Содержание
Описание
Опция IPv4 FastTrack используется для автоматической маркировки соединений. Только TCP и UDP соединения могут быть маркированы. IPv4 FastTrack поддерживает NAT (SNAT, DNAT или оба). Обратите внимание, что не все пакеты в соединении могут быть переданы с помощью fasttrack, даже, если они промаркированы соответствующим образом. По этой причине fasttrack-соединение идет после идентичного правила action=accept. При использовании FastTrack в основной массе не будут работать файерволл, трассировка соединений, очереди, учет ip-трафика, IPSec, универсальный клиент hotspot, распределение vrf. По этой причине администратор должен внимательно следить что бы fasttrack не накладывалась с другими настройками маршрутизатора.
Требования
IPv4 FastTrack будет работать при условии выполнения следующих условий:
- не используются mesh или metarouter;
- sniffer, torch или traffic generator не запущены;
- /tool mac-scan активно не используется;
- /tool ip-scan активно не используется.
Поддерживаемые аппаратные платформы
Fasttrack поддерживается на следующих устройствах:
| RouterBoard | Интерфейс |
|---|---|
| RB6xx series | ether1,2 |
| RB7xx series | all ports |
| RB800 | ether1,2 |
| RB9xx series | all ports |
| RB1000 | all ports |
| RB1100 series | ether1-11 |
| RB2011 series | all ports |
| RB3011 series | all ports |
| CRS series routers | all ports |
| CCR series routers | all ports |
| All devices | wireless interfaces, if wireless-fp or wireless-cm2 package used |
Пример
Первоначальная настройка
Например, на домашнем маршрутизаторе с заводскими настройками по умолчанию можно весь трафик локальной сети промаркировать с помощью опции Fasttrack со следующим правилом, помещенным в самый верх файерволла. Так же требуется аналогичное разрешающее правило:
Так же на вкладке Mangle появятся дополнительные правила, которые позволят использовать преимущество Fasttrack:
Предупреждение: Если вы используете очереди, правила файерволла и правила mangle, то эти правила не будут применены для трафика Fasttrack.
- Соединение будет обрабатываться с помощью FastTrack до тех пор пока соединение не закроется, не наступит тайм-аут или маршрутизатор не будет перезагружен.
- Dummy rule может быть убрано только после того, как правило FastTrack будет удалено или выключено и маршрутизатор будет перезагружен.
FastTrack на RB2011
Пример тестирования маршрутизатора RB2011 с одним потоком TCP.
В одной из предыдущих публикаций я описывал способ маркировки нужного трафика и его последующую отправку в VPN. Одной из негативных сторон описанного метода является необходимость отключения FastTrack.
FastTrack был добавлен начиная с версии RouterOS 6.29, функция очень полезная, если кратко, она позволяет пересылать пакеты без обработки ядром (Linux Kernel), как результат вы получаете существенное повышение производительности.
Включение FastTrack происходит при помощи команды:
Данное правило позволяет пересылать пакеты со статусом «Established» и «Related» напрямую получателю, минуя ядро и правила файрволла (брандмауэр). Таким образом, соединение, получившее статус Established/Related далее будет пересылать пакеты напрямую, без необходимости в дополнительной обработки или фильтрации при помощи Firewall.
Разумеется, соединение получает статус Established/Related только после прохождение файрволла, поэтому в дальнейшем соединение остается защищенным
И всё было бы хорошо, если бы некоторые нюансы, в частности, одновременная работа FastTrack и IPsec.
Начиная с версии RouterOS 6.30, разработчики добавили возможность маркировки соединений и пакетов, что позволяет видоизменить правило FastTrack, исключив из него ненужное.
Для того, чтобы промаркировать пакеты IPsec, нам необходимо прибегнуть к помощи Mangle из подменю Firewall.
При помощи данного правила, мы выполняем пометку (маркировку) всего входящего и исходящего трафика IPsec.
Теперь осталось только внести изменения в правило FastTrack, добавив в него connection-mark:
Наличие восклицательного знака перед меткой, означает, что правило будет исключать все пакеты и соединения с пометкой «ipsec». На этом собственно всё.
Видеокурс «Настройка оборудования MikroTik» (аналог MTCNA)
Учитесь работать с MikroTik? Рекомендую видеокурс «Настройка оборудования MikroTik». В курсе разобраны все темы из официальной учебной программы MTCNA и много дополнительного материала. Курс сочетает теоретическую часть и практику – настройку маршрутизатора по техническому заданию. Консультации по заданиям курса ведет его автор Дмитрий Скоромнов. Подойдет и для первого знакомства с оборудованием MikroTik, и для систематизации знаний опытным специалистам.
Что это: FastTrack это технология для разгрузки CPU при пересылке пакетов роутером – пакеты пересылаются без обработки. Таким образом ускоряется пересылка пакетов и уменьшается нагрузка на CPU.
Как включить
Открываем IP → Settings и ставим галочку «Allow Fast Path»
Далее добавляем правило в IP → Firewall → Filter Rules:
Автоматически создается правила, которые невозможно удалить:
То же самое командами:
Как посмотреть кол-во обработанных пакетов
Открываем IP → Settings и смотрим счетчики – в них должно быть что-нибудь, отличное от ноля:
