Es mejor Marcar Paquete sin Marcar Conexion en RouterOS MikroTik??

Una prctica habitual para quienes configuran RouterOS de MikroTik es hacer el Marcado de Paquetes (mark-packet) sin hacer primero un Marcado de Conexin (mark-connection). El resultado, tanto en el Mangle como en los Queue Tree es el mismo, sin embargo se recarga de trabajo al equipo. El Connection Tracking (CONNTRACK) es un sistema del Firewall del RouterOS que recoge informacin sobre las conexiones activas. Por lo tanto el Firewall usa la informacin del CONNTRACK para clasificar los paquetes, esto significa que el CONNTRACK es necesario para la traduccin de direcciones de red (NAT) y para el marcado de paquetes (Mangle). Puesto que toda esta funcionalidad es proporcionada por el CONNTRACK, cuando se ejecuta la accin MARK CONNECTION, lo que se hace es simplemente hechar mano de toda la informacin YA recopilada por el CONNTRACK, y el proceso regular seria hacer primero un MARK CONNECTION y luego un MARK PACKET basado en el MARK CONNECTION. En el siguiente ejemplo, se desea marcar los paquetes de la red 192.168.1.0 para aplicar Queue Tree. 1) Se hace un marcado de conexin ip firewall mangle add chain=prerouting src-address=192.168.1.0/24 action=markconnection new-connection-mark=marca_conn 2) Se marcan los paquetes basados en la marca de conexin MARCA_CONN (forma indirecta) ip firewall mangle add chain=prerouting connectionmark=marca_connaction=mark-packet new-packet-mark=marca_pack 3) Se hace referencia la marca de paquete en el Queue Tree queue tree add name=queue1 parent=ether1 packet-mark=marca_pack limitat=2M max-limit=5M El ejemplo anteriormente expuesto es la forma adecuada de configurar un marcado de paquetes. Sin embargo, se puede llegar al mismo resultado (con diferente performance) haciendo directamente el Marcado de Paquetes... de esta forma... 1) Marcado directo (forma directa) de paquetes ip firewall mangle add chain=prerouting src-address=192.168.1.0/24 action=markpacket new-packet-mark=marca_pack 2) Se hace referencia la marca de paquete en el Queue Tree queue tree add name=queue1 parent=ether1 packet-mark=marca_pack limitat=2M max-limit=5M En este segundo ejemplo, el OBVIAR o SALTARSE el paso preliminar de MARKCONNECTION obliga al router a analizar por su cuenta todas las conexiones activas. Recordemos que estas "conexiones activas" ya fueron analizadas previamente por el CONNTRACK, de hecho, mientras el CONNNTRACK est activo...siempre va a analizar el intercambio de datos. Esto significa que hacer MARK PACKET sin hacer primero un MARK CONNECTION va a desencadenar en una baja del desempeo del router, porque para cada MARK PACKET que se ejecute de "forma directa" se debe hacer un Analisis de las Conexiones Activas... seria como ejecutar N veces el CONNTRACK.

El marcado directo de paquetes no afecta mucho al desempeo del router cuando existen pocos marcados de paquetes (dierctos) creados... pero si hablamos de una implementacin con ms de una decena de parcados de paquetes, entonces el performanc va a verse afectado seriamente. Incluso, si se est trabajando sobre routerboards de baja capacidad como los antiguos RB-133, unos cuantos marcados de paquetes directos pueden hacer una gran diferencia. Espero que esta info les sea de gran utilidad. Master MikroTik soporte@masteringmikrotik.com