Функция FastTrack в маршрутизаторах MikroTik
Согласно официальной документации MikroTik Wiki, FastTrack — это специальный обработчик (механизм) в маршрутизаторах MikroTik, предназначенный для ускоренной обработки сетевых пакетов и повышения общей производительности сети.
Эта технология снижает нагрузку на процессор устройства, уменьшает задержки и ускоряет маршрутизацию, так как пакеты обрабатываются на более низком уровне системы. FastTrack применяется к TCP и UDP соединениям, отмеченным как fasttrack-connection.
Важно учитывать, что не все пакеты внутри соединения могут быть обработаны FastTrack — часть из них всё равно проходит через стандартный путь обработки. Даже при активированном FastTrack отдельные пакеты могут следовать обычным маршрутом, что является нормальным поведением.
Пакеты, ускоренные с помощью FastTrack, обходят:
- firewall,
- connection tracking,
- simple queues,
- IP accounting,
- IPSec,
- hotspot universal client,
- VRF assignment.
FastTrack также корректно работает с NAT (источником и назначением), поэтому исключения для NAT-соединений создавать не требуется.
Администратору рекомендуется убедиться, что использование FastTrack не конфликтует с другими элементами конфигурации — именно на этом акцентирует внимание официальная документация MikroTik.
Администратору рекомендуется убедиться, что использование FastTrack не конфликтует с другими элементами конфигурации — именно на этом акцентирует внимание официальная документация MikroTik.
РЕКОМЕНДАЦИЯ
Наша команда советует изучить углубленный курс по администрированию сетевых устройств MikroTik.
В курсе много лабораторных работ по итогам которых вы получите обратную связь.
После обучения вы получите диплом гос. образца РФ. Подробности и доступ к началу курса бесплатно тут.
В курсе много лабораторных работ по итогам которых вы получите обратную связь.
После обучения вы получите диплом гос. образца РФ. Подробности и доступ к началу курса бесплатно тут.
Как работает FastTrack и зачем он нужен (настройка fasttrack-connection в MikroTik)
Возникает логичный вопрос: зачем вообще нужен FastTrack, если маршрутизатор и без него работает?
Проблема в том, что у многих маршрутизаторов MikroTik, особенно у недорогих моделей, ограниченная вычислительная мощность процессора. Это сказывается на скорости обработки трафика и выполнении сложных сетевых сценариев, так как каждый пакет проходит полный цикл проверки и маршрутизации на уровне ядра RouterOS.
Проблема в том, что у многих маршрутизаторов MikroTik, особенно у недорогих моделей, ограниченная вычислительная мощность процессора. Это сказывается на скорости обработки трафика и выполнении сложных сетевых сценариев, так как каждый пакет проходит полный цикл проверки и маршрутизации на уровне ядра RouterOS.
Чтобы снизить нагрузку, начиная с версии RouterOS v6, в системе появилась технология FastPath — механизм ускоренной обработки пакетов, который направляет трафик по «короткому маршруту», минуя стандартную обработку ядром ОС. Таким образом, уменьшается нагрузка на процессор и повышается общая скорость маршрутизации.
Суть технологии проста:
пакеты уже установленных соединений, а также те, где не требуется фильтрация, контроль или учёт, можно передавать напрямую, минуя часть системных обработчиков.
FastPath фактически является расширением драйвера интерфейса, который напрямую взаимодействует с нужными подсистемами RouterOS, обходя остальные.
пакеты уже установленных соединений, а также те, где не требуется фильтрация, контроль или учёт, можно передавать напрямую, минуя часть системных обработчиков.
FastPath фактически является расширением драйвера интерфейса, который напрямую взаимодействует с нужными подсистемами RouterOS, обходя остальные.
Особенности работы FastPath
Как отмечается в официальной документации MikroTik, возможны ситуации, когда один интерфейс поддерживает FastPath, а другой — нет. Это касается как физических, так и виртуальных интерфейсов. В таком случае возможны два варианта:
- Если входной интерфейс поддерживает FastPath, часть трафика будет обработана по ускоренному маршруту, а оставшаяся — по обычному (Slow Path).
- Если входной интерфейс не поддерживает FastPath, весь трафик пойдёт через Slow Path, даже если выходной интерфейс поддерживает ускорение.
Важные ограничения
FastPath работает только с IPv4 TCP и UDP соединениями. Весь остальной трафик и другие протоколы обрабатываются стандартным путём (Slow Path).
Итог
При правильной настройке FastTrack/FastPath позволяет значительно повысить производительность сети, снизить нагрузку на процессор и улучшить общую пропускную способность маршрутизатора.
Чтобы лучше понять, как это реализуется на практике, далее можно рассмотреть пошаговую настройку FastTrack в MikroTik.
Чтобы лучше понять, как это реализуется на практике, далее можно рассмотреть пошаговую настройку FastTrack в MikroTik.
Практическое применение Fast Path
Для начала откройте IP → Settings и убедитесь, что активированы параметры Allow Fast Path и Route Cache. В современных версиях RouterOS эти опции включены по умолчанию, но лучше проверить.
При такой конфигурации весь IPv4 TCP и UDP трафик, который удовлетворяет условиям FastPath, будет автоматически обрабатываться по ускоренному маршруту.
При такой конфигурации весь IPv4 TCP и UDP трафик, который удовлетворяет условиям FastPath, будет автоматически обрабатываться по ускоренному маршруту.
Кроме того, в режиме моста (Bridge) по умолчанию включена функция Fast Forward. Она позволяет передаваемым через мост пакетам использовать тот же быстрый путь.
Однако важно учитывать, что некоторые дополнительные настройки могут влиять на скорость обработки и работу FastPath — например, фильтрация, шейпинг или активные очереди.
Однако важно учитывать, что некоторые дополнительные настройки могут влиять на скорость обработки и работу FastPath — например, фильтрация, шейпинг или активные очереди.
Отключение DHCP Snooping
Если функция DHCP Snooping включена, это может снизить эффективность Fast Forward. DHCP Snooping — это механизм безопасности, защищающий сеть от атак с использованием поддельных DHCP-серверов. Однако его работа добавляет дополнительную нагрузку при обработке DHCP-пакетов, что может мешать оптимизации Fast Forward. Поэтому эту функцию рекомендуется отключить, если требуется максимальная производительность.
Отсутствие VLAN
Внутренние VLAN в мосту могут мешать корректной работе Fast Forward. Это происходит потому, что VLAN добавляют дополнительные этапы обработки пакетов внутри коммутатора. Такие служебные VLAN, например, для управления, создают дополнительную нагрузку, из-за чего Fast Forward может не применяться.
Ограничения Fast Path при использовании IPsec
Туннельные соединения, например L2TP, поддерживают Fast Path, но не совместимы с IPsec. В документации MikroTik указано, что система не позволяет объединить Fast Path и IPsec в одном интерфейсе.
При настройке L2TP необходимо выбрать — использовать Fast Path для ускорения трафика или включить IPsec для дополнительной защиты.
Если активировать обе функции, Fast Path будет автоматически игнорироваться. Такие настройки нежелательны, так как при обновлениях RouterOS поведение системы может измениться и привести к ошибкам в работе.
Если активировать обе функции, Fast Path будет автоматически игнорироваться. Такие настройки нежелательны, так как при обновлениях RouterOS поведение системы может измениться и привести к ошибкам в работе.
Поведение RouterOS
По умолчанию RouterOS применяет Fast Path автоматически, когда это возможно. Администратору важно понимать, какие параметры влияют на возможность его использования и как правильно выбирать между Fast Path и дополнительными средствами фильтрации и защиты.
Обычно применяют следующую базовую схему правил в цепочке forward:
Обычно применяют следующую базовую схему правил в цепочке forward:
- Разрешающее правило для состояний Established и Related.
- Ниже — правило, которое блокирует Invalid пакеты.
Включение FastTrack
Для активации FastTrack необходимо создать корректные правила в цепочке Forward:
Это правило направит все установленные и связанные соединения по быстрому пути, но при этом трафик перестанет проходить через системы контроля и анализа.
- Перейдите в IP → Firewall → Filter Rules.
- Добавьте новое правило со следующими параметрами:
- Chain: forward;
- Connection State: established, related.
Это правило направит все установленные и связанные соединения по быстрому пути, но при этом трафик перестанет проходить через системы контроля и анализа.
add chain=forward action=fasttrack-connection connection-state=established,relatedВажно: обязательно указывайте состояние соединений (Connection State) для этого правила.
Если его не задать, вы фактически создадите серьёзную уязвимость — весь трафик будет проходить мимо брандмауэра по ускоренному пути, без фильтрации и контроля. На практике часто встречаются ошибки, когда администраторы включают FastTrack для всего транзитного трафика, не ограничивая его состоянием соединения.
Если его не задать, вы фактически создадите серьёзную уязвимость — весь трафик будет проходить мимо брандмауэра по ускоренному пути, без фильтрации и контроля. На практике часто встречаются ошибки, когда администраторы включают FastTrack для всего транзитного трафика, не ограничивая его состоянием соединения.
Также стоит отметить, что во вкладках Filter Rules и Mangle автоматически создаются системные правила, которые нельзя удалить.
Теперь добавим ещё одно правило:
Пример команд в терминале MikroTik:
- Chain: forward;
- Connection State: established, related;
- Action: accept (указывать вручную не нужно, так как это действие по умолчанию).
Пример команд в терминале MikroTik:
add chain=forward action=accept connection-state=established,related
add chain=forward action=drop connection-state=invalidВажно помнить: часть пакетов, предназначенных для обработки через FastTrack, всё же может пойти по «медленному» пути. Если не добавить правило accept, такие пакеты будут отброшены, чего нужно избегать.
Это базовая схема настройки FastTrack, часто встречающаяся в инструкциях. Однако именно она нередко вызывает проблемы. Почему?
Потому что такое правило направляет весь установившийся и связанный трафик на быстрый путь без учёта его направления и назначения. В результате становятся недоступными фильтрация, маркировка пакетов, очереди и политики IPsec. Из-за этого функции, зависящие от этих механизмов, могут работать неправильно или полностью перестать функционировать.
Потому что такое правило направляет весь установившийся и связанный трафик на быстрый путь без учёта его направления и назначения. В результате становятся недоступными фильтрация, маркировка пакетов, очереди и политики IPsec. Из-за этого функции, зависящие от этих механизмов, могут работать неправильно или полностью перестать функционировать.
Как это исправить
Чтобы эффективно использовать FastTrack и при этом снизить нагрузку на устройство, необходимо уточнить правила и исключить из обработки определённые типы соединений. Основная цель — применять FastTrack только к обычному интернет-трафику, но не к потокам, где требуется фильтрация, контроль или использование IPsec.
Для этого следует создать два отдельных правила, которые более точно определяют направление трафика:
add action=fasttrack-connection chain=forward connection-state=established,related in-interface=bridge1 out-interface=ether1
add action=fasttrack-connection chain=forward connection-state=established,related in-interface=ether1 out-interface=bridge1Здесь:
- bridge1 — внутренний мост локальной сети;
- ether1 — внешний интерфейс, подключённый к Интернету.
Теперь вернёмся к IPsec. Как указано в официальной документации MikroTik, FastTrack несовместим с IPsec.
Поэтому, если в вашей конфигурации используется IPsec (если нет — этот шаг можно пропустить), необходимо добавить дополнительные правила в цепочке forward, чтобы обеспечить корректную работу зашифрованных соединений в RouterOS.
Поэтому, если в вашей конфигурации используется IPsec (если нет — этот шаг можно пропустить), необходимо добавить дополнительные правила в цепочке forward, чтобы обеспечить корректную работу зашифрованных соединений в RouterOS.
Настройка правил для IPsec
Добавим два правила, которые обеспечат корректную обработку IPsec-трафика:
add action=accept chain=forward ipsec-policy=in,ipsecЭто правило разрешает прохождение пакетов, поступающих через IPsec и имеющих политику in,ipsec.
Параметр ipsec-policy=in,ipsec означает, что правило применяется к пакетам, уже прошедшим IPsec-обработку на входе маршрутизатора.
Иными словами, такие пакеты, прошедшие расшифровку, но требующие дополнительной маршрутизации, будут корректно пропущены дальше.
Параметр ipsec-policy=in,ipsec означает, что правило применяется к пакетам, уже прошедшим IPsec-обработку на входе маршрутизатора.
Иными словами, такие пакеты, прошедшие расшифровку, но требующие дополнительной маршрутизации, будут корректно пропущены дальше.
add action=accept chain=forward ipsec-policy=out,ipsecЭто правило разрешает обработку исходящих пакетов, которые имеют политику out,ipsec.
Параметр ipsec-policy=out,ipsec указывает, что правило применяется к пакетам, уже зашифрованным IPsec на выходе маршрутизатора.
Таким образом, обеспечивается корректная передача трафика, выходящего через защищённые туннели IPsec.
Параметр ipsec-policy=out,ipsec указывает, что правило применяется к пакетам, уже зашифрованным IPsec на выходе маршрутизатора.
Таким образом, обеспечивается корректная передача трафика, выходящего через защищённые туннели IPsec.
Следует помнить:
- Правила IPsec должны располагаться выше FastTrack в цепочке forward. Это необходимо, чтобы трафик, защищённый IPsec, не проходил через FastTrack — в противном случае могут возникнуть ошибки шифрования или блокировка пакетов.
- FastTrack применяется только к транзитному трафику, то есть к пакетам, проходящим через маршрутизатор.
- Он не влияет на трафик, который обрабатывается самим устройством — например, в цепочках INPUT (входящий) и OUTPUT (исходящий).
- Таким образом, FastTrack ускоряет только те потоки, которые проходят через маршрутизатор в режиме пересылки (цепочка FORWARD).
Полная настройка цепочки Forward (fasttrack-connection) на MikroTik
add action=accept chain=forward ipsec-policy=in,ipsec
add action=accept chain=forward ipsec-policy=out,ipsec
add action=fasttrack-connection chain=forward connection-state=established,related in-interface=bridge1 out-interface=ether1
add action=fasttrack-connection chain=forward connection-state=established,related in-interface=ether1 out-interface=bridge1
add action=accept chain=forward connection-state=established,related
add action=drop chain=forward connection-state=invalidЭто базовый комплект правил для FastTrack в Forward: приоритет для IPsec, FastTrack только между bridge1↔ether1, затем accept для established/related и drop для invalid.
РЕКОМЕНДАЦИЯ
Вы хорошо разбираетесь в Микротиках? Или впервые недавно столкнулись с этим оборудованием и не знаете, с какой стороны к нему подступиться? В обоих случаях вы найдете для себя полезную информацию в углубленном курсе «Администрирование сетевых устройств MikroTik». В курсе много практических лабораторных работ по результату выполнения которых вы получите обратную связь. После окончания обучения вы получите диплом гос. образца РФ. Подробности и доступ к началу курса бесплатно тут.