Настройка внутренней адресации. Что расположено на корпусе устройства

Mikrotik RB2011UAS-2HnD-IN - многопортовый гигабитный маршрутизатор от MikroTik.

Приступаем к настройке устройства - центрального маршрутизатора. Подключаем во второй LAN-порт роутера сетевой кабель от компьютера. Открываем программу Winbox:

Нажмите кнопку... для отображения устройств MikroTik;
Кликните на MAC Address ;
Нажмите кнопку Connect . В Login по умолчанию ставим admin, пароль остается пустым.

Нажмите кнопку Remove Configuration , чтобы очистить начальную конфигурацию (см. рисунок ниже).

Установим новую версию прошивки. Для этого пройдите по ссылке

Настройка динамического IP-адреса

Если данное устройство получает IP-адрес автоматически по DHCP, необходимо выполнить настройки:
В левом меню открываем IP - DHCP Client и нажимаем на красный плюсик в углу. Т. о. мы создаем новое правило.
Из списка Interface выбираем тот, к которому подключен сетевой кабель провайдера. В нашем случае это первый порт ether1 .

Нажимаем Apply .

Если вы все сделали правильно, то в DHCP Client во вкладке Status появится информация о полученном IP адресе, адресе шлюза и DNS сервера.

Настройка статического IP-адреса

IP-адрес вашего роутера можно настроить вручную, :

Открываем в левом меню IP - Addresses и нажимаем красный плюсик (в верхнем углу).
В появившемся окне в поле Address введите IP-адрес и маску подсети, которую выдал провайдер, например 192.168.0.199/24 . Маску подстети указывают после слеша "/". Число 24 означает маску подсети 255.255.255.0. Если у вас другая маска подсети, найдите в интернете "калькулятор маски подсети", где вы и найдете число вашей маски.
Из списка Interface выбираем тот, к которому подключен сетевой кабель провайдера, например ether1 .

Нажимаем кнопку OK .

Открываем левое меню IP - Routes и нажимаем красный плюсик (в верхнем углу).
В поле Gateway вводим адрес шлюза, который вам выдал провайдер. В нашем случае это 192.168.0.1.

Настройка PPPoE соединения

Провайдер может предоставлять доступ к интернету по технологии PPPoE . Чтобы настроить PPPoE соединение, выполните следующее:

Заходим во вкладку меню PPP , открываем выпадающий список (возле красного плюсика) и выбераем PPPoE Client .
В появившемся окне во вкладке General в списке Interfaces выбираем интерфейс, к которому подключен сетевой кабель провайдера, например ether1 .

Далее открываем вкладку Dial Out .
В полях User и Password указываем логин и пароль для доступа к интернету.
Ставим галочку Use Peer DNS , чтобы получить адреса DNS сервера.
Нажимаем Apply .

Если вы все сделали правильно, то в DHCP Client во вкладке Status появится информация о выделенных адресах и имени сервера.

Настройка DNS сервера

Для того, чтобы ваше устройство работало в качестве DNS сервера, откройте в левом меню IP - DNS , ставим галочку Allow Remote Requests и нажмите OK .

Настройка PPPoE сервера

Клиенты беспроводной базовой станции получают доступ к интернету пс помощью PPPoE, для этого на центральном маршрутизаторе необходимо настроить PPPoE сервер, который будет выполнять авторизацию пользователей и обеспечивать им скорость согласно выбранному тарифному плану. Для этого создадим несколько профилей с разными скоростями:

Откройте в левом меню вкладку PPP - Profiles и нажмите красный плюсик для создания нового профиля.
В поле Name введите название профиля, например Tarif_1024K/515K . Профиль лучше называть так, чтобы можно было понять, какие ограничения скорости действуют для него.
В поле Local Address введите внутренний адрес сервера, в нашем случае это 10.1.0.1. (обычно он одинаковый во всех профилях).
Установите Change TCP MSS в значение Yes .

Перейдите на вкладку Protocols и установите во все значения в No .

В последней вкладке Limits в поле Rate Limit (rx/tx) указываем ограничение скорости для профиля. Например, значение 512k/1024k ограничивает скорость отдачи для клиента 512k и скорость загрузки 1024k . Будьте внимательны! Rx обозначает скорость приема данных от клиента к роутеру, а Tx - означает передачу данных от роутера к клиенту. Если в ограничении указать букву M вместо K , то скорость будет ограничиваться в мегабитах.

Чтобы второй клиент не смог подключиться с одним и тем же логином и паролем, поставьте Only One в значение Yes . Нажмите OK .

Создаем второй профиль с именем Tarif_2048K/1024K (в названии первым значением указывают скорость загрузки, а вторым - скорость отдачи).

Укажем для данного профиля соответствующие скорости 1024k/2048k (1024k - скорость отдачи, 2048k - скорость загрузки).

Создаем еще один профиль Tarif_4096K/1024K . У нас должно в целом быть три профиля с разными ограничениями по скорости.

Теперь создадим учетные записи клиентов для подключения к нашей сети. Переходим во вкладку Secrets , нажимаем красный плюсик . Далее пройдемся по представленным параметрам:

Name - логин пользователя.
Password - пароль пользователя.
В поле Service выбираем PPPoE .
Profile - имя профиля с ограничением скорости.
Remote Address - IP-адрес клиента. Можно устанавливать по порядку от 10.1.0.2 до 10.1.0.254. Потом просто меняем первую цифру в адресе и раздавайте следующую подсеть 10.1.1.1 - 10.1.1.254 и так далее.

Создадим второго клиента с увеличением IP-адреса Remote Address на 1 и еще несколько клиентов.

Вы увидите список, в котором отображаются все клиенты, которых вы можете сортировать по имени или IP-адресу. Чтобы отключить клиента, например за неуплату, выделите его и нажмите на красный крестик . Для включения клиента нажмите синюю галочка .

Рекомендуем с вниманием отнестись к выбору имен клиентов. Для клиентов частного сектора можно указывать фактический адрес, например lenina_12. Для клиентов многоквартирных домов - адрес улицы и квартиру, например lenina_20_kv45 и т.п. Так будет понятно, где находится клиент.

Service Name - название сервиса.

Interface - интерфейс, к которому будет привязан PPPoE сервер. (т. к. наша станция подключается ко второму LAN порту -выбираем ether2. Вы можете использовать и другие интерфейсы, например bridge или vlan).

Keepalive Timeout - время в секундах до отключения клиента в случае пропадания с ним связи. В кабельных сетях обычно ставят 5 секунд, в беспроводных - 30 секунд. Т. о. при отключении клиента от беспроводной точки и последующим подключением в инернет работает без перебоев.

Default Profile - профиль с ограничениями скорости по умолчанию.

One Session Per Host - поставьте эту галочку, чтобы не разрешать подключение нескольких клиентов с одного компьютера или роутера. Это поможет быстро находить неисправности в сети. Например, если где-то в радиоканале вы забыли включить режим WDS, то клиенты начнут постоянно переподключаться, что тут же привлечет внимание администратора.

Во вкладке Active Connection будут отображаться все клиенты, подключенные к нашей сети. При переподключении клиента время начинает отсчет с нуля. Чтобы отключить клиента, нужно выбрать его в списке и нажать вверху минус .

Во вкладке Interface отображается загрузка каждого клиента. Вы можете отсортировать клиентов по скорости. Двойным щелчком мыши по клиенту вы откроете окно статуса клиента, где будет график скорости и пакетной нагрузки.

При подключении клиента в меню Queues во вкладке Simple Queues автоматически создается правило с ограничением скорости.

Настройка NAT

Чтобы обеспечить клиентам доступ к интернету, вам необходимо настроить NAT . Открываем в левом меню IP - Firewall , заходим во вкладку NAT и нажимаем красный плюсик для добавления нового правила.

В открывшемся окне во вкладке General вводим следующие параметры:

Src. Address - 10.1.0.0/16

Dst. Address - ! 10.0.0.0/8 (с восклицательным знаком) Т. о. клиенты внутри сети смогут обращаться друг к другу напрямую без использования NAT.

Перейдите во вкладку Action и выберите из выпадающего списка мasquerade. Нажмите OK .

После этого в списке появится правило NAT , и клиенты смогут получить доступ в интернет.

После загрузки маршрутизатора RB2011 заходим в Winbox по MAC-адресу и приступаем к настройке внутренних интерфейсов.

Сначала нам необходимо объединить порты 1-5 в общий аппаратный коммутатор. Ведущим портом в нем назначается порт номер 1 и его необходимо переименовать на LAN1-Master. Остальные порты получат название LAN-Slave.

Для этого мы открываем меню Interfaces:

Двойным нажатием по интерфейсу Ether1 открываем окно и изменяем название порта на LAN1-Master.

После чего нажимаем кнопку OK

Затем открываем интерфейс Ether2, переименовываем порт на LAN2-Slave и в поле Master Port выбираем LAN1-Master

Таким образом порт добавляется в группу коммутатора с главным портом LAN1-Master. Аналогичные действия нужно провести с интерфейсами Ether3, Ether4 и Ether5.

После завершения операций в окне должно появится:

Буква S напротив интерфейса обозначает что он находится в состоянии Slave.

Теперь аналогичным способом настраиваются интерфейсы для DMZ.

Ether6 станет DMZ6-Master, а для Ether7 и Ether8 DMZ-Slave, установлена в качестве Master-порта интерфейс DMZ6-Master.

Также его можно будет добавить в описываемый в следующем разделе Bridge, чтобы получить еще один LAN-порт.

В итоге должно получиться следующее:

Теперь необходимо создать интерфейс Bridge, который объединит коммутатор из интерфейсов LAN и интерфейс Wi-Fi.

Для этого открываем меню Bridge, нажимаем кнопку с красным знаком [+] и в открывшемся окне вводим название нового интерфейса Bridge-Local, после чего нажимаем ОК

Переходим на закладку Ports и последовательно добавляем порт LAN1-Master

И порт Wlan1

После проведения последней операции должно получиться следующее:

Теперь назначим LAN-адрес маршрутизатора. В качестве адреса используется 192.168.88.1 с подсетью 255.255.255.0, что можно обозначить как 192.168.88.1/24

Для этого нужно открыть меню IP/Adresses, в открывшемся окне нажать кнопку с красным знаком [+] и заполнить поля, как показано на рисунке, после чего нажимаем кнопку ОК.

Теперь настраиваем DNS-сервер. Для этого зайти в меню IP/DNS, в открывшемся окне заполнить адреса DNS-серверов и поставить галочку рядом с Allow Remote Reqests.

*В качестве примера введены адреса публичных серверов Google, необходимо заменить их на сервера полученные у Вашего провайдера .

Для ввода второго и следующих DNS-серверов воспользуйтесь кнопкой «Стрелка вниз» рядом с полем ввода адреса сервера.

Переходим к настройке DHCP-сервера. Для этого нужно перейти в меню IP/DHCP Server и нажать кнопку DHCP Setup.

В качестве интерфейса выбираем Bridge-Local

После чего нажать кнопку Next пока в ячейке не появится «DNS Servers»

Нужно удалить нижний номер сервера нажатием на кнопку «стрелка вверх», рядом с полем, а в верхнем прописываем адрес маршрутизатора - 192.168.88.1

Нажимаем кнопку Next до появления сообщения об успешной настройке DHCP.

Закрываем программу Winbox, вытаскиваем Ethernet кабель из ПК и вставляем его назад. Убеждаемся, что компьютер получил адрес от маршрутизатора.

Которая помимо всего прочего, оснащена беспроводным модулем.

В стоечной версии RB2011UiAS-RM нет модуля Wi-Fi, что вполне логически, ведь маршрутизатор рассчитан на установку в серверный шкаф либо стойку. Шкафы изготавливаются чаще всего из металла, что станет препятствием для радиосигнала.

2011UiAS-RM поставляется в классической картонной коробке. Внутри помимо самого устройства содержится блок питания, набор Rack Mount (8 винтов и 2 угловые адаптера), винт с контргайкой для подключения заземляющего контура, наклейка Mikrotik, 4 самоклеющиеся силиконовые ножки, адаптер microUSB-to-USB и краткая инструкция по началу работы.

Штатный блок питания имеет напряжение 24 вольта, максимальный ток нагрузки 1.2А, что соответствует мощности 28.8 Вт. Учитывая максимальную потребляемую мощность в 15 Вт, блок питания имеет почти 50%-ный запас по мощности.

Последний 10-й порт поддерживает PoE Out с максимальным током потребления до 500 мА, что составляет 12 Вт. В пиковой нагрузке устройства и 10-го порта получается 27 Вт, что приближается к максимальной мощности штатного блока питания. Mikrotik RB2011UiAS-RM оснащен 5-ю гигабитными портами 10/100/100 Мбит, а также 5-ю портами 10/100 Мбит. Все порты поддерживают автоопределение Auto-MDI/X и работу в режиме полного дуплекса (Full Duplex).

Гигабитные порты расположены в левой части устройства, обычные Fast Ethernet - в центральной части устройства. Там же располагается цветной сенсорный экран. Между сетевыми блоками в два ряда размещены индикаторы активности портов. К сожалению, индикаторы имеют только один цвет - зеленый. Для Fast Ethernet это не столь важно, а вот для гигабитных портов хотелось бы видеть двухцветную индикацию (1G + 10/100M), как это реализовано даже в относительно простых моделях коммутаторов D-Link и TP-Link.

Индикатор питания - яркий синий LED, который на первый взгляд может показаться слишком ярким. Но стоит вам установить RB2011 в стойку с большим количеством оборудования, вы сразу поймёте, что обычный LED просто затеряется. Остальная же часть корпуса с правой стороны не задействована и содержит только логотип - Mikrotik RouterBOARD.

Дополнительно присутствует слот SFP для модуля mini-GBIC 1.25G, который может быть использован, как для подключения оптической линии, так и в качестве дополнительного Ethernet-интерфейса (при использовании соответствующего модуля). Рекомендуется использование оригинальных модулей Mikrotik, в частности для оптики это S-3553LC20D (SM/LC/20 км), S-85DLC05D (MM/Dual LC/550 м), S-31DLC20D (SM/Dual LC/20 км), а также S-RJ01 для подключения RJ-45. Наличие SFP расширяет сферу применения маршрутизатора и позволяет использовать его в качестве конечного узла FTTB и FTTH без необходимости применения внешнего медиаконвертера.

Рядом с SFP содержится порт micro-USB, что несколько непонятно, ведь места для установки полноразмерного USB в избытке. К USB можно подключить флеш-накопитель либо 3G-модем. Подключение винчестеров по USB нецелесообразно, т.к. при использовании в качестве сетевого хранилища, при работе, вызывает чрезмерную загрузку процессора. Лучше используйте NAS с сетевым интерфейсом.

Практически вся верхняя часть фронтальной панели содержит замысловатую полоску с прорезанными отверстиями треугольной формы, которая придает линейке RB2011 узнаваемые черты. Её предназначение - естественная вентиляция корпуса устройства. Холодный воздух поступает через отверстия на задней стенке. Нечто подобное сделано в Mikrotik CCR и RB1100.

На задней стороне устройства содержится еще один порт RJ-45, который не стоит путать с сетевым интерфейсом, т.к. его предназначение совсем иное - это консольный порт.

Общая схема компоновки содержится в инструкции.

Чуть более подробная информация содержится в документации на официальном сайте Mikrotik. Внутреннюю компоновку рассмотрим более подробно.

В качестве процессора, в модельном ряду RB2011 применяется высокоинтегрированный SoC-чип (System-on-a-chip) премиум-класса - Atheros AR9344. На плате он обозначен как U400 и скрыт под радиатором.

В AR9344 встроен процессор MIPS 74Kc v.4.12, оснащенный 64 КБ I-Cache и 32 КБ D-Cache. Для процессора номинальной частотой является 533 МГц, но в штатной комплектации, Mikrotik поставляет устройства с небольшим разгоном до 600 МГц. При желании, частоту процессора можно увеличить, с шагом в 50 МГц, вплоть до 750 МГц, либо же понизить до 500 МГц.

В чипе есть аппаратный NAT, ускорение ACL Ethernet interface и управление энергопотреблением на основе 802.3az.

К сожалению, в RB2011UiAS-RM, впрочем, как и во всей линейке RB2011 не реализовано аппаратное шифрование, что будет сказываться на пропускной способности всех каналов, в которых применяется шифрование. И если с MPPE 128-бит это не столь заметно, то при AES 128-бит вы ощутите разницу в полной мере. К примеру, у Ubiquiti EdgeRouter X (ER-X) используется двуядерный процессор с частотой 880 МГц, поэтому с шифрованием он справится лучше, в то же время, он не обладает столь широким функционалом как RB2011.

Контроллер может работать с памятью DDR/DDR2 16-бит/32-бит, а также SDRAM 16-бит на частоте до 200 МГц. Согласно спецификации, максимальный объем ограничен 256 МБ, для чего потребуется четыре 8-битные чипа по 512 Мбит.

Инженерами Mikrotik было применено 2 чипа Winbond W9751G6KB-25 (обозначение на плате U200 и U201). Каждый чип представляет собой память DD2 SDRAM 16-бит, с конфигурацией 16 банков по 32 Мбит, т.е. по 512 Мбит (64 МБайт). Таким образом, в общей сложности, мы получаем 128 МБ оперативной памяти с интерфейсом 32-бит. Такой объём оперативной памяти, при интенсивной работе, использовании разных правил фильтрации и управления трафиком, лишним явно не станет.

Объем постоянной NAND Flash-памяти составляет 128 МБайт, что вполне стандартно для большинства моделей от Mikrotik. Маркировка чипа спрятана под наклейкой (U300), поэтому более конкретной информации о типе, классе и параметрах используемой флеш-памяти у нас нет. Qualcomm Atheros AR9344 имеет встроенный беспроводной модуль, но у RB2011UiAS-RM он не задействован. В десктопной версии с индексом 2HnD для беспроводной сети применяется AR9380, который входит в состав SoC.

К слову, в интерфейсе RouterOS раздел Wireless не убран, более того, можно создавать Virtual AP, но работать они, конечно же, не будут. SoC также оснащен контроллером USB 2.0 на один порт. Имеются расширенные возможности по динамическому управлению энергосбережением. AR9344 содержит 5-портовый свич 802.3 Fast Ethernet на базе Atheros AR8227 и один интерфейс MII/RMII/RGMII.

AR8227 используется для пяти 100-мегабитных портов ETH 6 - ETH 10, чип содержит таблицу МАС-адресов на 1024 записей, а также VLAN на 4096 записей. На последнем порту реализован PoE Out (PoE Passthrough). Точно такой же свич применяется в популярном RB951Ui-2HnD.

Использование портов Eth 6-10 для WAN (Internet) целесообразно только в том случае, если скорость вашего подключения 100 Мбит и меньше. Интерфейс RGMII задействуется для соединения со вторым, внешним по отношению к AR9344, свичем (U100 на плате). Для портов ETH 1 - ETH 5, а также для слота SFP используется чип Atheros AR8327.

AR8327 позиционируется как 7-портовый гигабитный свич, хотя, по-сути, PHY-интерфейсов у него только 5, именно они и задействуются для портов ETH 1 - ETH 5. Оставшиеся 2 интерфейса стандартов MII/GMII/RGMII. Первый порт (Eth 1) поддерживает подачу питания PoE IN. Сам PoE-адаптер (RBGPOE) в комплект поставки не входит и приобретается отдельно. Структурная схема чипа расположена чуть ниже.

В полнее логически, что гигабитный свич AR8327 связан с процессором интерфейсом RGMII (Reduce Gigabit Media Independent Interface), т.к. это единственный гигабитный интерфейс, который поддерживается обоими чипами одновременно. MII (Media Independent Interface) пригоден только для 100 Мбит, поэтому для этих целей не может быть применен.

Что же касается SFP-слота, здесь, скорее всего также задействован RGMII.

AR8327 имеет MAC таблицу на 2048 записей и буфер на 1 Мбит (128 КБайт), поддерживает Jumbo Frame 9К и функции энергосбережения 802.3az. В частности, для кабелей менее 30 метров применяется половинная мощность. Есть и система управления потоком на основе правил, Port Mirror, VLAN, транкинг, некоторые функции Layer 3. На аппаратном уровне реализован IGMP Snooping v1/v2/v3, MLD v1/v2, Smart Leave. Модификация AR8327N оснащена аппаратным NAT + NAPT, что позволяет реализовать CPU offload.

К сожалению, точная версия применяемого чипа неизвестна, т.к. чип спрятан под радиатором системы охлаждения. В RouterOS в разделе Switch отображаются записи AR8327 и AR8227. Помимо всего прочего, чип реализует аппаратный QoS с 4-мя уровнями приоритезации, основанный на IEEE 802.1p, IPv4 DSCP, IPv6 TC, 802.1Q VID, а также MAC-адресе.

В качестве дополнения, имеется таблица правил на 92 записи. В целом, AR8327 представляет собой достаточно продвинутое и многофункциональное решение, которое частично способно разгрузить процессор от ненужных операций. На чип возлагается немало операций, поэтому он оснащен пассивной системой охлаждения в виде радиатора. Такой же аппаратный свич применяется в линейке CCR1009, RB1100AH и RB1100AHx2.

Гигабитные порты могут быть использованы для подключения к RB2011 коммутаторов. Если скорости в 1 Гбит будет мало - вы всегда можете прибегнуть к бондингу (агрегации) и получить 2 Гбит, правда количество портов при этом уменьшится вдвое.

Узким местом в такой реализации является мост между AR9344 и AR8327, т.к. его пропускная способность имеет ограничение 1000 Мбит, но в абсолютном большинстве случаев вы этого не заметите, если только не решите использовать 2 WAN по 1 Гбит с балансировкой. Работу обеих чипов обеспечивают 2 кварцевые резонатора на 25 МГц, по одному на чип.

Поскольку RB2011 поддерживает широкий диапазон входного напряжения от 8 до 28 вольт, то и питание не подается напрямую, а сперва проходит преобразователь на LSC LSP5523 в паре со сглаживающими LC-фильтрами. Преобразователь имеет достаточный запас по мощности, но в целях надежности лучше придерживаться стандартного напряжения в 24 В.

К слову о питании. На задней стенке имеется шаблон под разъем IEC C14 (AC 220-230 V), который предназначен для подключения к сети переменного тока. На самой же плате нет готового разъема для подключения питания, поэтому если вы решите заняться переделкой, без паяльника тут не обойтись.

Благо на плате есть места для пайки разъемов, причем двух видов - стандартного коаксиального DC-джека, применяемого в блоках питания, так и специального. Поэтому, при желании, стандартный блок питания можно спрятать в корпус, либо же применить более качественный и надежный БП, места в корпусе будет достаточно. Если вы всё же решитесь на переделку, подбирайте БП с запасом мощности в 50%, что позволит повысить надежность и снизить нагрев блока питания. Как вариант, можно установить блок питания Mean Well MPS-30-24 (24В, 1.2А, 28.8Вт) либо PLP-30-24 (24В, 1.3А, 31.2Вт).

Рядом с micro-USB на плате есть место для пайки полноразмерного USB, и тут логика производителя не совсем понятна, ведь можно было распаять полноценный порт USB. Ситуацию исправляет наличие кабеля OTG в комплекте.

В интерфейсе LCD-тачскрина распаян чип Winbond 25X10CLNIG, который является флеш-памятью на 1 Мбит. Вероятно, в него залито программное обеспечение для работы тачскрина, который включается еще до загрузки RouterOS. Сам экран имеет резистивный сенсор, что весьма целесообразно, учитывая небольшую диагональ в 2 дюйма. В RouterOS можно выбрать тему - светлую, либо темную, а также настроить список интерфейсов которые вы желаете вывести. По-умолчанию, установлен PIN-код 1234, меняется тут же в панели управления. PIN нужен для сброса настроек маршрутизатора. При нажатии на кнопку Reset, PIN конечно же не требуется. При желании, LCD можно перевести в режим Read Only.

Если же брать в целом, на печатной плате достаточно много нераспаянных компонентов, что вполне типично для Mikrotik, т.к. одна и та же PCB может служить основой для разных моделей одной продуктовой линейки.

Производительность RouterBoard RB/2011UiAS-RM

На официальном сайте есть таблица производительности.

Режим	Конфигурация	64 байта		512 байт		1518 байт
Режим	Конфигурация	K pps	Мбит	K pps	Мбит	K pps	Мбит
Мост	Fast path	269	138	232	950	122	1481
Мост	25 правил	87	45	86	352	83	1015
Роутер	fast path	226	116	210	860	122	1481
	25 Simple Queue	106	54	103	425	100	1220
	25 фильтров IP	60	31	59	244	56	689

Тут уместно привести производительность EdgeRouter X (ER-X) и EdgeRouter Lite, находящихся примерно в той же ценовой категории. Младший ER-X имеет производительность 130 kpps при работе с пакетами 64 байта и 1 Гбит/сек с пакетами по 1518 байт, что заметно меньше производительности RB2011UiAS-RM. Что же касается ER Lite - его производительность составляет 1 Mpps и 3 Гбит соответственно, что намного выше показателей RB2011. Если говорить о шифровании, обе модели EdgeRouter обеспечат большую производительность. И тут следует вспомнить о функциональности RouterOS и количестве интерфейсов RB2011, которые существенно расширяют возможности применения устройства.

Для hAP lite, штатными средствами, частота процессора со стандартных 650 МГц была увеличена да 750 МГц. RB2011 при 750 МГц запускаться отказался и смог взять планку только в 700 МГц, что впрочем тоже хорошо, учитывая стандартную частоту в 600 МГц.

Без шифрования AES (IPSec) и MPPE 128 удалось добиться производительности L2TP-канала на уровне 88-90 Мбит. Сами Mikrotik’и в генерации трафика не участвовали, чтобы не создавать нагрузку на ЦП. Вместо них, трафик генерировали 2 мощных ПК с гигабитными интерфейсами при помощи программного обеспечения IPerf/JPerf. В качестве промежуточного звена выступал гигабитный коммутатор ZyXEL GS-105B, используемые патчкорды - SF-UTP cat 5e. Всё это исключает возможное влияние на результаты теста.

При активации стандартного шифрования MPPE 128-бит и сжатия, скорость упала до 58 Мбит/сек.

Если же дополнительно активировать IPSec с шифрованием AES 128/256 - конечный результат составит 20 Мбит/сек.

При использовании AES 128 и AES 256, производительность остается на примерно одинаковом уровне. Разгон процессора позволил повысить скорость на 15-20%, что прямо пропорционально самому разгону. Столь невысокая производительность вполне ожидаема. В этом году на рынке должна появиться обновленная линейка RB3011 с более мощным двуядерным ARM-процессором.

Сфера применения RB2011UiAS-RM

Конечно, есть моменты, к которым можно придраться, но в целом, устройство получилось весьма достойное, особенно если сопоставить его розничную цену и возможности, реализуемые RouterOS Level 5. Ведь невозможно создать маршрутизатор, который будет идеальным решением для всех задач. С целью снижения цены и повышения доступности приходится находить компромисс, и тут инженерам Mikrotik удалось выдержать оптимальный баланс.

RB2011UiAS-RM станет хорошим выбором для большой домашней сети или небольшого офиса с количеством сетевых устройств до 50. При грамотной настройке, количество устройств может быть увеличено до 100 и более, все зависит от количества правил, наличия балансировки и выделяемой скорости на одного клиента.

При использовании в качестве VPN-сервера, необходимо учитывать требования к полосе пропускания и сопоставлять её с возможностями процессора. Шифрование является сложной задачей для этого малыша, поэтому для решения задач по обеспечению высокой производительности с использованием шифрования мы рекомендуем использовать Mikrotik RB1100AH , RB1100AHx2, которые оснащены аппаратным модулем шифрования, либо же CCR с мощным процессором Tilera. Или, как вариант, подождать появления новых и, конечно же, более дорогих RB3011 .

Сегодня все больше людей стараются производить настройку различного сетевого оборудования самостоятельно. Владея правильной информацией, можно верно задать конфигурацию любого устройства. Главное четко соблюдать все имеющиеся указания.

Этот легендарный латвийский производитель сетевого оборудования причисляется к классу элитных. Однако, несмотря на довольно высокую стоимость устройств, они пользуются широкой популярностью. Связано это в первую очередь с отменным качеством и высоким функционалом, который всем приходится по нраву.

Подключение

Чтобы произвести подключение нам понадобится следующее:

Действия выполняем в такой последовательности:

В результате таких действий на компьютере должно появиться активное подключение по локальной сети. В противном случае вам нужно будет разобраться с конфигурацией вашей сетевой карты (например, обновить драйвера).

Авторизация

Для того чтобы настраивать конфигурацию данного устройства понадобится произвести авторизацию.

Делается это так:

Обратите внимание: вначале убедитесь в том, что отключен proxy – сервер в настройках браузера.

Работать с конфигурацией можно через web-интерфейс, либо с помощью программы Winbox, которая интегрирована для всех версий ОС Windows. Если вы желаете воспользоваться этой встроенной утилитой, то её нужно будет выбрать в окне браузера и нажать на иконку «сохранить». Вне зависимости от выбора метода настройки параметров, потребуется ввести пользовательские данные. В поле Login вводим «admin», а строку пароля оставляем пустой.

Видео: WAN PPPoE connection

Настройка Интерфейсов WAN и LAN и включение маскарадинга сети

Настройка роутера mikrotik rb2011 может быть произведена различными способами. Это зависит от выбранного вами протокола, типа подключения и других параметров. Далее рассмотрим все возможные варианты

PPPoE

РРРоЕ является одним из самых популярных протоколов интернета.

Рассмотрим, как произвести настройку при помощи Winbox:

В результате откроется окно, в котором нужно будет задать основные параметры:

В результате этих действий, напротив РРРоЕ должна открыться буква R. Она свидетельствует о том, что подключение было успешно создано. Если она отсутствует, перепроверьте значения всех параметров.

DHCP

Этот протокол нужен для того чтобы все устройства, которые имеют подключение к роутеру, получали настройки в автоматическом режиме.

DHCP сервер настраивается следующим образом:

На этом настройка завершена.

DHCP + MAC

Некоторые поставщики интернета могут закрывать доступ к сети через МАС адрес. В таких случаях требуется изменить МАС адреса используемого WAN порта.

Делается это просто:

Важно: если у вас имеется доступ к сети, то пропускайте это пункт.

Cтатический IP

Для некоторых провайдеров нужен статический (другими словами постоянный) ip-адрес.

Чтобы задать его таковым образом, делаем следующее:

Проверка соединения

Чтобы удостовериться в активности соединения, кликаем на NewTerminal. В появившемся окне набираем «pinggoogle.ru» (вместо ya.ru можно указать любой другой сайт). Если будут показываться какие-либо значения пинга (он будет зависеть от скорости интернета), значит соединение установлено.

Локальная сеть

С помощью этого роутера можно создать локальную сеть, причем не только проводную, но и Wi-Fi.

Вначале нужно создать мост:

Чтобы добавить в созданное объединение проводные порты, делаем следующее:

Важно! Если вы желаете добавить устройство, подключаемое через Wi-Fi, то среди интерфейсов потребуется выбрать wlan1;

Включение маскарадинга локальной сети

В некоторых ситуациях может потребоваться активация маскарадинга.

Производится она так:

WIFI на роутере

Безусловно, главное предназначение этого устройства – создание Wi-Fiподключения. Создается оно в несколько простых шагов:

Заливка новой прошивки и Reset конфигурации

В некоторых случаях может потребоваться произвести обновление прошивки (к примеру, для некоторых провайдеров это обязательное требование). Производится данная процедура следующим образом:

Совет: посмотреть версию ОС можно, зайдя в пункт NewTerminal – она будет показана в левом нижнем углу.

Бывают ситуации, когда обновление прошивки привело к критическим или фатальным ошибкам. В таких ситуациях есть простой выход – сбросить настройки к заводским. Для этого нужно нажать кнопочку Reset(лучше с помощью ручки) и подержать в течение 10-15 секунд.

Видео: Базовая настройка

Первоначальная конфигурация для безопасности подключения

Чтобы добиться максимальной степени безопасности, необходимо задать определенную конфигурацию.

Делаем это следующим образом:

Такая настройка позволит добиться высокой степени безопасности подключения.

Настройка SNTP-клиента

К сожалению, это детище компании Mikrotik не способно сохранять параметры времени после перезагрузки. Чтобы время отображалось корректно, следует включить SNTP.

Делается это так:

На этом все. Как можно заметить, производить настройку сетевого оборудования – это не такая уж и сложная задача. Главное строго следовать всем указаниям.

Маршрутизатор RB2011- это достойное решение для небольшого офиса. Однако, в конфигурации по умолчанию присутствуют некоторые недостатки:

* В качестве WAN-порта используется интерфейс Ether1. Этот интерфейс гигабитный, как правило, выход в интернет осуществляется по каналу не выше 100 Мбит/сек и в таком случае использование гигабитного интерфейса не оправдано;
* 100-Мегабитные порты заведены в соединение типа мост (bridge), что дает повышенную нагрузку на CPU маршрутизатора. Более логично использовать в этом случае встроенную микросхему коммутатора.

Краткое описание настройки маршрутизатора RB2011:

* В качестве основного выхода в интернет используем 100-Мегабитный интерфейс Ether10;
* Интерфейс Ether9 нужно зарезервировать для дальнейшего использования, когда в этом возникнет необходимость;
* Интерфейсы Ether6-Ether8 используются для подключения DMZ. Для этого настроим соответствующий Switch-процессор;
* Гигабитные интерфейсы Ether1-Ether5 будем использовать для подключения локальной сети;
* Wi-Fi будет использовать ключ WPA2-PSK и находиться в локальной сети.

Приступаем к поэтапной настройке Микротик!
Сначала необходимо зайти на сайт по адресу http://www.mikrotik.com/download и скачать последнюю прошивку для вашего маршрутизатора. Она пригодится в дальнейшем.

Этап 1. Настройка Микротик. Включение, обновление прошивкиПодключаем компьютер в порт Ether 5. Есть возможность подсоединить и в любой другой, кроме Ether1, но лучшим вариантом будет именно Ether 5. Это упростит дальнейшую настройку.
Вводим в поисковую строку браузера http://192.168.88.1

Cкачиваем программу Winbox (ссылка отмечена красным прямоугольником).
После завершения загрузки программы необходимо закрыть браузер и запустить Winbox. В поле Address вводим 192.168.88.1, в поле User вводим admin. Поле Password оставляем пустым.

Появляется окно приветствия с запросом о сохранении конфигурации по умолчанию.

Выбираем Remove Configuration.
Завершаем работу с WinBox и подключаем компьютер в первый порт маршрутизатора.
Так как у маршрутизатора RB2011 после сброса конфигурации нет IP-адреса,необходимо воспользоваться mac-telnet. Для этого нужно снова запустить программу Winbox и справа от окна ввода адреса нажать на кнопку […]. Через некоторое время в окне появится mac-адрес маршрутизатора RB2011 и ip-адрес 0.0.0.0.

Щелкаем левой кнопкой мыши по MAC-адресу, чтобы он попал в поле Connect to:

И нажимаем на кнопку Connect.
После подключения к маршрутизатору берем ранее скачанный файл с прошивкой и перетаскиваем его в окно программы Winbox. В результате этого действия прошивка начнет загружаться на маршрутизатор.

После окончания загрузки переходим в меню System и выбираем пункт Reboot

Подтверждаем перезагрузку устройства.
ВНИМАНИЕ . В момент обновления прошивки устройство может загружаться очень долго (до 3-5 минут). Ни в коем случае не выключайте на нем питание!
После обновления прошивки необходимо обновить загрузчик устройства. Для этого заходим в меню System/Routerboard

И если версии Firmware отличаются, нажимаем кнопку Upgrade, после чего перезагружаем маршрутизатор

Этап 2. Настройка внутренних адресов маршрутизатора. Настройка DHCP-сервера

После загрузки маршрутизатора RB2011 заходим в Winbox по MAC-адресу и приступаем к настройке внутренних интерфейсов.
Сначала нам необходимо объединить порты 1-5 в общий аппаратный коммутатор. Ведущим портом в нем назначается порт номер 1 и его необходимо переименовать на LAN1-Master. Остальные порты получат название LAN-Slave.
Для этого мы открываем меню Interfaces:

Двойным нажатием по интерфейсу Ether1 открываем окно и изменяем название порта на LAN1-Master.

После чего нажимаем кнопку OK
Затем открываем интерфейс Ether2, переименовываем порт на LAN2-Slave и в поле Master Port выбираем LAN1-Master

Таким образом порт добавляется в группу коммутатора с главным портом LAN1-Master. Аналогичные действия нужно провести с интерфейсами Ether3, Ether4 и Ether5.
После завершения операций в окне должно появится:

Буква S напротив интерфейса обозначает что он находится в состоянии Slave.
Теперь аналогичным способом настраиваются интерфейсы для DMZ.
Ether6 станет DMZ6-Master, а для Ether7 и Ether8 DMZ-Slave, установлена в качестве Master-порта интерфейс DMZ6-Master.

Необходимо переименовать интерфейсы Ether10 в WAN1. Интерфейс Ether9 остается незатронутым. При необходимости его можно использовать как еще один порт DMZ, указав на нем соответствующий Master-порт, или в качестве второго WAN-интерфейса, если нам потребуется резервирование канала.
Также его можно будет добавить в описываемый в следующем разделе Bridge, чтобы получить еще один LAN-порт.
В итоге должно получиться следующее:

Теперь необходимо создать интерфейс Bridge, который объединит коммутатор из интерфейсов LAN и интерфейс Wi-Fi.
Для этого открываем меню Bridge, нажимаем кнопку с красным знаком [+] и в открывшемся окне вводим название нового интерфейса Bridge-Local, после чего нажимаем ОК

Переходим на закладку Ports и последовательно добавляем порт LAN1-Master

И порт Wlan1

После проведения последней операции должно получиться следующее:

Теперь назначим LAN-адрес маршрутизатора. В качестве адреса используется 192.168.88.1 с подсетью 255.255.255.0, что можно обозначить как 192.168.88.1/24
Для этого нужно открыть меню IP/Adresses, в открывшемся окне нажать кнопку с красным знаком [+] и заполнить поля, как показано на рисунке, после чего нажимаем кнопку ОК.

*В качестве примера введены адреса публичных серверов Google, необходимо заменить их на сервера полученные у Вашего провайдера.
Для ввода второго и следующих DNS-серверов воспользуйтесь кнопкой «Стрелка вниз» рядом с полем ввода адреса сервера.
Переходим к настройке DHCP-сервера. Для этого нужно перейти в меню IP/DHCP Server и нажать кнопку DHCP Setup.
В качестве интерфейса выбираем Bridge-Local

После чего нажать кнопку Next пока в ячейке не появится «DNS Servers»

Нужно удалить нижний номер сервера нажатием на кнопку «стрелка вверх», рядом с полем, а в верхнем прописываем адрес маршрутизатора — 192.168.88.1

Нажимаем кнопку Next до появления сообщения об успешной настройке DHCP.
Закрываем программу Winbox, вытаскиваем Ethernet кабель из ПК и вставляем его назад. Убеждаемся, что компьютер получил адрес от маршрутизатора.
После чего подключаемся к маршрутизатору по IP-адресу 192.168.88.1, который необходимо ввести в поле Connect to.
На этом успешная настройка LAN Завершена!

Этап 3. Настройка Wi-Fi

Заходим во вкладку Wireless. Дважды щелкаем кнопкой мыши по интерфейсу Wlan1.

Нажимаем на кнопку Advanced Mode и переходим на вкладку Wireless:
Заполняем значения, как приведено на рисунке. Измененные значения обозначены синим.

Переходим на закладку Advanced:
Вводим следующие значения:

Переходим на закладку HT;
Изменяем следующие параметры:

И применяем конфигурацию нажатием кнопки ОК.
Переходим на вкладку Security Profiles:

Дважды нажимаем на профиль default:

Выбираем mode=dynamic keys, ставим режим WPA2 PSK, aes-ccm и в поле WPA2 Pre-Shared Key вводим пароль на доступ к Wi-Fi.

Нажимаем кнопку ОК.
Переходим на вкладку interfaces и нажимаем кнопку с синей галкой, чтобы включить беспроводной интерфейс.

Успешная настройка Wi-Fi завершена!

Этап 4. Настройка безопасности маршрутизатора

Перед настройкой подключения к сети Интернет необходимо сначала настроить безопасность маршрутизатора, как минимум, отключив ненужные сервисы, и поменяв пароль администратора.
Меню IP/Services

Последовательно выделяем сервисы FTP, Telnet и WWW. Нажатием на красный крест отключаем их.

Теперь разрешим подключения к управлению маршрутизатором только из локальной сети.
Для этого дважды нажимаем мышью по соответствующему сервису и в поле Available From вводим 192.168.88.0/24.
Есть возможность указать вместо всей подсети, только IP-адрес компьютера системного администратора. Например 192.168.88.15.

Выполняем те же манипуляции с сервисом Winbox.

Настройка NAT

Перейти в меню IP/Firewall. В открывшемся окне перейти на закладку NAT и добавить новое правило.

На закладке General выбрать Chain/srcnat и Out Interface=WAN1

На вкладке Action выбрать Masquerade

Сохраним правило, нажав кнопку OK.

Этап 5. Настройка подсети DMZ

Теперь нам необходимо задать адреса в сети DMZ. Для этого необходимо войти в меню IP/Addresses и задать адреса, которые будут использоваться в этой сети. Для примера, используем сеть 10.10.10.0/24 и адрес маршрутизатора 10.10.10.1/24

Этап 6. Настройка WAN

Для примера, провайдер нам выделил адрес 172.30.10.2 маску 255.255.255.252 и шлюз по умолчанию 172.30.10.1. Маска 255.255.255.252 имеет длину /30.
Заходим в меню IP/Addresses и добавляем адрес маршрутизатора.

Затем переходим в меню IP/Routes и добавляем шлюз по умолчанию. (Шлюз по умолчанию задается маршрутом 0.0.0.0/0)
Для этого добавляем маршрут:

Сохраняем его, нажав кнопку ОК
После чего, у Вас должен заработать интернет.

Этап 7. Настройка SNTP-клиента

Маршрутизаторы Mikrotik не имеют встроенного аппаратно-независимого таймера. Однако, нам необходимо, чтобы в журнале событий отображалось действительное время. Для этого необходимо настроить часовой пояс и SNTP-клиента.
Открываем меню System/Clock и выставляем свой часовой пояс (в примере Europe/Moscow):

Затем нужно перейти в меню System/SNTP Client. Если у вас в сети нет NTP-сервера, воспользуйтесь открытым сервером NTP в Интернет. Например, ru.pool.ntp.org. Нам необходимо узнать IP-адреса серверов. В командной строке своего компьютера набираем команду:
nslookup ru.pool.ntp.org
Узнаем адреса серверов:
Не заслуживающий доверия ответ:
: ru.pool.ntp.org
Addresses:95.104.193.195 91.206.16.3 188.128.19.66 95.140.150.140
Выбираем любые два из них и вводим в окно настройки NTP-Клиента