MikroTikのFastPathとFastTrackについて一言

MikroTikがSoftware-Baserルーターを生産し、CPUがトラフィック処理の大部分を引き継ぐことは秘密ではありません。 このアプローチには利点があります。 ほとんどすべての機能をプログラムし、すべてのデバイスに対して比較的均一なシステムを維持できます。 しかし、スピードでは、専用チップを搭載したルーターに常に遅れをとっています。

ソフトウェアパッケージの処理には、いくつかの欠点があります。

1. ワイヤスピードの不足-プロセッサ（特にシングルコア）は、専用チップよりも高速に実行できません。
2. ロック。 非常に大量のトラフィック（DoS / DDoSなど）では、コンソールインターフェイスからでもルーターに接続できない場合があります。 すべてのプロセッサ時間がトラフィック処理によって占有されます。
3. スケーリングの複雑さ。 ハードウェアでパケットを処理する速度を上げるモジュールを追加することはできません。

開発者は、状況を改善するためにさまざまなハードウェアおよびソフトウェアソリューションにアクセスします。

1. 低コストモデルのスイッチチップにより、CPUをバイパスしてレイヤ2トラフィックを処理できます。
2. 優れたネットワークチップ （CCRライン）を備えたSoC。
3. ハードウェア暗号化を使用する
4. パッケージ（FastPathおよびFastTrack）のソフトウェア処理の数を削減するさまざまなテクノロジーについて説明します。

SlowPathとFastPath

SlowPathは、内部MikroTikサブシステムを通る基本的なトラフィックパスです。非常に多様であり、パスが長いほど、CPUの負荷が高くなり、速度が低下します。

FastPath-かなり大きな処理ユニットをバイパスしてトラフィックを転送できるアルゴリズム。

作業環境とデバイスのサポート

最新のMikroTikルーターおよびボードはFastPathをサポートしていますが、wikiに詳細なリストがあります。

また、非イーサネットインターフェイスの個別のリスト：

FastPathでは、受信インターフェイスと送信インターフェイスの両方を完全にサポートする必要があります。 インターフェイスではハードウェアキューのみを有効にする必要があります。

最後に、FastPathは断片化されたトラフィックを本当に嫌います。 パケットが断片化されている場合、CPUで確実にスタックします。

FastPathとブリッジ

ブリッジは、複数のハードウェア（またはソフトウェア）インターフェイス間のレイヤー2通信を作成するために使用されるソフトウェアインターフェイスです。 ルーターのブリッジで4つのイーサネットインターフェース（およびhw=yesを有効化）と1つのワイヤレスを組み合わせた場合、イーサネットインターフェース間のトラフィックはソフトウェアインターフェースをバイパスし、イーサネットとワイヤレス間のトラフィックはソフトウェアブリッジを使用します。 複数のチップ（たとえばRB2011）を備えたルーターでは、異なるチップからのインターフェイス間のトラフィックはソフトウェアブリッジの機能を使用します（負荷を軽減するために、インターフェイスは単にパッチコードを結合するだけで機能します）。

FatsPath-CPU（ソフトウェアブリッジ）を通過するトラフィックのみを指します。通常、異なるチップからのインターフェイス間のトラフィックであるか、 hw=yesオプションが無効になっています。

パケットフローでは、ブリッジを通過するトラフィックは次のとおりです。

さらに詳細：

これは、ブリッジ設定に含まれています（設定はすべてのブリッジインターフェイスで同じです）[ブリッジ]-> [設定]-> [FastPathを許可]には、カウンターも表示されます。

BridgeでFastPathを機能させるには、次の条件を満たす必要があります。

1. ブリッジインターフェイスにVLAN設定はありません（VLANがハードウェアレベルで設定されているCRSシリーズには関係ないと思いますが、間違っている可能性があります）
2. /interface bridge filterおよび/interface bridge natにはルールがありません。これらは、フレームが通過する2番目の回路からの同じブロックです。
3. IPファイアウォールが有効になっていません（ use-ip-firwall=no ）。 トラフィックをキャプチャしてネットワークをデバッグするための優れた機能ですが、継続的に有効にすることはほとんどありません。
4. メッシュとメタルーターを使用しないでください
5. インターフェイスで実行されていません：スニファー、トーチ、トラフィックジェネレーター。

FastPathとトンネル

簡単に言うと、トンネルインターフェイスは、一部のパケットを他のパケットの負荷部分にカプセル化することです。 PacketFlowに沿って進むと、元のパケットは赤い線でマークされ、元のパケットはトンネルプロトコルパケットにカプセル化されます（たとえば、ipipまたはgre; eoipはブリッジングの決定を取得（および取得）します;トンネルパケットはさらに興味深いですが、 fastpath）。

FastPathのトンネルトラフィックは、ファイアウォール、キュー、ホットスポット、VRF、IPアカウンティングでは表示されません。 ただし、パケットの一部は引き続きSlowPathを介して送信されます。これは、ファイアウォールを構成する際に考慮する必要があります。

FastPathがトンネルインターフェイスで機能するには、次の条件が満たされている必要があります。

1. ipsec暗号化を使用しないでください
2. パケットの断片化を回避する（mtuを正しく構成する）
3. トンネルインターフェイスでallow-fast-path=yesを有効にします

FastPathおよびLayer3

レイヤー3はサブネット間でのパケットの送信であり、ルーターはルーティングテーブルを作成してネクストホップに転送します。

パケットフローでは、ネットワーク層通過トラフィックは次のようになります。

深く行く

そしてさらに深く

FastPathがレイヤー3で機能するには、次の条件が満たされている必要があります。

1. ファイアウォールにルールを追加しないでください（絶対に、NATでも）。
2. アドレス一覧にエントリを追加しないでください。
3. parent=global Simple QueuesおよびQueues Treeを構成したり、FastPathを機能させる予定のインターフェースを構成したりしないでください。
4. メッシュとメタルーターを使用しないでください。
5. 接続トラッカーを無効にします。 autoオプションは、ファイアウォールにルールがない場合に機能するFastPath専用に導入されました。
6. /ip accounting使用しないでください。
7. /ip route vrfは使用しないでください。
8. /ip hotspot構成しないでください。
9. ipsecポリシーを追加しないでください。
10. ルートキャッシュを有効にする必要があります。
11. 積極的に使用しないでください： /tool mac-scanおよび/tool ip-scan
12. スニファー、トーチ、およびトラフィックジェネレーターを実行すると、FastPathに干渉します。

これはip設定に含まれています：[IP]-> [Settings]で、正常に処理されたパケットのカウンターも確認できます。

ホームルーターのスクリーンショット。 かなり負荷の高いファイアウォールがあり、いくつかの常時有効なL2TP / IPSec接続とキューがあります。 FastPathを夢見ることさえできません。

Fasttrack

パケットフローをすばやく通過するためのIPパケットのラベリングテクノロジー。

FastTrackが機能するには、次の条件を順守する必要があります。

1. ルートキャッシュとFastPathを有効にしてアクティブにする必要があります。
2. 正しいトラフィックラベリング構成。
3. UDPおよびTCPトラフィックでのみ機能します。
4. メッシュとメタルーターを使用しないでください。
5. 積極的に使用しないでください： /tool mac-scanおよび/tool ip-scan
6. スニファー、トーチ、およびトラフィックジェネレーターを実行すると、FastTrackに干渉します。

fasttrackとしてマークされたトラフィックは、以下で処理されません。

1. ファイアウォールフィルター（これは議論の余地がありますが、例で理由を示します）。
2. ファイアウォールマングル;
3. IPsec
4. parrent = globalのキュー。
5. ホットスポット;
6. VRF

fasttrackを通過するパケットに何かが干渉すると、低速パスに沿って残りのすべてのパケットと同様に送信されます。

ファイアウォールにルール（以下を参照）を追加することで有効になります。 FastTrackでは、確立された接続からのパケットのみがマークされます（新規としてマークできますが、NATに問題が発生します）。 フィルターテーブルが使用される理由 事前ルーティングでfasttrackをマークすると、再びNATに問題が発生します。

模擬試験

そして（最後のテストのために）何が設定され、どのように機能したか：
フィルタリングルールは引き続きトラフィックを処理し（確立された関連トラフィックの許可を無効にすると、関連するトラフィックはドロップされます）、FastTrackに到達しなかったパケットはポストルーティング+マングルでキャッチされました。

接続トラッカーでは、同じ名前のフラグでFastTrack接続を追跡できます。

[IP]-> [設定]カウンターで、FastTrackがアクティブで動作しているが、FastPathが動作していないことがわかります。

 /ip firewall filter add action=fasttrack-connection chain=forward connection-state=established,related add action=accept chain=forward connection-state=established,related add action=accept chain=forward connection-state=new add action=drop chain=forward /ip firewall mangle add action=mark-packet chain=postrouting connection-state=established,related new-packet-mark=q1 passthrough=no src-address=20.20.20.0/24 /ip firewall nat add action=masquerade chain=srcnat out-interface=ether1 

結論の代わりに

使用するかどうか

• FastPath for Bridge-間違いなくはい。 少なくともCPUの負荷を減らします。
• トンネルのFastPath-いいえ。 暗号化されている場合は機能せず、オフになります。
• レイヤー3のFastPath-論争の的に、ルーターの機能のほとんどが失われます。 野生のインターネットから閉鎖された大規模なネットワークでは、ネットワークが独自の（小さな）賞金を獲得できます。
• MPLS / VLAN /ボンディング/ VRRPのFastPath-可能であれば、自動的に有効にします。 制御のための個別のオプションはありません。
• FastTrack-キューおよび偏執的なファイアウォールのないホームおよびSOHO構成に適しています。 1つのクライアントでの総合的なテストは適切に見えますが、実際には、FastTrackを通過してリークしたトラフィックを注意深く監視し、原因を探す必要があります。

その他のリンク

https://wiki.mikrotik.com/wiki/Manual:Fast_Path
https://wiki.mikrotik.com/wiki/Manual:IP/Fasttrack
http://mum.mikrotik.com/presentations/UA15/presentation_3077_1449654925.pdf