Доброго времени суток, уважаемые!
Это моя первая статья на Дзене, надеюсь не последняя и я хотел бы развернуть ее на несколько частей, чтобы мельком обозначить основные моменты по использованию данных роутеров, обрисовать плюсы и минусы. Вы поправляйте, пожалуйста, если таковое потребуется и обозначайте дальнейший путь развития данной темы. Спасибо и приятного чтения!
Введение
Итак, наверное Вас не пугают термины роутер, фаервол, микротик, коль уж Вы прошли по данной ссылке. Но, считаю небольшое отступление, все же, стоит сделать, чтобы статья, а я надеюсь, что это будет, все же, серия, не создавала впечатления некой избранности и отталкивала любознательных новичков. Так вот, Роутер (Router), он же Фаервол (Firewall) - это ус-во, которое разграничивает некими правилами внешнюю сеть интернет от внутренних сетей, где работает ваш компьютер/мобильный телефон/телевизор... Микротик - это фирма и серия ус-в, которые работают на Линукс-подобной Операционной Системе (ОС). В этом есть свои достоинства и, конечно же, недостатки. Но, во многом, эти ус-ва обрели свою нишу и твердо закрепились на рынке. В основном, как недорогие функциональные ус-ва, которые опытный администратор может настроить на выполнение практически любых задач. Причем, что немаловажно, прошивка на всех моделях одна и та же, что говорит нам лишь о железных ограничениях и функционале, который ограничивается только производительностью самой модельки, но не прошивкой или лицензий. А это для опытных админов просто поле не паханное.
Так что же нам это дает и зачем многие организации, даже те, у которых есть деньги на Cisco, внедряют и пользуются этими недорогими и, извините, ломучими железками? А все очень просто: цена/функциональность. Как я уже написал выше - нет никаких ограничений в возможностях, все прошивки одинаковы по разным моделям и ограничения устанавливаются только мощностью используемого вами роутера. Т.е. можно собрать конфу на простеньких модельках, выгрузить ее в текстовый файлик и потом копи-пастом вставить в железку помощнее, если таковая необходимость появится. Удобно? - Конечно!
Домашний роутер
А что же про домашнее использование? Да все просто: цена. Цена на данные роутеры начинается от 1500 руб. за самые слабенькие и самые распространенные модельки RB-951. За эти деньги мы можем получить мощный для дома роутер с вай-фаем, 1 PoE портом, usb-выходом, в который можно воткнуть 3G/4G-свисток и очень гибкой настройкой фаерволла. Это очень удобно для дачи, например. Предположим, вы - студент, который увлекается информационными технологиями и сетями передачи данных. Вам нужен мощный и недорогой инструмент для этого, на котором можно отработать/попрактиковаться с разными технологиями: динамическая маршрутизация, vpn, nat, vlan, dhcp и мн.др. Микротик в этом плане вам подойдет как ничто другое.
Но, на мой взгляд, просто для дома, в качестве вай-фай-точки - это слегка перебор. Вы не сможете и на 10% использовать его функционал, а вот нарекания на дальность вай-фая или надежности блоков питания (БП) - вполне возникнут. Но, на вкус и цвет - все фломастеры разные...
Итак, организации. Как же так получилось, что такую "фитюльку" используют сплошь и рядом в крупных и не очень компаниях?! Далее попробую с этим вместе с вами разобраться.
Мониторинг
Вот небольшой пример встроенной системы мониторинга The Dude. Это лишь небольшой кадр из моего общего экрана. Если присмотреться, то здесь видно модели у некоторых ус-в, а у некоторых цифры, например, "5/0/0" - это не что иное как ссылка в группу ус-в. Т.е. при двойном клике на Kaliningrad - мы провалимся в другую схему с дополнительными железками. Причем эти железки не обязательно только Микроты - на мониторинг можно добавлять сервера, АТС и файловые шары. Если 1 из серверов "группы" плохо себя чувствует - вся группа на основном экране окрашивается оранжевым, а если совсем упал, то красным. Это достаточно удобно для мониторинга в режиме реального времени - вывести на отдельный экран для себя или вообще развернуть на отдельном компьютере. Клиент, устанавливается на любую ОС, а сам сервер крутится на одном из микротов. Да, есть нарекания с логированием и полнотой логированной информации, но, в общем и целом, этого достаточно, чтобы оно висело где-то перед глазами и вы моментально, еще до звонков пользователей, знали о проблеме: видно упал ли весь линк до удаленного офиса или отдельный сервис внутри этой площадки. Соответственно это все влияет на время вашей реакции на инцидент.
Рассчитывать только на этот мониторинг, конечно, не стоит. В любом случае нужна резервная система, которая будет логировать больше информации и иметь бОльшую глубину логирования. Но простота настройки и удобство "Дюдьки" оценит любой сетевой инженер.
Настройка
Для опытных или не очень админов очевидно удобство использования графического интерфейса. Это очень наглядно и сразу видно проблемное место: графики загруженности интерфейса, утилиты замера скорости, трассировки и мн.др. Все это удобство предлагает Winbox.
Про Winbox можно спорить. Особенно опытные админы будут настаивать на использование коммандно-строчного интерфейса через ssh, но, мое имхо, иметь несколько вариантов для настройки лучше, чем только один. И порой винбоксом гораздо быстрее и нагляднее увидеть опечатку в конфиге из-за которой не заводится ничего. Ну и сам cmd, мне кажется, сделан лишь для галочки и у меня, как у цискаря, вызывает скорее отторжение своей простотой/бестолковостью. Но спорить по этому моменту я не буду - кому что нравится, я лишь делюсь своими впечатлениями и опытом.
Связь между офисами (VPN)
ВПН на микротах представлен стандартным функционалом: pptp, l2tp, ipsec, gre. Все что нужно, чтобы выбрать свой вариант и обеспечить стабильный впн-туннель между офисами. Все настройки достаточно просты, но в то же время, вызывают вопросы, когда пытаешь их делать ручками через винбокс, как говорится "с нуля". Настройки прячутся в разных окнах и нет никакого мастера, который позволил бы хотя бы первоначально настроить самый простой вариант и постепенно усложнять его. Но в сети существует достаточное кол-во мануалов, которые пошагово помогут вам настроить тот или иной вариант.
Использование типа туннеля и шифрования в нем должна диктовать вам секретность информации, проходящая через него. В моем случае л2тп вполне достаточно, не буду объяснять почему, скажу просто, что внутри туннеля данные так же шифруются еще минимум 1 раз. А в целом, не могу рекомендовать pptp, так как ну это совсем уже дедушка, а gre over ipsec не везде оправдан и вы можете настроить и гордиться aes-шифрованием в ipsec'е, но если роутеры начнут загибаться по процу, начнут теряться пакеты и выть пользователи... Кому это в итоге надо?!
Наверное, на этом мы пока закончим, чтобы статья не вылилась в том. В дальнейшем, если вам зайдет такой формат, планирую ее дополнять, описывая внедренный мной функционал и последующий переход-миграцию на Cisco и все нюансы, которые всплывут при этом. Там и OSPF в EIGRP, и DMVPN, и многое-многое другое вкусное и интересное.
Спасибо, что прочитали, надеюсь Вам было интересно и познавательно. Не старался, для первой статьи, набивать ее лишними терминами - думаю, мы будем плавно двигаться по ним, постепенно расширяя кругозор. Как говорится: от простого к сложному. На последок бородатую шутку с смыслом:
Админы делятся на тех кто делает бэкапы и тех, кто уже делает бэкапы!
Удачи, коллеги!