+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

mark-connection VS mark-packet

mark-connection VS mark-packet, RouterOS

inibir

Guest

10.02.2011 19:33:00

Всем привет, в чём разница между mark-connection и mark-packet и почему их используют вместе в одной и той же настройке? Можно ли использовать только один из них? Чтобы работать с очередью, обязательно нужно использовать mark-packet или есть другой способ?

heviejob Guest	#2 0 16.08.2011 16:41:00 Спасибо. Я отметил пакеты и поставил маршрутизирующие метки на основе этих отметок, и теперь всё как-то перепуталось. Дай-ка я гляну в wiki по PCC.

phuang3

Guest

21.04.2011 03:16:00

Привет, Fewi, я всё ещё запутался в объяснении. Как ты сказал в самом начале — «Ты ставишь метку на соединение в одном пакете, и все остальные пакеты в этом же соединении получают такую же метку», так что теперь все последующие пакеты (туда и обратно?) должны маркироваться connection-mark от любых «новых» соединений, которые подходят под наши критерии. Почему же тогда нам всё ещё приходится добавлять packet-mark на те пакеты, которые уже помечены connection-mark?

fewi

Guest

21.04.2011 04:01:00

Вы не заметите разницы, если не используете функции, требующие меток пакетов. Другие правила mangle, фильтрации и NAT прекрасно работают только с метками соединений. Однако очереди, которые часто являются основной причиной использования меток, срабатывают только по меткам пакетов. Маршруты срабатывают только по маршрутизирующим меткам. Поэтому и нужно применять другой вид меток — функции, для которых предназначена метка, не могут использовать метки соединений.

phuang3

Guest

21.04.2011 05:26:00

Fewi, спасибо за быстрый ответ. У меня ещё один вопрос. Если я применяю connection + packet mark к любому соединению на http порт:80 через WAN, значит ли это, что все последующие входящие и исходящие пакеты тоже будут помечены? Без connection mark мне придётся делать это в обе стороны, правильно?

asionterma Guest	#6 0 21.04.2011 06:43:00 Делает ли mark-connection что-нибудь для протоколов без установления соединения?

Sanity

Guest

21.04.2011 10:21:00

Конечно. Под «соединением» понимается не «соединение в протоколе», а «соединение в трекере соединений». Там нет «беспроtocolных» протоколов. UDP-потоки — это соединения, идентифицируемые с таймаутом. Иначе как бы NAT работал? Эти соединения в трекере «искусственные», но при этом они работают и для протоколов без установления соединения.

heviejob

Guest

16.08.2011 16:29:00

Какой самый лучший способ помечать соединения или пакеты для использования в политике маршрутизации? У меня есть два интернет-соединения, и я хочу направлять часть трафика через одно, а другую часть — через другое, основываясь либо на метках соединений, либо на метках пакетов, при этом гарантируя, что каждый пакет вернётся по тому же соединению, через которое уходил.

fewi

Guest

16.08.2011 16:34:00

Чтобы отметить трафик для policy routing, нужны именно маркировки маршрутизации для исходящего трафика, отметки пакетов для решений по маршрутизации не подойдут. Если нужно, чтобы трафик, устанавливаемый из WAN в LAN, возвращался обратно через тот же интерфейс, нужно использовать маркировки соединений, потому что марки маршрутизации применяются к пакетам в обратном направлении двунаправленного потока. Затем на основе этих маркировок соединений применяются марки маршрутизации к исходящему трафику. Вики PCC — самый простой пример, в нем как раз показано то, что вы спрашиваете. Вот пример:

/ip firewall mangle
# сначала отмечаем соединения, приходящие через WAN-интерфейс, с интерфейсом, через который они пришли
add chain=prerouting in-interface=ISP1 connection-mark=no-mark action=mark-connection new-connection-mark=ISP1_conn
add chain=prerouting in-interface=ISP2 connection-mark=no-mark action=mark-connection new-connection-mark=ISP2_conn
# затем делаем случайные policy решения — здесь мы направляем tcp/80 трафик через ISP1
add chain=prerouting in-interface=LAN dst-address-type=!local protocol=tcp dst-port=80 action=mark-connection new-connection-mark=ISP1_conn
# а весь остальной трафик через ISP2
add chain=prerouting in-interface=LAN dst-address-type=!local action=mark-connection new-connection-mark=ISP2_conn
# и наконец применяем марки маршрутизации на основе маркировок соединений
add chain=prerouting in-interface=LAN connection-mark=ISP1_conn action=mark-routing new-routing-mark=to_ISP1
add chain=prerouting in-interface=LAN connection-mark=ISP2_conn action=mark-routing new-routing-mark=to_ISP2

Это сильно основано на: http://wiki.mikrotik.com/wiki/Manual:PCC

rferroni

Guest

#10

06.11.2012 15:05:00

Привет, fewi, у меня есть сомнения по поводу этих меток. Я использую mark-connection в цепочке prerouting, а потом по двум разным причинам использую mark-packet (для queue tree) и mark-routing (чтобы маршрутизировать через разные WAN), но не могу же использовать оба одновременно, верно? Я так понимаю, что можно использовать либо mark-packet, либо mark-routing с одной и той же mark-connection. Подумаю, как обойти эту проблему, может, разделить очереди для маршрутизации на двух Mikrotik’ах. Заранее спасибо.

Chupaka Guest	#11 0 06.11.2012 23:44:00 Каждый пакет имеет три метки: connection-mark, packet-mark и routing-mark. Их можно использовать в любых комбинациях. Также обратите внимание на параметр ‘passthrough=’ в правилах файрвола.

rferroni Guest	#12 0 07.11.2012 12:54:00 Звучит здорово!!! Сначала я немного поработаю в лаборатории, потому что у меня столько заданий в Mangle, что у меня голова кругом! Да, passthrough очень важен, я проверю, чтобы не было ошибок. Спасибо!

grizly

Guest

#13

29.11.2012 23:36:00

Сколько меток соединения мы вообще можем поставить? Я использовал правила mangle, чтобы помечать соединения как FTP/SSH и так далее, а теперь хочу убедиться, что трафик идет через нужные интерфейсы. Но боюсь, что мои тщательно прописанные правила сломаются, если обнаружат неправильную метку соединения...

rferroni

Guest

#14

03.12.2012 14:21:00

Я понял, что у меня такая же проблема. Пока не хочу разделять на два разных маршрута/ОС. Поэтому я использую mark-connection, чтобы обеспечить прохождение трафика через нужный интерфейс. А для очередей применяю только mark-packet (знаю, это не лучший вариант).

grizly

Guest

#15

10.12.2012 00:33:00

Разобрался, пришлось использовать «Passthrough», чтобы добавить дополнительные пометки к пакетам, маршрутам и соединениям. Вот это да, очень круто! Для справки: Passthrough означает, что обработка правил продолжается, так что правило mangle добавляет метку маршрута, потом другое проверяет и добавляет метку пакета, потом третье проверяет и добавляет метку соединения для новых соединений, что открывает массу разных приколов, а дальше уже переходы к типовым цепочкам и так далее. Очень нравится.

marria

Guest

#16

20.12.2012 07:11:00

Вопрос: у маршрутизатора A есть 3 порта — eth0 для клиентов, eth1 и eth2 — два возможных пути, каждый из которых проходит через 3 хопа до маршрутизатора B. У маршрутизатора B есть 2 LAN и один WAN для выхода в интернет. Я настроил PCC на маршрутизаторе A, чтобы как бы распределять нагрузку между этими двумя путями. Предполагая, что подключения инициируются клиентами, нужно ли также ставить connection mark на маршрутизаторе B, чтобы потоки не разрывались, или же установившийся маршрут, инициированный клиентами, сохранится на маршрутизаторе B? Все примеры PCC рассматривают 2 WAN и 1 LAN, а у меня наоборот. Мой маршрутизатор A хорошо распределяет трафик по байтам, но не разрываются ли у меня потоки?

Chupaka Guest	#17 0 21.12.2012 12:00:00 все метки (соединения, пакеты, маршрутизация) локальны, другие маршрутизаторы ничего о них не знают. Что ты имеешь в виду под «ломать»?..

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры