В процессе обслуживания ЛВС возникла необходимость обеспечить синхронизацию времени в большом количестве камер видеонаблюдения. От серверов в Интернете синхронизация почему-то проходила плохо и не всегда. На помощь пришел микротик. В роутере был запущен NTP-сервер для локальной сети, который сам синхронизировался из внешней сети (Интернета) без проблем. Как это все настроить описано далее.

Освоить MikroTik Вы можете с помощью онлайн-куса
«Настройка оборудования MikroTik». Курс содержит все темы, которые изучаются на официальном курсе MTCNA. Автор курса – официальный тренер MikroTik. Подходит и тем, кто уже давно работает с микротиками, и тем, кто еще их не держал в руках. В курс входит 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.

Использован роутер RB750Gr3 c прошивкой v6.49. Пакет NTP-сервера не входит в базовый состав прошивки, его нужно скачивать отдельно. В прошивках версии v7.0 и выше пакет NTP встроен в главный файл прошивки.

Настройки выполняются через WinBox.

Настройка SNTP-клиента.

Этот вариант предназначен только для синхронизации самого микротика из сервисов NTP в интернете. Он немного отходит от темы инструкции, рассмотрим его кратко. Дополнительно скачивать ничего не нужно.

Переходим через боковое меню в System >> SNTP Client.

Активируем клиента галочкой напротив Enabled.

Primary NTP Server: 88.147.254.230  – IP-адрес первичного NTP сервера.

Secondary NTP Server: 88.147.254.232 – IP-адрес резервного NTP сервера.

Адреса ближайших серверов можно найти в интернете.

Сохраняем настройки на кнопку «ОК».

Через командную строку терминала:

Вместо IP-адресов можно указывать доменные имена серверов.

Клиент настроен, время в роутере актуальное. Проверить его можно на вкладке System >> Clock или вынести на переднюю панель в верхней правой часть окна WinBox.

Через командную строку, например при работе через SSH, можно проверить время с помощью команды:

Firewall

NTP работает через порт 123 UDP. Если по каким-то причинам Firewall не пропускает трафик по этому порту, то его нужно открыть правилом в IP >> Firewall >> Filter Rules.

При необходимости можно указать в правиле конкретный интерфейс. Правило размещается вверху списка.

Через командную строку терминала:

В данном случае это правило не понадобилось и NTP работает без него.

NTP Client и NTP Server.

Настройка NTP клиента.

Тут все почти так же, как с SNTP клиентом.

Переходим в меню System >> NTP Client.

Enabled – отмечаем галочкой, для активации клиента;

Mode: unicast – режим передачи пакетов от сервера клиенту;

Далее указываются IP-адреса ближайших NTP-серверов в Интернете.

Primary NTP Server: 185.65.137.155 – основной сервер;

Secondary NTP Server: 194.158.196.171 – резервный сервер.

Через командную строку терминала:

Можно указывать адрес сервера в виде доменного имени. При нажатии кнопки «Apply» доменное имя преобразуется в IP-адрес.

Выбрать ближайший сервер можно с помощью Интернет-сервиса pool.ntp.org

В прошивке v7.1 появились дополнительные настройки NTP-клиента.

Можно добавлять более двух серверов времени. Появилась кнопка сброса частотных погрешностей (Reset Drift). Так же можно подробно работать с серверами и посмотреть пиры. Похоже что все эти новые настройки разработчики подсмотрели у циски.

Активация NTP-клиента через командную строку терминала для прошивки v7 и выше:

О том, что время синхронизировалось сообщает статус — synchronized

Клиент настроен.

Настройка NTP сервера.

Активируем сервер. System >> NTP Server

Enabled – отмечаем галочкой;

«ОК» – для сохранения настройки.

Manycast – режим обмена пакетами между сервером и клиентами — оставляем без изменений.

В прошивке v7.1 так же как и в клиенте добавлено пару дополнительных кнопок – взаимодействие сервера и клиента через ключ и просмотр пиров.

Отмечаем галочками Enabled и Manycast.

Через командную строку терминала:

Сервер настроен.

NTP можно динамически раздавать вместе с сетевыми настройками. Для этого в DHCP сервере для локальной сети на вкладке Networks нужно добавить адрес NTP-сервера.

Настройка NTP-клиента на сетевых устройствах.

MikroTik.

Если в сети есть другие устройства MikroTik, которые получают IP-адреса по DHCP, то в них есть возможность так же получать NTP. Проверить это можно в клиенте DHCP.

За динамическое получение NTP отвечает настройка Use Peer NTP. Когда настройка активирована, в NTP Client (так же активированном) появляются динамические IP-адреса серверов синхронизации.

Других устройств с динамическим получением NTP в нашей сети обнаружено не было.

 NTP в камерах видеонаблюдения.

В камерах видеонаблюдения, для которых это все делалось, нет автоматического получения NTP с сетевыми настройками. NTP сервер указывается вручную. Входим в меню настроек камеры. На вкладке «Время» активируем галочкой NTP и указываем IP-адрес настроенного ранее локального сервера.

Проверяем, нажав на кнопку тест – устанавливается актуальное время. NTP работает.

Настроенный локальный NTP-сервер можно указать во всех сетевых устройства, чтоб синхронизировать время из одного источника.

Освоить MikroTik Вы можете с помощью онлайн-куса
«Настройка оборудования MikroTik». Курс содержит все темы, которые изучаются на официальном курсе MTCNA. Автор курса – официальный тренер MikroTik. Подходит и тем, кто уже давно работает с микротиками, и тем, кто еще их не держал в руках. В курс входит 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.

Поставлена простая задача: ограничить скорость доступа в Интернет определенному пользователю в небольшой локальной сети. На этом все. Пользователь часто смотрит видео в высоком разрешении, периодически включается торрент, который портит настроение всем остальным.

Освоить MikroTik Вы можете с помощью онлайн-куса
«Настройка оборудования MikroTik». Курс содержит все темы, которые изучаются на официальном курсе MTCNA. Автор курса – официальный тренер MikroTik. Подходит и тем, кто уже давно работает с микротиками, и тем, кто еще их не держал в руках. В курс входит 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.

Настройки выполнялись на роутер RB750GR3 с прошивкой v6.49. Выполнена базовая настройка по этой инструкции.

Выбран тестовый ПК с произвольным IP-адресом, чтоб наблюдать результаты настроек. Затем IP-адрес заменен на требуемый.

1.Проверка скорости доступа в Интернет.

Перед началом настроек проверим реальную существующую скорость с помощью сервиса в Интернете, например speedtest.

Скорость соответствует тарифному плану 20/20 Мбит/сек.

2.Определение IP-адреса пользователя.

IP-адреса в сети раздает DHCP сервер.

Переходим по меню в: IP >> DHCP Server >> Leases

Находим в списке нужного пользователя. У него статус D – dynamic.

Нажимаем на него правой кнопкой мыши и выбираем из меню строчку «Make Static».

После этих действий указанному пользователю всегда будет раздаваться один и тот же IP-адрес. Он привязан к MAC-адресу. Статус D пропадет.

3.Ограничение скорости.

Создадим правило, ограничивающее скорость заданному пользователю на уровне 3Мбит/сек.

Queues >> Simple Queues >> +

В открывшемся окне на вкладке General вводим настройки:

Name: USER-320-1-LIMIT-3M – имя пользователя, которому ограничивается скорость. Если пользователей будет несколько, то лучше сразу задать толковое имя, чтоб понимать, где кто. В данном случае  указан пользователь (USER, BUH, MARKETOLOG, ECONOM и тп.), номер кабинета, номер подключения в кабинете и лимит скорости.

Target: 192.168.15.99 – IP-адрес пользователя.

Dst: ether1-WAN – внешний интерфейс для конкретизации, если их несколько.

Target Upload Max.Limit: 3M – максимальная скорость для выгрузки в Интернет.

Target Download Max.Limit: 3M – максимальная скорость скачивания из Интернета.

M –означает мегабиты. Скорость можно выбрать из списка или написать любую.

Нажимаем кнопку «ОК» для сохранения настроек.

Через командную строку терминала:

Проверяем скорость

Скорость соответствует.

О том, что правило работает, так же сообщает значок напротив пользователя. В зависимости от загрузки он становится желтым – 50% (и выше) или красным – 75% (и выше).

Цель достигнута. Осталось только заменить в правиле IP-адрес тестового компьютера, на IP нужного пользователя.

Если скорость не ограничивается и правило не работает, то нужно проверить в IP >> Firewall >> Filter Rules наличие правила fasttrack connection (пересылка трафика без обработки). Если это правило присутствует его нужно удалить и перезагрузить роутер.

После того, как правило поработало пару дней, пользователь-качатель пришел на переговоры. Объяснил, что дома совсем плохой Интернет, сделать лучше не позволяет техническая возможность, 3G нет и тп и он хочет иногда что-то скачивать на работе. Было найдено компромиссное решение – разрешено качать с 18:00 до 7:00 в период, когда никто не работает.

Настройка время находится в нижней части окна правила.

Time: 07:00:00 – 18:00:00 – период времени в течение которого будет работать это правило.

Days: mon, tue, wed, thu, fri, — дни недели с понедельника по пятницу в течение которых будет работать правило.

Во все остальное неуказанное время (с 18 вечера до 7 утра по будням и все выходные) правило не работает, скорость не ограничена и пользователь может занимать канал в Интернет, не нарушая чью-то работу.

Через консоль с добавлением время работы:

Когда правило не работает, оно написано в списке красными буквами.

4.Разделение скорости пользователям и админам.

Рассмотрим еще один вариант, в котором нужно ограничить скорость всем пользователям сети кроме админов. Порядок расположения правил в Simple Queues имеет значение. Воспользуемся этой возможностью. Создадим правило, ограничивающее скорость на интерфейсе Bridge-LAN (локальная сеть). Затем создадим правило для скорости админу и поместим его выше правила для интерфейса. Проверим, как это работает.

Правило для пользователей.

Переходим в Simple Queues, создаем новое правило, нажав синий плюс.

Name: LAN-15-LIMIT-10M – имя для правила на локальную сеть с указанием лимита (любое понятное название латиницей);

Target: bridge-LAN – мост на котором локальная сеть;

Dst.: ether1-WAN (можно не указывать);

Target Upload Max Limit: 10M – максимальная скорость выгрузки;

Target Download Max Limit: 10M – максимальная скорость загрузки (скачивания);

Нажимаем кнопку «ОК».

Через командную строку терминала:

Правило для администратора.

В Simple Queues, создаем новое правило, нажав синий плюс.

Name: ADMIN-101-LIMIT-20M – имя для правила скорости админа;

Target: 192.168.15.101 – IP-адрес админа;

Dst.: ether1-WAN

Target Upload Max Limit: 20M – максимальная скорость выгрузки;

Target Download Max Limit: 20M – максимальная скорость загрузки (скачивания);

Нельзя оставлять значение «unlimited», нужно указать цифровое значение, иначе правило не заработает.

«ОК» для сохранения.

Чтоб правила пользователей и админа работали, их нужно расположить в определенном порядке: админ верхнее, пользователи – ниже.

Если правила не перетаскиваются нужно нажать на значок #.

По результатам проверки у пользователей в этой сети скорость 10Мбит/с, а у админа 20Мбит/с. У пользователя, который качает – 3Мбит/сек по расписанию.

Если нужно добавить еще одного админа или сервер без ограничений скорости, следует добавить требуемые IP-адреса в первое правило в поле «Target» (или создать еще одно правило).

К сожалению, в данном варианте прикрепить список пользователей в одно правило не получится и добавлять нужно по одному IP-адресу, привязанному к MAC-адресу.

Текущие скорости и график можно посмотреть на вкладке «Traffic», но для каждого правила отдельно.

Общую картину внешнего трафика в Simple Queues можно увидеть, если создавать одно родительское правило и все правила добавлять в него, но это отдельная тема. Или использовать Torch или IP Firewall Connection, но эти способы не очень удобны, потому что показан трафик на каждый IP-адрес назначения.

Burst.

В правиле «Simple Queues» на вкладке «General» кроме всего вышеперечисленного есть еще одна выпадающая вкладка с названием «Burst». Рассмотрим ее назначение.

Burst (вспышка) – функция, которая позволяет кратковременно увеличить скорость свыше установленного лимита. Например, при открытии Интернет-страниц в браузере не будет возникать задержек и тормозов, а если пользователь начнет смотреть видео или скачивать, то его скорость вернется к установленным лимитам.

Устанавливаем значения параметров «Burst». Значения в разных ситуациях будут разные и зависят от тарифного плана и настроенного ранее максимального ограничения скорости.

Burst Limit – максимальная скорость на время включения режима «Burst»;

Burst-time – время в течение которого рассчитывается средняя скорость;

Burst Threshold – значение средней скорости определяющее включение или выключение режима «Burst».

Через командную строку терминала:

Итак, мы открыли страницу и она начала загружаться с максимальной скоростью 15М. В течение 20сек  (Burst Time) рассчитывается средняя скорость. Когда средняя скорость достигает 8М (Burst Threshold), режим «Burst» отключается и скорость снижается до лимита в 10М. Вот примерно так это работает. Подробности с графиком в официальной wiki.

Освоить MikroTik Вы можете с помощью онлайн-куса
«Настройка оборудования MikroTik». Курс содержит все темы, которые изучаются на официальном курсе MTCNA. Автор курса – официальный тренер MikroTik. Подходит и тем, кто уже давно работает с микротиками, и тем, кто еще их не держал в руках. В курс входит 162 видеоурока, 45 лабораторных работ, вопросы для самопроверки и конспект.