RouterBOARD 2011UiAS-2HnD-IN – a mindentudó router

Napjainkban mindennapi dolognak számít, hogy az otthoni internet kapcsolat meg van osztva több gép között (céges környezetben pedig magától értetődő). A piac tele van ilyen-olyan home vagy SOHO kategóriás routerekkel, melyeknél már nem kuriózum a wifi támogatás illetve egyéb extra képességeik is vannak (dinamikus dns kliens, egyszerűbb QOS, stb.). Az évek során nekem is volt jó néhány ilyen routerem, de amiben az egyik jó volt, az más képességekben szegényebb. Valami olyasmit szerettem volna, ami valóban mindent tud. A címben szereplő router egy ilyen darab, és bár a hardvere is figyelemre méltó, tudását a Mikrotik nevű operációs rendszer teszi teljessé.

Mi ez a router tulajdonképpen és mitől annyira különleges?

1., A hardware

A kategória jól ismert brandjei (Linksys, D-Link, TP-Link, stb.) között valószínűleg idegenül cseng a Routerboard név. Pedig ez a rigai székhelyű, lett cég közel 20 éve, 1995 óta gyárt routereket és szolgálja ki a piacot a home kategóriás eszközöktől kezdve az ISP volumenű routerekig termékeivel. Maga a routerboard, mint neve nagyon találóan mutatja, egy célhardver, voltaképpen egy alaplap, melyet igény szerint több és többféle hálózati interfésszel szereltek fel. A fenti routert egy 600MHz-es processzor hajtja meg és 128MB RAM-mal rendelkezik. Hálózati oldalról 10 RJ45-ös portja van (5db gigabit port és 5db 10/100-as), melyekből 1 db élvez POE támogatottságot. Található rajta egy microUSB port és egy egy SFP port, mely kompatibilis bővítőport segítségével akár a 10GB-es link is elérhetővé válik. Van továbbá egy konzol portja is, just in case. A vezetéknélküli hálózati kapcsolatért pedig egy Atheros AR9300-as chip felel (B/G/N szabványú), mely 1W-os (!!!) wifi teljesítménnyel képes adni.

RB2011UiAS-2HnD alaplapja

RB2011UiAS-2HnD alaplapja

Természetesen nem ilyen, a fenti képen látható “pucéron” kapjuk a terméket. A doboz tartalmazza a router-t magát, a tápkábelt, egy microUSB – USB konverter kábelt. Kicsomagolás után ezt látjuk:

Jobban megnézve a dobozt, feltűnik, hogy felülnézetből a jobb felső sarokban egy ablakhoz hasonló kis téglalap látható. Nos, ez egy mini LCD érintőképernyő, mely egy sor információt tud megjeleníteni az eszközről, beleértve a realtime színes grafikonokat a hálózati interfészek forgalmáról. A megfelelő menüből a router szabályos újraindítása is kieszközölhető.

2., A szoftver

Nos, ez az, ami igazán naggyá teszi ezt az eszközt. Én magam a Mikrotik OS-sel 2004 körül találkoztam először. Túlzás nélkül: már akkor olyan lehetőségei voltak (itt még a 3.x-es verzióról beszélünk, most 6.7-nél tart), amelyeket csak a több százezer vagy 1-2 millió forintos Cisco routerekben lehetett megtalálni.  A feature-k terjedelme meghaladja ezt a leírást, ezért a hivatalos linkjét illesztem ide: http://wiki.mikrotik.com/wiki/Manual:RouterOS_features . Saját shell-je van, mely jó átláthatósága és következetessége mellett tartalmaz egy igen jól használható script-nyelv támogatást. Maga az OS Linux alapú. A menedzsmentje történhet ebből a shell-ből, webböngészőbőből vagy a saját, egyedi megoldású WinBOX felületen keresztül (mindháromról írok később). A szoftver különféle license-ekkel vásárolható, e router esetében a Level 5-ös license az, ami “jár” a routerrel és természetesen a lifetime upgrade. A license szintekről itt: http://wiki.mikrotik.com/wiki/Manual:License

3

A beüzemelés

Csatlakoztatjuk a 230V -ra és várunk. A kis LCD-n azonnal megjelenik a Mikrotik logo, két-három boot üzenet, majd a router kis beépített hangszórója kettőt pittyen, és az eszköz működik. Itt először egy pici negatívumot is kell írnom: ez a router nem a kezdőknek készült. Nem a D-Link-féle “adok-hozzá-egy-telepítő-cd-t-és- azonnal-mindent-megcsinál” szemlélete van. Van ugyan egy alapkonfigja, ez a csomagolódobozra is rá van írva (default IP: 192.168.88.1, 2-10-es portig figyel, ill. az 1-es port dhcp client módúra van állítva), de ennyi. Még a wifi sem működik alapból (konfiguráltság hiányában le van tiltva az interfész). Mi hát a teendő?

Mint írtam, háromféle módon menedzselhető az eszköz. Shell (telnet, ssh, konzol, mindhárom esetén működik a dupla TAB-os kiegészítés), webes felület (ennek egyébként WebFig a neve), ill. a Winbox. Mi ez a Winbox? A Winbox egy egyszerű ,telepítést sem igénylő .exe file, melyből az eszköz minden paramétere elérhető. Nagyon következetes és barátságos felülete van. Én ezt a megoldást választottam (és ajánlom is) a menedzsmentre.

1

A router IP-címe vagy hostneve, felhasználónév és jelszó megadása után a ‘Connect’ gombra kattintva bejelentkeztünk a routerbe:

2

Látjuk, hogy az ablak bal oldalán egy rakat menü helyezkedik el; némelyiknek almenüje is van. Ezeket használva tudjuk a router konfigurálni.

A menedzsment

Őszintén szólva kicsit nehéz helyzetben vagyok, ha erről kell írnom, mivel a lehetőségek hatalmas száma miatt nem vállalkozhatom egy komplett manuál megírásása, nem is beszélve arról, hogy ezt már megtették helyettem: http://wiki.mikrotik.com/wiki/Manual:TOC . Ennél alaposabb és jobban részletekbe menő leírást nehezen lehetne írni.

Fontos tudnunk, hogy bár az alapkonfigurációban a 2-től a 10-ig portok össze vannak “fűzve” egy switchbe, ez nem magától értetődő. A 10 port lehet 10, egymástól független port is, azaz egy 10 portos router, de lehet egy 10 portos menedzselhető switch is. Akár egy 7 portos switch és 3 portos router felállás is. Switch oldalon természetesen VLAN-ozható is, ill. több switch között bonding-olhatóak is a portok, a nagyobb sávszélesség elérése végett. Bármely interfésznek adható IP cím, több is, ha erre van igény. Közös és ugyancsak praktikus dolog minden menüben, hogy az elemek nemcsak hozzáadhatók és elvehetők a konfigból, de engedélyezhetőek, letilthatóak és kommentezhetőek is. Router nagyon ki van hegyezve arra, hogy gazdája minden pillanatban pontos képet kaphasson a forgalomról, terheltségről, stb. Minden interfészhez tartozik realtime grafikon, TX/RX pillanatnyi és összes forgalom packet per sec és kilobyte per sec alapon.

Az én konfigurációm (egyelőre) a következőképpen néz ki. Egy interfész a VDSL modem felé (kvázi WAN port), a többi 9 port plusz a wlan interfész pedig összefogva egy multiport bridge-be a local LAN felé.

4

Packet filter és translation oldalról pedig kifelé minden, befelé csak a válaszkapcsolatok, ill. a belső hálós 192.168.55.x tartományt NAT-olja a WAN interfacen.

5
6

Továbbá egy redirect szabály, mely minden kifelé a 80-as tcp célportra tartó forgalmat a router 8080-as portjára irányít. Miért? A router OS tartalmaz egy nagyon jól használható beépített webproxy-t (én a router USB portjára dugott 2GB-s pendrive-ot használom e proxy cache drive-jának), és ide irányítja a webforgalmat. Egyszóval, ez az egy szabály egy transzparens proxy-vá is tette a routert egyben.

Extrák

1,  SMB szerver

Az USB portra (akár USB hubon keresztül is) rádugott merevlemez megosztható SMB protokoll használatával (windows network share). Megosztások, user kezelés működik, egyelőre munkacsoport módban csak, de könnyen el tudom képzelni, hogy a jövőben az AD integrációt is megoldják.

2., Traffic flow

Cisco routerekben régi és bevált technológia a “netflow”. A Mikrotik is tudja ezt,  támogatja a version 1, 5, és 9-et is. Megfelelő collector használatával a hálózat totálisan nyomonkövethető forgalom és kapcsolatok tekintetében.

3., QOS és packet manipulation

Abszolút kifinomult QOS kezelés, forgalom priorizálás. Csomagok, kapcsolatok megjelölése és ezek alapján osztályozása, stb. Linux Iptables ismeretekkel nagyon egyszerű a kezelése.

4., Layer 7 classification

Támogatja a Layer 7 reguláris kifejezéseket, ami által a forgalom sokkal finomabb (igaz, erőforrás igényesebb) megfigyelése lehetővé válik. http://l7-filter.sourceforge.net/protocols (az össze itt felsorolt regexp beilleszthető).

5., Metarouter

Nos, igen, a virtualizáció. Ami a Solarisnak a zóna, az AIX-nak az LPAR, a Linuxnak a jail, az a Mikrotik-nek a METARouter. Virtuális router a routeren belül.

6., VPN-ek

Gyakorlatilag majd minden VPN majd minden módban támogatott. IPSEC, L2TP with IPSEC, OpenVPN, PPTP VPN, mindezek network-network vagy host-network topológiában is. VPLS és MPLS ugyancsak támogatott.

7., Hotspot

Nos, ezt annyira összehozták, hogy komplett központok, csarnokok, nyilvános helyek forgalom vagy idő alapú számlázással,  felhasználónévre és jelszóra, de akár MAC addressre épülő autentikációval megoldott hotspotja működtethető. Támogatja a RADIUS szervereket és a voucherek (hotspot ticketek) nyomtatását is.

7., Egyebek

Említettem már a scriptelhetőséget. Feladatütemező. NTP kliens és szerver.

8., Enterprise routing

Teljeskörű BGP, OSPF, RIP, RIPng, MPLS, VPLS, VRF, MME (Mesh Made Easy) támogatás

9., Source ill .policy routing

Redundáns,failover ill forgalomfüggő routing-ok konfigurációja

10., VRRP

Virtual Router Redundancy Protocol. Segítségével és egy másik Mikrotik eszközzel redundáns gateway-ek, tűzfalak építhetők. Teljeskörűen támogatja.

Hirtelen ennyi, ami eszembe jutott és ezeket különböző környezetekben magam is használtam. Természetesen sokkal több ennél az, amit tud.

Összegzés

Nem is titkolom: erről a rendszerről csak szuperlatívuszokban tudok nyilatkozni. Iskolapéldája annak, hogy egy jó csapat, ha gondolkodik és akarja, akkor elfogadható áron tud kiváló TERMÉK-et gyártani. Összehasonlításul: egy Cisco 2600-as router vmikor 1999-2000 környékén súlyos százezrekbe került (talán millión fülül volt árban). Tudásban ugyanez Routerboard-dal és Mikrotikkel kialakítva bőven százezer forint alatt volt. Ami pedig az enterprise volument illeti, egyik előző munkahelyemen a BIX BGP peering routert építettem ilyenből, és évekig ment mindenféle probléma nélkül. A fentebb bemutatott Routerboard RB2011UiAS-2HnD ára szálítással és utánvéttel együtt ~33 ezer forintba került. 2012-től pedig a cloud routerek gyártását is megkezdték (Cloud Core Router CCR1036-8G-2S+EM, 36 CPU core, 1200Mhz/core és 16GB RAM).A cég évek óta és szinte heti gyakorisággal szervez világszerte ún. MUM-okat (Mikrotik User Meeting), ahol a workshopok mellett certified Mikrotik előadók osztják meg tudásukat az jelenlevőkkel.