Una práctica habitual para quienes configuran RouterOS de MikroTik es hacer el Marcado de Paquetes (mark-packet) sin hacer primero un Marcado de Conexión (mark-connection). El resultado, tanto en el Mangle como en los Queue Tree es el mismo, sin embargo se recarga de trabajo al equipo.

El Connection Tracking (CONNTRACK) es un sistema del Firewall del RouterOS que recoge información sobre las conexiones activas. Por lo tanto el Firewall usa la información del CONNTRACK para clasificar los paquetes, esto significa que el CONNTRACK es necesario para la traducción de direcciones de red (NAT) y para el marcado de paquetes (Mangle).

Puesto que toda esta funcionalidad es proporcionada por el CONNTRACK, cuando se ejecuta la acción MARK CONNECTION, lo que se hace es simplemente hechar mano de toda la información YA recopilada por el CONNTRACK, y el proceso regular seria hacer primero un MARK CONNECTION y luego un MARK PACKET basado en el MARK CONNECTION.

En el siguiente ejemplo, se desea marcar los paquetes de la red 192.168.1.0 para aplicar Queue Tree.

1) Se hace un marcado de conexión
ip firewall mangle add chain=prerouting src-address=192.168.1.0/24 action=mark-connection new-connection-mark=marca_conn

2) Se marcan los paquetes basados en la marca de conexión MARCA_CONN (forma indirecta)
ip firewall mangle add chain=prerouting connection-mark=marca_conn action=mark-packet new-packet-mark=marca_pack

3) Se hace referencia la marca de paquete en el Queue Tree
queue tree add name=queue1 parent=ether1 packet-mark=marca_pack limit-at=2M max-limit=5M

El ejemplo anteriormente expuesto es la forma adecuada de configurar un marcado de paquetes.
Sin embargo, se puede llegar al mismo resultado (con diferente performance) haciendo directamente el Marcado de Paquetes... de esta forma...

1) Marcado directo (forma directa) de paquetes
ip firewall mangle add chain=prerouting src-address=192.168.1.0/24 action=mark-packet new-packet-mark=marca_pack

2) Se hace referencia la marca de paquete en el Queue Tree
queue tree add name=queue1 parent=ether1 packet-mark=marca_pack limit-at=2M max-limit=5M

En este segundo ejemplo, el OBVIAR o SALTARSE el paso preliminar de MARK-CONNECTION obliga al router a analizar por su cuenta todas las conexiones activas. Recordemos que estas "conexiones activas" ya fueron analizadas previamente por el CONNTRACK, de hecho, mientras el CONNNTRACK esté activo...siempre va a analizar el intercambio de datos.

Esto significa que hacer MARK PACKET sin hacer primero un MARK CONNECTION va a desencadenar en una baja del desempeño del router, porque para cada MARK PACKET que se ejecute de "forma directa" se debe hacer un Analisis de las Conexiones Activas... seria como ejecutar N veces el CONNTRACK.

El marcado directo de paquetes no afecta mucho al desempeño del router cuando existen pocos marcados de paquetes (dierctos) creados... pero si hablamos de una implementación con más de una decena de parcados de paquetes, entonces el performanc va a verse afectado seriamente.

Incluso, si se está trabajando sobre routerboards de baja capacidad como los antiguos RB-133, unos cuantos marcados de paquetes directos pueden hacer una gran diferencia.

Espero que esta info les sea de gran utilidad.

Master MikroTik
soporte@masteringmikrotik.com