Керування пропускною здатністю за допомогою правила Mikrotik mangle

Часто бувають ситуації, коли деякі користувачі у вашій мережі постійно зловживають смугою пропускання, використовуючи її для несанкціонованих дій, що робить майже неможливим проходження трафіку для інших користувачів. Правило mangle в Mikrotik дозволить вам класифікувати користувачів і розподіляти пропускну здатність для них на основі відповідності їхніх дій вашій організації. Іншими словами це маркування пакетів, за допомогою якого в подальшому налаштуванні ви зможете спрямовувати тунелем l2tp тільки певний трафік.

Mangle — це свого роду «маркер», який позначає спеціальними позначками пакети для подальшої обробки. Багато інших засобів у RouterOS використовують ці позначки, напр. дерева черги, NAT, маршрутизація. Вони ідентифікують пакет на основі його позначки та обробляють його відповідно. Ці позначки існують лише в межах маршрутизатора, вони не передаються через мережу.

Наша мета в цьому мануалі полягає в тому, щоб ідентифікувати та згрупувати найпопулярніших користувачів і виділити їм певну пропускну здатність із загально доступної та дозволити іншим користувачам використовувати залишок пропускної здатності. 

Наша черга буде налаштована зі значеннями пріоритету, щоб гарантувати, що загальна передплачена пропускна здатність стане доступною для використання, якщо в мережі немає жодного члена групи основних користувачів. 

Наприклад; якщо передплачена пропускна здатність становить 5 Мбіт/с, ми виділимо 3 Мбіт/с групі найпопулярніших користувачів і 2 — усім іншим. Однак, якщо жоден користувач із групи найвищих користувачів не активний у мережі, усі 5 Мбіт/с стають доступними для використання всіма іншими.

Що нам потрібно зробити, щоб досягти цього: ми визначимо адреси, призначені членам групи найпопулярніших користувачів, або перевіривши їх пристрої, або переглянувши список dhcp, для тих, які можна легко ідентифікувати. Визначивши IP-адреси, ми зробимо їх статичними, гарантуючи, що їхні IP-адреси завжди залишатимуться незмінними. 

Далі ми створимо список адрес і додамо необхідні IP-адреси до нього, а потім скористаємося правилом Mikrotik mangle, щоб позначити їхні вхідні та висхідні пакети. Нарешті, ми створимо черги для пакетів, які відповідають створеним вище правилам, а також для всіх інших пакетів. Давайте спробуємо!

Крок 1. Визначте IP-адреси, які потрібно додати до групи

Визначте тих, кого ви хочете додати до групи найпопулярніших користувачів, і отримайте їхні IP-адреси. Як зазначено вище, це можна зробити, дізнавшись з їхніх пристроїв. В організації, де всі пристрої мають імена, їх можна легко ідентифікувати в списку оренди dhcp. Після визначення IP-адрес перейдіть до dhcp lease, натисніть на IP-адресу та клацніть зробити статичною. Повторіть кроки для всіх IP-адрес, які ви хочете додати до групи основних користувачів. 

Крок 2: Створіть список адрес

Створіть список адрес для найпопулярніших користувачів (користувачів, IP-адресу яких було зроблено статичною на кроці 1). Щоб створити список адрес, перейдіть до ip>firewall>address-list>add. Введіть назву для свого списку адрес і додайте IP-адресу. Повторіть кроки для кожної IP-адреси, переконавшись, що для кожної введеної IP-адреси вибрано той самий список адрес.

Крок 3: правило Mikrotik Mangle

Створіть два правила mangle, щоб позначати пакети завантаження та вивантаження для користувачів у списку адрес, створеному на кроці 2. Щоб створити правило mangle для upload пакетів, перейдіть до IP>firewall>mangle>add. Встановіть ланцюжок для пересилання, виберіть свій інтерфейс локальної мережі як вхідний інтерфейс, натисніть «Advanced» і виберіть список адрес, створений на кроці 2, як вихідний список адрес. Натисніть Action, виберіть «mark packet» і введіть назву для позначки пакета. Натисніть «Apply» та «ОК». 

Повторіть кроки для download пакетів, але цього разу виберіть інтерфейс локальної мережі як вихідний і залиште вхідний інтерфейс порожнім. 

Код командного рядка для двох правил наведено нижче, якщо ви віддаєте перевагу створенню його через CLI:

ip firewall mangle 
add chain=forward action=mark-packet new-packet-mark=Top_users_upload passthrough=yes src-address-list=office in-interface=ether5
add chain=forward action=mark-packet new-packet-mark=Top_users_download passthrough=yes dst-address-list=office out-interface=ether5

Крок 4: Проста черга

Крок 4 є останнім. Тут ми налаштовуємо черги на використання позначок пакетів, створених на кроці 3, для контролю пропускної здатності. Спочатку налаштуйте чергу download, а потім чергу upload. Перейдіть до Simple queue (простої черги) та натисніть кнопку add (додати). Додайте назву (top_users_download), виберіть максимальну пропускну здатність. Максимальний ліміт – це те, що вони отримають, якщо нікого з інших груп немає в мережі. Максимальний ліміт (max limit) не повинен бути нижчим за “limit at”. Клацніть «advanced», виберіть пакет для завантаження в списку позначок пакетів і введіть значення пропускної здатності для «limit at» та встановіть значення пріоритету на число, нижче за значення за замовчуванням 8. Зауважте, що чим менше, тим краще. 

Повторіть кроки для трафіку upload, але цього разу виберіть upload пакети в розділі acket mark. Нарешті, ще на третьому кроці, створіть чергу для всіх інших (не членів групи найпопулярніших користувачів). Перебуваючи в simple queue, натисніть «add», введіть ім’я, виберіть інтерфейс локальної мережі як цільову адресу та встановіть максимальне обмеження передплаченої пропускної здатності; в даному випадку 5 Мбіт/с. Пам’ятайте, що максимальний ліміт – це те, що доступне для користувачів цієї групи, якщо користувачі з найвищим рейтингом не активні в мережі. Клацніть на вкладці Advanced і введіть цифри для обмеження «limit at» пропускної здатності. У цьому випадку 2 Мбіт/с. Тут позначка пакета не вибрана. Також переконайтеся, що значення пріоритету для цієї групи більше, ніж значення, встановлене для групи найвищих користувачів.