mangle 允许对 IP 数据包做特殊的标记, mangle 是通过修改指定的 IP 数据包头字段,去标记 IP 数据包的特征 能标记端口、 IP、协议、 TCP 协议和相应的 IP 数据流。 Mangle 属于综合性功能,所以在路由、流量控制和其他相应功能中都会涉及到。
需要功能包: system
需要等级: Level1
操作路径: /ip firewall mangle
协议标准: IP
Mangle 是一种标记器,标记特殊的数据包等待将来处理。在 RouterOS 中许多其他的功能组件会使用到他,如queue-trees 和 nat,他们识别到一个数据包了标记的便会做相应的处理。 Mangle 标记仅存在于该路由器中,他们无法传输到网络中去。 根据数据传输方式不同可以选择:
操作路径:
/ip firewall raw
Raw 是 RouterOS v6.36 新增的功能属性, firewall Raw 列表允许选择性在 connection tracking 之前绕过或者丢弃数据包,这样能大大降低 CPU 负载。该功能非常有助于防御 DOS 攻击, RAW 列表不能匹配链接状态的跟踪,例如 connection-state 和 L7 协议。
如下图, Raw 出现在 Prerouting 和 output 链表,并在 connection-tracking 前执行:
适用于ROS版本号 < 6.16 的用户
IPSec 作为新一代网络安全协议,为网络传输提供了安全保证,使端到端的数据保密成为可能, 是互联网上的新一代安全标准。提供包括访问控制、无连接的完整性、数据源认证、抗重放 (replay)保护、保密和有限传输保密性在内的服务,服务基于 IP 层并对 IP 及上层协议进行保护。服务的实施通过两种通信安全协议:认证头( AH)和封装安全负载( ESP)以及 Internet 密钥交换( IKE)协议来达到这些目标。 IPSec AH 协议提供数据源认证、无连接的完整性和可选的抗重放服务。 ESP 协议提供数据保密性,有限的数据流保密性、数据源认证、无连接的完整性及抗重放服务。 IKE 协议用于协商 AH 和 ESP 协议所使用的密码算法,并将算法所需的必备密钥放在合适的位置。 IPSec 有两种模式:传输模式和隧道模式。它们都是对外出的数据包添加 IPSec 头进行加密和认证,而对于接收的 IPSec 数据包作解密认证处理和适当的转发传送。
目前的网络大多采用ADSL接入的方式进行连接的。那么就需要进行PPPoE的拨号才能上网,现在普及的自动拨号方式是Modem接路由器,由路由器完成自动拨号。那么用ROS可不可以进行PPPoE的拨号呢?答案下面揭晓。
Burst 允许满足队列需要增加的带宽,甚至要求速率在有限的时间内大于 MIR( max-limit), Burst 发生仅当队列的 average-rate 在 burst-time 时间内小于 burst-threshold。 Burst 停止当队列的 average-rate 在 burst-time时间内大于或者等于 burst-threshlod
Burst 原理很简单,如果 burst 被允许 max-limit 被 burst-limit 代替,当 burst 被禁止 max-limit 恢复不变
Queue 流控用于对网络接口数据流发送和接收数据进行控制。传输流量被控制在指定的范围值内, 即传输的流量只能小于或等于这个值, 反之超过的流量将会被丢弃或延迟发送。
流控执行两种方式:
