Introducción
El manejo del ancho de banda es una parte escencial del trabajo diario de todo ISP, usuario comercial o doméstico. Hay varias formas diferentes de hacer esto con el RouterOS Mikrotik ya sea usando QoS, Limite de tasa de transferencia, limite de paquetes, solo por nombrar algunos En lo personal, el autor del presente, es administrador de un ISP que presta servicio inalámbrico en una zona donde no hay otro proveedor de conexiones de banda ancha (Ej.: Cable, Fibra, ADSL, etc). El autor se encuentra con el problema de que su mas rápida conexión troncal no le provee suficiente ancho de banda como para tener un solo vínculo contra internet. Como consecuencia de esta limitación el balanceo de carga es sumamente importante para el (y para el traductor del presente!) En el pasado el autor utilizó ECMP, conexion con mantenimiento persistente de la puerta de enlace (para mas datos vea http://wiki.mikrotik.com/wiki/Load_Balancing) como algunos otros métodos. Como era de esperar, el autor encontró muchos problemas de retardos (entre otros), no se balanceaba correctamente, se cortaban las descargas largas, problemas con los mensajeros instantáneos (MSN, Yahoo, etc) son solo algunos. Asi que el autor se dedicó a investigar como obtener un mayor control de su ancho de banda tratando de minimizar los potenciales problemas (al igual que el traductor!). El resultado fué el balanceo de carga en función del tráfico que se presenta. Este tutorial esta escrito para tratar este tema en forma específica y lo mas profunda posible, en un futuro el autor agregará información sobre resistencia a fallas de enlace (fail over) y QoS (y este traductor traducirá!)
(n del t: algunos términos son dejados en ingles a fin de facilitar su ubicación entre los comandos del RouterOS)
Aquí tiene un ejemplo de que tráfico es separable (sin orden en particular):
usando la lista anterior como ejemplo aquí es lo que vemos:
De nuevo y usando el ejemplo anterior, veremos un problema que puede surgir.
SSL - Lo bello de un sitio web es que utiliza peticiones separadas para cada tipo de datos, ej.: cargar 3 fotos diferentes de 3 fuentes diferentes con requerimientos a cada uno de los respectivos servers. El resultado es que tenemos un sitio web que usa SSL y HTTP, conocemos que en la mayoría de los casos los servidores web contestan la petición sin ocuparse de la dirección IP origen del server. No obstante, en este tipo especial de sitio web, el programador/diseñador "revisa" desde "que dirección IP" se originó el pedido y si encuentra diferencias entonces no completará la respuesta (esto puede ser accidental o a propósito). El autor tuvo 2 casos así, en ambos casos fueron sitios médicos con seguridad para los datos de esas empresas.
P2P y desconocido - Manejamos este tráfico junto por que este es un problema único. El RouterOS no puede identificar el P2P en una condición simple, pero, a cambio, analiza paquetes!, esto quiere decir que el RouterOS necesita tiempo para ver los datos ANTES y saber si es en efecto P2P. Como resultado RouterOS no sabe si tiene un paquete P2P hasta DESPUES que la conexión está establecida. Esto es importante por que la única manera de enviar este tráfico a una determinada conexión a internet es conociendo el tráfico ANTES de que el mismo establezca una conexión de salida, el tráfico desconocido es eso, "desconocido". Marcándolo como tal se puede definir por que conexión saldrá y se puede especificar que enlace se usa para P2P y el trafico "en general" (muy útil!)
Asumimos que las direcciones IP, rutas por defecto y DNS ya estan correctamente configurados para que los usuarios tengan acceso a internet
Creamos una Address-List que permita la salida de nuestros usuarios a internet
El manejo del ancho de banda es una parte escencial del trabajo diario de todo ISP, usuario comercial o doméstico. Hay varias formas diferentes de hacer esto con el RouterOS Mikrotik ya sea usando QoS, Limite de tasa de transferencia, limite de paquetes, solo por nombrar algunos En lo personal, el autor del presente, es administrador de un ISP que presta servicio inalámbrico en una zona donde no hay otro proveedor de conexiones de banda ancha (Ej.: Cable, Fibra, ADSL, etc). El autor se encuentra con el problema de que su mas rápida conexión troncal no le provee suficiente ancho de banda como para tener un solo vínculo contra internet. Como consecuencia de esta limitación el balanceo de carga es sumamente importante para el (y para el traductor del presente!) En el pasado el autor utilizó ECMP, conexion con mantenimiento persistente de la puerta de enlace (para mas datos vea http://wiki.mikrotik.com/wiki/Load_Balancing) como algunos otros métodos. Como era de esperar, el autor encontró muchos problemas de retardos (entre otros), no se balanceaba correctamente, se cortaban las descargas largas, problemas con los mensajeros instantáneos (MSN, Yahoo, etc) son solo algunos. Asi que el autor se dedicó a investigar como obtener un mayor control de su ancho de banda tratando de minimizar los potenciales problemas (al igual que el traductor!). El resultado fué el balanceo de carga en función del tráfico que se presenta. Este tutorial esta escrito para tratar este tema en forma específica y lo mas profunda posible, en un futuro el autor agregará información sobre resistencia a fallas de enlace (fail over) y QoS (y este traductor traducirá!)
(n del t: algunos términos son dejados en ingles a fin de facilitar su ubicación entre los comandos del RouterOS)
Funciones del RouteOS Utilizadas aquí
- Firewall mangle rules
- Firewall address-lists
- Routing
Paso 1 - Cómo separar el tráfico?
Antes de ingresar a su RouteOS WinBox ya debe tener una idea aproximada de como separar su tráfico, y debe entender que trafico puede separarse y cual no.Aquí tiene un ejemplo de que tráfico es separable (sin orden en particular):
- HTTP tráfico (port 80)
- SSL tráfico (port 443)
- POP3 tráfico (port 110)
- SMTP tráfico (port 25)
- P2P tráfico (varios puertos)
- Unknown tráfico (varios puertos)
usando la lista anterior como ejemplo aquí es lo que vemos:
- HTTP tráfico (sin impedimentos conocidos)(n de t: si conocen alguno, avisen!)
- SSL tráfico (algunos problemas, para los sitios SSL normales y el 90% de todo el software no es un problema, luego veremos por que pueden surgir)
- POP3 tráfico (sin impedimentos conocidos)
- SMTP tráfico (sin impedimentos conocidos)
- P2P tráfico (el p2p debe salir siempre por la misma conexión como tráfico desconocido, luego veremos por que)(n del t: aquí se usa "desconocido" como "sin catalogar")
- desconocido tráfico (debe salir por la misma conexión y nombrado como P2P, mas adelante se explica el motivo)
De nuevo y usando el ejemplo anterior, veremos un problema que puede surgir.
SSL - Lo bello de un sitio web es que utiliza peticiones separadas para cada tipo de datos, ej.: cargar 3 fotos diferentes de 3 fuentes diferentes con requerimientos a cada uno de los respectivos servers. El resultado es que tenemos un sitio web que usa SSL y HTTP, conocemos que en la mayoría de los casos los servidores web contestan la petición sin ocuparse de la dirección IP origen del server. No obstante, en este tipo especial de sitio web, el programador/diseñador "revisa" desde "que dirección IP" se originó el pedido y si encuentra diferencias entonces no completará la respuesta (esto puede ser accidental o a propósito). El autor tuvo 2 casos así, en ambos casos fueron sitios médicos con seguridad para los datos de esas empresas.
P2P y desconocido - Manejamos este tráfico junto por que este es un problema único. El RouterOS no puede identificar el P2P en una condición simple, pero, a cambio, analiza paquetes!, esto quiere decir que el RouterOS necesita tiempo para ver los datos ANTES y saber si es en efecto P2P. Como resultado RouterOS no sabe si tiene un paquete P2P hasta DESPUES que la conexión está establecida. Esto es importante por que la única manera de enviar este tráfico a una determinada conexión a internet es conociendo el tráfico ANTES de que el mismo establezca una conexión de salida, el tráfico desconocido es eso, "desconocido". Marcándolo como tal se puede definir por que conexión saldrá y se puede especificar que enlace se usa para P2P y el trafico "en general" (muy útil!)
Paso 2 - Configurando la red
Para empezar a desarrollar este tutorial, necesitamos una red ficticia que usaremos como ejemplo- Computadoras Cliente (172.18.1.0/24)
- Internet Gateways (10.0.1.1/24, 10 0.2.1/24)
- RouterOS IPs (10.0.1.2/24, 10.0.2.2/24)
Creamos una Address-List que permita la salida de nuestros usuarios a internet
/ ip firewall address-list add list="Allowed - Internet" address=172.18.1.0/24 comment="" disabled=noCreamos una Address-List para aquellos usuarios que necesitan saltarse el balanceo
/ ip firewall address-list add list="WAN-01" address=172.18.1.24/32 comment="" disabled=no add list="WAN-02" address=172.18.1.76/32 comment="" disabled=noAplicamos 'Masquerading'al tráfico a cada conexión a internet
/ ip firewall nat add chain=srcnat action=masquerade out-interface="WAN - 01" src-address-list="Allowed - Internet" comment="Gateway 10.0.1.1/24" disabled=no add chain=srcnat action=masquerade out-interface="WAN - 02" src-address-list="Allowed - Internet" comment="Gateway 10.0.2.1/24" disabled=noLos clientes deben poder navegar la internet, sin embargo una sola conexión a internet será usada (la que esté declarada en la default route)
Paso 3 - Usando la herramienta MANGLE en RouterOS's marcamos el tráfico específico
Lo que sigue son los comandos necesarios del RouterOS para marcar el tráfico en particular por una determinada ruta. Para esto se usa la misma tabla de trafico mostrada en el ejemplo/ ip firewall mangle add chain=prerouting action=mark-routing new-routing-mark="WAN-01" src-address-list="WAN-01" passthrough=no comment="" disabled=no add chain=prerouting action=mark-routing new-routing-mark="WAN-02" src-address-list="WAN-02" passthrough=no comment="" disabled=no add chain=prerouting action=mark-routing new-routing-mark="HTTP Trafico" passthrough=no dst-port=80 protocol=tcp comment="" disabled=no add chain=prerouting action=mark-routing new-routing-mark="SSL Trafico" passthrough=no dst-port=443 protocol=tcp comment="" disabled=no add chain=prerouting action=mark-routing new-routing-mark="POP3 Trafico" passthrough=no dst-port=110 protocol=tcp comment="" disabled=no add chain=prerouting action=mark-routing new-routing-mark="SMTP Trafico" passthrough=no dst-port=25 protocol=tcp comment="" disabled=no add chain=prerouting action=mark-routing new-routing-mark="P2P Trafico" passthrough=no p2p=all-p2p comment="" disabled=no add chain=prerouting action=mark-routing new-routing-mark="Unknown Trafico" passthrough=no comment="" disabled=noLas primeras dos lineas, nos dejan un método para que puedan salir aquellos clientes que no puedan salir por el balanceo de carga y necesiten una conexión determinada. Las líneas que siguen, con marca de tráfico basado en el puerto de destino, dicen que tráfico se marca y que tráfico se deja pasar aún si no lo conocemos, esto es siempre para diferentes conexiones a internet tanto si sabemos que es P2P como si no pudiendo salir tambien por la ruta por defecto. El autor tambien marca el p2p separado para que pueda salir por la misma conexión a internet como si fuera desconocido. Hace esto por algunas buenas razones, una es que puede detener TODO el p2p con solo deshabilitar la ruta de salida y otra es que para su RouterOS es usa QoS que es muy sencillo de recordar como esta configurado Asi ahora vamos a poner cada tráfico en su respectiva ruta, lo que sigue se agrega a las rutas actuales
Paso 4 - Usando la función de ruteo para forzar el tráfico por una determinada conexión
Lo que sigue son los comandos necesarios para agregar las rutas al RouterOS para los paquetes marcados como HTTP, SSL, POP3, SMTP, P2P, y desconocido/ ip route add dst-address=0.0.0.0/0 gateway=10.0.1.1 scope=255 target-scope=10 routing-mark="WAN-01" comment="" disabled=no add dst-address=0.0.0.0/0 gateway=10.0.2.1 scope=255 target-scope=10 routing-mark="WAN-02" comment="" disabled=no add dst-address=0.0.0.0/0 gateway=10.0.2.1 scope=255 target-scope=10 routing-mark="HTTP Trafico" comment="" disabled=no add dst-address=0.0.0.0/0 gateway=10.0.2.1 scope=255 target-scope=10 routing-mark="SSL Trafico" comment="" disabled=no add dst-address=0.0.0.0/0 gateway=10.0.2.1 scope=255 target-scope=10 routing-mark="POP3 Trafico" comment="" disabled=no add dst-address=0.0.0.0/0 gateway=10.0.1.1 scope=255 target-scope=10 routing-mark="SMTP Trafico" comment="" disabled=no add dst-address=0.0.0.0/0 gateway=10.0.1.1 scope=255 target-scope=10 routing-mark="P2P Trafico" comment="" disabled=no add dst-address=0.0.0.0/0 gateway=10.0.1.1 scope=255 target-scope=10 routing-mark="Unknown Trafico" comment="" disabled=noLas primeras dos lineas proveen la ruta de salida para los clientes que NO salen por balanceo de carga
Paso 5 - Revisión de lo que se hizo
Que fué lo que hizo?:- Usted inteligentemente separó su tráfico en diferentes tipos
- Usted marcó paquetes usando la herramienta Mangle
- Usted creó una lista especial para aquellos clientes que NO puedan salir por el balanceo de carga
- Usted asignó una rura particular para cada paqueta marcado en el Mangle
Conclusión
Lo que acaba de hacer es muy potente y este tutorial le ha mostrado solo la punta del iceberg. Los tipos de tráfico que el autor listó son solo una pequeña cantidad del total y usted DEBERA agregar otros (ej: DNS, terminal services, ICMP, etc). Esto puede usarse como una solución tambien en oficinas o pequeños comercios para, por ejemplo separar el mail de su navegación a internet o, en una red grande inalámbrica para balancear carga. Algunos consejos al final:- Piense lo que quiere hacer antes de comenzar
- Ponga atención en el tipo de tráfico en cada linea (si es entrante intensivo o saliente intensivo)
- Finalmente pruebe, nada mejor que encontrar mejores y mas rápidas e inteligentes formas de mejorar los servicios con muy pequeña inversión!
.jpg)
Entradas
