Mikrotik RouterOS v7.1beta2中的WireGuard支持

2020-08-22 12:02:28

RouterOS 7.1beta2版已在开发频道公开发布!7.1Beta2中的新特性(2020-8月-21 12:29):!)。添加了";bgp-network";输出过滤器标志;!)。添加了对Layer3硬件卸载的绑定接口支持;!)。添加了对IPv4路由的IPv6下一跳支持;!)。新增CRS309-1G-8S+IN、CRS312-4C+8XG-RM、CRS326-24S+2Q+RM和CRS354-48G-4S+2Q+RM的第三层硬件卸载支持;!)。添加了WireGuard支持;*)磁盘-改进的外部磁盘读/写速度;*)ospf-固定的点对点路由变为非活动;*)路由-固定的传出数据包的源地址选择;*)其他次要修复和改进;所有发布的路由器OS v7更改日志均可从此处获得:https://mikrotik.com/download/changelog...。租赁树如何报告路由器操作系统v7错误:viewtopic.php?f=1&;t=152006。

这个3级卸载看起来非常有趣。我们有没有任何数字来表明它的意思,因为这有可能强调CRS中的R:-)。

RouterOS 7.1beta2版已在开发频道公开发布!7.1Beta2中的新特性(2020-8月-21 12:29):!)。添加了";bgp-network";输出过滤器标志;!)。添加了对Layer3硬件卸载的绑定接口支持;!)。添加了对IPv4路由的IPv6下一跳支持;!)。新增CRS309-1G-8S+IN、CRS312-4C+8XG-RM、CRS326-24S+2Q+RM和CRS354-48G-4S+2Q+RM的第三层硬件卸载支持;!)。添加了WireGuard支持;*)磁盘-改进的外部磁盘读/写速度;*)ospf-固定的点对点路由变为非活动;*)路由-固定的传出数据包的源地址选择;*)其他次要修复和改进;所有发布的路由器OS v7更改日志均可从此处获得:https://mikrotik.com/download/changelog...。租赁树如何报告路由器操作系统v7错误:viewtopic.php?f=1&;t=152006。

很高兴看到要解决的OSPF问题。此外,Wireguard也是一个期待已久的功能。谢谢!。

_。

这个3级卸载看起来非常有趣。我们有没有任何数字来表明它的意思,因为这有可能强调CRS中的R:-)。

它在所有端口都以线速进行路由。如果我没记错的话,这里有几个限制,最多只能有4096个连接。但在某些用例中,它将是一个杀手级功能。

观察结果(对于此构建来说,这并不是真正的新功能,但可能不太受关注):-当禁用静态路由时,它将从列表中完全消失,就好像它已被删除一样。当窗口关闭/重新打开时,它将再次显示为灰色。-BGP功能仍然仅存在于CLI中,而不存在于winbox中。我会希望的(或者现在是时候这么做了!)。所有GUI信息都是从所有用户界面共享的一组公共表导出的,所以这项工作不需要做3次……。-当我关闭日志窗口并重新打开它时,winbox完全挂起。

WireGuard的实现是像Mikrotik对OpenVPN所做的那样,还是在Linux5.6中保持不变?谢谢。

最后一次编辑时间为2020年8月21日星期五下午3:18,共编辑2次。

有没有关于如何在HAP迷你电脑上闪光的提示?在之前的测试版中,它说内部存储不足以升级...。这是一个全新的型号,出厂重置…。也许是因为测试版的原因,所以构建还没有优化?它会成为低存储设备的版本吗?先谢谢你。

WireGuard的实现是像Mikrotik对OpenVPN所做的那样,还是在Linux5.6中保持不变?谢谢。

它是Wireguard v1.0.0版(与v5.6一起提供)。对于任何想试一试的人,请注意:您需要使用CLI来设置对等端点-Winbox不允许您设置端口(它将默认为0)。

在十六进制(RB750Gr3)上试一试,它开箱即用!不过,性能的上限是100Mbit左右。也许魔法还不够强大。需要进行更多测试:)。

这个3级卸载看起来非常有趣。我们有没有任何数字来表明它的意思,因为这有可能强调CRS中的R:-)。

它在所有端口都以线速进行路由。如果我没记错的话,这里有几个限制,最多只能有4096个连接。但在某些用例中,它将是一个杀手级功能。

@Paternot I 4 1不相信它会以线速进行布线...。为什么我不相信……。因为L3线速需要ASIC,而我看到的硬件规格中没有L3 ASIC。是的,性能会有所提高,但远远达不到线速。

@Paternot I 4 1不相信它会以线速进行布线...。为什么我不相信……。因为L3线速需要ASIC,而我看到的硬件规格中没有L3 ASIC。是的,性能会有所提高,但远远达不到线速。

Https://i.mt.lv/cdn/product_files/CRS32...200149.png您确定提到的Switch';没有该功能吗?

知识渊博,责任重大,因为认识身份的能力……。不称职的人速度要快得多。

刚试过这个版本,不得不回到6.4x。在6.4x中已部分修复的错误[SUP-15464]在7.1x中仍然存在(通过4011上的SFP保留正确的MTU PPPoE)重新启动SFP无济于事。

手动更改接口上的MTU会使路由器崩溃(在4011和750-Gr2上对其进行测试)备注,在配置中通过6.4x设置的MTU似乎受到尊重。

在路由中,我注意到网关PPPoE连接的路由上有一些不同之处,第一个是0.0.0.0/0,但是标签Dav而不是DAS(来自VPN的v)和我定义了IKEv2,但并不是所有的流量都必须通过隧道。我假设这表明IKEv2隧道在PPPoE上终止。

我确实把我的固件升级到了7.1x,但是没有用。在升级到7.1beta2之前,我首先降级到6.47.2

一台RB4011(冷却)和一台RB760iGS(十六进制S)串联。4011执行PPPoE/IKEv2。冷却器:viewtopic.php?f=3&;t=138613&;start=300#p799879运行:RouterOS6.47.2/Winbox3.24/Mikrotik app 1.3.14。

我4 1不相信它能以线速进行布线...。为什么我不相信……。因为L3线速需要ASIC,而我看到的硬件规格中没有L3 ASIC。是的,性能会有所提高,但远远达不到线速。

您认为CRS309中的98DX8208芯片是什么?它是一个交换ASIC,有很多内置的功能,其中包括L3转发。到目前为止,MT根本没有实施它。

@Macgaiver我不熟悉那个特定的开关芯片,所以我写这篇文章的部分原因是对那个特定的芯片一无所知。我很熟悉思科是如何利用他们的MLS设备的。通常,对于思科交换机世界中的线速路由,思科需要三个实体来实施多层交换:交换引擎(SE)、路由处理器(RP)和MLS协议。SE执行交换功能,RP执行路由功能,MLS协议提供这两个设备之间的通信。撇开这一点不谈,有一个非常简单的概念让这一切成为可能:流。流可以定义为使用相同的应用程序从相同的源到相同的目的地的数据包流。例如,流可以是源浏览器和目标服务器之间的HTTP会话。在Cisco MLS网络中,会话中的初始数据包通过RP路由,但该特定会话中的所有后续数据包都由SE交换。SE维护关于这些流的高速缓存,并且可以确定给定的分组是否是所建立的会话的一部分。如果是,SE重写相关的分组信息,就好像它已经被路由器处理过一样,然后交换该分组。这个过程通常被称为“一次路由,多次切换”。它以交换机速度发生,而不是以较慢的路由器速度发生。因此,就Mikrotik和RouterOS而言,我没有看到任何在交换机级别模仿或处理线速路由的功能。

你好!。刚刚升级到v7.1b2,发现了几个问题:第一个也是最重要的是布线标记不工作,第二个是关于线缆的。为什么我不能指定对等方的端口号?这是故意的,还是也是一个漏洞?

无法以任何尝试的方式将设备置于网络启动模式...。从PC ETH到eth2的短而直接的电缆,我添加了这个命令:/system routerboard settings set boot-device=try-Ethernet-once-Then-NAND然后拔下电源和ETH,将ETH移到eth1端口,重新接通电源,它永远不会出现在netinstall中...。将ETH电缆留在eth1中,拔下电源,按住RESET超过2分钟,什么都没有,在netinstall中从未出现过…。再一次,拔下电源,保持按下复位,重新充电,在灯熄灭后离开复位,不再有任何东西…。Windows防火墙已禁用,AV已禁用,IP PC 192.168.88.2/24-->;.1,IP netboot 192.168.88.3...。

第二个是关于电线保护的。为什么我不能指定对等方的端口号?这是故意的,还是也是一个漏洞?

在上面的评论中,据说现在使用cli,可能winbox还没有更新到包括wireguard的gui。

需要在winbox中修复Wireguard端点端口。无法在winbox CLI OK中输入ip:port。

第二个是关于电线保护的。为什么我不能指定对等方的端口号?这是故意的,还是也是一个漏洞?

在上面的评论中,据说现在使用cli,可能winbox还没有更新到包括wireguard的gui。

是的,它通过CLI起作用,谢谢。

因此,就Mikrotik和RouterOS而言,我没有看到任何在交换机级别模仿或处理线速路由的功能。

L3卸载发生在交换机芯片上。这就是为什么它被称为L3卸货。它们将路由功能从CPU卸载到交换机芯片,从而实现线速。根据Marvell的数据手册,那些RB型号(基本上都是ASIC)中使用的交换机芯片确实支持线速L3路由。硬件支持已经存在,但Mikrotik刚刚开始在ROS上支持它。

最后一次编辑时间是2020年8月21日星期五下午5:15,总共编辑了1次。

无法以任何尝试的方式将设备置于网络启动模式...。从PC ETH到eth2的短而直接的电缆

@mrshark您需要在PC和路由器之间使用交换机。直接连接很容易失败,因为您更改了链路状态。因此,网络安装检测路由器变得很慢。此外,除非为该角色标识了另一个端口,否则netboot通常会使用ether1。

最后一次编辑时间是2020年8月21日星期五下午5:24,总共编辑了1次。

根据Marvell的数据手册,那些RB型号(基本上都是ASIC)中使用的交换机芯片确实支持线速L3路由。硬件支持已经存在,但Mikrotik刚刚开始在ROS上支持它。

@Cha0s您有Marvell‘s数据表的链接吗?请参考Chjp?

我手头没有,但我记得刚才有人在论坛里贴过。

我手头没有,但我记得刚才有人在论坛里贴过。

好的,谢谢……。我发现以下对Mikrotik用户来说看起来非常有趣和令人兴奋:-)Marvell PRESTERA 98DX83xx系列在阅读规范时,我没有看到L3线速优势。

这个3级卸载看起来非常有趣。我们有没有任何数字来表明它的意思,因为这有可能强调CRS中的R:-)

它在所有端口都以线速进行路由。如果我没记错的话,这里有几个限制,最多只能有4096个连接。但在某些用例中,它将是一个杀手级功能。

@Paternot I 4 1不相信它会以线速进行布线...。为什么我不相信……。因为L3线速需要ASIC,而我看到的硬件规格中没有L3 ASIC。是的,性能会有所提高,但远远达不到线速。

嗯,开关芯片组有电路。如果他们会全部实施,那就是另一个问题了。但是硬件已经在那里了。

没有必要质疑在交换机上执行第3层路由的可能性,因为在很长一段时间内,已经有来自其他公司的竞争对手提供线速路由。这一定就像20年前,我买了第一台3Com L3交换机,与当时的思科路由器(3640等)相比,令我惊讶的是,与当时的思科路由器相比,它的路由速度如此之快。实际上,它通常如所描述的那样工作:SRC/DSTIP对的第一个分组由CPU处理,然后在转发其余业务的交换机中编程一个项目。就像L2交换一样(在交换机硬件中保存MAC表,以知道将流量转发到何处。

非常漂亮的功能!到目前为止,我很喜欢他们,并继续前进!!是否有时间框架将开发阶段移出并使其为生产/稳定做好准备?

是否有时间框架将开发阶段移出并使其为生产/稳定做好准备?

他们仍然必须实现MPLS--我认为这是当前测试版中仍然缺少的一个主要功能。否则,可能需要在这里和那里进行许多小的修复。

有没有关于如何在HAP迷你电脑上闪光的提示?在之前的测试版中,它说内部存储不足以升级...。这是一家全新的型号、工厂

在这个论坛上搜索一下,你会找到很多答案。Netinstall是一种方法。你也可以降级到一个小得多的老版本,比如6.44.x版本,然后升级到最新版本。

是否有时间框架将开发阶段移出并使其为生产/稳定做好准备?

他们仍然必须实现MPLS--我认为这是当前测试版中仍然缺少的一个主要功能。否则,可能需要在这里和那里进行许多小的修复。

完全同意!我很乐意看到MPLS的实施。

全球-米克罗蒂克支持和咨询-英语|法语|西班牙语|葡萄牙语+18556457684 https://iparchitechs.com/services/mikro...。L-support/[email protected]

Wireguard工作正常,只是端点端口出现了小的winbox问题。安装起来很容易,我现在完全明白Wireguard的炒作了。IPSec需要转动的旋钮数量之多令人沮丧。在两个HAP ac²路由器之间,我获得了大约280 Mbps的UDP。当我用较旧的RB951G-2HnD更换其中一台HAP Ac²路由器时,我得到的速度约为75 Mbps。这可能比我在同一台设备上使用IPsec要好!

Wireguard包含在测试版中,这太棒了。感谢所有开发人员的加入,期待着在我回家后将其设置好。

附注:在新的RouterOS v7 MPLS实施中,我非常希望看到的一件事是用于QoS目的的MPLS损坏-具体地说,就是标记数据包和设置MPLS的优先级操作。现在,要在RouterOS上实现MPLS QoS,我们必须创建大量额外的网桥,并使用网桥过滤器来实现QoS。一个简单的MPLS损伤台可以让我们去掉那些额外的网桥。此外,请将设置优先级添加到IPv6管理器。目前,我们也必须使用桥接过滤器作为解决方案。

这个3级卸载看起来非常有趣。我们有没有任何数字来表明它的意思,因为这有可能强调CRS中的R:-)。

这是我们在此版本上使用ProxMox上的两个CHR(每个CHR位于不同的VLAN上)以及VLAN之间的CRS317路由进行的初步测试。这是非常快速的UDP测试-我们将使用带有流量生成器的TCP和带有UDP的iPerform3 4到5 Gbps和0到3%的CPU负载来做更多工作。

全球-米克罗蒂克支持和咨询-英语|法语|西班牙语|葡萄牙语+18556457684 https://iparchitechs.com/services/mikro...。L-support/[email protected]

我们正在等待通常的东西:1.广播时间公平性的改善(http://blog.cerowrt.org/post/real_results/,https://forum.openwrt.org/t/aql-and-the...。FLEY/59002)2.MU-MIMO 3.802.11 k/v/r...。

最后一次编辑时间为2020年8月21日星期五晚上11:52,共编辑2次。

没有必要质疑在交换机上执行第3层路由的可能性,因为在很长一段时间内,已经有来自其他公司的竞争对手提供线速路由。

2009年的3Com 4800G交换机是我赖以生存的交换机:IS-IS、BGP、OSPF、VRF;PIM-SSM都完全支持IPv4和IPv6。

我们正在等待通常的东西:1.广播时间公平性的改善(http://blog.cerowrt.org/post/real_results/,https://forum.openwrt.org/t/aql-and-the...。FLEY/59002)2.MU-MIMO 3.802.11 k/v/r...

当然,我们会在ROS上获得这些功能,只需等待WiFi7发布xD即可。

这个3级卸载看起来非常有趣。我们有没有任何数字来表明它的意思,因为这有可能强调CRS中的R:-)。

在启用了L3卸载的CRS317上路由的两台主机之间,我可以使用iPerf3在单个线程中推送大约9.3Gbit/s的IPv4。正如预期的那样,IPv6是另一回事-它为我提供了大约370Mbit/s。

WireGuard的实现是像Mikrotik对OpenVPN所做的那样,还是在Linux5.6中保持不变?谢谢。

如果你自己重新实现它,那你就是个傻瓜。看看Wireguard的站点和代码,看看它是如何精心开发的。Mikrotik可能/可能只做了一些界面更改以使其以ROS方式工作。

不能通过CLI将密钥添加到Wireguard中,其末尾为";=";。但是可以稍后通过编辑添加它,并且可以通过GUI添加它。

我仍然无法在设备之间运行MACSEC(";只能协商";)。有什么建议吗?[Admin@Under Desk]/ckn=f98446584e49ad9e2cd99b2aff00adb73e0b4109eb916b8d5bbe208dda274abb/macsec&>;printFlags:I-非活动,X-禁用,R-运行0名称=";macsec1";interface=以太网状态=";协商";cak=4cb39ed149d0e0dbea5fad4b91e5456f接口配置文件=默认值[admin@Under Desk]/interface/macsec>;

在此版本中,openvpn UDP仍然中断。:(对于任何想知道的人来说,7.0beta5是OpenVPN UDP工作的最新版本。7.1beta1和7.1beta2在您尝试使用它时都会发生内核崩溃。我向Mikrotik报告了这一点,这一点得到了承认,但似乎没有出现在这份新闻稿中。