Описание основных функций и возможностей RouterOS

В то же время Mikrotik RouterOS может быть установлена и на компьютеры, что позволит вам превратить компьютер в многофункциональный роутер. Маршрутизация, Firewall, VPN сервер, беспроводная точка доступа - все эти, и многие другие функции могут быть реализованы на компьютере под управлением этой ОС.

За основу RouterOS взято ядро Linux 2.6. Система специально разрабатывалась так, чтоб пользователь мог быстро и без  проблем настроить все функции, необходимые для работы компьютера в качестве роутера.

Вы можете опробовать RouterOS, просто зайдя на сайт  www.mikrotik.com и скачав образ диска. Пробная версия позволит вам ознакомиться со всеми возможностями ОС, поскольку ограничения на функционал у пробной версии отсутствуют.

Эта статья описывает самые важные функции RouterOS.

Поддерживаемое аппаратное обеспечение

RouterOS поддерживает многоядерные и мультипроцессорные компьютеры, так что вы вполне сможете установить эту систему на самые новые и мощные процессоры и платы компании Intel.
RouterOS поддерживает установку на IDE, SATA и USB флеш-карты памяти, в том числе и на HDD, CF и SD карты, SDD диски и другие типы носителей. Для установки RouterOS требуется по крайней мере 64 MB свободного места. При установке раздел диска будет  будет отформатирован, и RouterOS по умолчанию станет основной операционной системой, используемой компьютером. 

RouterOS поддерживает множество всевозможных проводных интерфейсов, в том числе 10-гигабитные сетевые карты, 802.11 a/b/g/n Wi-Fi модули и 3G модемы.

Настройка

RouterOS поддерживает множество различных способов настройки: настройка непосредственно на самом компьютере, с помощью клавиатуры и монитора, настройка через консольный порт при помощи терминала, Telnet и доступ по сети через защищенный протокол SHH, настройка с помощью специальной утилиты с графическим интерфейсом, которая называется Winbox, настройка через интерфейс, построенный на простом веб-коде. Также имеется API, который позволит построить вашу собственную систему управления компьютером/роутером.

 На случай, если настроить компьютер непосредственно через клавиатуру и монитор невозможно, и имеются проблемы при подключении через IP-адрес, вы можете подключиться к компьютеру на MAC-уровне (канальный уровень), и настроить RouterOS с помощью настроенными под эту задачу MAC-telnet и Winbox утилиты.

RouterOS предоставляет простую для изучения командную строку с возможностью использования скриптов. Непосредственно в RouterOS v4 начал использоваться скриптовый язык Lua, который предоставляет обширные возможности для программирования и автоматизации роутера. 

Firewall

Firewall осуществляет фильтрацию пакетов, что позволяет ему обеспечивать безопасность сети, контролируя входящие и исходящие данные. Вместе с NAT это позволяет предотвратить несанкционированный доступ к сети извне и контролировать исходящий трафик. 

RouterOS поддерживает технологию SPI, которая позволяет запомнить состояние текущих подключений и избежать таким образом подключения к порту злоумышленников. Также система поддерживает source-NAT и destination-NAT, и набор сервисных протоколов UPnP. 

Firewall может производить фильтрацию информации: по конкретному IP-адресу, по диапазону IP-адресов, порту, диапазону портов, IP протоколу, DSCP и другим параметрам, также поддерживая статические и динамические списки адресов. Firewall может сравнивать пакеты по общим закономерностям в их содержимом. (Layer 7 matching)

IPv6 также поддерживается.  

Маршрутизация

Поддерживаются следующие протоколы.

• Для IPv4 RIP версии 1 и версии 2, OSPF v2, BGP v4.
  
• Для IPv6 RIPng, OSPF v3, BGP
  

RouterOS поддерживает VRF (виртуальная маршрутизация и переадресация), маршрутизацию на основании политики, маршрутизацию на основании интерфейса и ECMP маршрутизацию. Вы можете использовать Firewall чтобы отметить определённые соединение с маршрутизационными метками, после чего заставить отмеченный таким образом трафик использовать другой ISP. 

VRF - это технология, которая позволяет использовать сразу несколько таблиц адресов, у которых имеется общие IP-адреса, не вызывая при этом конфликтов между этими таблицами. К тому же VRF повышает уровень безопасности сети. VRF часто используется вместе с так же поддерживаемым MPLS, но может быть использоваться и с другими протоколами.  

Переадресация

RouterOS поддерживает переадресацию второго уровня. В том числе и сетевые мосты, меш и WDS.

WDS позволяет осуществлять соединить между собой несколько точек доступа, не используя при этом провода, что позволяет наладить обмен пакетами внутри сети, как будто бы если она была соединена проводами в единую систему. Специально разработанный для этого протокол передачи данных второго уровня (layer 2) - mesh - позволяет избежать возникновения проблем при масштабировании сети. 

(R)STP устраняет вероятность того, что один и тот же адрес будет виден сразу на нескольких портов моста путём отключения вторичных портов, ведущих к этому адресу.  Также предоставляется альтернативное решение этой проблемы - HWMP+ (Hybrid Wireless Mesh Protocol). Это протокол маршрутизации второго уровня, разработанный Микротик, как улучшенная версия HWMP.  

MPLS 

MPLS (Multi Protocol Labol Switching) может быть использован в качестве альтернативы IP-маршрутизации. Вместо заголовков IP и таблиц маршрутизации этот протокол использует ярлыки, присоединяемые к пакетам. Это позволяет значительно ускорить процесс передачи пакета, поскольку проверка пакета становится намного проще, по сравнению со сверкой с таблицами маршрутизации, маршрутизатору нужно проверить исключительна ярлык, что освобождает его от диагностики всего пакета данных.  

Эффективность переадресации пакетов - это главный плюс MPLS. Этот протокол хорошо показывает себя при масштабировании и не зависит от протоколов передаваемых данных. 

MPLS позволяет создать цепочки передачи данных, независимые от используемых сред передачи и протоколов передаваемых данных. В дополнение MPLS поддерживает RSVP туннели, VPLS MP-BGD автообнаружение и основанный на MP-BGP MPLS IP VPN.

VPN

Для установки безопасного соединения внутри открытой сети или сети интернет, или соединить удалённые компьютеры, используя зашифрованное соединения, вы можете использовать различные VPN-протоколы и туннели, поддерживаемые RouterOS.

• IPsec - туннельный или транспортный режим, сертификат или PSK, AH и ESP протоколы безопасности. 
  
• Туннель типа точка-точка (OpenVPN, PPTP, PPPoE, L2TP)
  
• Продвинутые функции PPP (MLPPP, BCP)
  
• Обычные туннели (IPIP, EoIP) 
  
• Поддерживается 6to4 туннелирование (IPv6 поверх IPv4)
  
• Поддержка VLAN – IEEE802.1q Virtual LAN, Поддержка Q-in-Q
  
• MPLS на основании VPN
  

Таким образом вы можете безопасно соединить между собой банковские сети, безопасно подключиться к сети с рабочего компьютера во время поездок, соединить ваш домашний компьютер с рабочим местом или обеспечить повышенную безопасность передачи данных непосредственно внутри сети. Возможно даже соединить два офиса, расположенных вдалеке друг от друга, и они будут работать так, как будто бы работает внутри одной сети, причём соединение будет защищено, а передаваемая между офисами информация будет надёжно зашифрована. 

RouterOS также предоставляет доступ к нескольким уникальным проприетарным функциям, аналоги которым вы не сможете найти больше нигде. Например, EoIP - Ethernet туннель между двумя роутерами поверх IP-соединения. Причём EoIP интерфейс будет выглядеть как Ethernet интерфейс. При активации функции “bridging” весь Ethernet трафик начнёт передаваться так, как будто бы роутеры работают в режиме моста и соединены друг с другом через  Ethernet-провод. Этот протокол позволяет создать сразу несколько схем соединения, например, становится возможным создать LAN-сети с помощью мостов поверх интернет-сети. 

Беспроводное соединение

 RouterOS поддерживает различные способы беспроводной передачи данных, включая также самые простые из них: беспроводная точка доступа и клиент. Вне зависимости от того, что нужно нужно настроить - простой домашний Hotspot или mesh-сеть размером в целый город. Список некоторых функций, поддерживаемых RouterOS:

• IEEE802.11a/b/g/n wireless client and access point
• Nstreme и Nstreme2 проприетарные протоколы
• Client polling
• RTS/CTS
• Wireless Distribution System (WDS)
• Виртуальная точка доступа
• WEP, WPA, WPA2 шифрование
• Список контроля доступа
• Wireless client roaming
• WMM
• HWMP+ беспроводной MESH протокол 
• MME протокол безпроводной маршрутизации

Протокол Nstreme позволяет дистанцию и скорость соединения, если с обеих сторон соединения находятся роутеры Mikrotik. Это позволило установить мировой рекорд по дальности связи неусиленного Wi-Fi соединения при испытании протокола в Италии. Протокол Nstreme является дуальным, что позволяет ему работать при установке на устройство сразу двух антенн: одной для приёма и другой для передачи сигнала. 

Hotspot

Сетевой шлюз Mikrotik HotSpot позволяет предоставить публичный проводной или беспроводной доступ для ваших клиентов. При первой попытке входа клиент получит запрос на логин и пароль, введя которые, он сможет получит сетевой доступ.

Подобное решение отлично подойдёт для гостиниц, аэропортов, школ и других публичных учреждений, где посетители подключаются посредством своей собственной техники. Причём для создания Hotspot’a не потребуется установка дополнительного программного обеспечения или настройка сети, все запросы на подключение к сети будут перенаправлены к форме ввода логина и пароля. 

Расширенное управление пользовательским доступом может быть осуществлено за счёт создания различных пользовательских профилей, каждому из которых можно установить ограничения по скорости входящего и исходящего трафика, ограничение времени сессии итд.

Хотспот также поддерживает аутентификацию для серверов, использующих RADIUS протокол и аутентичный менеджер пользователей от компании Mikrotik, позволяющий осуществлять централизованный менеджмент всех пользователей в вашей сети. 

• Plug-n-Play доступ к сети
• Аутентификация для подключающихся к сети клиентов
• Учёт пользователей
• Поддержка RADIUS протокола для аутентификации и учёта пользователей
• Настраиваемая схема подключения для устройств, не взаимодействующих с пользователем.
• Пробные и рекламные режимы

QoS (управление ресурсами сети)

QoS означает, что вы сможете приоритезировать передачу определённых пакетов и задать, какой трафик сеть должна считать более важным, а какой должна ограничить, чтоб обеспечить общую более стабильную работу сети. 
Вот список некоторых из механизмов, доступных Mikrotik RouterOS.
Задать лимит передачи данных для определённых IP-адресов, подсетей, протоколов, портов или использовать для этого различные иные параметры.
Ограничить p2p трафик, и, в частности, торренты.
Задать приоритет определённым потокам данных по сравнению с другими потоками. 
Использовать технологию внеочередной передачи данных  (queue burst) для того быстрого доступа к веб-страницам. 
Возможность формирования ожидания в очереди с фиксированным временным интервалом.
Распределять трафик между пользователями поровну, либо, изменять доступный трафик в зависимости от загруженности канала. 
RouterOS поддерживает иерархическую маркерную корзину Hierarchical Token Bucket (HTB) тип QoS, который включает в себя CIR, MIR, возможность внеочередной передачи данных, приоритезацию данных, и позволяет использовать как продвинутые типы очередей, так и простые очереди. 
Специально для того, чтобы оптимизировать работу больших QoS систем, в которых настройки QoS для большинства потоков данных выглядят одинаково, был создан алгоритм PCQ. Суть алгоритма в следующем. Сначала он использует определённые классификаторы, чтобы различить разные потоки данных друг от друга, затем назначает каждому из этих потоков некоторые ограничения и свой размер очереди FIFO (First-in first-out или “первым пришёл, первым ушёл”), после чего уже группирует все потоки данных в один общий поток и рассчитывает ограничения и назначает размер очереди FIFO уже для всего потока данных.

Веб-прокси

RouterOS включает в себя разработанный Микротик прокси-сервер для кеширования веб-ресурсов, что позволяет предоставить пользователям кешированные копии файлов посещенного раннее сайта, и таким образом значительно уменьшить время, необходимое для повторной загрузки страниц. 

Mikrotik RouterOS поддерживает следующие функции для настройки прокси-сервера:

• Стандартный прокси-сервер
• Прозрачный прокси
• Списки доступа по источникам, месту назначения, URL и запрошенному методу
• Список кеширования, позволяющий указать, какие файлы должны кешироваться, а какие нет
• Список прямого доступа с возможностью указания, какие ресурсы должны быть доступны напрямую, а какие через ещё один прокси-сервер 
• Поддержка SOCKS прокси
• Поддержка родительского контроля
• Хранение кешированных файлов на внешнем хранилище данных

RouterOS также может исполнять функцию прозрачного сервера кеширования, при таком типе кеширования настройка клиентского компьютера не потребуется. RouterOS просто перенаправит все HTTP-запросы на локальный сервер, и клиент не почувствует никакой разницы, за тем исключением, что скорость доступа к веб-страницам значительно увеличится. 

Инструменты сетевого администрирования

RouterOS обладает набором инструментов и возможностей, позволяющих упростить и автоматизировать управление сетью. Ниже перечислены некоторые из них.

• Команды ping и traceroute
• Тестирование сетевой способности, ping flood
• Анализатор траффика, torch
• Telnet, SSH протоколы
• Инструменты SMS, e-mail рассылки
• Автоматизированные скрипты выполнения программы
• CALEA зеркалирования данных
• File Fetch
• Таблица активных соединений
• NTP клиент и сервер
• TFTP сервер
• Динамическое обновление DNS
• Поддержка VRRP избыточности
• SNMP для предоставления графиков и статистики
• Программа Radius для менеджмента пользователей (клиент и сервер).

Система мониторинга сети DUDE

Приложение DUDE, разработанное компанией MikroTik, представляет собой систему, которая может значительно помочь в управлении сетью. DUDE автоматически сканирует все устройства, входящие в состав указанных подсетей, после чего рисует схему сети, наблюдает за работой сервисов, используемых вашими устройствами, и оповещает вас, если в работе сети возникли проблемы. Причём отслеживать можно не только устройства с RouterOS, но и вообще все устройства, которые доступны через команду Пинг или предоставляют SNMP информацию. 

Помимо всего прочего DUDE позволяет создать графики, отражающие передаваемый трафик и его доступность, создаёт отчёты о сетевых неполадках, и даже может выступать в роли хранилища логов для логов с ваших RouterOS устройств. 

Также DUDE может автоматически управлять обновлениями ваших RouterOS устройств и производить массовое изменение их настроек. 

Программа распространяется бесплатно. 

Лицензирование

После истечения пробной версии RouterOS вы наверняка захотите продолжить её использование. Вы можете сделать это, приобретя один из 4 типов лицензионных ключей, которые различаются между собой их уровнем. Третий - самый низкий уровень - позволяет использовать устройство как беспроводной клиент и имеет ограниченное число возможных активных пользователей, в то время как у самого высокого уровня - шестого - нет никаких ограничений.

Важно отметить, что вне зависимости от уровня лицензии, количество интерфейсов не ограничено, имеется ограниченная техническая поддержка по e-mail и действие лицензии неограничено.  RouterOS обновляется до последнего релиза следующего крупного обновления, относительно того момента, когда вы купили лицензию. Но при этом следует учесть, что каждая лицензия привязывается к диску, на котором она установлена, поэтому каждому роутеру потребуется свой лицензионный ключ.

На всех устройствах RouterBOARD, сделанных компанией Mikrotik, уже имеется лицензированная версия RouterOS, поэтому дополнительное приобретение операционной системы не потребуется.  

Сравнительная таблица различных уровней лицензий:


Оригинал статьи на английском языке вы можете найти здесь.