Приветствую, коллеги! Продолжаю обзор на, пожалуй, самые доступные роутеры на рынке, которые, тем не менее, широко используют в разных организациях, иногда очень больших с персоналом более 3000 человек.
В первой статье мы рассматривали основные плюсы микротов, которые позволяют им внедряться в инфраструктуру организаций и полноценно использоваться в качестве профессиональных маршрутизаторов. Сейчас я хочу продолжить описание самых вкусных, на мой взгляд, функций этих роутеров, которые позволяют им конкурировать с Cisco или Juniper. Чтобы не начинать срач в комментах, сразу оговорюсь, что конкуренция, в моей интерпретации, не означает равный функционал, равные возможности, качество сервиса и надежности. В данном случае, лишь цена и хорошая функциональность позволяют им держаться в этом сегменте. Когда мы дойдем до некоторых нюансов работы, например, очереди QoS - сразу станет ясно почему все так дешево. Но это потом, а пока о хорошем.
Маршрутизатор
Основной набор функций, который нужен роутеру для создания на нем полноценного домашнего или для малого офиса маршрутизатора, присутствует. Это и различные типы подключения интернет: IPoE статикой или по dhcp, pppoe-авторизация, usb-модем для обеспечения резерва... Очень неплохой набор на старте, который позволит подключить "хоть что-нибудь, хоть как-нибудь". Далее, полноценный dhcp-сервер с различными опциями или dhcp-relay, если у вас есть централизованный сервер, например, на домен-контроллере. Все работает без нареканий, качественно и четко. Мной не было замечено проблем, связанных с этими службами. Конечно же, имеется arp-таблица и очень гибкий firewall. Фаервол можно настраивать как по ip, так и по mac-адресам, которые тут же можно взять из таблиц dhcp-сервера или arp. На мой взгляд, фаервол сделали очень гибким и бОльшая часть его функционала никогда в жизни не потребуется. Тем самым он очень отпугивает новичков и неопытных админов. Порой, они там теряются в нем, что просто выключают все и выставляют, извиняюсь, голой зопой в интернет. Многообразие функций и вариантов настройки, конечно, хорошо, но в данном случае оно играет обратную роль. Я работал с маршрутизаторами XyXEL ZyWALL USG - вот на них, не говоря об остальных минусах, неплохо продуманы мастера первоначальной настройки и далее как-то все проще реализовано и не вызывает такого отторжения. С Cisco сравнивать не стоит, т.к. это изначально ентерпрайз-продукт и подразумевается, что настраивают их люди опытные. А вот микротик, на мой взгляд, в этом промахнулся, когда начал позиционироваться и вашим и нашим...
Очень коварная вещь есть в настройке DNS.
Эта гадкая галочка позволяет, при ненастроенном/кривонастроенном фаерволе запрашивать адреса у вашего микрота со всех внешних адресов. Она по умолчанию активна и позволяет разного рода злоумышленникам использовать ваш роутер для ddos атак на другие компании, перенаправляя кучу пакетов udp от вас и таких как вы на адрес жертвы. Так что снимайте ее смело: находится в IP -> DNS.
Кол-во прописанных здесь servers не имеет большого значения - эти параметры используются только самим роутером, когда он ищет новую прошивку или ntp-сервера сверяет. Для внутренних клиентов значение dns-сервера прописывается в параметрах dhcp-сервера.
Дополнительно в этой главе необходимо упомянуть о таких вкладках фаервола, как NAT и Mangle. Если с НАТом все более или менее понятно - это проброс ip/port из внешней сети во внутреннюю и обатно, то Мангл позволяет нарисовать некий аналог Cisco Track-list, в котором можно задать направление для конкретного внутреннего клиента выход через второго провайдера (а не по дефолтной метрике) или вообще его зарулить внутрь впн-туннеля, чтобы он виртуально мог выйти в интернет через вашу другую площадку. Механизм очень мощный, но капризный, как и весь функционал такого рода, реализованный на микротах.
Отдельно и долго можно рассказывать про реализацию отказоустойчивости несколькими провайдерами. Вот тут можно хлебать долго и много и, чтобы добиться действительной автоматизации процесса переключения между провайдерами, придется надолго засесть за мануалами и перепробовать не один конфиг, пока получите то, что хотели. Скажу сразу, что чтобы они работали отдельно друг от друга, нужно маркировать входящий и исходящий трафик каждого прова функцией Мангл. В противном случае, чтобы вы ни делали, трафик резервного прова будет выходить по дефолтному гейтвею с наименьшей метрикой. К этому, как и к другим нюансам, надо просто привыкнуть.
Динамическая маршрутизация
Тут почти не к чему придраться: RIP, OSPF, BGP и парочка других. Если методом исключения, то RIP - как пишется, так и используется, для BGP у младших моделей не хватит мощности, так что лучше не экспериментируйте - свалится в вечную перезагрузку, а вот OSPF вполне рабочий и нареканий к нему, наверное, нет. Работает четко, все по ТТХ - 10с на формирование и загрузку таблицы маршрутизации. Не все гладко со стоимостью маршрутов и некоторые свои впны микрот считает приоритетней прямых линков через ядро циски. В целом это лечится, но хотелось бы, чтобы это "из коробки" работало нормально... Но, что имеем, то и используем.
Proxy
Интересная вещь на маршрутизаторе - собственный прокси-сервер. Прям отдельная служба, со своими отдельными правилами. Если офис небольшой, а на остальных площадках используются прокси, то это прям находка для многих. Настройка занимает 5-10 минут, все элементарно и вполне понятно. Причем, это не просто прокси, но кэширующий прокси. Можно подключить к микроту флешку и на нее настроить кэширование. К сожалению не нашел как настроить авторизацию на этой проксе через radius-сервер и далее, например, через домен. Вероятно такая возможность есть, но не буду утверждать, т.к. не особенно пытался реализовать. А вот авторизация на сам микрот через радиус и доменную учетку можно настроить. Как и впн для пользователей: встроенный в винду l2tp-клиент настраивается на доменную учетную запись - это отлично работает, проверено.
На этом, наверное, пока закончим, чтобы от маршрутизации мозг в трубочку не свернулся. В следующей статье вкратце расскажу о коммутаторных возможностях: vlan'ы, бриджи, вай-фай...
Спасибо за внимание, надеюсь было интересно. Повторюсь, данные статьи не рекламируют и не ругают Микротик - я описываю вкратце функциональность этих роутеров, которую сам опробовал на практике в рамках работы внутри большой компании. А основной вопрос из заголовка, мы раскроем по ходу - чем же цепляет микрот и почему даже крупные фирмы не готовы пересаживаться на более именитых конкурентов.
