контролю. Ви можете створити безліч мереж (Multiple SSID) з різною адресацією, маршрутизацією, налаштувати хотспот «з перфокартами і лаборантка», і нехай любителі халявного інтернету клікають на ваш банер і підносять хвали Ктулху.


Але повернемося до Winbox. Отримати доступ до свого роутера ви можете не тільки через звичний IP, тобто на третьому рівні, а й через MAC, тобто протокол другого рівня, природно, якщо ви з мікротіком перебуваєте в одному фізичному сегменті мережі. Так що при невдалих настройках в файрволла вам не доведеться скидати конфігурацію на заводську - ви просто підключаєтеся «нижче рівнем» і поправляєте свою помилку. І вам не потрібно вичитувати цей MAC на папірці, приклеєною на корпусі, т. К. Кожен пристрій виявляє себе (втім, як і Cisco, тому в Winbox ви можете побачити і їх, знову ж таки, якщо ви в одному сегменті), хоча це теж можна обмежити або відключити зовсім.

З торрент-навантаженням (ну я ж знаю, для чого він вам, і навіть не брешіть) при належній конфігурації справляються чудово навіть молодші моделі за дві-три тисячі вечнодеревянних. Старші ж моделі спокійно тримають маленький офіс. Самий трудомісткий процес - шифрування. AES-шифрування всередині L2TP-тунелю (до речі, підтримуються звичні PPTP і L2TP, а також PPPoE, цікавий SSTP, трохи порізаний OpenVPN і пропріетарний EoIP) на старшої домашньої 2011-й моделі з MIPS-BE-процесором завантажує його на всі 100% потоком в 15-20 мегабіт. Тому якщо вам потрібен роутер для офісу, де ви хочете використовувати «жирний VPN», то має сенс взяти модель з PPC-процесором - його подібний потік завантажує лише на 3%, але там, правда, є і вбудований блок шифрування в проце, як і говорилося вище, так що ніяких чудес (science, bitch!).


Загалом, про MikroTik можна говорити довго, і все одно буде відчуття, що толком тему не розкрив. Це все одно, що я вам буду віщати про Windows, що, мовляв, там віконечка і все зручно і просто, а Windows Server - те ж саме, тільки інструментарій ширше. Ось тут так само. Це роутер, чарівництва в ньому немає, є якісна інженерна робота, «живий» і зростаючий софт і масштабованість під будь-які потреби для тих, кому голова потрібна не тільки для того, щоб в неї є і шапку на ній носити. Якщо ви хочете отримати комбайн з кнопкою «зроби мені добре», то це не про даний девайс, але якщо у вільний час вам подобається досліджувати, вчитися новому і відкривати незвідані функції, здавалося б, давно знайомих речей, то вам напевно сподобається. Заводська конфігурація дозволить вам просто увіткнути кабелі, і все буде працювати, але якщо хочете, щоб працювало «краще, ніж інші», то доведеться трохи почитати.