بضع كلمات عن FastPath و FastTrack في MikroTik

ليس سراً أن MikroTik تقوم بتصنيع أجهزة توجيه Software-Baser وأن وحدة المعالجة المركزية تتولى معظم عمليات المرور. هذا النهج له ميزة ، لأنه يمكنك برمجة أي وظيفة تقريبًا والحفاظ على نظام موحد نسبيًا لجميع الأجهزة. ولكن في السرعة ، سوف يتخلفون دائمًا عن أجهزة التوجيه باستخدام الرقائق المتخصصة.

معالجة حزمة البرامج لها عيوب عديدة:

1. نقص سرعة الأسلاك - لا يمكن تشغيل المعالج (خاصة النواة الواحدة) بشكل أسرع من الرقائق المتخصصة.
2. أقفال. مع وجود كميات كبيرة جدًا من حركة المرور (على سبيل المثال ، DoS / DDoS) ، قد لا تتمكن من الاتصال بالموجه حتى من خلال واجهة وحدة التحكم ، لأن سيتم احتلال كل وقت المعالج عن طريق معالجة حركة المرور.
3. تعقيد التحجيم. لا يمكنك إضافة وحدة نمطية تزيد من سرعة معالجة الحزم في الأجهزة.

يذهب المطورون إلى حلول الأجهزة والبرامج المختلفة لتحسين الموقف:

1. التبديل بين الشرائح في الطرز منخفضة التكلفة ، يتيح لك معالجة حركة مرور Layer2 لتجاوز وحدة المعالجة المركزية.
2. شركة نفط الجنوب مع شريحة شبكة جيدة (خط CCR).
3. باستخدام تشفير الأجهزة
4. التقنيات المختلفة التي تقلل من عدد برامج المعالجة للحزم (FastPath و FastTrack) ، وسيتم مناقشتها.

SlowPath مقابل FastPath

SlowPath هو مسار حركة المرور الأساسي عبر الأنظمة الفرعية MikroTik الداخلية ، ويمكن أن يكون متنوعًا بدرجة كبيرة وكلما طال الطريق ، زاد الحمل على وحدة المعالجة المركزية وانخفضت السرعة.

FastPath - خوارزميات تسمح لك بنقل حركة المرور لتجاوز وحدات المعالجة الكبيرة إلى حد ما.

بيئة العمل ودعم الجهاز

تدعم معظم أجهزة التوجيه والألواح الحديثة من MikroTik FastPath ، لكن لدى wiki قائمة مفصلة:

وقائمة منفصلة للواجهات غير الإيثرنت:

يتطلب FastPath الدعم الكامل لكل من الواجهات الداخلية والخارجية. يجب تمكين قوائم انتظار الأجهزة فقط على الواجهات.

أخيرًا ، يكره FastPath حقًا حركة المرور المجزأة. إذا كانت الحزمة مجزأة ، فسوف تتعثر بالتأكيد على وحدة المعالجة المركزية.

فاست باث وجسر

Bridge هي واجهة برنامج تستخدم لإنشاء اتصالات Layer2 بين واجهات متعددة (أو برامج) أجهزة. إذا قمت بدمج 4 واجهات إيثرنت في الجسر على جهاز التوجيه (وتمكين hw=yes ) وواحدة لاسلكية ، فستتجاوز حركة المرور بين واجهات إيثرنت واجهة البرنامج ، وستستخدم حركة المرور بين إيثرنت والشبكة اللاسلكية جسر البرنامج. على أجهزة التوجيه التي تحتوي على عدة شرائح (مثل RB2011) ، ستستخدم حركة المرور بين الواجهات من شرائح مختلفة إمكانات جسر البرنامج (في بعض الأحيان ، لتقليل التحميل ، تجمع الواجهات ببساطة بين سلك التصحيح وتعمل بشكل عام).

FatsPath - يشير فقط إلى حركة المرور القادمة من خلال وحدة المعالجة المركزية (جسر البرمجيات) ، وعادة ما تكون حركة المرور بين واجهات من رقائق مختلفة ، أو يتم تعطيل الخيار hw=yes .

في Packet Flow ، حركة المرور عبر Bridge هي كما يلي:

ومزيد من التفاصيل:

يتم تضمينه في إعدادات الجسر (الإعداد هو نفسه لجميع واجهات الجسر) [Bridge] -> [الإعدادات] -> [السماح FastPath] ، وهناك يمكنك أيضًا رؤية العدادات.

لكي يعمل FastPath في Bridge ، يجب استيفاء الشروط التالية:

1. لا يوجد تكوين شبكة محلية ظاهرية على واجهات الجسر (أعتقد أن هذا غير مناسب لسلسلة CRS ، حيث يتم تكوين شبكة محلية ظاهرية على مستوى الأجهزة ، لكن يمكن أن أكون مخطئًا)
2. لا توجد قواعد في /interface bridge filter و /interface bridge nat ، وهذه هي نفس الكتل من الدائرة الثانية التي يمر بها الإطار.
3. لم يتم تمكين جدار الحماية ip ( use-ip-firwall=no ). ميزة جيدة لالتقاط حركة المرور وتصحيح الشبكة ، ولكن نادراً ما يتم تمكينها بشكل مستمر.
4. لا تستخدم شبكة و metarouter
5. على الواجهة لا تعمل: الشم والشعلة ومولد الحركة.

فاست باث ونفق

باختصار: واجهة النفق هي تغليف بعض الحزم في جزء التحميل من الحزم الأخرى. إذا ذهبت على طول PacketFlow ، ثم تم وضع علامة على الحزمة الأصلية بخطوط حمراء ، فإن الحزمة الأصلية مغلفة في حزمة بروتوكول النفق (على سبيل المثال ، ipip أو gre ؛ يحصل eoip (ويأتي منه) في قرار التجسير ؛ حزمة النفق لا تزال أكثر إثارة ، ولكنها لا تتعلق فاستباث).

لن تكون حركة مرور الأنفاق في FastPath مرئية في: جدار الحماية ، وقوائم الانتظار ، والنقطة الساخنة ، و vrf ، ومحاسبة ip. لكن بعض الحزم ستستمر في إرسالها عبر SlowPath ، وينبغي أن يؤخذ ذلك في الاعتبار عند تكوين جدار الحماية.

لكي يعمل FastPath في واجهات النفق ، يجب استيفاء الشروط التالية:

1. لا تستخدم تشفير ipsec
2. تجنب تجزئة الحزمة (تكوين mtu بشكل صحيح)
3. تمكين allow-fast-path=yes على واجهة النفق

FastPath و Layer3

Layer3 هو نقل الحزم بين الشبكات الفرعية ؛ حيث يقوم جهاز التوجيه بإنشاء جداول التوجيه وإعادة توجيهها إلى القفزة التالية.

في Packet Flow ، تبدو حركة مرور طبقة الشبكة كما يلي:

اذهب عميقا

وحتى أعمق

لاستخدام FastPath على Layer3 ، يجب استيفاء الشروط التالية:

1. لا تقم بإضافة قواعد إلى جدار الحماية (على الإطلاق ، حتى نات).
2. لا تقم بإضافة إدخالات إلى قوائم العناوين.
3. لا تقم بتكوين "قوائم انتظار بسيطة" و "قائمة انتظار شجرة" parent=global ، أو واجهات التي تخطط للحصول على FastPath العمل.
4. لا تستخدم شبكة و metarouter.
5. تعطيل تعقب الاتصال. تم تقديم الخيار التلقائي على وجه التحديد ليعمل FastPath عندما لا توجد قواعد في جدار الحماية.
6. لا تستخدم /ip accounting .
7. لا تستخدم /ip route vrf .
8. لا تقم بتكوين /ip hotspot .
9. لا تضيف سياسات ipsec.
10. يجب تمكين ذاكرة التخزين المؤقت للمسار.
11. لا تستخدم بنشاط: /tool mac-scan و /tool ip-scan .
12. تشغيل الشم والشعلة ومولد حركة المرور تتداخل مع FastPath.

يتم تضمينه في إعدادات IP: [IP] -> [الإعدادات] ، هناك يمكنك أيضًا رؤية عدادات الحزم التي تمت معالجتها بنجاح.

لقطة شاشة من جهاز التوجيه المنزلي. لدي جدار حماية محمّل إلى حد ما ، وتمكّن العديد من اتصالات وقوائم L2TP / IPSec التي تم تمكينها بشكل دائم. لا يمكنك حتى الحلم بـ FastPath.

فاست تراك

تقنية وسم لحزم بروتوكول الإنترنت (IP) من أجل المرور السريع من خلال Packet Flow.

لكي يعمل FastTrack ، يجب مراعاة الشروط التالية:

1. يجب تمكين ذاكرة التخزين المؤقت للمسار و FastPath.
2. التكوين الصحيح لوضع العلامات على حركة المرور.
3. يعمل فقط لحركة مرور UDP و TCP.
4. لا تستخدم شبكة و metarouter.
5. لا تستخدم بنشاط: /tool mac-scan و /tool ip-scan .
6. تشغيل الشم والشعلة ومولد حركة المرور تتداخل مع FastTrack.

لن تتم معالجة حركة المرور المميزة بأنها مسار سريع في:

1. مرشح جدار الحماية (على الرغم من أن هذا قابل للنقاش ، إلا أنني سأوضح السبب في المثال) ؛
2. جدار الحماية
3. أمن بروتوكول الإنترنت
4. قوائم الانتظار مع parrent = global؛
5. نقطة ساخنة
6. VRF

إذا كان هناك شيء يتداخل مع الحزمة التي تمر عبر المسار السريع ، فسيتم إرسالها مثل جميع الرزم المتبقية على طول المسار البطيء.

يتم تمكينه عن طريق إضافة قاعدة (انظر أدناه) في جدار الحماية. يتم وضع علامة على حزم FastTrack فقط من الاتصال الثابت (يمكنك وضع علامة جديدة ، ولكن بعد ذلك ستكون هناك مشاكل مع NAT). يتم استخدام جدول التصفية لأن عند وضع علامة على المسار السريع في التنصيص ، ستكون هناك مشكلات في NAT مرة أخرى.

اختبار الاصطناعية

و (للاختبار الأخير) ما تم تكوينه وكيف نجحت:
استمرت قواعد التصفية في معالجة حركة المرور (إذا قمت بتعطيل السماح بتأسيس حركة المرور ذات الصلة ، فقد تم إسقاطها) ، تم اكتشاف الحزم التي لم تصل إلى FastTrack في postrouting + mangle.

في Connection Tracker ، يمكنك تتبع اتصالات FastTrack بالعلم الذي يحمل نفس الاسم.

في عدادات [IP] -> [الإعدادات] ، يمكنك أن ترى أن FastTrack نشط ويعمل ، لكن FastPath ليس كذلك.

 /ip firewall filter add action=fasttrack-connection chain=forward connection-state=established,related add action=accept chain=forward connection-state=established,related add action=accept chain=forward connection-state=new add action=drop chain=forward /ip firewall mangle add action=mark-packet chain=postrouting connection-state=established,related new-packet-mark=q1 passthrough=no src-address=20.20.20.0/24 /ip firewall nat add action=masquerade chain=srcnat out-interface=ether1 

بدلا من الاستنتاج

استخدام أم لا؟

• FastPath لجسر - بالتأكيد نعم. على الأقل يقلل الحمل على وحدة المعالجة المركزية.
• فاست باث للأنفاق - رقم أنه يعمل الموحلة ، يتم إيقاف تشغيله إذا كان هناك تشفير.
• FastPath for Layer3 - بشكل مثير للجدل ، يتم فقد معظم قدرات جهاز التوجيه. بشكل كبير ، مغلق عن الإنترنت المتوحش ، يمكن أن يكون للشبكة مكاسبها الخاصة (الصغيرة).
• FastPath for MPLS / VLAN / Bonding / VRRP - يتم تمكينه تلقائيًا ، إن أمكن. لا يوجد خيار منفصل للسيطرة.
• FastTrack - مناسب لتكوينات المنزل و SOHO بدون قوائم انتظار وجدار حماية بجنون العظمة مناسب. تبدو الاختبارات الاصطناعية مع عميل واحد جيدة ، في الممارسة العملية ، تحتاج إلى مراقبة حركة المرور التي تجاوزت FastTrack بسرعة والبحث عن السبب.

الروابط بالإضافة إلى ذلك

https://wiki.mikrotik.com/wiki/Manual:Fast_Path
https://wiki.mikrotik.com/wiki/Manual:IP/Fasttrack
http://mum.mikrotik.com/presentations/UA15/presentation_3077_1449654925.pdf