ፕሮሆስተር > በማይክሮቲክ ራውተር ኦኤስ ውስጥ የስታቲክ ራውቲንግ መሰረታዊ ነገሮች

በማይክሮቲክ ራውተር ኦኤስ ውስጥ የስታቲክ ራውቲንግ መሰረታዊ ነገሮች

ማዘዋወር በTCP/IP አውታረ መረቦች ላይ ፓኬቶችን ለማስተላለፍ ምርጡን መንገድ የማግኘት ሂደት ነው። ከIPv4 አውታረ መረብ ጋር የተገናኘ ማንኛውም መሳሪያ የሂደት እና የማዞሪያ ሰንጠረዦችን ይዟል።

ይህ ጽሑፍ HOWTO አይደለም ፣ በ RouterOS ውስጥ የማይለዋወጥ ማዘዋወርን በምሳሌዎች ይገልፃል ፣ የተቀሩትን ቅንጅቶች ሆን ብዬ (ለምሳሌ ፣ በይነመረብን ለማግኘት srcnat) አስቀርቻለሁ ፣ ስለሆነም ትምህርቱን ለመረዳት የተወሰነ የአውታረ መረብ እና የራውተር ኦኤስ ዕውቀትን ይጠይቃል።

መቀየር እና ማዘዋወር

በማይክሮቲክ ራውተር ኦኤስ ውስጥ የስታቲክ ራውቲንግ መሰረታዊ ነገሮች

መቀየር በአንድ Layer2 ክፍል (ኢተርኔት፣ ፒፒፒ፣ ...) ውስጥ እሽጎች የመለዋወጥ ሂደት ነው። መሳሪያው የፓኬቱ ተቀባይ ከሱ ጋር በተመሳሳይ የኤተርኔት ሳብኔት ላይ እንዳለ ካየ፣ የአርፕ ፕሮቶኮሉን በመጠቀም የማክ አድራሻውን ይማራል እና ፓኬጁን በቀጥታ ያስተላልፋል፣ ራውተርን በማለፍ። የppp (ነጥብ-ወደ-ነጥብ) ግንኙነት ሁለት ተሳታፊዎች ብቻ ሊኖሩት ይችላል እና ፓኬጁ ሁል ጊዜ ወደ አንድ አድራሻ 0xff ይላካል።

ማዘዋወር ማለት እሽጎችን በ Layer2 ክፍሎች መካከል የማስተላለፍ ሂደት ነው። አንድ መሳሪያ ተቀባዩ ከኤተርኔት ክፍል ውጭ የሆነ ፓኬት ለመላክ ከፈለገ ወደ ማዞሪያው ጠረጴዛው ውስጥ ተመለከተ እና ፓኬጁን ወደ ፍኖት በር ያስተላልፋል፣ እሱም ቀጥሎ ፓኬጁን የት እንደሚልክ ያውቃል (ወይም የፓኬቱን የመጀመሪያ ላኪ ላያውቅ ይችላል። ይህንን አያውቅም)።

ራውተርን ለማሰብ በጣም ቀላሉ መንገድ ከሁለት ወይም ከዚያ በላይ የ Layer2 ክፍሎች ጋር የተገናኘ እና በመካከላቸው ፓኬጆችን ለማለፍ የሚያስችል መሳሪያ ከመሄጃ ጠረጴዛው የተሻለውን መንገድ በመወሰን ነው።

ሁሉንም ነገር ከተረዱ, ወይም አስቀድመው ካወቁት, ከዚያ ያንብቡ. በቀሪው ፣ እራስዎን በትንሽ ፣ ግን በጣም አቅም ባለው እራስዎን በደንብ እንዲያውቁ አጥብቄ እመክራለሁ። ጽሑፍ.

በ RouterOS እና PacketFlow ውስጥ ማዘዋወር

ከስታቲክ ማዞሪያ ጋር የተያያዙ ሁሉም ተግባራት ማለት ይቻላል በጥቅሉ ውስጥ ናቸው። ስርዓት. ፕላስቲክ ከረጢት ማስተላለፍ ለተለዋዋጭ የማዞሪያ ስልተ ቀመሮች (RIP፣ OSPF፣ BGP፣ MME)፣ የራውቲንግ ማጣሪያዎች እና BFD ድጋፍን ይጨምራል።

ማዞሪያን ለማዘጋጀት ዋና ምናሌ፡- [IP]->[Route]. ውስብስብ ዕቅዶች እሽጎች በቅድሚያ እንዲሰየሙ ከማዘዣ ምልክት ጋር ሊያስፈልጋቸው ይችላል፡- [IP]->[Firewall]->[Mangle] (ሰንሰለቶች PREROUTING и OUTPUT).

በPacketFlow ላይ የአይፒ ፓኬት ማዘዋወር ውሳኔ የሚወሰድባቸው ሶስት ቦታዎች አሉ።
በማይክሮቲክ ራውተር ኦኤስ ውስጥ የስታቲክ ራውቲንግ መሰረታዊ ነገሮች

  1. በራውተር የተቀበሉ የማዞሪያ ፓኬቶች። በዚህ ደረጃ, ፓኬጁ ወደ አካባቢያዊ ሂደት እንደሚሄድ ወይም ወደ አውታረ መረቡ የበለጠ እንደሚላክ ይወሰናል. የመጓጓዣ ፓኬጆች ይቀበላሉ የውፅዓት በይነገጽ
  2. የአካባቢ ወጪ ፓኬቶችን ማዘዋወር። ወጪ ፓኬቶች ይቀበላሉ የውፅዓት በይነገጽ
  3. ለወጪ ፓኬቶች ተጨማሪ የማዞሪያ ደረጃ፣ የማዞሪያ ውሳኔውን ወደ ውስጥ እንዲቀይሩ ያስችልዎታል [Output|Mangle]

  • በብሎኮች 1 ፣ 2 ውስጥ ያለው የፓኬት መንገድ በ ውስጥ ባሉት ህጎች ላይ የተመሠረተ ነው። [IP]->[Route]
  • በነጥብ 1 ፣ 2 እና 3 ውስጥ ያለው የፓኬት መንገድ በ ውስጥ ባሉት ህጎች ላይ የተመሠረተ ነው። [IP]->[Route]->[Rules]
  • በብሎኮች 1 ፣ 3 ውስጥ ያለው የጥቅል መንገድ በመጠቀም ተጽዕኖ ሊኖረው ይችላል። [IP]->[Firewall]->[Mangle]

RIB፣ FIB፣ Routing Cache

በማይክሮቲክ ራውተር ኦኤስ ውስጥ የስታቲክ ራውቲንግ መሰረታዊ ነገሮች

የማዞሪያ መረጃ መሰረት
ከተለዋዋጭ የማዞሪያ ፕሮቶኮሎች፣ ከppp እና ddhcp መንገዶች፣ የማይንቀሳቀሱ እና የተገናኙ መንገዶች መስመሮች የሚሰበሰቡበት መሰረት። ይህ ዳታቤዝ በአስተዳዳሪው ከተጣሩ በስተቀር ሁሉንም መንገዶች ይዟል።

በሁኔታዊ, ብለን መገመት እንችላለን [IP]->[Route] RIB ያሳያል.

የማስተላለፊያ መረጃ መሠረት
በማይክሮቲክ ራውተር ኦኤስ ውስጥ የስታቲክ ራውቲንግ መሰረታዊ ነገሮች

ከ RIB የተሻሉ መንገዶች የሚሰበሰቡበት መሠረት። በFIB ውስጥ ያሉ ሁሉም መንገዶች ንቁ ናቸው እና እሽጎችን ለማስተላለፍ ያገለግላሉ። መንገዱ ከቦዘነ (በአስተዳዳሪው (ሲስተሙ) ከተሰናከለ ወይም ፓኬጁ መላክ ያለበት በይነገጽ ገቢር ካልሆነ መንገዱ ከ FIB ይወገዳል።

የማዞሪያ ውሳኔ ለማድረግ፣ የFIB ሰንጠረዥ ስለ IP ፓኬት የሚከተለውን መረጃ ይጠቀማል።

  • ምንጭ አድራሻ
  • የመድረሻ አድራሻ
  • ምንጭ በይነገጽ
  • የማዞሪያ ምልክት
  • ቶኤስ (DSCP)

ወደ FIB ጥቅል መግባት በሚከተሉት ደረጃዎች ያልፋል።

  • ጥቅሉ ለአካባቢያዊ ራውተር ሂደት የታሰበ ነው?
  • ፓኬጁ ለስርዓት ወይም ለተጠቃሚ PBR ህጎች ተገዢ ነው?
    • አዎ ከሆነ፣ ከዚያ ፓኬጁ ወደተገለጸው የማዞሪያ ሠንጠረዥ ይላካል
  • ፓኬጁ ወደ ዋናው ጠረጴዛ ይላካል

በሁኔታዊ, ብለን መገመት እንችላለን [IP]->[Route Active=yes] FIB ያሳያል.

የማዞሪያ መሸጎጫ
የመንገድ መሸጎጫ ዘዴ። ራውተር ፓኬጆቹ የት እንደተላኩ ያስታውሳል እና ተመሳሳይ ከሆኑ (ከተመሳሳይ ግንኙነት ሊሆን ይችላል) በተመሳሳይ መንገድ እንዲሄዱ ያስችላቸዋል, በ FIB ውስጥ ሳያረጋግጡ. የመንገዱ መሸጎጫ በየጊዜው ይጸዳል።

ለ RouterOS አስተዳዳሪዎች የራውቲንግ መሸጎጫውን ለማየት እና ለማስተዳደር መሣሪያዎችን አልሰሩም፣ ነገር ግን በ ውስጥ ሊሰናከል በሚችልበት ጊዜ [IP]->[Settings].

ይህ ዘዴ ከሊኑክስ 3.6 ከርነል ተወግዷል፣ ነገር ግን ራውተር ኦኤስ አሁንም ከርነል 3.3.5 ይጠቀማል፣ ምናልባት Routing cahce አንዱ ምክንያት ነው።

የመንገድ ንግግርን ያክሉ

[IP]->[Route]->[+]
በማይክሮቲክ ራውተር ኦኤስ ውስጥ የስታቲክ ራውቲንግ መሰረታዊ ነገሮች

  1. መንገድ መፍጠር የሚፈልጉት ሳብኔት (ነባሪ፡ 0.0.0.0/0)
  2. ፓኬጁ የሚላክበት ጌትዌይ አይፒ ወይም በይነገጽ (በርካታ ሊሆኑ ይችላሉ፣ከዚህ በታች ECMP ይመልከቱ)
  3. የጌትዌይ ተገኝነት ማረጋገጫ
  4. የመዝገብ አይነት
  5. ለመንገድ ርቀት (ሜትሪክ)
  6. የማዞሪያ ጠረጴዛ
  7. በዚህ መስመር በኩል ለአካባቢያዊ ወጪ ፓኬቶች አይፒ
  8. የወሰን እና የዒላማ ወሰን ዓላማ በአንቀጹ መጨረሻ ላይ ተጽፏል።

መስመር ባንዲራዎች
በማይክሮቲክ ራውተር ኦኤስ ውስጥ የስታቲክ ራውቲንግ መሰረታዊ ነገሮች

  • X - መንገዱ በአስተዳዳሪው ተሰናክሏል (disabled=yes)
  • ሀ - መንገዱ ፓኬቶችን ለመላክ ያገለግላል
  • መ - በተለዋዋጭ መንገድ ታክሏል (BGP፣ OSPF፣ RIP፣ MME፣ PPP፣ DHCP፣ ተገናኝቷል)
  • ሐ - ንኡስ ኔትዎርክ በቀጥታ ከ ራውተር ጋር ተያይዟል
  • ኤስ - የማይንቀሳቀስ መሾመር
  • r,b,o,m - ከተለዋዋጭ የማዞሪያ ፕሮቶኮሎች በአንዱ የተጨመረ መሾመር
  • B,U,P - የማጣሪያ መንገድ (ከማስተላለፍ ይልቅ ጥቅሎችን ይጥላል)

በጌትዌይ ውስጥ ምን ይግለጹ: ip-address ወይም interface?

ስርዓቱ ሁለቱንም እንዲገልጹ ይፈቅድልዎታል, ነገር ግን የማይሳደብ እና ስህተት ከፈጸሙ ፍንጭ አይሰጥም.

የአይፒ አድራሻ
የመግቢያ አድራሻው በ Layer2 ላይ መድረስ አለበት። ለኤተርኔት፣ ይህ ማለት ራውተር ከተመሳሳዩ ሳብኔት በአንደኛው የንቁ ip በይነገጽ፣ ለppp፣ የጌትዌይ አድራሻው ከገባሪ በይነ ገፅ በአንዱ ላይ እንደ ሳብኔት አድራሻ ይገለጻል።
የ Layer2 የተደራሽነት ሁኔታ ካልተሟላ መንገዱ እንደቦዘነ ይቆጠራል እና በ FIB ውስጥ አይወድቅም።

በይነገጽ
ሁሉም ነገር የበለጠ የተወሳሰበ ነው እና የራውተሩ ባህሪ እንደ በይነገጽ አይነት ይወሰናል.

  • ፒፒፒ (Async, PPTP, L2TP, SSTP, PPPoE, OpenVPN *) ግንኙነት ሁለት ተሳታፊዎችን ብቻ ይወስዳል እና ፓኬጁ ሁል ጊዜ ለማስተላለፍ ወደ መግቢያው ይላካል, ፍኖቱ ተቀባዩ ልሹ መሆኑን ካወቀ, ከዚያም ፓኬጁን ወደ ያስተላልፋል. የአካባቢ ሂደት.
    በማይክሮቲክ ራውተር ኦኤስ ውስጥ የስታቲክ ራውቲንግ መሰረታዊ ነገሮች
  • ኤተርኔት ብዙ ተሳታፊዎች እንዳሉ ይገምታል እና ጥያቄዎችን ወደ አርፕ በይነገጽ ከፓኬቱ ተቀባይ አድራሻ ጋር ይልካል ፣ ይህ የሚጠበቀው እና ለተገናኙት መስመሮች በጣም የተለመደ ባህሪ ነው።
    ነገር ግን በይነገጹን ለርቀት ሳብኔት እንደ መንገድ ለመጠቀም ሲሞክሩ የሚከተለውን ሁኔታ ያገኛሉ፡ መንገዱ ገባሪ ነው፣ ፒንግ ወደ ጌትዌይ ያልፋል፣ ነገር ግን ከተጠቀሰው ሳብኔት ተቀባዩ ላይ አይደርስም። በይነገጹን በአነፍናፊ በኩል ከተመለከቱ፣ የአርፕ ጥያቄዎችን ከርቀት ሳብኔት አድራሻ ጋር ያያሉ።
    በማይክሮቲክ ራውተር ኦኤስ ውስጥ የስታቲክ ራውቲንግ መሰረታዊ ነገሮች

በማይክሮቲክ ራውተር ኦኤስ ውስጥ የስታቲክ ራውቲንግ መሰረታዊ ነገሮች

በተቻለ መጠን የአይ ፒ አድራሻውን እንደ መግቢያ በር ለመጥቀስ ይሞክሩ። ልዩነቱ የተገናኙ መንገዶች (በራስ ሰር የተፈጠሩ) እና ፒፒፒ (Async፣ PPTP፣ L2TP፣ SSTP፣ PPPoE፣ OpenVPN*) በይነገጾች ናቸው።

OpenVPN የPPP ራስጌ አልያዘም ፣ ግን መንገድ ለመፍጠር የOpenVPN በይነገጽ ስም መጠቀም ይችላሉ።

የበለጠ የተወሰነ መስመር

መሰረታዊ የመተላለፊያ ደንብ. ትንሹን ሳብኔት የሚገልጽ መንገድ (ትልቁ የንዑስኔት ጭንብል ያለው) በፓኬቱ የማዞሪያ ውሳኔ ላይ ቅድሚያ ይሰጣል። በማዞሪያ ሠንጠረዥ ውስጥ ያሉት የመግቢያዎች አቀማመጥ ከምርጫው ጋር ተዛማጅነት የለውም - ዋናው ደንብ የበለጠ ልዩ ነው.

በማይክሮቲክ ራውተር ኦኤስ ውስጥ የስታቲክ ራውቲንግ መሰረታዊ ነገሮች

ከተጠቀሰው እቅድ ሁሉም መንገዶች ንቁ ናቸው (በ FIB ውስጥ ይገኛሉ)። ወደ ተለያዩ ንዑስ አውታረ መረቦች ያመልክቱ እና እርስ በእርስ አይጋጩ።

ከመግቢያ መንገዱ አንዱ ከሌለ፣ ተጓዳኝ መንገዱ እንደቦዘነ ይቆጠራል (ከFIB ተወግዷል) እና እሽጎች ከቀሪዎቹ መንገዶች ይፈለጋሉ።

ንዑስኔት 0.0.0.0/0 ያለው መንገድ አንዳንድ ጊዜ ልዩ ትርጉም ይሰጠዋል እና "ነባሪ መስመር" ወይም "የመጨረሻ አማራጭ መግቢያ" ይባላል። በእውነቱ ፣ በውስጡ ምንም አስማታዊ ነገር የለም እና ሁሉንም ሊሆኑ የሚችሉ IPv4 አድራሻዎችን ያካትታል ፣ ግን እነዚህ ስሞች ተግባሩን በደንብ ይገልጻሉ - እሱ ሌላ ፣ የበለጠ ትክክለኛ መንገዶች የሌሉባቸውን እሽጎች የሚያስተላልፉበትን መግቢያ በር ያመለክታል።

ለ IPv4 የሚፈቀደው ከፍተኛው የንዑስኔት ጭንብል /32 ነው።

የበለጠ ልዩ መንገድን መረዳት ለማንኛውም TCP/IP መሳሪያ መሰረታዊ ነው።

ርቀት

ርቀቶች (ወይም መለኪያዎች) በበርካታ መግቢያዎች በኩል ወደሚገኙ ነጠላ ንኡስ መረብ መንገዶች አስተዳደራዊ ማጣሪያ ያስፈልጋል። ዝቅተኛ ሜትሪክ ያለው መንገድ እንደ ቅድሚያ ይቆጠራል እና በ FIB ውስጥ ይካተታል. ዝቅተኛ ሜትሪክ ያለው መንገድ ንቁ መሆን ካቆመ፣ ከዚያ በFIB ውስጥ ከፍ ያለ ሜትሪክ ባለው መንገድ ይተካል።
በማይክሮቲክ ራውተር ኦኤስ ውስጥ የስታቲክ ራውቲንግ መሰረታዊ ነገሮች

ለተመሳሳይ ንኡስ መረብ ከተመሳሳይ ሜትሪክ ጋር ብዙ መንገዶች ካሉ፣ ራውተሩ በውስጣዊ አመክንዮው በመመራት ከመካከላቸው አንዱን ብቻ ወደ FIB ሰንጠረዥ ያክላል።

መለኪያው ከ0 ወደ 255 እሴት ሊወስድ ይችላል፡-
በማይክሮቲክ ራውተር ኦኤስ ውስጥ የስታቲክ ራውቲንግ መሰረታዊ ነገሮች

  • 0 - ለተገናኙት መስመሮች መለኪያ. ርቀት 0 በአስተዳዳሪው ሊዘጋጅ አይችልም።
  • 1-254 - መንገዶችን ለማዘጋጀት ለአስተዳዳሪው የሚገኙ መለኪያዎች። ዝቅተኛ ዋጋ ያላቸው መለኪያዎች ከፍተኛ ቅድሚያ አላቸው
  • 255 - መንገዶችን ለማዘጋጀት ለአስተዳዳሪው የሚገኝ መለኪያ። ከ1-254 በተለየ፣ 255 ሜትሪክ ያለው መንገድ ሁል ጊዜ እንቅስቃሴ-አልባ ሆኖ ይቆያል እና በ FIB ውስጥ አይወድቅም።
  • የተወሰኑ መለኪያዎች. ከተለዋዋጭ ማዘዋወር ፕሮቶኮሎች የሚመጡ መንገዶች መደበኛ ሜትሪክ እሴቶች አሏቸው

መግቢያውን ያረጋግጡ

ፍተሻ ጌትዌይ በ icmp ወይም arp በኩል መኖሩን ለማረጋገጥ የMikroTik RoutesOS ቅጥያ ነው። በየ 10 ሰከንድ አንድ ጊዜ (መቀየር አይቻልም) ጥያቄ ወደ መግቢያው ይላካል, ምላሹ ሁለት ጊዜ ካልተቀበለ, መንገዱ እንደሌለ ይቆጠራል እና ከ FIB ይወገዳል. የፍተሻ ጌትዌይን ካሰናከለ የፍተሻ መንገዱ ይቀጥላል እና ከተሳካ ፍተሻ በኋላ መንገዱ እንደገና ገቢር ይሆናል።
በማይክሮቲክ ራውተር ኦኤስ ውስጥ የስታቲክ ራውቲንግ መሰረታዊ ነገሮች

ፍተሻ ጌትዌይ የተዋቀረውን ግቤት እና ሁሉንም ሌሎች ግቤቶች (በሁሉም የማዞሪያ ሰንጠረዦች እና የ ecmp መስመሮች) ከተጠቀሰው ፍኖት ያሰናክላል።

በአጠቃላይ የፍተሻ ፍኖት መንገዱ በፓኬት መጥፋት ላይ ምንም አይነት ችግር እስካልተፈጠረ ድረስ በጥሩ ሁኔታ ይሰራል። ፍተሻ ጌትዌይ ከተፈተሸ ፍኖት ውጭ በመገናኛ ምን እየተከሰተ እንዳለ አያውቅም፣ይህ ተጨማሪ መሳሪያዎችን ይፈልጋል፡- ስክሪፕቶች፣ ተደጋጋሚ ማዞሪያ፣ ተለዋዋጭ የማዞሪያ ፕሮቶኮሎች።

አብዛኛዎቹ የቪፒኤን እና የመሿለኪያ ፕሮቶኮሎች የግንኙነት እንቅስቃሴን ለመፈተሽ አብሮ የተሰሩ መሳሪያዎችን ይዘዋል፣ ለእነሱ የፍተሻ መግቢያ በርን ማንቃት በኔትወርኩ እና በመሳሪያው አፈፃፀም ላይ ተጨማሪ (ግን በጣም ትንሽ) ጭነት ነው።

የ ECMP መንገዶች

የእኩል ወጪ ባለብዙ መንገድ - ጥቅል ሮቢን አልጎሪዝምን በመጠቀም ብዙ መግቢያዎችን በተመሳሳይ ጊዜ ወደ ተቀባዩ መላክ።

የ ECMP መንገድ በአስተዳዳሪው የተፈጠረው ለተመሳሳይ ሳብኔት ብዙ መግቢያዎችን በመለየት ነው (ወይንም በራስ-ሰር፣ ሁለት ተመሳሳይ የOSPF መንገዶች ካሉ)።
በማይክሮቲክ ራውተር ኦኤስ ውስጥ የስታቲክ ራውቲንግ መሰረታዊ ነገሮች

ECMP በሁለት ቻናሎች መካከል ያለውን ጭነት ለማመጣጠን ጥቅም ላይ ይውላል ፣ በንድፈ ሀሳብ ፣ በ ecmp መንገድ ውስጥ ሁለት ቻናሎች ካሉ ፣ ከዚያ ለእያንዳንዱ ፓኬት የወጪው ቻናል የተለየ መሆን አለበት። ነገር ግን የራውቲንግ መሸጎጫ ዘዴ የመጀመሪያው ፓኬት በሄደበት መንገድ ከግንኙነቱ ፓኬጆችን ይልካል፣ በውጤቱም ፣ በግንኙነቶች (በአንድ-ግንኙነት ጭነት ማመጣጠን) ላይ የተመሠረተ ማመጣጠን እናገኛለን።

Routing Cacheን ካሰናከሉ፣ በ ECMP መንገድ ውስጥ ያሉት እሽጎች በትክክል ይጋራሉ፣ ነገር ግን በ NAT ላይ ችግር አለ። የ NAT ደንቡ ከግንኙነቱ የመጀመሪያውን ፓኬት ብቻ ያስኬዳል (የተቀሩት በራስ-ሰር ይከናወናሉ) እና ተመሳሳይ ምንጭ አድራሻ ያላቸው ፓኬቶች የተለያዩ በይነገጾችን ይተዋል ።
በማይክሮቲክ ራውተር ኦኤስ ውስጥ የስታቲክ ራውቲንግ መሰረታዊ ነገሮች

ፍተሻ ፍቱን በ ECMP መንገዶች (RouterOS bug) ላይ አይሰራም። ነገር ግን በECMP ውስጥ ግቤቶችን የሚያሰናክሉ ተጨማሪ የማረጋገጫ መንገዶችን በመፍጠር ይህንን ገደብ ማለፍ ይችላሉ።

በማዞሪያው በኩል ማጣራት

የዓይነት ምርጫው በጥቅሉ ምን እንደሚደረግ ይወስናል፡-

  • unicast - ወደተገለጸው መተላለፊያ (በይነገጽ) ላክ
  • blackhole - አንድ ፓኬት ያስወግዱ
  • የተከለከለ ፣ የማይደረስ - ፓኬጁን ያስወግዱ እና የ icmp መልእክት ላኪው ይላኩ።

ማጣራት አብዛኛውን ጊዜ ጥቅም ላይ የሚውለው ፓኬጆችን በተሳሳተ መንገድ መላክን ለማረጋገጥ በሚያስፈልግበት ጊዜ ነው, በእርግጥ ይህንን በፋየርዎል ውስጥ ማጣራት ይችላሉ.

አንድ ሁለት ምሳሌዎች

ስለ ማዘዋወር መሰረታዊ ነገሮችን ለማዋሃድ።

የተለመደ የቤት ራውተር
በማይክሮቲክ ራውተር ኦኤስ ውስጥ የስታቲክ ራውቲንግ መሰረታዊ ነገሮች

/ip route
add dst-address=0.0.0.0/0 gateway=10.10.10.1

  1. የማይንቀሳቀስ መንገድ ወደ 0.0.0.0/0 (ነባሪ መስመር)
  2. ከአቅራቢው ጋር ባለው በይነገጽ ላይ የተገናኘ መንገድ
  3. በ LAN በይነገጽ ላይ የተገናኘ መንገድ

የተለመደ የቤት ራውተር ከ PPPoE ጋር
በማይክሮቲክ ራውተር ኦኤስ ውስጥ የስታቲክ ራውቲንግ መሰረታዊ ነገሮች

  1. ወደ ነባሪ መስመር የማይንቀሳቀስ መንገድ፣ በራስ-ሰር ታክሏል። በግንኙነት ባህሪያት ውስጥ ይገለጻል
  2. ለፒፒፒ ግንኙነት የተገናኘ መንገድ
  3. በ LAN በይነገጽ ላይ የተገናኘ መንገድ

ከሁለት አቅራቢዎች ጋር የተለመደው የቤት ራውተር እና ድግግሞሽ
በማይክሮቲክ ራውተር ኦኤስ ውስጥ የስታቲክ ራውቲንግ መሰረታዊ ነገሮች

/ip route
add dst-address=0.0.0.0/0 gateway=10.10.10.1 distance=1 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=10.20.20.1 distance=2

  1. በመጀመሪያው አቅራቢው ወደ ነባሪ መስመር የሚወስደው ቋሚ መንገድ በሜትሪክ 1 እና ፍኖተ ዌይ ተገኝነት ማረጋገጫ
  2. በሜትሪክ 2 በሁለተኛው አቅራቢ በኩል ወደ ነባሪ መስመር የማይንቀሳቀስ መንገድ
  3. የተገናኙ መንገዶች

ወደ 0.0.0.0/0 የሚሄደው ትራፊክ በ 10.10.10.1 በኩል ይሄ ፍኖት ሲኖር, አለበለዚያ ወደ 10.20.20.1 ይቀየራል.

እንዲህ ዓይነቱ ዕቅድ የሰርጥ ቦታ ማስያዝ ተደርጎ ሊወሰድ ይችላል, ነገር ግን ያለምንም ድክመቶች አይደለም. እረፍት ከአቅራቢው መግቢያ በር (ለምሳሌ በኦፕሬተሩ አውታረመረብ ውስጥ) ከተፈጠረ ራውተርዎ ስለሱ አያውቅም እና መንገዱን እንደ ንቁ አድርጎ መቁጠሩን ይቀጥላል።

የተለመደ የቤት ራውተር ከሁለት አቅራቢዎች ጋር፣ ተደጋጋሚነት እና ECMP
በማይክሮቲክ ራውተር ኦኤስ ውስጥ የስታቲክ ራውቲንግ መሰረታዊ ነገሮች

/ip route
add dst-address=0.0.0.0/0 gateway=10.10.10.1 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=10.20.20.1 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=10.10.10.1,10.20.20.1 distance=1

  1. የቻክ መግቢያ በርን ለመፈተሽ የማይንቀሳቀሱ መንገዶች
  2. የ ECMP መንገድ
  3. የተገናኙ መንገዶች

የፍተሻ መንገዶች ሰማያዊ ናቸው (የቦዘኑ መንገዶች ቀለም) ግን ይህ በፍተሻ መግቢያው ላይ ጣልቃ አይገባም። የአሁኑ ስሪት (6.44) የ RoS ለ ECMP መንገድ በራስ-ሰር ቅድሚያ ይሰጣል ፣ ግን የሙከራ መንገዶችን ወደ ሌሎች የማዞሪያ ጠረጴዛዎች ማከል የተሻለ ነው (አማራጭ) routing-mark)

በSpeedtest እና ሌሎች ተመሳሳይ ድረ-ገጾች ላይ የፍጥነት መጨመር አይኖርም (ECMP ትራፊክን በግንኙነቶች እንጂ በፓኬት አይከፋፍልም)፣ ነገር ግን p2p መተግበሪያዎች በፍጥነት ማውረድ አለባቸው።

በራውቲንግ በኩል ማጣራት።
በማይክሮቲክ ራውተር ኦኤስ ውስጥ የስታቲክ ራውቲንግ መሰረታዊ ነገሮች

/ip route
add dst-address=0.0.0.0/0 gateway=10.10.10.1
add dst-address=192.168.200.0/24 gateway=10.30.30.1 distance=1
add dst-address=192.168.200.0/24 gateway=10.10.10.1 distance=2 type=blackhole

  1. ወደ ነባሪ መስመር የማይንቀሳቀስ መንገድ
  2. ከአይፒፕ ዋሻ በላይ ወደ 192.168.200.0/24 የማይንቀሳቀስ መንገድ
  3. በአይኤስፒ ራውተር ወደ 192.168.200.0/24 የማይንቀሳቀስ መንገድ መከልከል

የአይፒፒ በይነገጽ ሲሰናከል የመሿለኪያ ትራፊክ ወደ አቅራቢው ራውተር የማይሄድበት የማጣሪያ አማራጭ። እንደነዚህ ያሉ እቅዶች እምብዛም አያስፈልጉም, ምክንያቱም በፋየርዎል በኩል እገዳን መተግበር ይችላሉ.

የማዞሪያ ዑደት
Routing loop - ttl ከማለቁ በፊት ፓኬት በራውተሮች መካከል የሚሄድበት ሁኔታ። ብዙውን ጊዜ የውቅር ስህተት ውጤት ነው, በትልልቅ ኔትወርኮች ውስጥ በተለዋዋጭ የማዞሪያ ፕሮቶኮሎች ትግበራ, በትንንሽ - በጥንቃቄ.

ይህን ይመስላል።
በማይክሮቲክ ራውተር ኦኤስ ውስጥ የስታቲክ ራውቲንግ መሰረታዊ ነገሮች

ተመሳሳይ ውጤት እንዴት ማግኘት እንደሚቻል ምሳሌ (ቀላል)
በማይክሮቲክ ራውተር ኦኤስ ውስጥ የስታቲክ ራውቲንግ መሰረታዊ ነገሮች

የ Routing loop ምሳሌ ምንም ተግባራዊ ጥቅም የለውም፣ ነገር ግን ራውተሮች ስለ ጎረቤታቸው የማዞሪያ ጠረጴዛ ምንም ግንዛቤ እንደሌላቸው ያሳያል።

የፖሊሲ መሰረት መስመር እና ተጨማሪ የማዞሪያ ሰንጠረዦች

መንገድን በሚመርጡበት ጊዜ, ራውተር ከፓኬት ራስጌ (Dst. አድራሻ) አንድ መስክ ብቻ ይጠቀማል - ይህ መሰረታዊ መስመር ነው. እንደ ምንጭ አድራሻ፣ የትራፊክ አይነት (ቶኤስ)፣ ያለ ECMP ማመጣጠን የፖሊሲ ቤዝ ራውቲንግ (PBR) እና ተጨማሪ የማዞሪያ ሰንጠረዦችን በመሳሰሉ ሌሎች ሁኔታዎች ላይ በመመስረት ማዘዋወር።

በማይክሮቲክ ራውተር ኦኤስ ውስጥ የስታቲክ ራውቲንግ መሰረታዊ ነገሮች

የበለጠ የተወሰነ መስመር በማዞሪያ ሠንጠረዥ ውስጥ ዋናው የመንገድ ምርጫ ህግ ነው.

በነባሪ, ሁሉም የማዞሪያ ደንቦች ወደ ዋናው ጠረጴዛ ይታከላሉ. አስተዳዳሪው የዘፈቀደ ቁጥር መፍጠር ይችላል። በተለያዩ ሰንጠረዦች ውስጥ ያሉ ደንቦች እርስ በርስ አይጋጩም. ጥቅሉ በተጠቀሰው ሰንጠረዥ ውስጥ ተስማሚ ህግ ካላገኘ ወደ ዋናው ጠረጴዛ ይሄዳል.

በፋየርዎል በኩል ማሰራጨት ምሳሌ፡
በማይክሮቲክ ራውተር ኦኤስ ውስጥ የስታቲክ ራውቲንግ መሰረታዊ ነገሮች

  • 192.168.100.10 -> 8.8.8.8
    1. ትራፊክ ከ 192.168.100.10 ምልክት ይደረግበታል በ-isp1 በኩል в [Prerouting|Mangle]
    2. በሠንጠረዡ ውስጥ በማዞሪያው ደረጃ በ-isp1 በኩል ወደ 8.8.8.8 መንገድ ይፈልጋል
    3. መንገድ ተገኝቷል፣ ትራፊክ ወደ ፍኖት 10.10.10.1 ይላካል
  • 192.168.200.20 -> 8.8.8.8
    1. ትራፊክ ከ 192.168.200.20 ምልክት ይደረግበታል በ-isp2 በኩል в [Prerouting|Mangle]
    2. በሠንጠረዡ ውስጥ በማዞሪያው ደረጃ በ-isp2 በኩል ወደ 8.8.8.8 መንገድ ይፈልጋል
    3. መንገድ ተገኝቷል፣ ትራፊክ ወደ ፍኖት 10.20.20.1 ይላካል
  • ከመግቢያዎቹ አንዱ (10.10.10.1 ወይም 10.20.20.1) የማይገኝ ከሆነ ፓኬጁ ወደ ጠረጴዛው ይሄዳል። ዋና እና እዚያ ተስማሚ መንገድ ይፈልጉ

የቃላት አጠቃቀም ጉዳዮች

RouterOS የተወሰኑ የቃላት አገባብ ጉዳዮች አሉት።
ከህጎች ጋር በሚሰሩበት ጊዜ [IP]->[Routes] መለያው እንዲህ ተብሎ ቢጻፍም የማዞሪያ ጠረጴዛው ተጠቁሟል።
በማይክሮቲክ ራውተር ኦኤስ ውስጥ የስታቲክ ራውቲንግ መሰረታዊ ነገሮች

В [IP]->[Routes]->[Rule] ሁሉም ነገር ትክክል ነው ፣ በሠንጠረዡ ውስጥ ባለው የመለያ ሁኔታ ውስጥ
በማይክሮቲክ ራውተር ኦኤስ ውስጥ የስታቲክ ራውቲንግ መሰረታዊ ነገሮች

ፓኬት ወደ አንድ የተወሰነ የማዞሪያ ጠረጴዛ እንዴት እንደሚልክ

RouterOS በርካታ መሳሪያዎችን ያቀርባል-

  • ውስጥ ደንቦች [IP]->[Routes]->[Rules]
  • የመንገድ ጠቋሚዎች (action=mark-routing) በ [IP]->[Firewall]->[Mangle]
  • ቪ አር ኤፍ

ደንቦች [IP]->[Route]->[Rules]
ሕጎች በቅደም ተከተል ይከናወናሉ, ፓኬቱ ከህጉ ሁኔታዎች ጋር የሚጣጣም ከሆነ, ተጨማሪ አያልፍም.

የማዞሪያ ህጎች በተቀባዩ አድራሻ ላይ ብቻ ሳይሆን እሽጉ የተቀበለበትን የምንጭ አድራሻ እና በይነገጽ ላይ በመተማመን የማዘዋወር እድሎችን ለማስፋት ያስችሉዎታል።

በማይክሮቲክ ራውተር ኦኤስ ውስጥ የስታቲክ ራውቲንግ መሰረታዊ ነገሮች

ደንቦቹ ሁኔታዎችን እና እርምጃዎችን ያቀፈ ነው-

  • ሁኔታዎች. ጥቅሉ በFIB ውስጥ የተረጋገጠባቸውን ምልክቶች ዝርዝር በተግባር ይድገሙት፣ ToS ብቻ ይጎድላል።
  • ድርጊቶች
    • ፍለጋ - ፓኬት ወደ ጠረጴዛ ይላኩ
    • በሰንጠረዡ ውስጥ ብቻ ይፈልጉ - ጥቅሉን በጠረጴዛው ውስጥ ይቆልፉ, መንገዱ ካልተገኘ, ጥቅሉ ወደ ዋናው ጠረጴዛ አይሄድም.
    • ጣል - አንድ ፓኬት ጣል
    • የማይደረስ - ፓኬጁን ከላኪ ማስታወቂያ ጋር ያስወግዱት።

በ FIB ውስጥ፣ ወደ አካባቢያዊ ሂደቶች የሚወስደው ትራፊክ ደንቦቹን በመጣስ ይከናወናል [IP]->[Route]->[Rules]:
በማይክሮቲክ ራውተር ኦኤስ ውስጥ የስታቲክ ራውቲንግ መሰረታዊ ነገሮች

ምልክት ማድረግ [IP]->[Firewall]->[Mangle]
የማዞሪያ መለያዎች ማንኛውንም የፋየርዎል ሁኔታዎችን በመጠቀም የፓኬት መግቢያ በር እንዲያዘጋጁ ያስችሉዎታል፡
በማይክሮቲክ ራውተር ኦኤስ ውስጥ የስታቲክ ራውቲንግ መሰረታዊ ነገሮች

በተግባራዊነት, ምክንያቱም ሁሉም ትርጉም ያላቸው አይደሉም, እና አንዳንዶቹ ያልተረጋጋ ሊሰሩ ይችላሉ.

በማይክሮቲክ ራውተር ኦኤስ ውስጥ የስታቲክ ራውቲንግ መሰረታዊ ነገሮች

ጥቅል ለመሰየም ሁለት መንገዶች አሉ።

  • ወዲያውኑ ማስቀመጥ የማዞሪያ ምልክት
  • አስቀድመህ አስቀድመህ ግንኙነት-ምልክት, ከዚያም ላይ የተመሠረተ ግንኙነት-ምልክት ማስቀመጥ የማዞሪያ ምልክት

ስለ ፋየርዎል በጻፈው ጽሑፍ ውስጥ ሁለተኛው አማራጭ ተመራጭ እንደሆነ ጽፌ ነበር። በሲፒዩ ላይ ያለውን ጭነት ይቀንሳል, መንገዶችን ምልክት በማድረግ - ይህ ሙሉ በሙሉ እውነት አይደለም. እነዚህ ምልክት ማድረጊያ ዘዴዎች ሁልጊዜ እኩል አይደሉም እና አብዛኛውን ጊዜ የተለያዩ ችግሮችን ለመፍታት ያገለግላሉ.

የአጠቃቀም ምሳሌዎች

ወደ የፖሊሲ ቤዝ ራውቲንግ ምሳሌዎች እንሸጋገር፣ ይህ ሁሉ ለምን እንደሚያስፈልግ ለማሳየት በጣም ቀላል ናቸው።

MultiWAN እና የወጪ (ውጤት) ትራፊክን ይመልሱ
የMultiWAN ውቅር ያለው የተለመደ ችግር፡ Mikrotik ከኢንተርኔት የሚገኘው በ"ገባሪ" አቅራቢ በኩል ብቻ ነው።
በማይክሮቲክ ራውተር ኦኤስ ውስጥ የስታቲክ ራውቲንግ መሰረታዊ ነገሮች

ራውተር ጥያቄው ከምን እንደመጣ አይጨነቅም፣ ምላሽ በሚሰጥበት ጊዜ፣ በ isp1 በኩል ያለው መንገድ የሚሰራበት መስመር ላይ መስመር ይፈልጋል። በተጨማሪም እንዲህ ዓይነቱ ፓኬት ወደ ተቀባዩ በሚወስደው መንገድ ላይ ተጣርቶ አይቀርም.

ሌላ አስደሳች ነጥብ. “ቀላል” ምንጭ nat በ ether1 በይነገጽ ላይ ከተዋቀረ፡- /ip fi nat add out-interface=ether1 action=masquerade ጥቅሉ ከ src ጋር በመስመር ላይ ይሄዳል። አድራሻ=10.10.10.100፣ ይህም ነገሮችን የበለጠ ያባብሰዋል።

ችግሩን ለማስተካከል ብዙ መንገዶች አሉ ፣ ግን ማንኛቸውም ተጨማሪ የማዞሪያ ጠረጴዛዎች ያስፈልጋሉ
በማይክሮቲክ ራውተር ኦኤስ ውስጥ የስታቲክ ራውቲንግ መሰረታዊ ነገሮች

/ip route
add dst-address=0.0.0.0/0 gateway=10.10.10.1 check-gateway=ping distance=1
add dst-address=0.0.0.0/0 gateway=10.20.20.1 check-gateway=ping distance=2
add dst-address=0.0.0.0/0 gateway=10.10.10.1 routing-mark=over-isp1
add dst-address=0.0.0.0/0 gateway=10.20.20.1 routing-mark=over-isp2

ተጠቀም [IP]->[Route]->[Rules]
ከተጠቀሰው ምንጭ አይፒ ጋር ለፓኬቶች ጥቅም ላይ የሚውለውን የማዞሪያ ሰንጠረዥ ይግለጹ.
በማይክሮቲክ ራውተር ኦኤስ ውስጥ የስታቲክ ራውቲንግ መሰረታዊ ነገሮች

/ip route rule
add src-address=10.10.10.100/32 action=lookup-only-in-table table=over-isp1
add src-address=10.20.20.200/32 action=lookup-only-in-table table=over-isp2

መጠቀም ይችላል action=lookup, ነገር ግን ለአካባቢያዊ ወጪ ትራፊክ ይህ አማራጭ ከተሳሳተ በይነገጽ ግንኙነቶችን ሙሉ በሙሉ አያካትትም.

  • ስርዓቱ ከ Src ጋር የምላሽ ፓኬት ያመነጫል። አድራሻ፡ 10.20.20.200
  • የማዞሪያ ውሳኔ(2) ደረጃ ፍተሻዎች [IP]->[Routes]->[Rules] እና ፓኬጁ ወደ ማዞሪያ ጠረጴዛው ይላካል በላይ-isp2
  • በማዞሪያው ሰንጠረዥ መሰረት, ፓኬጁ በ ether10.20.20.1 በይነገጽ በኩል ወደ መግቢያው 2 መላክ አለበት.

በማይክሮቲክ ራውተር ኦኤስ ውስጥ የስታቲክ ራውቲንግ መሰረታዊ ነገሮች

ይህ ዘዴ ከማንግል ሠንጠረዥ ከመጠቀም በተለየ የሚሰራ የግንኙነት መከታተያ አያስፈልገውም።

ተጠቀም [IP]->[Firewall]->[Mangle]
ግንኙነቱ የሚጀምረው በመጪው ፓኬት ነው, ስለዚህ ምልክት እናደርጋለን (action=mark-connectionምልክት ከተደረገበት ግንኙነት ለሚወጡ ጥቅሎች፣ የማዞሪያ መለያውን ያዘጋጁ (action=mark-routing).
በማይክሮቲክ ራውተር ኦኤስ ውስጥ የስታቲክ ራውቲንግ መሰረታዊ ነገሮች

/ip firewall mangle
#Маркировка входящих соединений
add chain=input in-interface=ether1 connection-state=new action=mark-connection new-connection-mark=from-isp1
add chain=input in-interface=ether2 connection-state=new action=mark-connection new-connection-mark=from-isp2
#Маркировка исходящих пакетов на основе соединений
add chain=output connection-mark=from-isp1 action=mark-routing new-routing-mark=over-isp1 passthrough=no
add chain=output connection-mark=from-isp2 action=mark-routing new-routing-mark=over-isp2 passthrough=no

ብዙ አይፒዎች በአንድ በይነገጽ ላይ ከተዋቀሩ, ወደ ሁኔታው ​​መጨመር ይችላሉ dst-address እርግጠኛ ለመሆን.

  • አንድ ፓኬት በ ether2 በይነገጽ ላይ ያለውን ግንኙነት ይከፍታል. ጥቅሉ ወደ ውስጥ ይገባል [INPUT|Mangle] ከግንኙነቱ ሁሉንም እሽጎች ምልክት ያድርጉበት ይላል። ከ-isp2
  • ስርዓቱ ከ Src ጋር የምላሽ ፓኬት ያመነጫል። አድራሻ፡ 10.20.20.200
  • በማዘዋወር ውሳኔ (2) ደረጃ, ፓኬጁ, በማዞሪያው ሰንጠረዥ መሰረት, በ ether10.20.20.1 በይነገጽ በኩል ወደ መግቢያው 1 ይላካል. ፓኬጆቹን በማስገባት ይህንን ማረጋገጥ ይችላሉ። [OUTPUT|Filter]
  • በመድረክ ላይ [OUTPUT|Mangle] የግንኙነት መለያ ምልክት ተደርጎበታል። ከ-isp2 እና ፓኬቱ የመንገድ መለያ ይቀበላል በላይ-isp2
  • የማዞሪያ ማስተካከያ(3) ደረጃ የማዞሪያ መለያ መኖሩን ያረጋግጣል እና ወደ ተገቢው የማዞሪያ ጠረጴዛ ይልካል።
  • በማዞሪያው ሰንጠረዥ መሰረት, ፓኬጁ በ ether10.20.20.1 በይነገጽ በኩል ወደ መግቢያው 2 መላክ አለበት.

በማይክሮቲክ ራውተር ኦኤስ ውስጥ የስታቲክ ራውቲንግ መሰረታዊ ነገሮች

MultiWAN እና የ dst-nat ትራፊክን ይመልሱ

አንድ ምሳሌ የበለጠ የተወሳሰበ ነው፣ ከራውተር ጀርባ በግል ሳብኔት ላይ አገልጋይ (ለምሳሌ፣ ድር) ካለ ምን ማድረግ እንዳለበት እና በማንኛውም አቅራቢዎች በኩል እሱን ማግኘት ያስፈልግዎታል።

/ip firewall nat
add chain=dstnat proto=tcp dst-port=80,443 in-interface=ether1 action=dst-nat to-address=192.168.100.100
add chain=dstnat proto=tcp dst-port=80,443 in-interface=ether2 action=dst-nat to-address=192.168.100.100

የችግሩ ዋናው ነገር አንድ አይነት ይሆናል, መፍትሄው ከፋየርዎል ማንግል አማራጭ ጋር ተመሳሳይ ነው, ሌሎች ሰንሰለቶች ብቻ ጥቅም ላይ ይውላሉ.
በማይክሮቲክ ራውተር ኦኤስ ውስጥ የስታቲክ ራውቲንግ መሰረታዊ ነገሮች

/ip firewall mangle
add chain=prerouting connection-state=new in-interface=ether1 protocol=tcp dst-port=80,443 action=mark-connection new-connection-mark=web-input-isp1
add chain=prerouting connection-state=new in-interface=ether2 protocol=tcp dst-port=80,443 action=mark-connection new-connection-mark=web-input-isp2
add chain=prerouting connection-mark=web-input-isp1 in-interface=ether3 action=mark-routing new-routing-mark=over-isp1 passthrough=no
add chain=prerouting connection-mark=web-input-isp2 in-interface=ether3 action=mark-routing new-routing-mark=over-isp2 passthrough=no

በማይክሮቲክ ራውተር ኦኤስ ውስጥ የስታቲክ ራውቲንግ መሰረታዊ ነገሮች
ስዕሉ NAT አያሳይም, ግን ሁሉም ነገር ግልጽ ነው ብዬ አስባለሁ.

MultiWAN እና የወጪ ግንኙነቶች

ከተለያዩ የራውተር መገናኛዎች ብዙ vpn (በምሳሌው ላይ SSTP) ለመፍጠር የPBR አቅሞችን መጠቀም ትችላለህ።

በማይክሮቲክ ራውተር ኦኤስ ውስጥ የስታቲክ ራውቲንግ መሰረታዊ ነገሮች

ተጨማሪ የማዞሪያ ጠረጴዛዎች፡-

/ip route
add dst-address=0.0.0.0/0 gateway=192.168.100.1 routing-mark=over-isp1
add dst-address=0.0.0.0/0 gateway=192.168.200.1 routing-mark=over-isp2
add dst-address=0.0.0.0/0 gateway=192.168.0.1 routing-mark=over-isp3

add dst-address=0.0.0.0/0 gateway=192.168.100.1 distance=1
add dst-address=0.0.0.0/0 gateway=192.168.200.1 distance=2
add dst-address=0.0.0.0/0 gateway=192.168.0.1 distance=3

የጥቅል ምልክቶች:

/ip firewall mangle
add chain=output dst-address=10.10.10.100 proto=tcp dst-port=443 action=mark-routing new-routing-mark=over-isp1 passtrough=no
add chain=output dst-address=10.10.10.101 proto=tcp dst-port=443 action=mark-routing new-routing-mark=over-isp2 passtrough=no
add chain=output dst-address=10.10.10.102 proto=tcp dst-port=443 action=mark-routing new-routing-mark=over-isp3 passtrough=no

ቀላል የ NAT ደንቦች, አለበለዚያ ፓኬጁ በይነገጹን በተሳሳተ Src ይተዋል. አድራሻ፡-

/ip firewall nat
add chain=srcnat out-interface=ether1 action=masquerade
add chain=srcnat out-interface=ether2 action=masquerade
add chain=srcnat out-interface=ether3 action=masquerade

መተካት:

  • ራውተር ሶስት SSTP ሂደቶችን ይፈጥራል
  • በማዞሪያ ውሳኔ (2) ደረጃ፣ በዋናው የማዞሪያ ሠንጠረዥ መሰረት ለእነዚህ ሂደቶች አንድ መንገድ ይመረጣል። ከተመሳሳይ መንገድ, ፓኬቱ Src ይቀበላል. አድራሻ ከኤተር1 በይነገጽ ጋር የተያያዘ
  • В [Output|Mangle] ከተለያዩ ግንኙነቶች የሚመጡ እሽጎች የተለያዩ መለያዎችን ይቀበላሉ
  • እሽጎች በማዘዋወር ማስተካከያ ደረጃ ላይ ካሉ መለያዎች ጋር የሚዛመዱ ሠንጠረዦችን ያስገባሉ እና ፓኬቶችን ለመላክ አዲስ መንገድ ይቀበላሉ
  • ግን ጥቅሎች አሁንም Src አላቸው። አድራሻ ከኤተር1፣ መድረክ ላይ [Nat|Srcnat] አድራሻው በመገናኛው መሠረት ተተክቷል

የሚገርመው ነገር በራውተሩ ላይ የሚከተለውን የግንኙነት ሰንጠረዥ ያያሉ፡
በማይክሮቲክ ራውተር ኦኤስ ውስጥ የስታቲክ ራውቲንግ መሰረታዊ ነገሮች

የግንኙነት መከታተያ ቀደም ብሎ ይሰራል [Mangle] и [Srcnat], ስለዚህ ሁሉም ግንኙነቶች ከአንድ አድራሻ ይመጣሉ, የበለጠ በዝርዝር ከተመለከቱ, ከዚያም ውስጥ Replay Dst. Address ከ NAT በኋላ አድራሻዎች ይኖራሉ፡-
በማይክሮቲክ ራውተር ኦኤስ ውስጥ የስታቲክ ራውቲንግ መሰረታዊ ነገሮች

በቪፒኤን አገልጋይ (በሙከራ አግዳሚ ወንበር ላይ አንድ አለኝ) ሁሉም ግንኙነቶች ከትክክለኛ አድራሻዎች እንደመጡ ማየት ይችላሉ፡
በማይክሮቲክ ራውተር ኦኤስ ውስጥ የስታቲክ ራውቲንግ መሰረታዊ ነገሮች

መንገዱን ጠብቅ
ቀላል መንገድ አለ፣ በቀላሉ ለእያንዳንዱ አድራሻ አንድ የተወሰነ መግቢያ መግለጽ ይችላሉ።

/ip route
add dst-address=10.10.10.100 gateway=192.168.100.1
add dst-address=10.10.10.101 gateway=192.168.200.1
add dst-address=10.10.10.102 gateway=192.168.0.1

ነገር ግን እንደዚህ አይነት መንገዶች የወጪ ብቻ ሳይሆን የመተላለፊያ ትራፊክንም ይጎዳሉ። በተጨማሪም፣ ተገቢ ባልሆኑ የመገናኛ ቻናሎች ውስጥ ለማለፍ ወደ vpn አገልጋይ የሚወስደውን ትራፊክ ካላስፈለገህ ለ 6 ተጨማሪ ደንቦችን ማከል አለብህ። [IP]->[Routes]с type=blackhole. በቀድሞው ስሪት - 3 ደንቦች በ [IP]->[Route]->[Rules].

የተጠቃሚ ግንኙነቶችን በመገናኛ ሰርጦች ማሰራጨት

ቀላል, የዕለት ተዕለት ተግባራት. እንደገና፣ ተጨማሪ የማዞሪያ ጠረጴዛዎች ያስፈልጋሉ፡-

/ip route
add dst-address=0.0.0.0/0 gateway=10.10.10.1 dist=1 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=10.20.20.1 dist=2 check-gateway=ping

add dst-address=0.0.0.0/0 gateway=10.10.10.1 dist=1 routing-mark=over-isp1
add dst-address=0.0.0.0/0 gateway=10.20.20.1 dist=1 routing-mark=over-isp2

በመጠቀም [IP]->[Route]->[Rules]
በማይክሮቲክ ራውተር ኦኤስ ውስጥ የስታቲክ ራውቲንግ መሰረታዊ ነገሮች

/ip route rules
add src-address=192.168.100.0/25 action=lookup-only-in-table table=over-isp1
add src-address=192.168.100.128/25 action=lookup-only-in-table table=over-isp2

የሚጠቀም ከሆነ action=lookup, ከዚያም አንዱ ቻናሎች ሲሰናከሉ, ትራፊኩ ወደ ዋናው ጠረጴዛ በመሄድ በስራው ቻናል ውስጥ ያልፋል. ይህ አስፈላጊ ነው ወይም አይደለም በስራው ላይ የተመሰረተ ነው.

ውስጥ ምልክቶችን መጠቀም [IP]->[Firewall]->[Mangle]
ቀላል ምሳሌ ከአይፒ አድራሻዎች ዝርዝሮች ጋር። በመርህ ደረጃ, ማንኛውንም ቅድመ ሁኔታ መጠቀም ይቻላል. የ Layer7 ብቸኛው ማስጠንቀቂያ ከግንኙነት መለያዎች ጋር ቢጣመርም ሁሉም ነገር በትክክል የሚሰራ ሊመስል ይችላል ነገርግን አንዳንድ ትራፊክ አሁንም በተሳሳተ መንገድ ይሄዳሉ።
በማይክሮቲክ ራውተር ኦኤስ ውስጥ የስታቲክ ራውቲንግ መሰረታዊ ነገሮች

/ip firewall mangle
add chain=prerouting src-address-list=users-over-isp1 dst-address-type=!local action=mark-routing new-routing-mark=over-isp1
add chain=prerouting src-address-list=users-over-isp2 dst-address-type=!local action=mark-routing new-routing-mark=over-isp2

በአንድ የማዞሪያ ሠንጠረዥ ውስጥ ተጠቃሚዎችን "መቆለፍ" ይችላሉ። [IP]->[Route]->[Rules]:

/ip route rules
add routing-mark=over-isp1 action=lookup-only-in-table table=over-isp1
add routing-mark=over-isp2 action=lookup-only-in-table table=over-isp2

ወይ በኩል [IP]->[Firewall]->[Filter]:

/ip firewall filter
add chain=forward routing-mark=over-isp1 out-interface=!ether1 action=reject
add chain=forward routing-mark=over-isp2 out-interface=!ether2 action=reject

ማፈግፈግ ፕሮ dst-address-type=!local
ተጨማሪ ሁኔታ dst-address-type=!local ከተጠቃሚዎች የሚመጡ ትራፊክ ወደ ራውተሩ አካባቢያዊ ሂደቶች (ዲ ኤን ኤስ ፣ ዊንቦክስ ፣ ssh ፣ ...) መድረስ አስፈላጊ ነው ። ብዙ የአካባቢ ንዑስ አውታረ መረቦች ከ ራውተር ጋር ከተገናኙ በመካከላቸው ያለው ትራፊክ ወደ በይነመረብ እንደማይሄድ ማረጋገጥ አስፈላጊ ነው ፣ ለምሳሌ ፣ በመጠቀም። dst-address-table.

በመጠቀም ምሳሌ ውስጥ [IP]->[Route]->[Rules] እንደዚህ ያሉ ልዩ ሁኔታዎች የሉም ፣ ግን ትራፊክ ወደ አካባቢያዊ ሂደቶች ይደርሳል። እውነታው ግን ወደ FIB ጥቅል መግባት ምልክት ተደርጎበታል። [PREROUTING|Mangle] የመንገድ መለያ አለው እና ከዋናው ውጪ ወደ ማዞሪያ ጠረጴዛው ይገባል፣ እሱም ምንም አይነት አካባቢያዊ በይነገጽ የለም። በማዘዋወር ደንቦች ላይ በመጀመሪያ ፓኬጁ ለአካባቢያዊ ሂደት የታሰበ መሆኑን እና አለመሆኑን እና በተጠቃሚ PBR ደረጃ ላይ ብቻ ወደተገለጸው የማዞሪያ ጠረጴዛ ይሄዳል።

በመጠቀም [IP]->[Firewall]->[Mangle action=route]
ይህ እርምጃ የሚሠራው በ ውስጥ ብቻ ነው። [Prerouting|Mangle] እና ተጨማሪ የማዞሪያ ሰንጠረዦችን ሳይጠቀሙ ትራፊክን ወደተገለጸው መተላለፊያ እንዲመሩ ይፈቅድልዎታል፣ የመግቢያ አድራሻውን በቀጥታ ይግለጹ፡

/ip firewall mangle
add chain=prerouting src-address=192.168.100.0/25 action=route gateway=10.10.10.1
add chain=prerouting src-address=192.168.128.0/25 action=route gateway=10.20.20.1

ውጤት route ከመሄጃ ደንቦች ያነሰ ቅድሚያ አለው ([IP]->[Route]->[Rules]). የመንገድ ምልክቶችን በተመለከተ, ሁሉም ነገር በህጎቹ አቀማመጥ ላይ የተመሰረተ ነው, ደንቡ ካለው action=route የበለጠ ዋጋ ያለው action=mark-route, ከዚያም ጥቅም ላይ ይውላል (ባንዲራ ምንም ይሁን ምን passtrough), አለበለዚያ መንገዱን ምልክት ማድረግ.
በዊኪው ላይ ስለዚህ ድርጊት በጣም ትንሽ መረጃ አለ እና ሁሉም መደምደሚያዎች በሙከራ የተገኙ ናቸው, በማንኛውም ሁኔታ, ይህንን አማራጭ ሲጠቀሙ አማራጮችን አላገኘሁም, ከሌሎች ይልቅ ጥቅሞችን ይሰጣል.

በፒፒሲ ላይ የተመሠረተ ተለዋዋጭ ሚዛን

በየግንኙነት ክላሲፋየር - የበለጠ ተለዋዋጭ የ ECMP አናሎግ ነው። እንደ ECMP ሳይሆን፣ ትራፊክን በግንኙነቶች በጥብቅ ይከፋፍላል (ECMP ስለ ግንኙነቶች ምንም አያውቅም፣ ነገር ግን ከራውቲንግ መሸጎጫ ጋር ሲጣመር፣ ተመሳሳይ የሆነ ነገር ተገኝቷል)።

ፒሲሲ ይወስዳል የተገለጹ መስኮች ከ ip ራስጌ ወደ 32-ቢት እሴት ይቀይራቸዋል እና ይከፋፍላቸዋል ስያሜ. የቀረው ክፍል ከተጠቀሰው ጋር ተነጻጽሯል ቀሪ እና የሚዛመዱ ከሆነ, ከዚያም የተገለጸው እርምጃ ተተግብሯል. ይበልጥ. እብድ ይመስላል, ግን ይሰራል.
በማይክሮቲክ ራውተር ኦኤስ ውስጥ የስታቲክ ራውቲንግ መሰረታዊ ነገሮች

ምሳሌ ከሶስት አድራሻዎች ጋር፡-

192.168.100.10: 192+168+100+10 = 470 % 3 = 2
192.168.100.11: 192+168+100+11 = 471 % 3 = 0
192.168.100.12: 192+168+100+12 = 472 % 3 = 1

በሶስት ቻናሎች መካከል በ src.address የተለዋዋጭ የትራፊክ ስርጭት ምሳሌ፡-
በማይክሮቲክ ራውተር ኦኤስ ውስጥ የስታቲክ ራውቲንግ መሰረታዊ ነገሮች

#Таблица маршрутизации
/ip route
add dst-address=0.0.0.0/0 gateway=10.10.10.1 dist=1 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=10.20.20.1 dist=2 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=10.30.30.1 dist=3 check-gateway=ping

add dst-address=0.0.0.0/0 gateway=10.10.10.1 dist=1 routing-mark=over-isp1
add dst-address=0.0.0.0/0 gateway=10.20.20.1 dist=1 routing-mark=over-isp2
add dst-address=0.0.0.0/0 gateway=10.30.30.1 dist=1 routing-mark=over-isp3

#Маркировка соединений и маршрутов
/ip firewall mangle
add chain=prerouting in-interface=br-lan dst-address-type=!local connection-state=new per-connection-classifier=src-address:3/0 action=mark-connection new-connection-mark=conn-over-isp1
add chain=prerouting in-interface=br-lan dst-address-type=!local connection-state=new per-connection-classifier=src-address:3/1 action=mark-connection new-connection-mark=conn-over-isp2
add chain=prerouting in-interface=br-lan dst-address-type=!local connection-state=new per-connection-classifier=src-address:3/2 action=mark-connection new-connection-mark=conn-over-isp3

add chain=prerouting in-interface=br-lan connection-mark=conn-over-isp1 action=mark-routing new-routing-mark=over-isp1
add chain=prerouting in-interface=br-lan connection-mark=conn-over-isp2 action=mark-routing new-routing-mark=over-isp2
add chain=prerouting in-interface=br-lan connection-mark=conn-over-isp3 action=mark-routing new-routing-mark=over-isp3

መንገዶችን ምልክት በሚያደርጉበት ጊዜ, ተጨማሪ ሁኔታ አለ: in-interface=br-lan, ያለሱ ስር action=mark-routing ከበይነመረቡ የምላሽ ትራፊክ ያገኛል እና በማዞሪያው ጠረጴዛዎች መሠረት ወደ አቅራቢው ይመለሳል።

የመገናኛ መስመሮችን መቀየር

ፒንግን ፈትሽ ጥሩ መሳሪያ ነው፣ግን ግንኙነቱን የሚፈትሽው በአቅራቢያው ካለው የአይፒ አቻ ጋር ብቻ ነው፣የአገልግሎት ሰጪ ኔትወርኮች ብዙ ቁጥር ያላቸውን ራውተሮች ያቀፉ ሲሆን የግንኙነት መቋረጥ ከቅርብ አቻዎ ውጪ ሊከሰት ይችላል፣ከዚያም የጀርባ አጥንት ቴሌኮም ኦፕሬተሮችም ሊኖሩ ይችላሉ። ችግሮች ያጋጥሟቸዋል ፣ በአጠቃላይ ፒንግ ሁል ጊዜ ስለ ዓለም አቀፍ አውታረመረብ ተደራሽነት ወቅታዊ መረጃ አያሳይም።
አቅራቢዎች እና ትላልቅ ኮርፖሬሽኖች የBGP ተለዋዋጭ የማዞሪያ ፕሮቶኮል ካላቸው፣ የቤት እና የቢሮ ተጠቃሚዎች በተወሰነ የግንኙነት ቻናል የኢንተርኔት አገልግሎትን እንዴት ማረጋገጥ እንደሚችሉ እራሳቸውን ችለው ማወቅ አለባቸው።

በተለምዶ፣ ስክሪፕቶች ጥቅም ላይ የሚውሉት፣ በተወሰነ የግንኙነት ቻናል በኩል፣ በበይነመረቡ ላይ የአይፒ አድራሻ መገኘቱን ያረጋግጡ፣ አስተማማኝ ነገር ሲመርጡ፣ ለምሳሌ google dns፡ 8.8.8.8. 8.8.4.4. ነገር ግን በሚክሮቲክ ማህበረሰብ ውስጥ, የበለጠ አስደሳች መሳሪያ ለዚህ ተስተካክሏል.

ስለ ተደጋጋሚ ማዘዋወር ጥቂት ቃላት
መልቲሆፕ ቢጂፒ ፒሪንግን በሚገነቡበት ጊዜ ተደጋጋሚ ማዞር አስፈላጊ ነው እና ወደ ጽሑፉ ውስጥ የገባው የስታቲክ ማዞሪያ መሰረታዊ ነገሮች ተጨማሪ ስክሪፕቶች ሳይኖሩበት የመገናኛ ቻናሎችን ለመቀየር ከቼክ ጌትዌይ ጋር የተጣመሩ ተደጋጋሚ መንገዶችን እንዴት እንደሚጠቀሙ ባወቁ ተንኮለኛ የሚክሮቲክ ተጠቃሚዎች ብቻ ነው።

የወሰን / ዒላማ ወሰን አማራጮችን በአጠቃላይ ቃላት እና መንገዱ ከበይነገጽ ጋር እንዴት እንደሚያያዝ ለመረዳት ጊዜው አሁን ነው።
በማይክሮቲክ ራውተር ኦኤስ ውስጥ የስታቲክ ራውቲንግ መሰረታዊ ነገሮች

  1. መንገዱ ፓኬጁን በስፋት እሴቱ እና በዋናው ሠንጠረዥ ውስጥ ያሉ ሁሉም ግቤቶች ከዒላማ ወሰን ያነሰ ወይም እኩል ለመላክ በይነገጽን ይፈልጋል።
  2. ከተገኙት በይነገጾች, ፓኬት ወደተገለጸው መተላለፊያ መላክ የምትችልበት መንገድ ተመርጧል
  3. የተገኘው የተገናኘው ግቤት በይነገጽ ፓኬጁን ወደ መግቢያው ለመላክ ተመርጧል

ተደጋጋሚ መንገድ በሚኖርበት ጊዜ ሁሉም ነገር ተመሳሳይ ነው ፣ ግን በሁለት ደረጃዎች።
በማይክሮቲክ ራውተር ኦኤስ ውስጥ የስታቲክ ራውቲንግ መሰረታዊ ነገሮች

  • 1-3 በተገናኙት መስመሮች ውስጥ አንድ ተጨማሪ መንገድ ተጨምሯል, ይህም የተጠቀሰው መተላለፊያ ሊደረስበት ይችላል
  • 4-6 ለ "መካከለኛ" መግቢያ በር የተገናኘውን መንገድ መፈለግ

ከተደጋጋሚ ፍለጋ ጋር የተደረጉ ማባበያዎች በሙሉ በ RIB ውስጥ ይከሰታሉ፣ እና የመጨረሻው ውጤት ብቻ ወደ FIB ይተላለፋል። 0.0.0.0/0 via 10.10.10.1 on ether1.

መንገዶችን ለመቀየር ተደጋጋሚ ማዞሪያን የመጠቀም ምሳሌ
በማይክሮቲክ ራውተር ኦኤስ ውስጥ የስታቲክ ራውቲንግ መሰረታዊ ነገሮች

ማዋቀር፡-
በማይክሮቲክ ራውተር ኦኤስ ውስጥ የስታቲክ ራውቲንግ መሰረታዊ ነገሮች

/ip route
add dst-address=0.0.0.0/0 gateway=8.8.8.8 check-gateway=ping distance=1 target-scope=10
add dst-address=8.8.8.8 gateway=10.10.10.1 scope=10
add dst-address=0.0.0.0/0 gateway=10.20.20.1 distance=2

እሽጎች ወደ 10.10.10.1 እንደሚላኩ ማረጋገጥ ይችላሉ፡-
በማይክሮቲክ ራውተር ኦኤስ ውስጥ የስታቲክ ራውቲንግ መሰረታዊ ነገሮች

ቼክ ጌትዌይ ስለ ተደጋጋሚ ማዞሪያ ምንም የሚያውቀው ነገር የለም እና በቀላሉ ፒንግ ወደ 8.8.8.8 ይልካል፣ ይህም (በዋናው ጠረጴዛ ላይ በመመስረት) በጌትዌይ 10.10.10.1 ይገኛል።

በ 10.10.10.1 እና 8.8.8.8 መካከል ያለው ግንኙነት ከጠፋ መንገዱ ተቋርጧል ነገር ግን ፓኬቶች (የሙከራ ፒንግን ጨምሮ) እስከ 8.8.8.8 ድረስ በ 10.10.10.1 ማለፍ ይቀጥላሉ፡-
በማይክሮቲክ ራውተር ኦኤስ ውስጥ የስታቲክ ራውቲንግ መሰረታዊ ነገሮች

ከኤተር 1 ጋር ያለው ግንኙነት ከጠፋ ከ 8.8.8.8 በፊት ያሉት እሽጎች በሁለተኛው አቅራቢ በኩል ሲሄዱ ደስ የማይል ሁኔታ ይከሰታል ።
በማይክሮቲክ ራውተር ኦኤስ ውስጥ የስታቲክ ራውቲንግ መሰረታዊ ነገሮች

8.8.8.8 በማይገኝበት ጊዜ ስክሪፕቶችን ለማስኬድ NetWatch እየተጠቀሙ ከሆነ ይህ ችግር ነው። አገናኙ ከተሰበረ NetWatch በቀላሉ በመጠባበቂያ የመገናኛ ቻናል ውስጥ ይሰራል እና ሁሉም ነገር ጥሩ እንደሆነ ያስባል. ተጨማሪ የማጣሪያ መንገድ በማከል ተፈትቷል፡-

/ip route
add dst-address=8.8.8.8 gateway=10.20.20.1 distance=100 type=blackhole

በማይክሮቲክ ራውተር ኦኤስ ውስጥ የስታቲክ ራውቲንግ መሰረታዊ ነገሮች

ሀበሬ ላይ አለ። ጽሑፍ, ከ NetWatch ጋር ያለው ሁኔታ በበለጠ ዝርዝር ውስጥ የሚታይበት.

እና አዎ፣ እንደዚህ አይነት ቦታ ማስያዝ ሲጠቀሙ፣ አድራሻው 8.8.8.8 ከአንዱ አቅራቢዎች ጋር በሃርድ ኮድ ይቀመጥለታል፣ ስለዚህ እንደ ዲኤንኤስ ምንጭ መምረጥ ጥሩ ሀሳብ አይደለም።

ስለ ምናባዊ መስመር እና ማስተላለፍ (VRF) ጥቂት ቃላት

የቪአርኤፍ ቴክኖሎጂ በአንድ ፊዚካል አንድ ውስጥ በርካታ ቨርቹዋል ራውተሮችን ለመፍጠር የተነደፈ ነው።ይህ ቴክኖሎጂ በቴሌኮም ኦፕሬተሮች (በተለምዶ ከኤምፒኤልኤስ ጋር በመተባበር) የL3VPN አገልግሎቶችን ለተደራራቢ ሳብኔት አድራሻ ለደንበኞቻቸው ለመስጠት በሰፊው ጥቅም ላይ ይውላል።
በማይክሮቲክ ራውተር ኦኤስ ውስጥ የስታቲክ ራውቲንግ መሰረታዊ ነገሮች

ነገር ግን በሚክሮቲክ ውስጥ ያለው ቪአርኤፍ በማዞሪያ ጠረጴዛዎች ላይ የተደራጀ እና በርካታ ጉዳቶች አሉት ፣ ለምሳሌ ፣ የራውተር አካባቢያዊ የአይፒ አድራሻዎች ከሁሉም VRFs ይገኛሉ ፣ የበለጠ ማንበብ ይችላሉ ። ማያያዣ.

የvrf ውቅር ምሳሌ፡-
በማይክሮቲክ ራውተር ኦኤስ ውስጥ የስታቲክ ራውቲንግ መሰረታዊ ነገሮች

/ip route vrf
add interfaces=ether1 routing-mark=vrf1
add interfaces=ether2 routing-mark=vrf2

/ip address
add address=192.168.100.1/24 interface=ether1 network=192.168.100.0
add address=192.168.200.1/24 interface=ether2 network=192.168.200.0

ከኤተር 2 ጋር ከተገናኘው መሳሪያ ፒንግ ከሌላ vrf ወደ ራውተር አድራሻ ሲሄድ እናያለን (ይህ ችግር ነው) ፒንግ ወደ በይነመረብ አይሄድም:
በማይክሮቲክ ራውተር ኦኤስ ውስጥ የስታቲክ ራውቲንግ መሰረታዊ ነገሮች

በይነመረብን ለማግኘት ወደ ዋናው ጠረጴዛ የሚደርስ ተጨማሪ መንገድ መመዝገብ አለቦት (በ vrf ተርሚኖሎጂ ይህ የመንገድ ሌኪንግ ይባላል)።
በማይክሮቲክ ራውተር ኦኤስ ውስጥ የስታቲክ ራውቲንግ መሰረታዊ ነገሮች

/ip route
add distance=1 gateway=172.17.0.1@main routing-mark=vrf1
add distance=1 gateway=172.17.0.1%wlan1 routing-mark=vrf2

ሁለት መንገዶች የማፍሰሻ መንገዶች እዚህ አሉ፡ የማዞሪያ ጠረጴዛውን በመጠቀም፡- 172.17.0.1@main እና የበይነገጽ ስም በመጠቀም፡- 172.17.0.1%wlan1.

እና የመመለሻ ትራፊክ ምልክት ማድረጊያን ያዘጋጁ [PREROUTING|Mangle]:
በማይክሮቲክ ራውተር ኦኤስ ውስጥ የስታቲክ ራውቲንግ መሰረታዊ ነገሮች

/ip firewall mangle
add chain=prerouting in-interface=ether1 action=mark-connection new-connection-mark=from-vrf1 passthrough=no
add chain=prerouting connection-mark=from-vrf1 routing-mark=!vrf1 action=mark-routing new-routing-mark=vrf1 passthrough=no 
add chain=prerouting in-interface=ether2 action=mark-connection new-connection-mark=from-vrf2 passthrough=no
add chain=prerouting connection-mark=from-vrf2 routing-mark=!vrf1 action=mark-routing new-routing-mark=vrf2 passthrough=no

በማይክሮቲክ ራውተር ኦኤስ ውስጥ የስታቲክ ራውቲንግ መሰረታዊ ነገሮች

ተመሳሳይ አድራሻ ያላቸው ንዑስ አውታረ መረቦች
VRF እና netmapን በመጠቀም በተመሳሳዩ ራውተር ላይ ተመሳሳይ አድራሻ ያላቸው ንዑስ አውታረ መረቦችን የመድረስ አደረጃጀት፡-
በማይክሮቲክ ራውተር ኦኤስ ውስጥ የስታቲክ ራውቲንግ መሰረታዊ ነገሮች

መሰረታዊ ውቅር፡

/ip route vrf
add interfaces=ether1 routing-mark=vrf1
add interfaces=ether2 routing-mark=vrf2

/ip address
add address=192.168.100.1/24 interface=ether1 network=192.168.100.0
add address=192.168.100.1/24 interface=ether2 network=192.168.100.0
add address=192.168.0.1/24 interface=ether3 network=192.168.0.0

የፋየርዎል ደንቦች:

#Маркируем пакеты для отправки в правильную таблицу маршрутизации
/ip firewall mangle
add chain=prerouting dst-address=192.168.101.0/24 in-interface=ether3 action=mark-routing new-routing-mark=vrf1 passthrough=no
add chain=prerouting dst-address=192.168.102.0/24 in-interface=ether3 action=mark-routing new-routing-mark=vrf2 passthrough=no

#Средствами netmap заменяем адреса "эфимерных" подсетей на реальные подсети
/ip firewall nat
add chain=dstnat dst-address=192.168.101.0/24 in-interface=ether3 action=netmap to-addresses=192.168.100.0/24
add chain=dstnat dst-address=192.168.102.0/24 in-interface=ether3 action=netmap to-addresses=192.168.100.0/24

የመመለሻ ትራፊክ ማዘዋወር ህጎች፡-

#Указание имени интерфейса тоже может считаться route leaking, но по сути тут создается аналог connected маршрута
/ip route
add distance=1 dst-address=192.168.0.0/24 gateway=ether3 routing-mark=vrf1
add distance=1 dst-address=192.168.0.0/24 gateway=ether3 routing-mark=vrf2

በdcp በኩል የተቀበሏቸውን መንገዶች ወደ አንድ የማዞሪያ ጠረጴዛ ማከል
ተለዋዋጭ መንገድን (ለምሳሌ ከ dhcp ደንበኛ) ወደ አንድ የተወሰነ የማዞሪያ ጠረጴዛ በራስ ሰር ማከል ከፈለጉ ቪአርኤፍ አስደሳች ሊሆን ይችላል።

በይነገጽ ወደ vrf ማከል፡

/ip route vrf
add interface=ether1 routing-mark=over-isp1

በሠንጠረዡ ውስጥ ትራፊክ (የወጪ እና መጓጓዣ) ለመላክ ደንቦች በላይ-isp1:

/ip firewall mangle
add chain=output out-interface=!br-lan action=mark-routing new-routing-mark=over-isp1 passthrough=no
add chain=prerouting in-interface=br-lan dst-address-type=!local action=mark-routing new-routing-mark=over-isp1 passthrough=no

ተጨማሪ፣ ወደ ሥራ ወደ ውጭ ለማዛወር የሐሰት መንገድ፡-

/interface bridge
add name=bare

/ip route
add dst-address=0.0.0.0/0 gateway=bare

ይህ መንገድ የሚያስፈልገው የአካባቢ ወጪ ፓኬቶች ከዚህ በፊት በማዘዋወር ውሳኔ (2) በኩል እንዲያልፉ ብቻ ነው። [OUTPUT|Mangle] እና የማዞሪያ መለያውን ያግኙ, በዋናው ሠንጠረዥ ውስጥ ከ 0.0.0.0/0 በፊት በ ራውተር ላይ ሌሎች ንቁ መንገዶች ካሉ, አያስፈልግም.
በማይክሮቲክ ራውተር ኦኤስ ውስጥ የስታቲክ ራውቲንግ መሰረታዊ ነገሮች

ሰንሰለቶች connected-in и dynamic-in в [Routing] -> [Filters]

የመንገድ ማጣሪያ (ወደ ውስጥ እና ወደ ውጪ) ብዙውን ጊዜ ከተለዋዋጭ የማዞሪያ ፕሮቶኮሎች ጋር አብሮ ጥቅም ላይ የሚውል መሳሪያ ነው (ስለዚህም ጥቅሉን ከጫኑ በኋላ ብቻ ይገኛል) ማስተላለፍ), ግን በሚመጡት ማጣሪያዎች ውስጥ ሁለት አስደሳች ሰንሰለቶች አሉ-

  • የተገናኘ - የተገናኙ መንገዶችን ማጣራት
  • ተለዋዋጭ - በ PPP እና DCHP የተቀበሉትን ተለዋዋጭ መንገዶችን ማጣራት

ማጣራት መንገዶችን ለመጣል ብቻ ሳይሆን ብዙ አማራጮችን እንዲቀይሩ ይፈቅድልዎታል፡ ርቀት፣ ራውቲንግ-ማርክ፣ አስተያየት፣ ወሰን፣ ዒላማ ስፋት፣...

ይህ በጣም ትክክለኛ መሳሪያ ነው እና አንድ ነገር ያለ Routing Filters (ነገር ግን ስክሪፕቶች አይደለም) ማድረግ ከቻሉ, ከዚያ ራውቲንግ ማጣሪያዎችን አይጠቀሙ, እራስዎን እና ከእርስዎ በኋላ ራውተርን የሚያዋቅሩትን አያደናቅፉ. በተለዋዋጭ ማዘዋወር አውድ ውስጥ የራውቲንግ ማጣሪያዎች በጣም በተደጋጋሚ እና የበለጠ ውጤታማ ይሆናሉ።

ለተለዋዋጭ መንገዶች የማዞሪያ ማርክን በማዘጋጀት ላይ
ከቤት ራውተር ምሳሌ። የተዋቀሩ ሁለት የቪፒኤን ግንኙነቶች አሉኝ እና በውስጣቸው ያለው ትራፊክ በማዞሪያ ሰንጠረዦች መሰረት መጠቅለል አለበት። በተመሳሳይ ጊዜ, በይነገጹ ሲነቃ መንገዶቹ በራስ-ሰር እንዲፈጠሩ እፈልጋለሁ:

#При создании vpn подключений указываем создание default route и задаем дистанцию
/interface pptp-client
add connect-to=X.X.X.X add-default-route=yes default-route-distance=101 ...
add connect-to=Y.Y.Y.Y  add-default-route=yes default-route-distance=100 ...

#Фильтрами отправляем маршруты в определенные таблицы маршрутизации на основе подсети назначения и дистанции
/routing filter
add chain=dynamic-in distance=100 prefix=0.0.0.0/0 action=passthrough set-routing-mark=over-vpn1
add chain=dynamic-in distance=101 prefix=0.0.0.0/0 action=passthrough set-routing-mark=over-vpn2

ለምን እንደሆነ አላውቅም, ምናልባት ስህተት ነው, ነገር ግን ለ ppp በይነገጽ vrf ከፈጠሩ, ወደ 0.0.0.0/0 የሚወስደው መንገድ አሁንም ወደ ዋናው ሠንጠረዥ ውስጥ ይገባል. አለበለዚያ ሁሉም ነገር የበለጠ ቀላል ይሆናል.

የተገናኙ መንገዶችን በማሰናከል ላይ
አንዳንድ ጊዜ ይህ ያስፈልጋል:

/route filter
add chain=connected-in prefix=192.168.100.0/24 action=reject

የማረሚያ መሳሪያዎች

ራውተርኦኤስ ማዘዋወርን ለማረም በርካታ መሳሪያዎችን ያቀርባል፡-

  • [Tool]->[Tourch] - በይነገጾች ላይ ፓኬቶችን እንዲመለከቱ ይፈቅድልዎታል
  • /ip route check - ፓኬጁ ወደየትኛው መተላለፊያ እንደሚላክ ለማየት ይፈቅድልዎታል, ከመዞሪያ ጠረጴዛዎች ጋር አይሰራም
  • /ping routing-table=<name> и /tool traceroute routing-table=<name> - ፒንግ እና ዱካ የተገለጸውን የማዞሪያ ሰንጠረዥ በመጠቀም
  • action=log в [IP]->[Firewall] - በፓኬት ፍሰት ላይ የፓኬትን መንገድ ለመከታተል የሚያስችልዎ በጣም ጥሩ መሳሪያ ይህ እርምጃ በሁሉም ሰንሰለቶች እና ጠረጴዛዎች ውስጥ ይገኛል

ምንጭ: hab.com

አስተያየት ያክሉ