From ISP admin

Shaping a možnosti routeru MikroTik

Tento dokument přibližuje stěžejní informace potřebné pro správné pochopení spolupráce systému ISPadmin s routery MikroTik. Bez následujících znalostí nebudete dost dobře schopní správně definovat důležité nastavení v ISP adminu.

Update konfigurace všech routerů probíhá periodicky každých 5 minut. Pokud ale budete například odlazovat jeden určitý router, máte kdykoliv možnost provést update jen jeho konfigurace ( propsání pravidel ) tlačítkem Update konfigurace routeru v jeho záhlaví.

Konfigurace se přenáší "rozdílově". To znamená, že systém si při update konfigurace nejdříve stáhne aktuální konfiguraci routeru, provede porovnání s konfigurací, která by v routeru měla být a poté zjištěné rozdíly přenese. Tím se minimalizuje počet zápisů na flash routerbordu, čímž se minimalizuje i výskyt vadných bloků.

Monitoring routeru se provádí pomocí protokolu SNMP a případně i API pokud je aktivované. Veškeré změny konfigurace, které ISPadmin přenáší do routeru se přenášejí přes SSH protokol nebo opět prostřednictvím rozhraním API. Podmínkou správného fungování routeru tedy je aktivní komunikace mezi ním a systémem ISP admin.

SNMP - Zajišťuje monitorování routeru (traffic, přenesená data, CPU, RAM, atd... ).
SSH - Propisování pravidel, automatické zálohy konfigurace (textové i binární ).
API - Mocnější komunikace s routerem, vyčítání verze ROS, grafy WIFI signálu ( SIGNAL, NOISE, SNR, TCQ, atd... ).

Ověřit spojení na router můžete tlačítkem v jeho záhlaví Otestovat spojení. Ověřit spojení je možné také provést hromadně na všechny routery stejným tlačítkem v pravé horní části záložky Routery / Všechny.

Routery přidávejte nejprve v monitorovacím režimu. To znamená, že zadané routery systém vidí a zobrazuje v administraci, ale nezapisuje na ně žádné změny konfigurace. Pokud je router v "monitorovacím režimu", systém pouze pasivně vyčítá informace pomocí SNMP a případně i API a v pětiminutových intervalech se vykresluje různé hodnoty, statistiky a grafy.

Pokud je tedy spojení na router v pořádku, můžete přehodit stav routeru na aktivní, čímž umožníte propisování změn konfigurace pomocí SSH, nebo API.

Za stabilní považujeme verze 3.10, 3.13, 3.26, 3.30 a poslední vydanou 4.10

Nedoporučujeme přecházet na některé verze, označené firmou MikroTik za stabilní (3.23 a 3.24), zde nefunguje zcela korektně rozhraní API. Nově bylo zjištěno, že v některých případech při použití ROS řady 4 se neúměrně zatěžuje CPU serveru. V takovém případě doporučujeme používat verzi 4.10, kde je se chyba v API nevyskytuje.

Zálohy konfigurace routeru

Přes veškerou opatrnost se může stát, že si poškodíte funkční konfiguraci na některém routeru. Z tohoto důvodu je doporučeno využívat funkce automatického zálohování routerů, čímž zkrátíte dobu potřebnou k nápravě na minimum. Zálohy MikroTiku lze uchovávat jak v textové podobě, (skládají se z konfiguračních příkazů {příkaz export}), tak případně také v podobě binárních souborů {příkaz backup}, které jsou velice jednoduše použitelné pro obnovení systému. Kliknutím na příslušnou ikonu pak je možné tuto zálohu uložit na lokální disk. Zálohu pak můžete jednoduše nahrát do MikroTiku "přetažením" z lokálního disku přes okno Winboxu do záložky "Files". Vybráním zálohy ve Winboxu a kliknutím na tlačítko "restore" se pak klasicky obnoví kompletní konfigurace routeru.

Více informací o možnostech zálohování naleznete v článku: Zálohování systému.

Propisování konfigurace na router

ISPadmin kompletně propisuje potřebná pravidla do konfigurace routeru MikroTik. Systém ve všech případech pracuje pouze s pravidly, které mají v comment uvedeno "ispadmin_" ( Firewall, QueueTree, ppp ), anebo mají v packet mark uvedeno "ispadmin_" ( Mangle ).

Díky tomuto řešení je možné si do routeru přidat vlastní pravidla Firewallu, omezení Queue Tree atd. a Vámi definovaná pravidla zůstanou netknuta. Tyto pravidla zůstávají na začátku Firewallu, Mangle, Queue Tree a ISP admin je nikdy nemodifikuje. Pravidla se samozřejmě provedou v zadaném pořadí.

V případě ruční změny libovolného pravidla ( např. přes Winbox ), které je propisováno systémem ISPadmin se toto ručně upravené pravidlo při dalším update konfigurace přepíše původním pravidlem zadaném v systému. Veškeré změny nastavení rychlosti klientů, tarifů, atd. je tedy potřeba provádět z ISPadmina.

Systém ISPadmin tedy modifikuje pouze následující části konfigurace a do jiných částí RouterOS nezasahuje:

/ip firewall filter

Zde se zapisují pravidla firewallu. Nejdříve se povolí IP adresy klientů, jejich koncových zařízení, routerů, které jsou v daném segmentu, a na konci se celá podsíť zakáže ve FORWARDU pravidlem DROP. Aby vůbec bylo možné přidat klienta do systému, tak musí být v záložce Routery v položce Routované sítě uvedena celá podsíť jako "IP adresy pro WIFI uživatele".

Propisování firewallu je možné vypnout v nastavení routeru "odkliknutím" položky Aplikovat pravidla firewallu. Pokud není tato položka zaškrtnuta, tak se pravidla firewallu do routeru nepropíší. Toto je možné použít například v případě, že ještě nemáte v systému všechny uživatele. V tomto případě by firewall nezadané uživatele zablokoval a je tedy lepší firewall neaplikovat.

Standardně se do firewallu propisuje omezení na IP adresy jak SRC, tak i DST. V některých případech ( příklad z důvodu snížení počtu pravidel ve firewallu ) je potřeba omezovat pouze na SRC a nebo DST. Tento typ propisování firewallu je možné nastavit v menu Nastavení / Systémová nastavení / MikroTik. Typ propisování pravidel se nastaví v položce mikrotik_fw_drop.

/ip firewall mangle

Zde se provádí manglování paketů, kdy klient dostane "packet mark" ve tvaru "ispadmin_ID", kde ID je jedinečné číslo klienta v databázi. Pokud má klient více IP adres anebo má uvedené další "IP rozsahy" v nastavení služby Internet, tak všechny tyto IP rozsahy mají stejný packet mark a tím se omezují ve stejné Queue Tree.

/queue tree

Zde se nastavují Queue Tree. Možnosti nastavení Queue Tree jsou poměrně rozsáhlé a jsou popsány níže.

/ip firewall nat

Každý klient, který má pozastavenou službu Internet, je zapsán do NAT, kde je zajištěno přesměrování jeho provozu na "Informační stránku", kterou je možné editovat v menu Nastavení / Info page. Vlastní pozastavení se provádí v Kartě klienta ve službě Internet. Zde je při pozastavení služby také možné vybrat "Důvod pozastavení" a podle této volby se vybere zobrazovaná stránka.

Podmínkou propisování pravidel do NATu je nastavení klíče "mikrotik_nat_disable_users" na hodnotu "1". Nastavení se provádí v menu Nastavení / Systémová nastavení / MikroTik. Pokud je zde nastavena hodnota "0", tak se pravidla do NAT nepropíší. To je možné využít například v případě, že je přesměrování pozastavených uživatelů řešeno jiným způsobem mimo ISP admin.

/ppp secret

Pokud používáte PPPoE, a je u u služby Internet v kartě klienta vybrán "Typ uživatele" PPPoE, tak je možné vyplnit jméno a heslo klienta. Toto jméno a heslo se propíše do tabulky včetne IP adresy klienta.

Defaultní firewall

V menu Nastavení / Systémová nastavení / MikroTik je možné v položce "mikrotik_default_fw" definovat výchozí pravidla firewallu, které se propíší na všechny routery, kde je povolen přístup přes SSH. Tímto je například možné omezit sdílení OS Windows, šíření specifických virů zablokováním příslušných portů.

Pravidla, která jsou uvedena v defaultním firewallu musí vždy začínat "/ip firewall filter add". Pravidla, které nejsou takto definována budou ignorována.

Příklad defaultního firewallu:

/ip firewall filter add chain=forward protocol=tcp dst-port=135-139 action=drop comment="netbios"
/ip firewall filter add chain=forward protocol=udp dst-port=135-139 action=drop comment="netbios"
/ip firewall filter add chain=forward protocol=tcp dst-port=445 action=drop comment="netbios"
/ip firewall filter add chain=forward protocol=udp dst-port=445 action=drop comment="netbios"
/ip firewall filter add chain=forward src-address=10.0.0.0/8 protocol=udp dst-port=53 action=accept comment="DNS" 
/ip firewall filter add chain=forward src-address=10.0.0.0/8 protocol=icmp action=reject reject-with=icmp-admin-prohibited

MAC filter

Na každém routeru je možné aktivovat MAC filter. Aktivace se provede u routeru zaškrtnutím položky MAC filter. Pokud je MAC filter aktivní, tak se do firewallu propíše jak IP, tak i MAC adresa klienta. Pokud si klient změní IP anebo MAC adresu, tak mu Internet nefungovat nebude.

Systém automaticky načítá MAC adresy z routeru 1x za hodinu. Pokud máte tedy aktivovaný MAC filter a připojujete nového klienta, tak nemusíte MAC adresu klienta vyplnit. Systém v tomto případě ( pokud není MAC vyplněna ) klienta na firewallu povolí a až se klient připojí, tak si systém z ARP tabulky na routeru tuto MAC adresu načte a doplní ji ke klientovi. Potom se klientovi "uzamkne" vazba IP a MAC adresy.

Pokud je potřeba v některých případech vypnout automatické načítání MAC adres u určitého klienta, tak místo MAC adresy vyplňte "-" ( pomlčku ). Tím se IP adresa klienta na firewallu povolí a proto se neprovede uzamčení MAC. Toto se použije v případě, že například na IP adrese se střídají dva počítače ( notebooky, PDA, apod. ).

Automatické načítání MAC adresy je možné pro všechny uživatele vypnout v globálním nastaveni v menu Nastavení / Systémové nastavení / Obecné systémovou proměnnou "macfilter_getusermac".

Queue Tree a propisování do konfigurace routeru

Obecně

Systém ISPadmin podle nastavení tarifu provede zapsání pravidel do Queue Tree. Simple Queue není podporována, protože neumožňuje nastavit takové parametry jako Queue Tree. Systém zadané rychlosti v nastavení tarifu, před zapsání do Queue Tree, "násobí" hodnotou rate_exponent. Tuto hodnotu je možné nastavit v menu Nastavení / Systémové nastavení / Obecné. Hodnota rate_exponent udává jakou rychlost klient skutečně dostane přidělenou. Jako výchozí hodnota je nastaven rate_exponent na 1.2, takže při rychlosti 1024 kbit/s je do Queue Tree propsána rychlost 1228 kbit/s. Tímto navýšením rychlosti tarifu se v podstatě klientovi "pokryje" režie protokolu a případná ztrátovost paketu, která se na WiFi může objevit. Zákazník je spokojen, protože většinou dostane vyšší rychlost, než má uvedenou na smlouvě. Někdy je totiž nemožné zákazníkovi vysvětlit, že pokud má rychlost 1024 kbit/s, tak se mu z důvodu režie protokolu v prohlížeči nikdy neukáže rychlost stahování 128 kB/s.

V menu Nastaveni / Tarify je možné nastavit veškeré parametry tarifu jako jsou rychlosti, typ linky, burst, agregace, apod...

Nastavení "global-in" vs. "global-out"

U každého routeru je možné vybrat v popup menu "Queue type", toto nastavení ovlivňuje jak se bude zpracovávat Queue Tree. Možnosti jsou "global-in" anebo "global-out". Toto nastavení je zásadní pro správné fungování routeru. K pochopení je nutné důkladně prostudovat cestu paketu podle schématu:

Pokud se QOS(Quality of Service) provádí na centrálním routeru, tak je tato volba neaktivní, protože se MANGLE řídí nastavením centrálního routeru. Pokud se provede změna nastavení routeru ( například z global-in na global-out ), tak se nejdříve Queue Tree a MANGLE kompletně vymaže a nastaví se znovu podle nového nastavení. Toto se provádí z důvodu "pročištění" všech tabulek Mikrotiku tak, aby nedošlo k nesprávnému zapsání pravidel.

Jednotlivé možnosti:

global-out

Výchozí nastavení routeru.
Pakety směrem od klienta ( dst-address ) se v MANGLE markují v POSTOUTINGU.
Pakety směrem ke klientovi ( src-address ) se v MANGLE markují v PREROUTINGU.
Toto nastavení se používá v případě, že se na routeru používá NAT, protože se pakety správně značkují a jsou v POSTROUTINGU vidět správné adresy klientů a nikoliv jejich přeNATované veřejné adresy.
Nevýhodou je, že každý paket musí "projít" celým firewallem, čímž se zvyšuje zátěž routeru. Ovšem v případě, že se na routeru provádí i NAT, tak je to jediná možnost jak na klienta aplikovat QOS a omezení datového toku.

global-in

Pakety směrem ke klientovi ( src-address ) i od klienta ( dst-address ) se v MANGLE markují v PREROUTINGU.
Použitím global-in se snižuje zátěž routeru.
Tuto volbu však nelze použít v případě, že se na routeru provádí i NAT. V tomto případě by se u klienta neomezoval download, protože pakety vstupují do Firewallu ještě NATované ( pod veřejnou adresou ) a nejsou tedy správně markovány, a proto se nezařadí do správné Queue Tree.

Lokální a centrální shaping

U každého routeru ( záložka "Routery" ) je možné u typu routeru Mikrotik vybrat z pop up menu "QOS provádět na routeru" router, na kterém se shapování provádí. Pokud je vybraná volba "Lokálně", tak se QOS provádí přímo na tomto routeru. Při výběru jiného routeru z menu se provádí shaping klientů na cílovém routeru. Pokud se nastaví shapování na jiném routeru ( nikoli lokálně ), tak se v hlavičce routeru zobrazí poznámka, že se klienti na tomto routeru shapují na routeru jiném. Při přidání nebo editaci služby Internet se v případě shapování klientů na jiném routeru zobrazí při výběru routeru poznámka, kde je uvedeno, na kterém routeru se shaping provádí.

Lokální shaping má výhodu v tom, že klient je omezen už na nejbližším přístupovém bodě a celková "zátěž" shaperu se sníží, protože na každém přístupovém bodě se omezuje pouze pár klientů. Nevýhodou je však to, že pokud používáme agregované tarify, např. pokud na přístupovém bodě máme 3 klienty s agregovaným tarifem 1:10, tak při tomto počtu klientů není technicky možné agregaci zajistit. V tomto případě je lepší použít centrální shaping, který vlastně na jednom routeru shapuje klienty například z pěti AP ( například v rámci města ). Tím se na jednom routeru "sejde" více klientů a agregace se už uplatní. Nevýhoda centrálního shapingu je v tom, že na router musí byt použit výkonnější HW, který je schopen shapovat větší počet klientů.

Nastavení queue-type

Na routeru Mikrotik je možné nastavit systém "řízení datového toku", který je důležitý pro správnou funkci a správné zajištění kvality připojení. Nastavení se provádí v menu "Queues / Queue type".

Typy Queues jsou:

PFIFO - Packet First In First Out

PFIFO a BFIFO posílá pakety tak jak příjdou. To znamená, že paket, který přišel první, tak také nejdříve odchází. Toto nastavení "QueueType" není pro shapování vhodné, protože při takovémto principu není možné zajistit smysluplný shaping. Dochází zde k "zahlcování” linky, vysoké odezvy... Tento typ QT je nastaven jako defaultni a je potřeba jej změnit.

SFQ - Stochastic Fair Queuening

Je jednoduchý algoritmus pro zajištění rovnoměrného využití sítě všemi aktivními datovými proudy. Nezajistí však férové využití mezi uživately či programy, ale např. mezi jednotlivými TCP spojeními. Vytváří více front, do kterých rozděluje jednotlivá TCP spojení a UDP proudy podle hashovací funkce. Tyto fronty jsou zpracovávány algoritmem "round robin". Každé spojení tak má šanci na vyřízení a jeden objemný datový proud nezahltí většinu kapacity linky. Hashovací funkce se v čase mění a jsou tak řešeny kolize (dva proudy ve stejné frontě dlouho nezůstanou).

RED - Random Early Detection

Je určen pro vytížené páteřní spoje. Podle vypočítaných statistik snižuje zátěž zahazováním paketů, aby zamezil zahlcení linky. Čím blíže je celkový traffic maximální hodnotě, tím více jsou pakety zahazovány. Tento algoritmus neposkytuje žádné možnosti shapingu a chová se ke všem datovým proudům stejně. Na vytížených strojích ovšem nemá tak vysoké výpočetní nároky a udržuje co největší průchodnost a co nejnižší zpoždění linky.

PCQ - Per Connection Queue

Usnadňuje omezení většího počtu nesdílených linek.

Tarif FULL DUPLEX ( FD )

V tomto případě se nastaví pouze jednoduchá QT, zde se omezí upload a downlolad. V případě tohoto tarifu ( napr. 1024/512 ) může klient stahovat 1024 kbit/s a zároveň může odesílat rychlostí 512 kbit/s ( celkem tedy 1,5 Mbit/s ).

Tarif HALF DUPLEX ( HD )

Při použití tohoto tarifu se omezí upload a download. Zároveň se obě tyto QT vloží pod nadřazenou QT, která zajistí, že klient může stahovat samostatně 1024 kb/s , odesílat 512 kb/s, ale pokud spustí zároveň stahovaní a odesílání, tak celkový součet těchto rychlostí nepřekročí 1024 kb/s. Výhodou je, že zákazník si při otestování rychlosti spustí test, který testuje samostatně download a samostatně upload, takže vše je OK. Pokud si však klient spustí stahování a zároveň například nějakého torrenta, který odesílá, tak nepojede rychleji jak 1024 kb/s.

Pro nastavení tohoto typu linky je download, v našem případě ispadmin_7837_down na hodnotě "0". To je v pořádku, protože rychlost je omezena nadřazenou "queue ispadmin__7837". Tímto se šetří CPU routeru, protože se QT omezuje pouze jednou v nadřazené QT. Rychlost nadřazené QT je vlastně shodná s rychlostí downloadu, tak není nutné jej samostatně omezovat. Pokud by linka měla rychlost 1024/1024, tak by byla nastavena rychlost "0" i pro QT ispadmin_7837_down. QT technicky nejsou potřeba, ale můžou být ( i s nulovou rychlostí ) zapsány kvůli počítání dat, kreslení grafů a statistik.

Sdílená ( agregovaná ) linka HD

Při použití této agregované linky se nastaví nadřazená linka, která se vypočítá podle vzorce:

( download * počet klientů ) / agregace = celková agregovaná linka

Příklad v praxi - v případě agregované linky 1:10 o rychlosti 1024/512 při počtu 20 klientů se vypočítá celková linka následovně:

( 1024 * 20 ) / 10 = 2Mbit/s

Na mikrotiku se tedy založí linka 2 Mbit/s a do ní se zařadí všichni klienti s touto agregací. Celková „agregační“ skupina se dynamicky nastavuje podle aktuálního počtu klientů. Takže pokud v agregační skupině bude klientů 40, tak bude celková agregační skupina mít rychlost 4Mbit/s. Každý klient, který je zařazen do této agregační skupiny je omezen maximální rychlostí 1024/512, takže žádný klient nepojede vyšší rychlostí jak 1024/512 s tím, že se sčítá upload a download ( stejně jako u klasického HD tarifu ) a zároveň všichni tito klienti dohromady nepřekročí rychlost 2Mbit ( opět v uploadu a downloadu dohromady ).

V našem příkladu je zobrazena QT sdíleného HD tarifu. Jedná se o tarif 1024/512 kb/s s agregací 1:2. Podle výše uvedeného vzorce je vypočtena "nadřazená" linka "shared_629". Do této linky jsou zařazeni tři uživatelé, kteří jsou omezeni rychlostí 1024/512 a tento download + upload je ještě celkové pro každého klienta omezen rychlostí 1024 kbit, který omezuje součet downloadu + uploadu ( napr Test_user1__7837 ).

Sdílená linka FD

Pokud je agregovaná linka typu FD, tak se provede v agregační skupině oddělení downloadu od uploadu. To znamená, že výpočet rychlosti se provádí pro každý směr zvlášť. Takže v případě agregované FD linky 1024/512 s agregací 1:10 a počtem 20 klientů se provede pro download následující výpočet rychlosti:

download = ( 1024 * 20 ) / 10 = 2Mbit/s upload = ( 512 * 20 ) / 10 = 1Mbit/s

Založí se tedy agregační skupina zvlášť pro download ( 2Mbit ) a pro upload ( 1Mbit ). Do těchto dvou skupin se zařadí download a upload všech klientů v této agregační skupině.

Zde je zobrazen sdílený HD tarif 1024/512 kb/s s agregací 1:2. V tomto případě je zvlášť vypočtena rychlost pro download ( shared_629_down ) a pro upload ( shared_629_up ). Do těchto dvou agregačních linek se zařadí odděleně upload a download všech klientů, kteří mají tento tarif.

Zařazení klientů do speciální Queue Tree

V některých případech je potřeba zařadit klienty do speciální QT, například rozdělit provoz na routeru do tří skupin, kde každá skupina reprezentuje jeden spoj např. do další vesnice. Každý tento spoj má definovanou kapacitu ( např. 2 Mbit ).

V tomto případě je na Mikrotiku potřeba vytvořit speciální QT pro každou skupinu a nastavit jim příslušnou rychlost, případně jiné parametry této QT nastavit ručně, protože každý provider má jiné požadavky, anebo je potřeba vytvářet hlouběji zanořené struktury QT, které není možné vytvářet automaticky.

Na MikroTiku je potřeba vytvořit pojmenované QT ( které se zanesou do systému ). Pokud se bude QT jmenovat např. VIP, tak je potřeba na MK vytvořit:

VIP – do této QT se budou řadit klienti, kteří mají HD tarif ( sdílí se upload a download )

VIP_IN – do této QT se bude řadit download klientů pokud mají nastaven FD tarif

VIP_OUT – do této QT se bude řadit upload klientů pokud mají nastaven FD tarif

Na příkladu jsou vytvořeny dvě skupiny pro klienty, USERS a VIP. Na každou skupinu jsou nastaveny rychlostní parametry podle potřeby, kde se nastaví celková rychlost skupiny a rychlost pro download a upload, případně je možné zde alokovat další omezení jako třeba omezení P2P sítí nebo počtu spojení...

Celý strom může být vytvořen podle potřeby. Systém "zajímají" pouze "koncové větve" celého stromu, kam se budou řadit klienti. V našem případě pro VIP je to VIP, VIP_IN a VIP_OUT. Je jedno v jaké úrovni se koncová "větev" stromu nachází.

Nyní je potřeba systému ISP admin „sdělit“, že existuje speciální QT VIP. Toto lze nastavit routeru ( v záložce routery ) pod záložkou „Queue tree“. Zde je potřeba přidat speciální QT „VIP“. QT VIP_IN a VIP_OUT není potřeba zadávat. Existence těchto QT se předpokládá již při zadání QT VIP. Pokud není na MK založena QT VIP_IN a VIP_OUT, tak se budou klienti, kteří mají zadaný tarif FD řadit do QT "global-out" mimo tento "strom".

Kliknutím u routeru na ikonu „Otestovat spojení“ se provede test QT, který by měl proběhnout korektně.

Pokud jsou správně nastavené QT na routeru a „test“ proběhne korektně, tak je možné u každého klienta nastavit zařazení do této speciální QT. To je možné při zadání nebo editaci služby Internet v kartě klienta. Při editaci nebo přidání služby Internet výběrem nastaveného tarifu se ( v případě, že je agregace 1:1) objeví další popup menu „Queue tree“, kde je možné vybrat QT, do které se klient zařadí. Výběr QT je možný pouze v případě, že je agregace 1:1 v opačné případě se výběr speciální QT NEZOBRAZÍ. Je to z toho důvodu, že pokud je klient zařazen v agregovaném ( sdílenem ) tarifu, tak již není možné klienta zařadit do speciální QT, protože klient nemůže patřit do agregované linky a zároveň být zařazen do speciální QT. Technicky není totiž možné 2x manglovat paket klienta. Paket může mít pouze jeden packet mark a tím může logicky patřit pouze do jedné linky ( agregovaná anebo sdílená ).

Pokud tedy přiřadíme klienta Test_user1 do QT VIP, tak se v mikrotiku zařadí následovně:

Všichni klienti mají tarif 1024/512 s agregací 1:1 a jedná se o tarif HD. Klient Test_user1 a Test_user2 je zařazen do QT VIP, Klient test_user3 se standardně zařadí do "global-out", protože nemá nastavenou žádnou QT. Protože se jedná o FD tarif, tak se download a upload klientu rozdělí do VIP_IN a VIP_OUT

Pokud bude tarif nastaven na HD, tak se klienti zařadí následovně:

Klienti Test_user1 a Test_user2 jsou zařazeni v QT VIP a nikoli VIP_IN a VIP_OUT jako u HD tarifu. Všichni klienti mají nastaven klasický HD tarif, kde je omezen download a upload nadřazenou QT ( napriklad Test_user1__7837 ). Klient Test_user3 je zařazen v "global-out".

Výše uvedené postupy je možné kombinovat podle potřeby. V našem příkladu mají klienti Test_user1 a Test_user2 nastaven tarif FD s agregací 1:1 a rychlostí 1024/512. klient Test_user3 ma nastaven HD tarif 256/256, proto je zařazen v QT VIP.

preffered_queue - V některých případech je potřeba všechny klienty řadit do určité QT. Například v případě, že potřebujeme přesně nastavit celkovou rychlost linky. Toto je možné nastavit předchozím způsobem zařazení každého klienta do určité QT. Toto je však poměrně pracné a je možné se dopustit chyby tím, že některého klienta nezařadíme do QT a potom bude automaticky zařazen do global-out. Z tohoto důvodu je možné v menu „Nastavení / Syst. Nastavení / Mikrotik“ klíčem preffered_queue nastavit QT, do které se automaticky zařadí všichni klienti v případě, že nejsou explicitně zařazeni předchozím způsobem do jiné QT. Opět platí, že pokud nastavíme preffered_queue "VIP", tak musí být na routeru vytvořena QT VIP, VIP_IN, VIP_OUT.

Ovládání z příkazové řádky

Update konfigurací se provádí každých 5 minut. Pokud na routeru nenastala nějaká změna, jako je například změna tarifu klienta, změna nastavení routeru atd, tak se update konfigurace na tomto routeru neprovádí. V případě, že se provádí update konfigurace, tak se přenáší pouze změny a neprovádí se celé vymazání a opětovné nahrátí konfigurace. Systém si z konfigurace MikroTiku "stáhne" aktuální pravidla a porovná ji s vlastní konfigurací, která by v routeru měla být a změny přenese na router. Tím se minimalizuje počet zápisů na flash routeru.

Pokud je potřeba provést update konfigurace okamžitě ( nikoli do 5ti minut ), tak je možné toto provést z příkazové řádky spuštěním příkazu:

/usr/local/script/ispadmin/update_conf.pl

Pokud spustím příkaz pro update konfigurace bez parametru, tak se zobrazí nápověda se seznamem routerů včetně jejich ID:

Automatický režim podle stavu systému:

/usr/local/script/ispadmin/update_conf.pl auto

Vygeneruje nové docsis soubory pro všechny modemy:

/usr/local/script/ispadmin/update_conf.pl gendocsis

Vygeneruje nové docsis soubory pro router s uvedeným ID:

/usr/local/script/ispadmin/update_conf.pl gendocsis <ID routeru>

Nahrátí konfigurace na všechny routery:

/usr/local/script/ispadmin/update_conf.pl reload all

Nahrátí konfigurace na router s uvedeným ID:

/usr/local/script/ispadmin/update_conf.pl reload <ID routeru>

"Tvrdé" nahrátí konfigurace na router s uvedeným ID:

/usr/local/script/ispadmin/update_conf.pl reload <ID routeru> force

Dostupné routery:

ID IP stav stav DHCP Název routeru ------------------------------------------------------------------------------------- 91 88.103.224.215 online stopped home 101 10.0.0.1 online stopped mk1

Pokud potřebujete provést update routeru číslo 91 (interní jedinečné číslo routeru), tak spustíte příkaz:

/usr/local/script/ispadmin/update_conf.pl reload 91

Výsledek vypadá následovně:

16.2. 2009 13:24:30  system	 Updatuji router 91, IP 88.146.172.90, home
16.2. 2009 13:24:30  home	 --- Nastavuji router home, IP 88.146.172.90, ID 91
16.2. 2009 13:24:30  home	 --- Kontroluji nova sitova rozhrani
16.2. 2009 13:24:30  home	 --- Stahuji data z routeru
16.2. 2009 13:24:32  home	 --- Nastavuji omezeni klientum
16.2. 2009 13:24:32  home	 --- Aktualizuji konfiguraci routeru 1/2 ( 3360 b - rows 10 )
16.2. 2009 13:24:32  home	 --- Aktualizuji konfiguraci routeru 2/2 ( 360 b - rows 2 )
16.2. 2009 13:24:32  home	 --- Provadi se kontrola zavislosti QTREE
16.2. 2009 13:24:33  home	 --- Update routeru 91, IP 88.146.172.90, home dokoncen