Professional Documents
Culture Documents
SONTAYA PHOTIBUT
sontaya@susethailand.com
http://www.susethailand.com
http://www.suse.in.th
การอนุญาต (License)
ห้ามพิมพ์จัดจำาหน่ายหรือแจกจ่ายโดยไม่ได้รับอนุญาตจากผู้เขียน และห้ามทำาการแชร์คู่มือในรูปแบบต่างๆ เช่น
การอัพโหลดไฟล์ไปเก็บไว้ยังบริการฟรีแชร์ไฟล์บนเซิร์ฟเวอร์ต่างๆ
คูม่ ือนี้ไม่ได้ใช้สัญญาอนุญาตศรีเอทีฟคอมมอนส์ ถ้าตรวจสอบว่าผูใ้ ดกระทำาผิดบุคคลนั้นยอมมีความผิดตามพ
ระราชบัญญัติว่าด้วยการกระทำาผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550
คำาปฏิเสธ (Disclaimer)
ผู้เขียนไม่รับประกันว่าข้อมูลในคู่มือเล่มนี้จะยังคงทำางานร่วมกับซอฟต์แวร์เวอร์ชัน และอุปกรณ์รุ่นใหม่ในอนาคต
ได้หรือไม่
เครื่องหมายการค้า (Trademark)
MikroTik ®, RouterOS ®, RouterBOARD ® เป็นชื่อเครื่องหมายการค้าของบริษัท MikroTik ที่ได้จดทะเบียน
แล้ว และชื่อผลิตภัณฑ์อื่นๆ ทั้งหมดในคู่มือเล่นนี้เป็นเครื่องหมายการค้าของบริษัทผู้ผลิตซอฟต์แวร์นั้น
RouterOS เป็นซอฟต์แวร์เราติ้ง (routing software) ทำางานอยู่บนแพลตฟอร์มฮาร์แวร์ของ MikroTik
RouterBOARD เป็นฮาร์แวร์แพลตฟอร์มของ MikroTik
บทนำา
เป้าหมายของคู่มือเล่มนี้
– มีความเข้าใจเกี่ยวกับฮาร์ดแวร์แพลตฟอร์ม MikroTik RouterBOARD และระบบปฎิบัติการ RouterOS
– สามารถเรียนรู้การตั้งค่าเปิดให้บริการเซอร์วิสต่างๆ ได้
– สามารถอิมพลีเม้นท์และออกแบบซูโลชันได้
เกี่ยวกับคู่มือเล่มนี้
คูม่ ือเล่มนี้ผู้เขียนได้เรียบเรียงจากต้นฉบับหนังสือ RouterOS by Example ผู้แต่ง คือ Stephen R.W Discher ซึ่งเขาเขียน
ขึ้นมาเพื่อใช้เป็นคู่มือในการสอนคอร์ส MTCNA (MikroTik Certified Network Associate) ดังนั้นคู่มือเล่มนี้จึงไม่ใช้
หนังสือที่เขียนลงลึกถึงรายละเอียดฟีเจอร์ต่างๆ หากต้องการทราบถึงรายละเอียดต่างๆ ผู้อ่านสามารถศึกษาเพิ่มเติมได้
ทางออนไลน์ที่เว็บไซต์ของผู้ผลิต MikroTik
รุ่น RB750
RB ย่อมาจาก RouterBOARD
7 หมายความว่า อุปกรณ์ในตระกูล 700 series
5 หมายความว่าจำานวนอิเทอร์เน็ตพอร์ต
0 หมายความว่าไม่มีอินเตอร์เฟซแบบไร้สาย (wireless
interface), ไม่มีอินทิเกรดการ์ดไร้สาย (wireless card)
หรือ mini PCL slot
RB ย่อมาจาก RouterBOARD
7 หมายความว่า อุปกรณ์ในตระกูล 700 series
5 หมายความว่าจำานวนอิเทอร์เน็ตพอร์ต
1 หมายความว่า 1 อินเตอร์เฟซแบบไร้สาย, 1 USB พอร์ต
U หมายความว่า กำาหนดสัญลักษณ์อักษรตัว U เพื่อบอก
ว่ามีพอร์ต USB จำานวน 1 พอร์ต
2H หมายความว่า ใช้ย่ายความถี่ 2 GHz
n หมายความว่า มาตรฐานเครือข่ายไร้สายความเร็วสูง
หรือ IEEE 802.11n (พร้อมรับรองมาตรฐาน 802.11b/g
ในตัว)
D หมายความว่า กำาหนดสัญลักษณ์อักษรตัว D เพื่อบอก
ว่ามีเสาอากาศ 1 คู่ (2 เสา)
(เป็นเราท์เตอร์บอร์ดรุ่นที่มีไวเลสในตัว)
เสถียรสูงกว่าคอมพิวเตอร์พีซี หรือคอมพิวเตอร์เซิร์ฟเวอร์
2. RouterBOARD ใช้พลังงานไฟฟ้าน้อยกว่าเครื่องคอมพิวเตอร์พีซี หรือคอมพิวเตอร์เซิร์ฟเวอร์ที่จะติดตั้ง
RouterOS
3. RouterOS ถ้าไดรฟ์ฮาร์ดดิกส์เครื่องเซิร์ฟเวอร์เสียไม่สามารถใช้ได้ หรือทำาการ ฟอร์แมทฮาร์ดดิกส์จะต้องสั่งซื้อ
WinBox
กำาลังโหลดปลั๊กอิน
Inside WinBox
เพิ่มอีลิเมนต์ใหม่
ลบอีลิเมนต์จากลิสต์
เปิดใช้งานอีลิเมนต์
ปิดการใช้งานอีลิเมนต์
เพิ่มคอมเมนต์ในอีลิเมนต์
ฟิลเตอร์ลิสต์ที่ต้องการ
ต่อไปเรามาดูข้อความที่ขึ้นตัวสีต่างๆ เวลาเราใส่ข้อมูลหรือระบุออบชันเข้าไปผิด เช่น สีแดง, สีฟ้า และตัวหนา
อีกหนึ่งความสามารถของ RouterOS บนอุปกรณ์ MikroTik นั้นก็ คือ ฟีเจอร์เซฟโหมด Safe Mode คืออะไร? โหมดที่
สามารถเปลี่ยนแปลงการตั้งค่ากลับมาเป็นการตั้งค่าเดิมได้ เมื่อทำาการรีบูตอุปกรณ์ (ง่ายๆ ก็ คือ โหมดที่ไม่มีการบันทึก
การตัง้ ค่าจริง) สำาหรับการใช้งานเซฟโหมดโปรแกรม WinBox ต้องเป็นเวอร์ชั่น 5 ขึ้นไป หรือเรียกใช้งานผ่าน command
line
Serial Terminal
- เสียบสายแลนที่อีเทอร์เน็ตพอร์ตที่ 1
- ที่คอมพิวเตอร์ เปิดโปรแกรม NetInstall
- คลิกปุ่ม Net booting และกำาหนดไอพีแอดเดรสที่อยู่ใน Subnet เดียวกันกับวง LAN คอมพิวเตอร์ที่คอนฟิกแล้ว
- เสร็จแล้วคลิกปุ่ม OK
- จากนั้นหาดินสอ หรือเข็มกลัดจิ้มค้างที่ปุ่มรีเซตที่ตัวอุปกรณ์ แล้วเสียบอแด็ปเตอร์ ระหว่างนี้ให้สังเกตดวงไฟ ACT จะ
กระพริบ พอหยุดกระพริบแล้วจึงปล่อย (ประมาณ 15 วินาที) จากนั้นโปรแกรม Netinstall จะเห็นชื่อรุ่นและ MAC
address พร้อมอัพ RouterOS ดังรูป
- คลิกเซ็กบ็อกซ์เลือกไฟล์แพ็คเกจ
- จากนั้นให้คลิกปุ่ม Install
หรือสามารถดาวน์โหลดสคริปต์ตัวอย่างการตั้งค่าได้ที่ http://learnmikrotik.com/book/basicconfig/config.txt
ให้คัดลอกโค๊ดทั้งหมด
/ip address
add address=192.168.1.1/24 disabled=no interface=ether2
add address=192.168.2.1/24 disabled=no interface=wlan1
/ip pool
add name=dhcp_pool1 ranges=192.168.1.2-192.168.1.254
add name=dhcp_pool2 ranges=192.168.2.2-192.168.2.254
/ip dhcp-server
add address-pool=dhcp_pool1 \
disabled=no interface=ether2 lease-time=3d name=dhcp1
add address-pool=dhcp_pool2 \
disabled=no interface=wlan1 lease-time=3d name=dhcp2
/ip dhcp-server config
set store-leases-disk=5m
/ip dhcp-server network
add address=192.168.1.0/24 dns-server=8.8.8.8 gateway=192.168.1.1
add address=192.168.2.0/24 dns-server=216.146.35.35 gateway=192.168.2.1
/system ntp client
set enabled=yes mode=unicast primary-ntp=203.185.69.60
/interface wireless
set 0 band=2ghz-b default-authentication=yes disabled=no \
wireless-protocol=802.11 mode=ap-bridge
/ip dhcp-client
add interface=ether1 disabled=no
/ip firewall nat
add chain=srcnat out-interface=ether1 action=masquerade
/ip neighbor discovery
set wlan1 disabled=no
Ether1: อีเทอร์เน็ตพอร์ตที่ 1 เป็น WAN พอร์ต จะรับไอพีแอดเดรสเป็นเป็น Public IP address หรือ Static IP
address จากผู้ให้บริการ
Ether2: อีเทอร์เน็ตพอร์ตที่ 2 เป็น LAN พอร์ต จะแจงไอพีแอดเดรสให้กับเครื่องคอมพิวเตอร์ไคลเอ็นต์เป็น DHCP
แอดเดรส
Note: หากใช้ MikroTik ที่เป็นรุ่นสนับสนุนเครือข่ายไร้สาย 2.4 GHz (มี wireless card ในตัว) เมื่อเครื่องไคลเอ็นต์
คลิกปุ่ม OK เพื่อบันทึกค่า
Note: RouterOS จะใช้วิธีกำาหนด Subnet Mask แบบ CIDR (Classless Inter-Domain Routing) โดยการใช้
slash notation (/) แล้วนับจำานวนบิตที่เป็น 1 ใน Subnet Mask และเขียนไว้หลังเครื่องหมาย / เช่น
192.168.250.1/24 ตัวเลข 192.168.250.1 เป็น network adddress และ 24 เป็นการบอก Subnet ว่า 24 (mask
bits) เป็นส่วนของ network ใน address และมีจำานวนโฮสต์ใน Subnet เท่ากับ 254 โฮสต์ เว็บไซต์สำาหรับคำานวณ
subnet mask: http://www.subnet-calculator.com
จากนั้นคลิกเลือกแท็บ Group
กรุ๊ปดีฟอลต์ full (สามารถอ่าน-เขียนค่าคอนฟิกบนเราท์เตอร์ได้), read (ดูค่าคอนฟิกได้อย่างเดียวเท่านั้น) และ write
(สามารถอ่านและเขียนค่าคอนฟิกบนเราท์เตอร์ได้)
เลือกเมนู System > Users > เลือกแท็บ Users > คลิกที่ปุ่ม AAA
จากนั้นคลิกเซ็กบอกซ์ User RADIUS และเลือกกลุ่มที่ต้องการให้พิสูจน์ตัวตนผู้ใช้กับ UserManager
คลิกที่เมนู Radius > คลิกเครื่องหมาย [+] > คลิกเซ็กบอซ์ login (หากนำาไปใช้กับ Wifi HotSpot ก็คลิกเซ็กบอกซ์
hotspot) จากนั้นกำาหนดแอดเดรส Radius เซิร์ฟเวอร์ และ Secret ในนี้กำาหนดเป็น 1 (ตัง้ อะไรก็ได้แต่ให้ตรงกับระหว่าง
ไคลเอ็นต์ > คลิกปุ่ม OK
Note: ต้องล็อคอินเข้า UserManager แล้วสร้าง Customers โดยกำาหนด permissions เป็น Read write, จากนั้น
สร้างยูสเซอร์ (Users > Add > One) ในส่วนของ Main Owner ให้เลือกเป็นชื่อ Customers ที่สร้างขึ้นก่อนนี้
เท่านี้ก็สามารถนำายูสเซอร์ที่สร้างขึ้นบน UserManager มาใช้ล็อคอินผ่าน WinBox เข้าเราท์เตอร์ได้แล้วครับ
บทที่ 3 – การอัพเกรดและดาวน์เกรดแพคเกจซอฟต์แวร์ RouterOS
เหตุผลที่คุณควรอัพเกรด
- ฟีเจอร์ใหม่ และจำาเป็นต้องใช้งานฟีเจอร์นั้น
- เวอร์ชันที่ใช้อยู่มีช่องโหว่ด้านความปลอดภัย จำาเป็นต้องอุดช่องโหว่นี้
- การแก้ไขข้อผิดพลาดสำาหรับเวอร์ชันที่ใช้อยู่
- อัพเกรดเพื่อให้สนับสนุนฮาร์ดแวร์ใหม่ที่ต้องใช้งาน
ข้อควรระวัง: หากไม่มีเหตุผลตามที่กล่าวมาก็ไม่ควรอัพเกรดครับ
ตรวจสอบเวอร์ชัน
หากใช้งานจริงแล้วพบว่าที่อัพเกรดไปทำางานไม่เสถียรพอ บางครั้งก็จำาเป็นที่จะดาวน์เกรดแพคเกจของระบบปฏิบัติการ
Note: สามารถอัพเกรดผ่าน FTP ได้ โดยใช้โปรแกรม FTP client เช่น FileZilla Client โดยอัพโหลดไฟล์ไปยังเราท์
เตอร์ เปิดเทอร์มินอลจากนั้นพิมพ์คำาสั่ง system reboot
ตัวอย่าง การจัดการแพคเกจบนเราท์เตอร์
แนะนำาว่าแพคเกจไหนที่ไม่ได้ใช้งานให้ถอนการติดตั้งซะ หรือหากอนาคตคิดว่าต้องใช้ฟีเจอร์แพคเกจนั้นก็ให้ปิดการใช้
งาน (disable) และที่สำาคัญแนะนำาว่าอย่าติดตั้งแพคเกจเพิ่มหากไม่ได้ใช้งาน ติดตั้งไปก็รันกินทรัพยากรระบบซะเปล่า
ครับ
เลือกแพคเกจแล้วคลิกปุ่ม Disable
จากนั้นเปิดเทอร์มินอลแล้วพิมพ์คำาสั่ง system reboot
ตัวอย่าง
RB750PTTY
RB (Routerboard) ชนิดเราท์เตอร์
750 (ID) ซีรี 750
PTTY (Pattaya) สถานที่สาขาพัทยา
RBW751PTTY
RBW (Routerboard) ชนิดไวเลส
751 (ID)
PHKT (Phuket) สถานที่สาขาภูเก็ต
ตัวอย่าง ขั้นตอนการกำาหนดชื่อให้เราท์เตอร์
จากนั้นให้ตั้งชื่อให้กับอุปกรณ์
คลิกปุ่ม OK เป็นอันเสร็จ
รายละเอียดที่กำาหนดไปจะแสดงใน WinBox ตรงส่วนของ title bar, หน้าเทอร์มินอล และ หน้าต่าง IP > Neighbors List
ดังรูป
Winbox:
Terminal window:
แล้วกดปุ่ม Apply จะเห็นว่าชื่อ DNS resolvable name ถูกเปลี่ยนเป็น IP address หลังจากกดปุ่ม Apply
หรือจะเลือก Time Zone Name เป็น manual จากนั้นไปคอนฟิกที่แท็บ Manaual Time Zone และตั้งค่า
มาตรฐานของที่อยู่ปัจจุบัน
ข้อควรระวัง: ไม่แนะนำาการตั้งค่าแบบกำาหนดเอง เพราะทุกๆ เวลาที่เราท์เตอร์รีบูต เวลาและวันที่จะถูกรีเซต
ระหว่าง export ไฟล์นี้จะใช้ CPU มากถึง 100% (ไม่ควร export ขณะยูสเซอร์ใช้งานระบบ) จากนั้นรอสักครู่ ถ้า
เสร็จแล้วไฟล์จะอยู่ที่หน้าต่าง File List หลังจาก export เสร็จแล้วจะขึ้นหน้าต่างพร้อมท์ดังรูปดังล่างนี้
Level number 0 (Demo mode) 1 (Free) 3 (WISP CPE) 4 (WISP) 5 (WISP) 6 (Controller)
Price no key registration volume only $45 $95 $250
Upgradable To - no upgrades ROS v6.x ROS v6.x ROS v7.x ROS v7.x
Initial Config Support - - - 15 days 30 days 30 days
Wireless AP 24h trial - - yes yes yes
Wireless Client and Bridge 24h trial - yes yes yes yes
RIP, OSPF, BGP protocols 24h trial - yes(*) yes yes yes
EoIP tunnels 24h trial 1 unlimited unlimited unlimited unlimited
PPPoE tunnels 24h trial 1 200 200 500 unlimited
PPTP tunnels 24h trial 1 200 200 500 unlimited
L2TP tunnels 24h trial 1 200 200 500 unlimited
OVPN tunnels 24h trial 1 200 200 unlimited unlimited
VLAN interfaces 24h trial 1 unlimited unlimited unlimited unlimited
HotSpot active users 24h trial 1 1 200 500 unlimited
RADIUS client 24h trial - yes yes yes yes
Queues 24h trial 1 unlimited unlimited unlimited unlimited
Web proxy 24h trial - yes yes yes yes
User manager active sessions 24h trial 1 10 20 50 Unlimited
Number of KVM guests none 1 Unlimited Unlimited Unlimited Unlimited
(*) - สำาหรับ RouterBOARD โปรโตคอล BGP (Border Gateway Protocol) จะถูกเพิ่มในไลเซ็นต์ level3 เท่านั้น
ส่วนอุปกรณ์อื่นๆ จะต้องเป็นไลเซ็นต์ level4 หรือสูงกว่านี้ถึงจะสนับสนุนโปรโตคอล BGP.
อ้างอิง - http://wiki.mikrotik.com/wiki/Manual:License
ไลเซ็นต์และการอัพเกรด RouterOS
การอัพเกรดไลเซ็นต์ RouterOS สามารถทำาได้ทุกเวลา แต่ขึ้นอยู่กับ license level ของ RouterOS เช่น ถ้ากำาลังใช้งาน
RouterOS v5 ไลเซ็นต์ของเราจะถูกจำากัดการอัพเกรด จะสามารถอัพเกรดได้จะต้อง RouterOS v6 เท่านั้น และไม่
สามารถอัพเกรดไปเป็นเวอร์ชัน RouterOS v7 ได้
โดยคีย์อัพเกรดจะมีสองประเภท คือ Level3/L4 และ Level5/L6 ความแตกต่างคือ Level3 และ Level4 จะสามารถ
อัพเกรดการปรับปรุง RouterOS จนถึงเวอร์ชันสุดท้ายของรุ่นถัดไป ส่วน Level5 และ Level6 สามารถอัพเกรดใช้รุ่น
เมเจอร์เวอร์ชันได้ ตัวเลขเวอร์ชัน เช่น V5 (ถ้าเป็น V5.21 ตัวเลข 21 คือเวอร์ชันของแต่ละรุ่น)
ตัวอย่าง
- ถ้ารุ่นปัจจุบันใช้ RouterOS v3 (ROS v3), License Level3 และ Level4 จะสามารถทำางานได้กับ ROS v3.1, v3.20,
v4.1, v4.20 แต่ไม่รองรับ v5.0
- ถ้ารุ่นปัจจุบันใช้ RouterOS v3 (ROS v3), License Level5 และ Level6 จะสามารถทำางานได้กับ ROS v3.1, v3.20,
v4.1, v4.20 และ v5beta1 แต่ไม่รองรับ v6.0
- ถ้ารุ่นปัจจุบันใช้ RouterOS v4 (ROS v4), License Level5 และ Level6 จะสามารถทำางานได้กับ ROS v4.1, v4.20,
v5.1, v5.20 และ v6beta ไปถึง v6.99 แต่ไม่รองรับ v7
ตัวอย่าง การตรวจสอบระดับของลายเซ็นต
1. ลงทะเบียนสมัครสมาชิกที่เว็บไซต์ www.mikrotik.com
2. ระบบจะส่ง username กับ password ให้ทางอีเมล จากนั้นล็อกอินเข้าสู่ระบบ
3. ที่เมนู account จะมีเมนูย่อย Generte a NEW software KEY ให้คลิกเลือก purchase a key
6. ระบบจะเข้าสู่การชำาระเงินผ่านบัตรเครดิต จากนั้นจะได้รับคีย์ไลเซ็นต์ทางอีเมล
วิธีที่ 1 คัดลอกคีย์แล้ววาง
เริ่มต้นโดยคลิกเมนู System > License
ตัวอย่าง คีย์ไลเซ็นต์
ทำาความรู้จักกับไฟร์วอลล์บน RouterBOARD
1. Filter Queue
2. Nat Queue
3. Mangle Queue
Mangle Queue จะประกอบด้วย 5 Chain สำาหรับทำาหน้าที่ในการปรับแต่งค่า QoS (Quolity of Service) ในบิตของ TCP
แพ็คเกจ คิวนี้แหละที่นิยมกันในการจัดการลิงกที่เป็น MultiWAN
2. คลิกเครื่องหมาย +
จากเมนูบาร์ด้านบนจะเห็นว่า MikroTik RouterBOARD ได้จัดเรียงเมนูมาให้ง่ายต่อการเรียกใช้งาน โดยแยก
ออกเป็นคิวต่างๆ Filter Rules, NAT, Mangel, Service Ports, Connections, Address Lists, Layer7
Protocols (สามารถกรองแอพลิเคชั่นได้)
3. จากนั้นให้เลือก Chain เป็น INPUT Chain ดังรูปด้านล่างนี้
ไฟร์วอลล์และการเชื่อมต่อ (Connections)
นี้อาจจะเป็นจิ๊กซอร์ต่อมาของไฟร์วอลล์เลยก็ว่าได้ครับ การสื่อสารในระบบเครือข่ายจะดำาเนินการติดต่อสือสารโดยใช้
พอร์ต อุปกรณ์ที่ส่งแพ็คเกจผ่านพอร์ตออกมานั้นเราจะเรียกว่า พอร์ตต้นทาง (source port) และอุปกรณ์ที่รับแพ็คเกจทาง
พอร์ตเราจะเรียกว่า พอร์ตปลายทาง (destination port) โปรโตคอลที่นำามาใช้เช่น TCP หรือ UDP ซึ่งพอร์ตต้นทางและ
พอร์ตปลายทางจะมีการเชื่อมต่อเกิดขึ้นอย่างต่อเนื่องในการสื่อสารระหว่างแต่ละโฮสต์ต์ โดยข้อมูล (data) เหล่านี้จะถูก
ส่งข้ามการเชื่อมต่ออยู่ 4 ชนิดการเชื่อมต่อด้วยกันคือ new, established, related และ invalid
new (ยังไม่มีการเชื่อมต่อ) ทุกครั้งที่เราท์เตอร์ส่งแพ็คเกจไปยังโฮสต์ต์ เริ่มแรกจะมีแพ็คเกจส่งมาขอการเชื่อมต่อใหม่ (new
connection) โดยปกติก็จะเป็น TCP ที่มี SYN สถานการณ์ตัวอย่างเช่น เรากำาหนดการเชื่อมต่อใหม่ขึ้นโดยระบุ ต้นทาง
(source) / ปลายทาง (destination) / พอร์ต (port) รวมกันก็จะเกิดเป็นภาพรวมการสื่อสารใหม่ที่ยังไม่เคยติดต่อสื่อสาร
มาก่อน
Note: ย่อให้ดูเข้าใจง่าย
Source IP address (src) : หมายเลขไอพีผู้ส่งข้อมูล
Destination IP address (dst) : หมายเลขไอพีของผู้รับข้อมูล
Source Port Number (src port) : หมายเลขพอร์ตต้นทางที่ส่งดาต้าแกรมนี้
Destination Port Number (dst port) : หมายเลขพอร์ตปลายทางที่จะเป็นผู้รับดาต้าแกรม
ทำาความเข้าใจกฏการเชื่อมต่อในไฟร์วอลล์
Firewall Connections:
จากแผนภาพด้านสามารถอธิบายการเชื่อมต่อได้ดังนี้
บรรทัดที่ 2: อยู่ดีๆ โผล่มาเพื่อขอเชื่อมต่อ (invalid connection ที่ไม่มี SYN, SYN ACK) จนถัดไปมีการส่งแพ็คเกจมาขอ
เชื่อมต่อ new connection และเกิดการเชื่อมต่อที่สมบูรณ์ และเกิดหยุดซะงัก (breaks) ดังนั้นจึงส่งแพ็คเกจขอเริ่มต้น
เชื่อมต่อใหม่ (new connection) และเกิดการเชื่อมต่อที่สมบูรณ์
Forward Chain
ตัวอย่าง: กฏข้อแรก (first rule) ใน forward chain คืออนุญาตไคลเอนต์ใน LAN มีการสร้าง connection state เป็น new
connection ผ่านไฟล์วอลล์ โดยเริ่มต้นตั้งแต่ new connection โดยในตัวอย่างนี้จะระบุ source address ของแพ็คเกจที่
match กับ firewall rule กฏข้อแรกนี้จะจำากัดเฉพาะแพ็คเกจที่ match ที่วิ่งเข้ามาจากฝั่งขา LAN ยกตัวอย่าง LAN
network เป็น 192.168.88.0/24 เปิดโปรแกรม WinBox ไปที่เมนู IP > Firewall > คลิกปุ่ม Add (+) ที่แท็บ General ฟิวด์
Src.Address ให้ใส่เป็น 192.168.88.0/24
และฟิวด์ Connection State กำาหนด match เป็น new
กฏข้อสุดท้ายที่จะทำาให้ forward chain สมบูรณ์ที่สุดก็คือ ดร็อป invalid connection โดยลาก (drag) กฏข้อนี้ให้ไปอยู่
บรรทัดแรก
Address Lists
ตัวอย่าง การคอนฟิกไฟววอลล์ขั้นพื้นฐาน
2. คลิกที่แท็บ Address List แล้วสร้าง address list โดยกำาหนด Name: LocalLan และ Address:
192.168.1.0/24 เสร็จแล้วคลิกปุ่ม OK
3. คลิกเมนู IP > Firewall > คลิกที่แท็บ Filter > คลิกปุ่ม [+] เพื่อสร้างกฏ
กฏข้อที่ 1: chain เลือกเป็น “input”, ส่วนของ connection state กำาหนดเป็น “invalid” และแท็บ action
กำาหนดเป็น “drop”
กฏข้อที่ 3: คลิก [+] เพื่อสร้างกฏใหม่ ที่ chain เลือก “input” ที่แท็บ advanced ที่ช่องฟิวด์ Src.Address List
คลิกเลือก “LocalLan” ที่เราได้สร้างไว้ก่อนหน้านี้ และที่แท็บ Action เลือก “accept”
กฏข้อนี้จะอนุญาตให้ทุกผู้ใช้บน LAN สามารถเข้าถึงเราท์เตอร์ได้ เราสามารถจำากัดการเข้าถึงเพิ่มเติมได้ถ้า
ต้องการ
กฏข้อที่ 4: คลิก [+] เพื่อสร้างกฏใหม่, ที่ chain เลือก “input” ที่ฟิวด์ Connection State เลือกเป็น
“established” และบนแท็บ Action เลือก “accept” นี้คือกฏที่อนุญาตให้เราท์เตอร์เชื่อมต่อสื่อสารกับโฮตส์อื่นได้
เช่น โฮตส์ไคลเอ็นต์ใช้เซอร์วิส ping หรือ telnet ติดต่อกับเราท์เตอร์
กฏข้อที่ 5: คลิก [+] เพื่อสร้างกฏใหม่, สำาหรับการสร้าง rule นี้ แนะนำาให้ทำาใน Safe Mode หากผิดพลาดการ
เชื่อมต่อไปยังเราท์เตอร์จะถูกตัดทันที (disconnect) ที่ chain เลือก “input” , ที่แท็บ Action เลือกเป็น “drop”
กฏข้อที่ 6: คลิก [+] เพื่อสร้างกฏใหม่, chain เลือก “forward” ที่ฟิวด์ Connection State กำาหนดเป็น
“new” ที่แท็บ Advanced ที่ฟิวด์ Src.Address List กำาหนดเป็น “LocalLan” และที่แท็บ Action กำาหนดให้เป็น
“accept” นี้เป็น rule ที่อนุญาตให้รับการร้องขอสร้าง new connection จากฝั่งขา LAN ของเน็ตเวิกส์เราที่ ผ่าน
เราท์เตอร์
กฏข้อที่ 7: คลิก [+] เพื่อสร้างกฏใหม่, chain เลือก “forward” ที่ฟิวด์ Connection State เลือก “related” และ
ที่แท็บ Action เลือกเป็น “accept” นี้เป็น rule ที่อนุญาต related connection ระหว่างการเชื่อมต่อผ่านเรา เตอร์
กฏข้อที่ 8: คลิก [+] เพื่อสร้างกฏใหม่, chain เลือกเป็น “forward” ที่ฟิวด์ Connection State เลือก
“established” และที่แท็บ Action ตรงฟิวด์ Action เลือก “accept”
อธิบายเพิ่มเติมของกฏแต่ละข้อ
สรุป ในบทที่ 8 จะกล่าวถึงรายละเอียดของไฟล์วอลล์ (iptables)ในส่วนของ Filter Rule ซึ่งเป็น table ที่อยู่ใน iptables
ประกอบด้วย chain INPUT, chain FORWARD และ chain OUTPUT นี่ยังไม่ได้กล่าวถึงส่วนที่เป็น NAT table ซึ่ง NAT
table ก็จะประกอบด้วย chain PREROUTING, chain OUTPUT และ chain POSTROUTING โดยจะอธิบายในบทถัดไป
ครับ
ในบทนี้จะอธิบายถึงเรื่องไอพีต้นทาง (source IP), ไอพีปลายทาง (destination IP), พอร์ตต้นทาง (source port), และ
พอรต์ปลายทาง(destination port) ของไอพีแพ็เกจ (IP packet) ซึ่งมีความสำาคัญเกี่ยวข้องกับเรื่องของไฟล์วอลล์เมื่อบวก
กับการเชื่อมต่อสื่อสารแล้ว 4 ส่วนนี้เป็นส่วนประกอบสำาคัญที่จะทำาให้ไฟร์วอลล์มีประสิทธิภาพ (powerfull firewall)
NAT คือการแปลงไอพีต้นทาง (source IP), ไอพีปลายทาง (destination IP), พอร์ตต้นทาง (source port), และ พอรต์
ปลายทาง(destination port) ของไอพีแพ็เกจ (IP packet) ซึ่งอนุญาตหรือสนับสนุนการทำา masquerading (หรือ
MASQUERADE คือการทำาให้ MikroTik Router สามารถแชร์อินเทอร์เน็ตให้เครื่องลูกข่ายได้) ซึ่งจะทำาการซ่อนเครือข่าย
ส่วนบุคคล (private network) ก่อนออกสู่สาธารณะ (public network address) ซึ่งจะทำาการซ่อนเครือข่ายส่วนตัวของ
เรา (private network) ก่อนออกสู่สาธารณะ (public network address) และตรงกันข้าม NAT ฟังก์ชั่น destination NAT
ยังช่วยให้เครือข่ายสาธารณะ (public network) สามารถเข้าถึงเซิร์ฟเวอร์ภายในได้ (private server)
ดังนั้นถึงเป็นสิ่งที่จำาเป็นเมื่อแพกเก็ตที่ส่งกลับมาจากโฮตส์ปลายทางจะส่งมายังเราท์เตอร์ จากนั้นเราท์เตอร์จะเทียบกับ
ตาราง connection tracking ว่าต้นทางและปลายทางไอพีแอดเรดส และพอร์ต match หรือไม ซึ่งตอนนี้ destination IP
คือไอพีสาธารณะของเราท์เตอร์ (public IP) และ stripped off (ร่วมเข้าด้วยกัน) แล้วส่งแพกเก็ตต้นฉบับ (original
packet) ให้กับ private IP ของโฮสต์เพื่อที่จะนำาไปใช้
กฏข้อที่ 1 - กำาหนด
Chain = dstnat
Dst. Address = 192.168.251.2 (ถ้าใช้ Modem DSL Router เช่น ไอพีแอดเดรส 192.168.251.1 จะต้อง NAT พอร์ต
81 ก่อน) ถ้าเป็น Public IP address, Dst. Address ก็ไม่ต้องกำาหนดอะไร
protocol = TCP
Dst. Port = 80
Action = dst-nat
To Address = 192.168.1.20
To Ports = 80
กฏข้อที่ 2 – กำาหนด
Chain = dstnat, protocol = TCP
Dst. Address = 192.168.251.2 (ถ้าใช้ Modem DSL Router เช่น ไอพีแอดเดรส 192.168.251.1 จะต้อง NAT พอร์ต
81 ก่อน) ถ้าเป็น Public IP address, Dst. Address ก็ไม่ต้องกำาหนดอะไร
Dst. Port = 81
Action = dst-nat
To Address = 92.168.1.21
To Ports = 80
ทดสอบ
เป็นการทำา source NAT โดยมีหลาย Public IP Address ถ้าเรามีเพียงหนึ่ง Public IP Address ในการออกอินเทอร์มันก็
คงไม่ใช้เรื่องอยากอะไรมากมาย เพียงกำาหนด default router ให้อยู่บน subnet ของผู้ให้บริการอินเทอร์ และสร้าง rule
สำาหรับ masquerade ของแพกเก็ต เท่านี้ก็สามารถบอกได้แล้วว่าแพกเก็ตมี source มาจาก Public IP Address ของเรา
ท์เตอร์เรา แต่สถานการณ์ที่เราจะพูดถึงก็คือมีการเพิ่ม Public IP Address เป็น secondary ไอพีแอดเดรส สถานการณ์
เห็นได้ชัดเจนบนระบบ Multiple WAN ที่เราเลือกใช้บริการอินเทอร์เน็ตจากผู้ใช้บริการหลายๆ เจ้า ซึ่ง subnet ของไอพี
แอดเดรสก็แตกต่างกัน คำาถามมีอยู่ว่าหากเราต้องการใช้ไอพีแอดเดรสที่สอง (Secondary Public IP Address) นี้สำาหรับ
ให้บริการเมลเซิร์ฟเวอร์โดยที่เครื่องเมลเซิร์ฟเวอร์นี้อยู่บน private network โดยที่ไม่ให้เครื่องเมลเซิร์ฟเวอร์ที่อยุ่ทั่วโลก
มองว่าเครื่องเมลเซิร์ฟเวอร์เราไม่ใช้เครื่องส่งอีเมลที่ไม่พึ่งประสงค์ (SPAM) หนึ่งในวิธีการที่ใช้ในการตรวจสอบก็คือ
Reverse DNS (เป็นการเปลี่ยนจากไอพีแอดเดรส กลับมาเป็นชื่อโฮตส์เนม) โดยใช้การสอบตรวจดูต้นทางของเมล
เซิร์ฟเวอร์ (ใช้คำาสั่ง nslookup ตามด้วยชื่อโดเมน หรือซับโดเมน) ที่ใช้ในการส่งอีเมลมายังเมลเซิร์ฟเวอร์ของเรา และต้อง
แน่ใจว่าบัญชีเมล (email account) นั้นเป็นสมาชิกภายใต้ชื่อโดเมนที่ถูกต้อง
สมมุติว่า
Public IP บนเราท์เตอร์ 23.0.12.2
Default gateway บนเราท์เตอร์ 23.0.12.1
Mail Server private IP Address 192.168.1.2
Secondary public IP Address 23.0.12.3 (inbound access หรือประตูเมลขาเข้าสำาหรับ
เข้าถึงเมลเซิร์ฟเวอร์เรา)
สำาหรับ inbound access ถ้าเราสร้างกฏ destination NAT ในการรับเมลบนไอพีแอดเดรส 23.0.12.3 และ destination
NAT ไปยังไอพีแอดเดรส 192.168.1.2 เท่านี้เป็นอันเสร็จ แต่มันจะ masquerade ทุกอย่างออกเป็น public อินเตอร์เฟซ
เรา ซึ่งทุกทราฟฟิกในการส่งเมลจากเซิร์ฟเวอร์เราจะมีไอพีแอดเดรสต้นทางจาก 23.0.12.2 ดังนั้นเมลถึงหาย solution ใน
การแก้ไขปัญหานี้คือ การใช้ source NAT rule ซึ่งจะ match แพกเก็ตที่มาจาก 192.168.1.2 และกำาหนด action หรือ
source NAT ไปยังไอพีแอดเดรส 23.0.12.3 ซึ่งการสร้างกฎข้อนี้จะแก้ไขปัญหาดังกล่าว
เป็นรูปแบบการทำา destination NAT แบบเปลี่ยนเส้นทางแพกเก็ต การทำา destination NAT แบบพิเศษนี้ เช่น การทำา
transparent proxy โดยการเปลี่ยนทราฟฟิกเว็บให้ผ่านไปยัง squid proxy รันอยู่ เป็นการ redirect โปรโตคอล tcp พอร์ต
80 ไปเป็นพอร์ต 3128 ที่เครื่องพร็อกซีเซิร์ฟเวอร์รันโปรแกรม squid อยู่ (โปรแกรมที่ได้รับความนิยมมากที่สุด) เมื่อ
คอนฟิกเสร็จ เราท์เตอร์จะดักจับ (capture) ทุกการร้องขอที่เป็นโปรโตคอล HTTP แพกเก็ต และส่งทราฟฟิกไปยังเครื่องพร็
อกซีเซิร์ฟเวอร์ (Proxy Server)
Note: RouterOS สนับสนุนการทำา Proxy Server ด้วยโปรแกรม Squid อยู่แล้วเพียง enable ฟีเจอร์เปิดใช้งาน
แต่เพื่อเพิ่มประสิทธิแนะนำาควรใช้พร็อกซีแยกเครื่อง (External Proxy Server)
สมมุติว่า
คลิกเครื่องหมาย +
2. เลือก chain เป็น “dstnat” และ Dst.Address ใส่เป็นหมายเลข public IP address (ตัวอย่างนี้คือ
122.155.1.8) กำาหนด Protocol เป็น “TCP” และ Dst. Port เป็น “80”
3. คลิกไปที่แท็บ Action ช่องฟิวด์ Action กำาหนดเป็น “dst-nat” ช่องฟิวด์ To Address ใส่หมายเลข private IP
address “192.168.1.10” และ To Ports เป็น “8080”
2. สร้าง NAT rule ที่ฟิวด์ chain เลือกเป็น “srcnat” และ Src.Address เป็น 192.168.1.10
3. คลิกไปที่แท็บ Action ที่ฟิวด์ Action เลือกเป็น “src-nat” และ To Address ใส่เป็นไอพีแอดเดรส 221.155.1.9
กฏนี้ตรงกับทราฟฟิกที่มาจากเว็บเซิร์ฟเวอร์ทั้งหมด เราท์เตอร์จะทำาการเปลี่ยนแอดเดรสต้นทาง และแทนที่ด้วย public IP
address ที่สอง (221.155.1.9) สำาหรับทราฟฟิกขาออก (outbound traffic)
สัง่ และคำาตอบ โดยคำาสั่งมาตรฐานของ FTP จะถูกสร้างโดย User-PI และส่งผ่าน Control connection แล้ว
Server-PI จะตอบสนองคำาสั่งกลับมายัง User-PI
2. Data connection เป็นการเชื่อมต่อข้อมูลที่จะถูกส่งในรูปแบบลักษณะที่ถูกกำาหนดโดย Control connection
Tools - Torch
นี่คงเป็นอีกหนึ่งฟีเจอร์บน RouterOS นั้นก็คือ การ Monitor Traffic แบบ real-time ที่ส่งผ่านอินเตอร์เฟซ โดยมี User
Interface (UI) ที่ใช้งานง่าย มีสามารถในการแยกกรองเป็นไอพีแอดเดรส และพอร์ตได้ และความสามารถในการเรียง
ลำาดับอัตราทราฟฟิกจากน้อยไปมาก หรือมากไปหาน้อย และการใช้เครื่อง Torch นี้ผู้ดูแลระบบสามารถรู้ได้ทันที่ว่าใครใช้
แบนด์วิดท์เท่าไหร่ ซึ่งเป็นเครื่องมือที่สำาคัญมากในการตรวจสอบประสิทธิภาพ และการสร้าง queues สำาหรับบริหาร
จัดการกับแบนด์วิดท์ และช่วยให้เราสามารถสร้างกฏของไฟร์วอลล์ได้อย่างรวดเร็ว
1. เพื่อการจัดสรรค์ให้มีการใช้งานแบนด์วดิ ท์ได้ตามความเหมาะสม
2. เพื่อการควบคุมปริมาณการใช้งานแบนด์วิดท์ ให้เป็นไปตามโพลีซีของแต่ล่ะหน่วยงาน
3. เพื่อกำาหนดลำาดับความสำาคัญของการส่งข้อมูล เพื่อเพิ่มประสิทธิภาพการใช้งานแอพพลิเคชั่น ที่มีความสำาคัญ
ต่อการปฏิบัตงิ านได้อย่างมีประสิทธิภาพ
4. เพื่อใช้เป็นเครื่องมือวัดสภาพของเครือข่าย หรือ Quality of Experience (QoE)
5. เนื่องจากองค์กรมีต้นทุนลิงก์เชื่อมต่ออินเทอร์เน็ตสูง จึงจำาเป็นต้องดำาเนินการทำาให้เกิดความคุ้มค่าให้มากที่สดุ
Note: Quality of Service (QoS) priority levels บนอุปกรณ์หรือซอฟต์แวร์ Bandwidth Controller จะถูกนิยามขึ้น
ซึ่งจะแตกต่างกัน บางยี่ห้อก็นิยามเป็นชื่อ (Higher, Normal, Low) หรือกำาหนดช่วง 0-8 และ 1-10
Queues
Simple Queues
ตัวอย่าง การคอนฟิกซิมเปิ้ลคิวง่ายๆ แบบ PCC หรือ Per Connection Classifiers คือ คิวในการควบคุมแบนด์วิดท์แบบ
ไดนามิคโดยการแบ่งแบนด์วิดท์ออกเป็นส่วนเท่าๆ กัน ทำาให้ไคลเอนต์มีสดั ส่วนแบนด์วิดท์เฉลียเท่าๆ กัน เช่น จำากัดแบน
ด์วิดท์เครื่องโฮตส์ไคลเอ็นต์ subnet: 172.16.0.0/24 ให้สามารถอัพโหลดความเร็วสูงสุดได้ 256Kbps และดาวน์โหลด
ความเร็วสูงสูดได้ 1Mbps เครื่องโฮสต์ไคลเอ็นต์ทั้งหมด 254 เครื่องจะมีสดั ส่วนเฉลียเท่าๆ กัน แต่ถ้ามีการใช้งานเพียง
โฮสต์เดียว จะสามารถใช้ความเร็วสูงสุดได้เท่าที่กำาหนดไว้นั้นก็คือ 1Mbps/256Kbps
Bursting
รูปแบบการคำานวณ
ตัวอย่าง A
เริ่มต้น: ต้องการสร้าง Simple Queue โดยกำาหนด max-limit แบนด์วิดท์ที่ 256K และต้องการ burst แบนด์วิดท์การส่ง
ข้อมูลทั้งอัพโหลดและดาวน์โหลดที่ 512K ในระยะเวลา 5 วินาที
ดังนั้น:
Max-Limit เท่ากับ 256k
Burst-Limite เท่ากับ 512k
Burst-Threshold จะเท่ากับ 128k (ค่าที่แนะนำาคือ ครึ่งหนึ่งของ Max-Limit )
ตัวอย่าง B
กำาหนดค่าดังนี้ limit-at=1M (1024k) , max-limit=2M (2048k), burst-threshold=1500k , burst-limit=4M (4096k)
และมี Burst-time เท่ากับ 16s
จากนั้นจะคำานวณ burst time ได้ดังนี้
Burst Ratio = 1500k / 4096k = .36
Burst Time = 16sec / .36 = 44.44
อธิบาย:
Time average-rate burst actual-rate
(0+0+0+0+0+0+0+0+0+0+0+0+0+0+0+0)/16=0K average-rate < burst-threshold →
0 4Mbps
bps Burst is allowed
(0+0+0+0+0+0+0+0+0+0+0+0+0+0+0+4)/16=25 average-rate < burst-threshold →
1 4Mbps
0Kbps Burst is allowed
(0+0+0+0+0+0+0+0+0+0+0+0+0+0+4+4)/16=50 average-rate < burst-threshold →
2 4Mbps
0Kbps Burst is allowed
(0+0+0+0+0+0+0+0+0+0+0+0+0+4+4+4)/16=75 average-rate < burst-threshold →
3 4Mbps
0Kbps Burst is allowed
(0+0+0+0+0+0+0+0+0+0+0+0+4+4+4+4)/16=10 average-rate < burst-threshold →
4 4Mbps
00Kbps Burst is allowed
(0+0+0+0+0+0+0+0+0+0+0+4+4+4+4+4)/16=12 average-rate < burst-threshold →
5 4Mbps
50Kbps Burst is allowed
(0+0+0+0+0+0+0+0+0+0+4+4+4+4+4+4)/16=15 average-rate = burst-threshold →
6 2Mbps
00Kbps Burst not allowed
(0+0+0+0+0+0+0+0+0+4+4+4+4+4+4+2)/16=16 average-rate > burst-threshold →
7 2Mbps
25Kbps Burst not allowed
(0+0+0+0+0+0+0+0+4+4+4+4+4+4+2+2)/16=17 average-rate > burst-threshold →
8 2Mbps
50Kbps Burst not allowed
(0+0+0+0+0+0+0+4+4+4+4+4+4+2+2+2)/16=18 average-rate > burst-threshold →
9 2Mbps
75Kbps Burst not allowed
(0+0+0+0+0+0+4+4+4+4+4+4+2+2+2+2)/16=2 average-rate > burst-threshold →
10 0Mbps
Mbps Burst not allowed
(0+0+0+0+0+4+4+4+4+4+4+2+2+2+2+0)/16=2 average-rate > burst-threshold →
11 0Mbps
Mbps Burst not allowed
(0+0+0+0+4+4+4+4+4+4+2+2+2+2+0+0)/16=2 average-rate > burst-threshold →
12 0Mbps
Mbps Burst not allowed
(0+0+0+4+4+4+4+4+4+2+2+2+2+0+0+0)/16=2 average-rate > burst-threshold →
13 0Mbps
Mbps Burst not allowed
(0+0+4+4+4+4+4+4+2+2+2+2+0+0+0+0)/16=2 average-rate > burst-threshold →
14 0Mbps
Mbps Burst not allowed
(0+4+4+4+4+4+4+2+2+2+2+0+0+0+0+0)/16=2 average-rate > burst-threshold →
15 0Mbps
Mbps Burst not allowed
(4+4+4+4+4+4+2+2+2+2+0+0+0+0+0+0)/16=2 average-rate > burst-threshold →
16 0Mbps
Mbps Burst not allowed
(4+4+4+4+4+2+2+2+2+0+0+0+0+0+0+0)/16=17 average-rate > burst-threshold →
17 2Mbps
50Kbps Burst not allowed
(4+4+4+4+2+2+2+2+0+0+0+0+0+0+0+2)/16=15 average-rate = burst-threshold →
18 2Mbps
00Kbps Burst not allowed
(4+4+4+2+2+2+2+0+0+0+0+0+0+0+2+2)/16=13 average-rate < burst-threshold →
19 4Mbps
75Kbps Burstis allowed
20 (4+4+2+2+2+2+0+0+0+0+0+0+0+2+2+4)/16=13 average-rate < burst-threshold → 4Mbps
2. ในหน้าต่าง Simple Queue List, คลิกที่ [+] เพื่อสร้าง Simple Queue ใหม่
4. คลิกปุ่ม OK เพื่อบันทึกเป็นอันเสร็จการสร้างคิว
ตัวอย่าง การสร้าง Simple Queue สำาหรับจำากัดแบนด์วดิ ท์โฮตส์ปลายทาง (Destination Host)
1. คลิกเมนู Queue
2. ในหน้าต่าง Simple Queue List, คลิก [+] เพื่อสร้างคิว
Packet Mangling
Note: Mangle ไฟร์วอลล์จะไม่ทำางานเมื่อ connection tracking เป็น off (ปิดการใช้งาน) การสร้าง mangel rule
จำานวนมากประสิทธิ์ภาพจะขึ้นอยู่กับ CPU-intensive พอไหม
อินเทอร์เน็ต ) ซึ่งเป็นทราฟฟิกแบบเรียลไทม์ แอพพลิเคชัน เช่น SIP, Skype, IAX และ MGCP เป็นต้น
2. Download : ทราฟฟิกขาเข้า เช่น ไฟล์ที่มีขนาดใหญ่
2. Mangle rule สุดท้าย จะทำาแมช connection mark ให้ตรงกับ VOIP และหลังจากนั้นจะ mark แพกเก็ตใหม่เป็น
VOIP
คลิกที่แท็บ “Action”
3. ถัดมา ให้ทำาการสร้าง Simple Queues ใหม่ 2 คิว คิวที่ 1 สำาหรับ VoIP และคิวที่ 2 สำาหรับอย่างอื่นๆ สมมุติว่า
เราใช้การเชื่อมต่ออินเทอร์เน็ตเป็น MPLS อัตราแบนด์วิดท์ 1 Mb (อัพโหลดและดาวน์โหลดเท่ากัน) โดยจัดสรร
เป็น 512k สำาหรับ VoIP และส่วนที่เหลือทั้งหมดสำาหรับทราฟฟิกอื่นๆ (หรือต่างประเทศอาจเป็นสาย T1 อัตรา
แบนด์วิดท์ส่ง 1.5Mb) ไปที่เมนู Queues กำาหนด Name: VOIP Traffic และ Target: 0.0.0.0/0
ถ้ากำาหนด Rate เท่ากับ “0” จะเป็นการแชร์แบนด์วดิ ท์ ทำาให้ไคลเอนต์มีสดั ส่วนแบนด์วดิ ท์เฉลียเท่าๆ กัน ถ้ามีผู้ใช้งานคน
เดียว ผูใ้ ช้นั้นก็จะสามารถใช้แบนด์วิดท์ได้เต็ม ซึ่งแตกต่างจากตัวอย่างที่กำาจัดแบนด์วดิ ท์ไว้ที่ 128k/128k ต่อผูใ้ ช้งาน
5. คลิกที่แท็บ “Advanced”
โปรแกรมยูทิลิตี้ เช่น Btest Server และ Bandwidth Test Utility เป็นยูติลิตสิ้ ำาหรับทดสอบประสิทธิภาพแบนด์วิดท์ ของลิ
งก์แบบเรียลไทม์ระหว่างอุปกรณ์ RouterOS (Server side กับ Client side) หรือ Windows PC กับอุปกรณ์ RouterOS
ลักษณะการทำางานคือเมื่อไคล์เอ็นต์ส่งทราฟฟิกไปยังเซิร์ฟเวอร์ ฝัง่ เซิร์ฟเวอร์จะทำาการทดสอบความเร็วขาอัพโหลด และ
เมื่อเซิร์ฟเวอร์ส่งทราฟฟิกกลับมายังไคล์เอ็นต์จะเป็นการทดสอบความเร็วขาดาวน์โหลด โดยจะแสดงผลพันธ์แบบเรียล
ไทม์
1. ส่วนของเซิร์ฟเวอร์ต้องคอนฟิกเปิดใช้งาน Btest Server (ดีฟอลต์ enable อยู่แล้ว) ที่เมนู “Tools” > “Btest
Server”
2. ที่หน้าต่าง BTest Server Settings คลิก “Enabled” และ “Authenticate”
3. เลือก “Enable” แล้วคลิกปุ่ม “OK” จากนั้น BTest Server จะรันบน RouterBOARD พร้อมให้ไคล์เอ็นต์ทดสอบ
4. หลังจากเซตอัพฝั่งเซิร์ฟเวอร์เราท์เตอร์เสร็จ ถัดมาที่ฝั่งไคล์เอ็นท์เราท์เตอร์ ที่เมนู “Tools” > “Bandwidth Test”
Test To: ป้อนไอพีแอดเดรสฝั่งเซิร์ฟเวอร์เราท์เตอร์
Direction: กำาหนดเป็น both
User / Password: ป้อนยูสเซอร์เนม และรหัสผ่าน สำาหรับยืนยันตัวตน
สำาหรับฟังก์ชั่นตัวเลือกอื่นๆ สามารถกำาหนดได้ตามต้องการ
Monitoring Tools
ยูติลติ ิ้เฝ้ามองทราฟฟิกแบบเรียลไทม์
ตัวอย่าง การใช้เครื่องมือ Torch หาสาเหตุและแก้ไขปัญหาเครือข่ายช้า
เริ่มต้นคอนฟิกเพื่อเปิดใช้งาน สามารถคอนฟิกผ่าน WinBox หรือผ่าน Web interface คลิกที่เมนู Tools > “Graphing“
คอนฟิกกราฟในสามแท็บสุดท้าย ค่าเริ่มต้นจะยังไม่มีคอนฟิก
ในการคอนฟิกการจัดเก็บข้อมูลกราฟสามารถกำาหนดการจัดเก็บในหน่วยความจำา (ข้อมูลกราฟจะลบเมื่อปิด/เปิด
Mikrotik) หรือจัดเก็บบนพื้นที่ดิกส์ คลิกที่แท็บ “Queue Rules” > คลิกปุ่ม [+]
1. สร้าง Simple Queue ไปที่เมนู “Queues” > คลิกแท็บ “Simple Queues” > คลิก [+]
2. กำาหนดชื่อ Name: และ Target Address: เช่น
Name: ClientIPaddress.2
Target Address: 192.168.222.2
(ไม่ต้องกำาหนดการจำากัดแบนด์วิดท์ในคิวนี้)
ใน Mikrotik RouterOS โดยดีฟอลต์ SNMP จะถูกปิดการทำางานอยู่ สามารถเปิดใช้งานได้ผ่านเมนู IP > SNMP > คลิก
ปุ่ม Communities เพื่อตั้งค่า ชื่อดีฟอลต์ SNMP คือ public (เพื่อความปลอดภัยสามารถกำาหนดเป็นชื่ออื่นได้)
ตัวอย่างแอพพลิเคชั่นในการรับค่าข้อมูลอุปกรณ์ Mikrotik เราท์เตอร์ ผ่านโปรโคคอล SNMP เช่น MRTG และ Nagios
เป็นต้น
ขั้นตอนให้เปิดใช้งาน SNMP ที่ Mikrotik RouterOS และคอนฟิกค่าต่างๆ จากนั้นให้ตดิ ตั้ง MRTG บนระบบปฏิบัติการลิ
นุกซ์ (SUSE Linux Enterprise Server) และรันเซอร์วิสเว็บเซิร์ฟเวอร์ (Apache)
คลิก "Enabled"
Contact Info: ชื่ออีเมลผู้ดูแลระบบ
Location: ชื่อสถานตั้งที่ของเราท์เตอร์
จากนั้นคลิกปุ่ม "Communities"
Name: สร้างชื่อที่ใช้เพื่อให้อุปกรณ์เครือข่ายเข้ามารับข้อมูลผ่านทางชื่อที่สร้างขึ้น
Address: ไอพีแอดเดรสที่อนุญาตให้เข้ามารับค่า (192.168.222.3 คือไอพีแอดเดรสเครื่องลินุกซ์)
Security: ไม่กำาหนด (none)
สำาหรับพิมพ์คำาสั่งบนเทอมิเนอร์:
/snmp
set enabled=yes contact="noc@domain.com" location="RB750@Huaikwang"
/snmp community
set public name="public" address=192.168.222.3/32 read-access=yes
mkdir /srv/www/htdocs/mrtg
4. รันไฟล์คอนฟิก
crontab -e
จากรูปใน ARP table จะพบลิตส์ไอพีแอดเดรส 192.168.222.1 มี MAC address คือ 00:1E:37:90:BA:90 เชื่อมต่อผ่าน
อินเตอร์เฟซ “ether5-lan” ส่วนอักษรตัว “D” หมายถึง การเพิ่มโดยอัตโนมัติ (Dynamic ARP)
ทำาไมถึงต้องกำาหนดค่า ARP เท่ากับ “reply-only” และเซต ARP เป็น Static ARP สำาหรับโฮสต์ทั้งหมดในเครือ
ข่าย?
1. ใช้เครื่องมือ IP Scan ทำาสแกนทั้ง LAN subnet ของเรา ไปที่เมนู Tools > IP Scan
4. ให้ก็อบปี๊ทั้งหมด (เลือกลิตส์บนสุด กดปุ่ม Shift ค้างไว้ แล้วเลือกลิตส์สดุ ท้าย) คลิกขวาเลือก “Make Static”
5. จากนั้นไปที่เมนู “Interface” เลือกอินเตอร์เฟซ แล้วเซต ARP เป็น “reply-only”
2. คลิก “Allow Remote Request” และกำาหนดเซิร์ฟเวอร์ (ใส่ไอพีแอดเดรส DNS เซิร์ฟเวอร์ของ ISP ที่ใช้งาน
หรือ Public DNS เซิร์ฟเวอร์ เช่น Google Public DNS)
DHCP ไคลเอนต์
การเซตอัพ DHCP Client สามารถระบุอินเตอร์เฟซเป็น “bridge” ได้ แต่ต้องสร้างอินเตอร์เฟซ bridge ก่อน โดยไปที่เมนู
Bridge > [+] จากนั้นคลิกที่แท็บ Ports > [+] > เลือกอินเตอร์เฟซ
3. กำาหนดเน็ตเวิร์กไอพีแอดเดรส
4. กำาหนดไอพีแอดเดรสดีฟอลต์เกตเวย์ สำาหรับ DHCP เน็ตเวิร์กนี้
1. ในหน้าต่าง WinBox คลิกเมนู IP > HotSpot จากนั้นคลิกปุ่ม HotSpot Setup เพื่อเริ่มต้นการตั้งค่า (หากเป็นมือ
ใหม่หัดขับแนะนำาให้ใช้ค่าดีฟอลต์ โดยคลิก Next Next Next ไป) แต่เชื่อว่าผู้อ่านได้อ่านมาถึงหน้านี้แล้วคงมี
ความรู้การปรับค่าคอนฟิกบางแล้ว หรืออาจจะมีความเชียวชาญในเรื่องเซตอัพระบบเครือข่ายไร้สายอยู่แล้ว
ตัวอย่าง หน้าล็อกอิน
ให้แก้ไขใหม่เป็น
วิธีการปรับแต่งแบบนี้จะเป็นการใช้เพียงยูสเซอร์เดียวสำาหรับเข้าสู่ระบบฮอตสปอต เมื่อผู้ใช้เข้าสู้หน้าล็อกอินจะเห็น
เฉพาะช่องรหัสผ่านที่เป็นว่าง “blank” จากนั้นเพียงคลิกปุ่ม “OK” เพื่อเข้าสู่ระบบ
เพียงเท่านี้ก็สามารถเปิดให้บริการระบบ Wifi Hotspot ได้แล้วครับ!
- THE END -