ProHoster > Mga sukaranan sa Static Routing sa Mikrotik RouterOS

Mga sukaranan sa Static Routing sa Mikrotik RouterOS

Ang pagruta mao ang proseso sa pagpangita sa pinakamaayong dalan alang sa pagpasa sa mga packet sa TCP/IP networks. Ang bisan unsang device nga konektado sa IPv4 network adunay proseso ug mga routing tables.

Kini nga artikulo dili usa ka HOWTO, kini naghulagway sa static nga pag-ruta sa RouterOS nga adunay mga panig-ingnan, akong tinuyo nga gitangtang ang nahabilin nga mga setting (pananglitan, srcnat alang sa pag-access sa Internet), busa ang pagsabut sa materyal nanginahanglan usa ka piho nga lebel sa kahibalo sa mga network ug RouterOS.

Pagbalhin ug ruta

Mga sukaranan sa Static Routing sa Mikrotik RouterOS

Ang pagbalhin mao ang proseso sa pagbayloay sa mga pakete sulod sa usa ka Layer2 nga bahin (Ethernet, ppp, ...). Kung nakita sa aparato nga ang nakadawat sa packet naa sa parehas nga subnet sa Ethernet kauban niini, nahibal-an niini ang mac address gamit ang protocol sa arp ug direkta nga ipadala ang pakete, nga gilaktawan ang router. Ang ppp (point-to-point) nga koneksyon mahimong adunay duha lang ka partisipante ug ang packet kanunay ipadala sa usa ka adres 0xff.

Ang pagruta mao ang proseso sa pagbalhin sa mga pakete tali sa Layer2 nga mga bahin. Kung gusto sa usa ka aparato nga magpadala usa ka pakete kansang nakadawat naa sa gawas sa bahin sa Ethernet, tan-awon niini ang lamesa sa ruta niini ug ipasa ang pakete sa ganghaan, nga nahibal-an kung asa ipadala ang packet sa sunod (o mahimong wala mahibal-an, ang orihinal nga nagpadala sa pakete. wala mahibalo niini).

Ang labing sayon ​​​​nga paagi sa paghunahuna sa usa ka router mao ang usa ka device nga konektado sa duha o labaw pa nga Layer2 nga mga bahin ug makahimo sa pagpasa sa mga pakete tali kanila pinaagi sa pagtino sa pinakamaayo nga ruta gikan sa routing table.

Kung nasabtan nimo ang tanan, o nahibal-an na nimo kini, dayon basaha. Alang sa uban, kusganon ko nga girekomenda nga pamilyar ka sa usa ka gamay, apan labi ka daghan artikulo.

Pag-ruta sa RouterOS ug PacketFlow

Halos tanan nga gamit nga may kalabotan sa static nga ruta naa sa package nga sistema. Plastic nga bag routing nagdugang suporta alang sa dinamikong routing algorithms (RIP, OSPF, BGP, MME), Routing Filters ug BFD.

Panguna nga menu alang sa pag-set up sa ruta: [IP]->[Route]. Ang mga komplikado nga mga laraw mahimong magkinahanglan nga ang mga pakete nga pre-label nga adunay marka sa ruta sa: [IP]->[Firewall]->[Mangle] (mga kadena PREROUTING ΠΈ OUTPUT).

Adunay tulo ka mga lugar sa PacketFlow diin gihimo ang mga desisyon sa pag-ruta sa IP packet:
Mga sukaranan sa Static Routing sa Mikrotik RouterOS

  1. Routing packet nga nadawat sa router. Sa kini nga yugto, nakahukom kung ang pakete moadto sa lokal nga proseso o ipadala pa sa network. Ang mga pakete sa transportasyon makadawat Pag-abut sa Interface
  2. Pag-ruta sa mga lokal nga outgoing packet. Ang mga outgoing packet makadawat Pag-abut sa Interface
  3. Ang dugang nga lakang sa pag-ruta para sa mga nanggawas nga pakete, nagtugot kanimo nga usbon ang desisyon sa pag-ruta [Output|Mangle]

  • Ang agianan sa pakete sa mga bloke 1, 2 nagdepende sa mga lagda sa [IP]->[Route]
  • Ang packet path sa mga punto 1, 2 ug 3 nagdepende sa mga lagda sa [IP]->[Route]->[Rules]
  • Ang agianan sa pakete sa mga bloke 1, 3 mahimong maimpluwensyahan sa paggamit [IP]->[Firewall]->[Mangle]

RIB, FIB, Routing Cache

Mga sukaranan sa Static Routing sa Mikrotik RouterOS

Base sa Impormasyon sa Ruta
Ang base diin ang mga ruta gikolekta gikan sa dinamikong mga protocol sa ruta, mga ruta gikan sa ppp ug dhcp, static ug konektado nga mga ruta. Kini nga database naglangkob sa tanan nga mga ruta, gawas sa mga gisala sa tagdumala.

Kondisyon, mahimo natong hunahunaon kana [IP]->[Route] nagpakita sa RIB.

Base sa Impormasyon sa Pagpasa
Mga sukaranan sa Static Routing sa Mikrotik RouterOS

Ang base diin ang labing kaayo nga mga ruta gikan sa RIB nakolekta. Ang tanan nga mga ruta sa FIB aktibo ug gigamit sa pagpasa sa mga pakete. Kung ang ruta mahimong dili aktibo (nabalda sa tagdumala (sistema), o ang interface diin kinahanglan ipadala ang pakete dili aktibo), ang ruta gikuha gikan sa FIB.

Aron makahimo og desisyon sa pagruta, ang FIB table naggamit sa mosunod nga impormasyon mahitungod sa IP packet:

  • Tinubdan nga Address
  • Address sa Padulngan
  • tinubdan interface
  • Marka sa ruta
  • ToS (DSCP)

Ang pagsulod sa FIB package moagi sa mosunod nga mga yugto:

  • Ang package ba gituyo alang sa proseso sa lokal nga router?
  • Ang pakete ba gipailalom sa sistema o tiggamit sa PBR nga mga lagda?
    • Kung oo, nan ang pakete ipadala sa gitakda nga routing table
  • Ang pakete gipadala sa main table

Kondisyon, mahimo natong hunahunaon kana [IP]->[Route Active=yes] nagpakita sa FIB.

Pag-ruta sa Cache
Mekanismo sa pag-cache sa ruta. Nahinumdom ang router kung asa gipadala ang mga pakete ug kung adunay parehas nga mga (tingali gikan sa parehas nga koneksyon) gipaagi sila sa parehas nga ruta, nga wala magsusi sa FIB. Ang cache sa ruta matag karon ug unya gitangtang.

Para sa mga tigdumala sa RouterOS, wala sila maghimog mga himan para sa pagtan-aw ug pagdumala sa Routing Cache, apan kung kini ma-disable sa [IP]->[Settings].

Kini nga mekanismo gikuha gikan sa linux 3.6 kernel, apan ang RouterOS naggamit gihapon sa kernel 3.3.5, tingali ang Routing cahce usa sa mga hinungdan.

Idugang ang dialog sa ruta

[IP]->[Route]->[+]
Mga sukaranan sa Static Routing sa Mikrotik RouterOS

  1. Subnet nga gusto nimong himoong ruta (default: 0.0.0.0/0)
  2. Gateway IP o interface diin ang packet ipadala (mahimo nga adunay daghan, tan-awa ang ECMP sa ubos)
  3. Pagsusi sa Availability sa Gateway
  4. Matang sa rekord
  5. Distansya (metric) para sa usa ka ruta
  6. Talaan sa ruta
  7. IP para sa mga lokal nga outgoing packet pinaagi niini nga rota
  8. Ang katuyoan sa Saklaw ug Target nga Saklaw gisulat sa katapusan sa artikulo.

Mga bandera sa ruta
Mga sukaranan sa Static Routing sa Mikrotik RouterOS

  • X - Ang ruta gibabagan sa tagdumala (disabled=yes)
  • A - Ang ruta gigamit sa pagpadala sa mga pakete
  • D - Ang ruta gidugang nga dinamikong (BGP, OSPF, RIP, MME, PPP, DHCP, Konektado)
  • C - Ang subnet direktang konektado sa router
  • S - Static nga ruta
  • r,b,o,m - Ruta nga gidugang sa usa sa mga dynamic routing protocols
  • B,U,P - Pagsala nga ruta (naghulog sa mga pakete imbis nga ipadala)

Unsa ang ipiho sa gateway: ip-address o interface?

Gitugotan ka sa sistema nga ipiho ang duha, samtang wala kini manumpa ug wala maghatag mga timailhan kung nakahimo ka usa ka sayup.

IP address
Ang address sa gateway kinahanglan nga ma-access sa Layer2. Para sa Ethernet, kini nagpasabot nga ang router kinahanglang adunay adres gikan sa samang subnet sa usa sa mga aktibong ip interface, para sa ppp, nga ang gateway address gipiho sa usa sa mga aktibong interface isip subnet address.
Kung ang kondisyon sa accessibility alang sa Layer2 wala matuman, ang ruta giisip nga dili aktibo ug dili mahulog sa FIB.

interface
Ang tanan mas komplikado ug ang kinaiya sa router nagdepende sa matang sa interface:

  • Ang koneksyon sa PPP (Async, PPTP, L2TP, SSTP, PPPoE, OpenVPN *) nag-angkon nga duha ra ka partisipante ug ang packet kanunay ipadala sa gateway alang sa transmission, kung ang gateway nakamatikod nga ang nakadawat mismo, nan kini ibalhin ang packet sa lokal nga proseso niini.
    Mga sukaranan sa Static Routing sa Mikrotik RouterOS
  • Giangkon sa Ethernet ang presensya sa daghang mga partisipante ug magpadala mga hangyo sa interface sa arp nga adunay adres sa nakadawat sa pakete, kini gilauman ug normal nga pamatasan alang sa konektado nga mga ruta.
    Apan kung imong sulayan nga gamiton ang interface ingon usa ka ruta alang sa usa ka hilit nga subnet, makuha nimo ang mosunod nga sitwasyon: ang ruta aktibo, pag-ping sa mga agianan sa ganghaan, apan dili makaabut sa nakadawat gikan sa gitakda nga subnet. Kung imong tan-awon ang interface pinaagi sa usa ka sniffer, imong makita ang mga hangyo sa arp nga adunay mga adres gikan sa usa ka hilit nga subnet.
    Mga sukaranan sa Static Routing sa Mikrotik RouterOS

Mga sukaranan sa Static Routing sa Mikrotik RouterOS

Sulayi nga ipiho ang ip address ingon nga ganghaan kung mahimo. Ang eksepsiyon mao ang konektado nga mga ruta (awtomatiko nga gihimo) ug PPP (Async, PPTP, L2TP, SSTP, PPPoE, OpenVPN*) nga mga interface.

Ang OpenVPN wala'y sulod nga PPP header, apan mahimo nimong gamiton ang OpenVPN interface nga ngalan aron makahimo og ruta.

Mas Piho nga Ruta

Panguna nga lagda sa ruta. Ang ruta nga naghulagway sa gamay nga subnet (nga adunay pinakadako nga subnet mask) nag-una sa desisyon sa pag-ruta sa pakete. Ang posisyon sa mga entry sa routing table dili angay sa pagpili - ang nag-unang lagda mao ang Mas Piho.

Mga sukaranan sa Static Routing sa Mikrotik RouterOS

Ang tanan nga mga ruta gikan sa gitakda nga laraw aktibo (naa sa FIB). itudlo ang lain-laing mga subnet ug dili magkasumpaki sa usag usa.

Kung ang usa sa mga ganghaan mahimong dili magamit, ang kauban nga ruta maisip nga dili aktibo (gitangtang gikan sa FIB) ug ang mga pakete pangitaon gikan sa nahabilin nga mga ruta.

Ang ruta nga adunay subnet 0.0.0.0/0 usahay gihatagan ug espesyal nga kahulogan ug gitawag nga "Default nga Ruta" o "Ganghaan sa katapusang paagi". Sa tinuud, wala’y bisan unsa nga katingad-an niini ug kini naglakip lamang sa tanan nga posible nga mga adres sa IPv4, apan kini nga mga ngalan naghulagway sa buluhaton niini nga maayo - kini nagpakita sa ganghaan kung diin ipadala ang mga pakete nga wala’y lain, mas tukma nga mga ruta.

Ang labing taas nga posible nga subnet mask alang sa IPv4 mao ang /32, kini nga ruta nagpunting sa usa ka piho nga host ug mahimong magamit sa routing table.

Ang Pagsabot sa Mas Piho nga Ruta kay sukaranan sa bisan unsang TCP/IP device.

Distance

Ang mga distansya (o Sukatan) gikinahanglan alang sa administratibong pagsala sa mga ruta ngadto sa usa ka subnet nga ma-access pinaagi sa daghang mga ganghaan. Ang ruta nga adunay ubos nga sukatan gikonsiderar nga prayoridad ug maapil sa FIB. Kung ang usa ka ruta nga adunay mas ubos nga sukatan dili na aktibo, nan kini pulihan sa usa ka ruta nga adunay mas taas nga sukatan sa FIB.
Mga sukaranan sa Static Routing sa Mikrotik RouterOS

Kung adunay daghang mga ruta sa parehas nga subnet nga adunay parehas nga sukatan, ang router magdugang usa ra niini sa lamesa sa FIB, gigiyahan sa internal nga lohika.

Ang metric mahimong makakuha og bili gikan sa 0 ngadto sa 255:
Mga sukaranan sa Static Routing sa Mikrotik RouterOS

  • 0 - Sukatan para sa konektado nga mga ruta. Ang distansya 0 dili mabutang sa tagdumala
  • 1-254 - Mga sukatan nga magamit sa tagdumala alang sa pagtakda sa mga ruta. Ang mga sukatan nga adunay mas ubos nga kantidad adunay mas taas nga prayoridad
  • 255 - Sukatan nga magamit sa tagdumala alang sa pagtakda sa mga ruta. Dili sama sa 1-254, ang usa ka ruta nga adunay sukatan nga 255 kanunay nagpabilin nga dili aktibo ug dili mahulog sa FIB
  • piho nga metrics. Ang mga ruta nga nakuha gikan sa dinamikong mga protocol sa ruta adunay sukaranan nga mga kantidad sa metric

check gateway

Ang check gateway kay usa ka extension sa MikroTik RoutesOS para sa pagsusi sa availability sa gateway pinaagi sa icmp o arp. Kausa sa matag 10 segundos (dili mausab), ang usa ka hangyo ipadala sa ganghaan, kung ang tubag dili madawat kaduha, ang ruta giisip nga dili magamit ug gikuha gikan sa FIB. Kung ang check gateway na-disable ang check route magpadayon ug ang rota mahimong aktibo pag-usab human sa usa ka malampuson nga check.
Mga sukaranan sa Static Routing sa Mikrotik RouterOS

Ang check gateway nag-disable sa entry diin kini gi-configure ug ang tanan nga uban nga mga entry (sa tanang routing tables ug ecmp nga mga ruta) nga adunay gitakda nga gateway.

Sa kinatibuk-an, maayo ang pag-check gateway basta walay problema sa pagkawala sa packet sa gateway. Ang Check gateway wala mahibal-an kung unsa ang nahitabo sa komunikasyon sa gawas sa gisusi nga ganghaan, kini nanginahanglan dugang nga mga himan: mga script, recursive routing, dinamikong mga protocol sa ruta.

Kadaghanan sa mga protocol sa VPN ug tunnel naglangkob sa mga built-in nga himan alang sa pagsusi sa kalihokan sa koneksyon, ang pagpagana sa check gateway alang kanila usa ka dugang (apan gamay kaayo) nga load sa network ug performance sa device.

Mga ruta sa ECMP

Equal-Cost Multi-Path - pagpadala sa mga packet ngadto sa nakadawat gamit ang daghang mga gateway nga dungan gamit ang Round Robin algorithm.

Usa ka ruta sa ECMP ang gihimo sa tagdumala pinaagi sa pagtino sa daghang mga ganghaan alang sa usa ka subnet (o awtomatiko, kung adunay duha nga managsama nga mga ruta sa OSPF).
Mga sukaranan sa Static Routing sa Mikrotik RouterOS

Ang ECMP gigamit alang sa pagbalanse sa load tali sa duha ka mga kanal, sa teorya, kung adunay duha ka mga kanal sa ruta sa ecmp, nan alang sa matag pakete ang outgoing channel kinahanglan nga lahi. Apan ang Routing cache mechanism nagpadala sa mga packet gikan sa koneksyon subay sa rota nga gikuha sa unang packet, isip resulta, kita makakuha og usa ka matang sa pagbalanse base sa mga koneksyon (per-connection loading balancing).

Kung imong gi-disable ang Routing Cache, nan ang mga pakete sa ruta sa ECMP ipaambit sa husto, apan adunay problema sa NAT. Ang lagda sa NAT nagproseso lamang sa unang pakete gikan sa koneksyon (ang uban awtomatiko nga giproseso), ug kini nahimo nga ang mga pakete nga adunay parehas nga gigikanan nga adres mobiya sa lainlaing mga interface.
Mga sukaranan sa Static Routing sa Mikrotik RouterOS

Ang check gateway dili mugana sa ECMP nga mga ruta (RouterOS bug). Apan mahimo nimong mabuntog kini nga limitasyon pinaagi sa paghimo og dugang nga mga ruta sa pag-validate nga mag-disable sa mga entry sa ECMP.

Pagsala pinaagi sa Routing

Ang kapilian sa Type nagtino kung unsa ang buhaton sa package:

  • unicast - ipadala sa gitakda nga ganghaan (interface)
  • blackhole - isalikway ang usa ka pakete
  • pagdili, dili maabot - isalikway ang pakete ug ipadala ang mensahe sa icmp sa nagpadala

Ang pagsala sagad nga gigamit kung gikinahanglan aron masiguro ang pagpadala sa mga pakete sa sayup nga agianan, siyempre, mahimo nimo kini isala pinaagi sa firewall.

Pipila ka mga pananglitan

Aron sa pagkonsolida sa mga nag-unang mga butang mahitungod sa routing.

Kasagaran nga router sa balay
Mga sukaranan sa Static Routing sa Mikrotik RouterOS

/ip route
add dst-address=0.0.0.0/0 gateway=10.10.10.1

  1. Static nga ruta sa 0.0.0.0/0 (default nga ruta)
  2. Konektado nga ruta sa interface sa provider
  3. Konektado nga ruta sa LAN interface

Kasagaran nga router sa balay nga adunay PPPoE
Mga sukaranan sa Static Routing sa Mikrotik RouterOS

  1. Static nga ruta sa default nga ruta, awtomatikong gidugang. gipiho kini sa mga kabtangan sa koneksyon
  2. Konektado nga ruta alang sa koneksyon sa PPP
  3. Konektado nga ruta sa LAN interface

Kasagaran nga home router nga adunay duha ka mga provider ug redundancy
Mga sukaranan sa Static Routing sa Mikrotik RouterOS

/ip route
add dst-address=0.0.0.0/0 gateway=10.10.10.1 distance=1 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=10.20.20.1 distance=2

  1. Static nga rota sa default nga ruta pinaagi sa unang provider nga adunay metric 1 ug gateway availability check
  2. Static nga ruta sa default nga ruta pinaagi sa ikaduhang provider nga adunay metric 2
  3. Konektado nga mga ruta

Ang trapiko ngadto sa 0.0.0.0/0 moagi sa 10.10.10.1 samtang kini nga ganghaan anaa, kon dili kini mobalhin ngadto sa 10.20.20.1

Ang ingon nga laraw mahimong isipon nga usa ka reserbasyon sa kanal, apan kini wala’y mga kakulangan. Kung adunay break sa gawas sa gateway sa provider (pananglitan, sulod sa network sa operator), dili mahibal-an sa imong router ang bahin niini ug magpadayon sa pagkonsiderar sa ruta nga aktibo.

Kasagaran nga router sa balay nga adunay duha ka mga provider, redundancy ug ECMP
Mga sukaranan sa Static Routing sa Mikrotik RouterOS

/ip route
add dst-address=0.0.0.0/0 gateway=10.10.10.1 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=10.20.20.1 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=10.10.10.1,10.20.20.1 distance=1

  1. Static nga mga ruta alang sa pagsusi sa chack gateway
  2. ECMP nga ruta
  3. Konektado nga mga ruta

Ang mga ruta nga susihon mao ang asul (ang kolor sa dili aktibo nga mga ruta), apan dili kini makabalda sa agianan sa tseke. Ang kasamtangan nga bersyon (6.44) sa RoS naghatag og awtomatik nga prayoridad sa ECMP nga rota, apan mas maayo nga idugang ang mga ruta sa pagsulay sa ubang mga routing tables (opsyon routing-mark)

Sa Speedtest ug uban pang susama nga mga site, wala'y pagtaas sa katulin (Gibahin sa ECMP ang trapiko pinaagi sa mga koneksyon, dili sa mga pakete), apan ang mga p2p nga aplikasyon kinahanglan nga mag-download nga mas paspas.

Pagsala pinaagi sa Routing
Mga sukaranan sa Static Routing sa Mikrotik RouterOS

/ip route
add dst-address=0.0.0.0/0 gateway=10.10.10.1
add dst-address=192.168.200.0/24 gateway=10.30.30.1 distance=1
add dst-address=192.168.200.0/24 gateway=10.10.10.1 distance=2 type=blackhole

  1. Static nga ruta sa default nga ruta
  2. Static nga ruta sa 192.168.200.0/24 sa ibabaw sa tunnel sa ipip
  3. Gidili ang static nga ruta sa 192.168.200.0/24 pinaagi sa ISP router

Usa ka opsyon sa pagsala diin ang trapiko sa tunnel dili moadto sa router sa provider kung ang interface sa ipip na-disable. Ang ingon nga mga laraw panagsa ra gikinahanglan, tungod kay mahimo nimong ipatuman ang blocking pinaagi sa firewall.

Routing loop
Routing loop - usa ka sitwasyon kung ang usa ka packet modagan tali sa mga routers sa dili pa matapos ang ttl. Kasagaran kini ang resulta sa usa ka sayup sa pag-configure, sa dagkong mga network kini gitagad pinaagi sa pagpatuman sa mga dinamikong routing protocol, sa gagmay nga mga - uban ang pag-amping.

Ingon niini ang hitsura:
Mga sukaranan sa Static Routing sa Mikrotik RouterOS

Usa ka pananglitan (labing yano) kung giunsa pagkuha ang parehas nga resulta:
Mga sukaranan sa Static Routing sa Mikrotik RouterOS

Ang panig-ingnan sa Routing loop walay praktikal nga gamit, apan kini nagpakita nga ang mga routers walay ideya mahitungod sa routing table sa ilang silingan.

Policy Base Routing ug Dugang nga Routing Tables

Sa pagpili sa usa ka rota, ang router naggamit lamang sa usa ka field gikan sa packet header (Dst. Address) - kini ang batakang ruta. Ang pagruta base sa ubang mga kondisyon, sama sa tinubdan nga adres, matang sa trapiko (ToS), pagbalanse nga walay ECMP, iya sa Policy Base Routing (PBR) ug naggamit ug dugang nga routing tables.

Mga sukaranan sa Static Routing sa Mikrotik RouterOS

Mas Piho nga Ruta mao ang nag-unang lagda sa pagpili sa ruta sulod sa routing table.

Sa kasagaran, ang tanan nga mga lagda sa pag-ruta gidugang sa main table. Ang administrador makahimo og usa ka arbitraryong gidaghanon sa dugang nga mga routing table ug ruta nga mga pakete ngadto kanila. Ang mga lagda sa lainlaing mga lamesa dili magkasumpaki sa usag usa. Kung ang pakete dili makit-an ang usa ka angay nga lagda sa gitakda nga lamesa, kini moadto sa main table.

Pananglitan sa pag-apod-apod pinaagi sa Firewall:
Mga sukaranan sa Static Routing sa Mikrotik RouterOS

  • 192.168.100.10 -> 8.8.8.8
    1. Ang trapiko gikan sa 192.168.100.10 gimarkahan pinaagi sa-isp1 Π² [Prerouting|Mangle]
    2. Sa yugto sa Routing sa lamesa pinaagi sa-isp1 nangitag ruta sa 8.8.8.8
    3. Ang ruta nakit-an, ang trapiko gipadala sa gateway 10.10.10.1
  • 192.168.200.20 -> 8.8.8.8
    1. Ang trapiko gikan sa 192.168.200.20 gimarkahan pinaagi sa-isp2 Π² [Prerouting|Mangle]
    2. Sa yugto sa Routing sa lamesa pinaagi sa-isp2 nangitag ruta sa 8.8.8.8
    3. Ang ruta nakit-an, ang trapiko gipadala sa gateway 10.20.20.1
  • Kung ang usa sa mga ganghaan (10.10.10.1 o 10.20.20.1) mahimong dili magamit, nan ang pakete moadto sa lamesa nag-unang ug mangita ug angay nga rota didto

Mga isyu sa terminolohiya

Ang RouterOS adunay pipila ka mga isyu sa terminolohiya.
Sa diha nga nagtrabaho uban sa mga lagda sa [IP]->[Routes] ang routing table gipakita, bisan kung gisulat nga ang label:
Mga sukaranan sa Static Routing sa Mikrotik RouterOS

Π’ [IP]->[Routes]->[Rule] tama ang tanan, sa kondisyon sa label sa aksyon sa lamesa:
Mga sukaranan sa Static Routing sa Mikrotik RouterOS

Giunsa pagpadala ang usa ka pakete sa usa ka piho nga lamesa sa ruta

Naghatag ang RouterOS daghang mga himan:

  • Mga lagda sa [IP]->[Routes]->[Rules]
  • Mga marka sa ruta (action=mark-routing) sa [IP]->[Firewall]->[Mangle]
  • VRF

Mga lagda [IP]->[Route]->[Rules]
Ang mga lagda giproseso nga sunud-sunod, kung ang pakete mohaum sa mga kondisyon sa lagda, dili kini moagi pa.

Ang mga Rule Rules nagtugot kanimo sa pagpalapad sa mga posibilidad sa pag-ruta, nga nagsalig dili lamang sa adres sa nakadawat, apan usab sa gigikanan nga adres ug interface diin nadawat ang pakete.

Mga sukaranan sa Static Routing sa Mikrotik RouterOS

Ang mga lagda naglangkob sa mga kondisyon ug aksyon:

  • Mga kahimtang. Praktikal nga balika ang lista sa mga timailhan diin ang pakete gisusi sa FIB, ToS ra ang nawala.
  • Mga aksyon
    • pagpangita - ipadala ang usa ka pakete sa usa ka lamesa
    • pagpangita lamang sa lamesa - i-lock ang pakete sa lamesa, kung ang ruta dili makit-an, ang pakete dili moadto sa main table
    • ihulog - ihulog ang usa ka pakete
    • dili maabot - isalikway ang pakete nga adunay pahibalo sa nagpadala

Sa FIB, ang trapiko sa lokal nga mga proseso giproseso sa pag-bypass sa mga lagda [IP]->[Route]->[Rules]:
Mga sukaranan sa Static Routing sa Mikrotik RouterOS

Pagmarka [IP]->[Firewall]->[Mangle]
Gitugotan ka sa mga label sa pagruta nga itakda ang ganghaan alang sa usa ka pakete gamit ang halos bisan unsang kondisyon sa Firewall:
Mga sukaranan sa Static Routing sa Mikrotik RouterOS

Praktikal, tungod kay dili tanan kanila adunay kahulugan, ug ang uban mahimo’g molihok nga dili lig-on.

Mga sukaranan sa Static Routing sa Mikrotik RouterOS

Adunay duha ka paagi sa pag-label sa usa ka pakete:

  • Ibutang dayon marka sa ruta
  • Unaha koneksyon-marka, unya gibase sa koneksyon-marka ibutang marka sa ruta

Sa usa ka artikulo bahin sa mga firewall, akong gisulat nga ang ikaduha nga kapilian mas gusto. nagpamenos sa load sa cpu, sa kaso sa pagmarka sa mga ruta - kini dili hingpit nga tinuod. Kini nga mga pamaagi sa pagmarka dili kanunay nga katumbas ug kasagaran gigamit sa pagsulbad sa lainlaing mga problema.

Mga panig-ingnan sa paggamit

Mopadayon kita sa mga pananglitan sa paggamit sa Policy Base Routing, mas sayon ​​​​kini ipakita kung nganong gikinahanglan kining tanan.

MultiWAN ug pagbalik sa outgoing (Output) nga trapiko
Usa ka komon nga problema sa usa ka MultiWAN configuration: Mikrotik anaa gikan sa Internet lamang pinaagi sa usa ka "aktibo" provider.
Mga sukaranan sa Static Routing sa Mikrotik RouterOS

Ang router dili igsapayan kung unsa nga ip ang gihangyo, kung maghimo usa ka tubag, mangita kini usa ka ruta sa routing table diin ang ruta pinaagi sa isp1 aktibo. Dugang pa, ang ingon nga usa ka pakete lagmit nga masala sa dalan padulong sa nakadawat.

Laing makaiikag nga punto. Kung ang usa ka "yano" nga gigikanan nat na-configure sa interface sa ether1: /ip fi nat add out-interface=ether1 action=masquerade ang package moadto online sa src. address=10.10.10.100, nga nakapasamot pa sa mga butang.

Adunay ubay-ubay nga mga paagi sa pag-ayo sa problema, apan bisan kinsa niini magkinahanglan og dugang nga mga routing table:
Mga sukaranan sa Static Routing sa Mikrotik RouterOS

/ip route
add dst-address=0.0.0.0/0 gateway=10.10.10.1 check-gateway=ping distance=1
add dst-address=0.0.0.0/0 gateway=10.20.20.1 check-gateway=ping distance=2
add dst-address=0.0.0.0/0 gateway=10.10.10.1 routing-mark=over-isp1
add dst-address=0.0.0.0/0 gateway=10.20.20.1 routing-mark=over-isp2

Paggamit [IP]->[Route]->[Rules]
Ipiho ang routing table nga gamiton alang sa mga packet nga adunay piho nga Source IP.
Mga sukaranan sa Static Routing sa Mikrotik RouterOS

/ip route rule
add src-address=10.10.10.100/32 action=lookup-only-in-table table=over-isp1
add src-address=10.20.20.200/32 action=lookup-only-in-table table=over-isp2

Mahimo magamit action=lookup, apan alang sa lokal nga paggawas nga trapiko, kini nga kapilian hingpit nga wala maglakip sa mga koneksyon gikan sa sayup nga interface.

  • Ang sistema nagmugna usa ka pakete sa tubag nga adunay Src. Adres: 10.20.20.200
  • Ang Desisyon sa Pag-ruta(2) nga lakang nagsusi [IP]->[Routes]->[Rules] ug ang packet gipadala ngadto sa routing table sobra nga isp2
  • Sumala sa routing table, ang packet kinahanglang ipadala sa gateway 10.20.20.1 pinaagi sa ether2 interface

Mga sukaranan sa Static Routing sa Mikrotik RouterOS

Kini nga pamaagi wala magkinahanglan ug nagtrabaho nga Connection Tracker, dili sama sa paggamit sa Mangle table.

Paggamit [IP]->[Firewall]->[Mangle]
Ang koneksyon nagsugod sa usa ka umaabot nga pakete, mao nga among markahan kini (action=mark-connection), alang sa mogawas nga mga pakete gikan sa gimarkahan nga koneksyon, itakda ang routing label (action=mark-routing).
Mga sukaranan sa Static Routing sa Mikrotik RouterOS

/ip firewall mangle
#ΠœΠ°Ρ€ΠΊΠΈΡ€ΠΎΠ²ΠΊΠ° входящих соСдинСний
add chain=input in-interface=ether1 connection-state=new action=mark-connection new-connection-mark=from-isp1
add chain=input in-interface=ether2 connection-state=new action=mark-connection new-connection-mark=from-isp2
#ΠœΠ°Ρ€ΠΊΠΈΡ€ΠΎΠ²ΠΊΠ° исходящих ΠΏΠ°ΠΊΠ΅Ρ‚ΠΎΠ² Π½Π° основС соСдинСний
add chain=output connection-mark=from-isp1 action=mark-routing new-routing-mark=over-isp1 passthrough=no
add chain=output connection-mark=from-isp2 action=mark-routing new-routing-mark=over-isp2 passthrough=no

Kung daghang mga ips ang na-configure sa usa ka interface, mahimo nimong idugang ang kondisyon dst-address para makasiguro.

  • Ang usa ka pakete nagbukas sa koneksyon sa ether2 interface. Ang pakete mosulod [INPUT|Mangle] nga nag-ingon nga markahan ang tanan nga mga pakete gikan sa koneksyon ingon gikan sa-isp2
  • Ang sistema nagmugna usa ka pakete sa tubag nga adunay Src. Adres: 10.20.20.200
  • Sa yugto sa Routing Decision(2), ang packet, sumala sa routing table, gipadala ngadto sa gateway 10.20.20.1 pinaagi sa ether1 interface. Mahimo nimong pamatud-an kini pinaagi sa pag-log in sa mga pakete [OUTPUT|Filter]
  • Sa entablado [OUTPUT|Mangle] ang label sa koneksyon gisusi gikan sa-isp2 ug ang pakete makadawat og label sa ruta sobra nga isp2
  • Ang Routing Adjusment(3) nga lakang nagsusi sa presensya sa usa ka routing label ug ipadala kini ngadto sa tukma nga routing table
  • Sumala sa routing table, ang packet kinahanglang ipadala sa gateway 10.20.20.1 pinaagi sa ether2 interface

Mga sukaranan sa Static Routing sa Mikrotik RouterOS

MultiWAN ug ibalik ang dst-nat nga trapiko

Ang usa ka pananglitan mas komplikado, unsa ang buhaton kung adunay usa ka server (pananglitan, web) sa likod sa router sa usa ka pribadong subnet ug kinahanglan nimo nga hatagan kini og access pinaagi sa bisan unsang mga provider.

/ip firewall nat
add chain=dstnat proto=tcp dst-port=80,443 in-interface=ether1 action=dst-nat to-address=192.168.100.100
add chain=dstnat proto=tcp dst-port=80,443 in-interface=ether2 action=dst-nat to-address=192.168.100.100

Ang esensya sa problema mahimong parehas, ang solusyon parehas sa kapilian sa Firewall Mangle, ang ubang mga kadena ra ang gamiton:
Mga sukaranan sa Static Routing sa Mikrotik RouterOS

/ip firewall mangle
add chain=prerouting connection-state=new in-interface=ether1 protocol=tcp dst-port=80,443 action=mark-connection new-connection-mark=web-input-isp1
add chain=prerouting connection-state=new in-interface=ether2 protocol=tcp dst-port=80,443 action=mark-connection new-connection-mark=web-input-isp2
add chain=prerouting connection-mark=web-input-isp1 in-interface=ether3 action=mark-routing new-routing-mark=over-isp1 passthrough=no
add chain=prerouting connection-mark=web-input-isp2 in-interface=ether3 action=mark-routing new-routing-mark=over-isp2 passthrough=no

Mga sukaranan sa Static Routing sa Mikrotik RouterOS
Ang diagram wala magpakita sa NAT, apan sa akong hunahuna ang tanan klaro.

MultiWAN ug outbound nga mga koneksyon

Mahimo nimong gamiton ang mga kapabilidad sa PBR aron makahimo daghang koneksyon sa vpn (SSTP sa pananglitan) gikan sa lainlaing mga interface sa router.

Mga sukaranan sa Static Routing sa Mikrotik RouterOS

Dugang nga mga routing table:

/ip route
add dst-address=0.0.0.0/0 gateway=192.168.100.1 routing-mark=over-isp1
add dst-address=0.0.0.0/0 gateway=192.168.200.1 routing-mark=over-isp2
add dst-address=0.0.0.0/0 gateway=192.168.0.1 routing-mark=over-isp3

add dst-address=0.0.0.0/0 gateway=192.168.100.1 distance=1
add dst-address=0.0.0.0/0 gateway=192.168.200.1 distance=2
add dst-address=0.0.0.0/0 gateway=192.168.0.1 distance=3

Mga marka sa pakete:

/ip firewall mangle
add chain=output dst-address=10.10.10.100 proto=tcp dst-port=443 action=mark-routing new-routing-mark=over-isp1 passtrough=no
add chain=output dst-address=10.10.10.101 proto=tcp dst-port=443 action=mark-routing new-routing-mark=over-isp2 passtrough=no
add chain=output dst-address=10.10.10.102 proto=tcp dst-port=443 action=mark-routing new-routing-mark=over-isp3 passtrough=no

Yano nga mga lagda sa NAT, kung dili ang pakete mobiya sa interface nga adunay sayup nga Src. adres:

/ip firewall nat
add chain=srcnat out-interface=ether1 action=masquerade
add chain=srcnat out-interface=ether2 action=masquerade
add chain=srcnat out-interface=ether3 action=masquerade

Parsing:

  • Ang router nagmugna og tulo ka mga proseso sa SSTP
  • Sa yugto sa Desisyon sa Pag-ruta (2), usa ka ruta ang gipili alang niini nga mga proseso base sa main routing table. Gikan sa parehas nga ruta, ang pakete nakadawat Src. Ang adres gigapos sa ether1 interface
  • Π’ [Output|Mangle] Ang mga pakete gikan sa lainlaing mga koneksyon nakadawat lainlaing mga label
  • Ang mga pakete mosulod sa mga lamesa nga katumbas sa mga label sa yugto sa Pag-adjust sa Routing ug makadawat og bag-ong ruta alang sa pagpadala sa mga pakete
  • Apan ang mga pakete adunay Src. Address gikan sa ether1, sa entablado [Nat|Srcnat] ang adres gipulihan sumala sa interface

Makapainteres, sa router imong makita ang mosunud nga lamesa sa koneksyon:
Mga sukaranan sa Static Routing sa Mikrotik RouterOS

Ang Connection Tracker nagtrabaho sa sayo pa [Mangle] ΠΈ [Srcnat], mao nga ang tanan nga mga koneksyon gikan sa parehas nga adres, kung imong tan-awon ang mas detalyado, dayon sa Replay Dst. Address adunay mga adres pagkahuman sa NAT:
Mga sukaranan sa Static Routing sa Mikrotik RouterOS

Sa VPN server (ako adunay usa sa test bench), imong makita nga ang tanan nga koneksyon gikan sa husto nga mga adres:
Mga sukaranan sa Static Routing sa Mikrotik RouterOS

Hupti ang dalan
Adunay usa ka mas sayon ​​nga paagi, mahimo nimong ipiho ang usa ka piho nga ganghaan alang sa matag usa sa mga adres:

/ip route
add dst-address=10.10.10.100 gateway=192.168.100.1
add dst-address=10.10.10.101 gateway=192.168.200.1
add dst-address=10.10.10.102 gateway=192.168.0.1

Apan ang maong mga rota makaapektar dili lang sa paggawas kondili sa trapiko sa transit. Dugang pa, kung dili nimo kinahanglan ang trapiko sa vpn server aron makaagi sa dili angay nga mga channel sa komunikasyon, nan kinahanglan nimo nga idugang ang 6 pa nga mga lagda sa [IP]->[Routes]с type=blackhole. Sa miaging bersyon - 3 mga lagda sa [IP]->[Route]->[Rules].

Pag-apod-apod sa mga koneksyon sa tiggamit pinaagi sa mga channel sa komunikasyon

Yano, adlaw-adlaw nga buluhaton. Pag-usab, dugang nga mga routing table ang gikinahanglan:

/ip route
add dst-address=0.0.0.0/0 gateway=10.10.10.1 dist=1 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=10.20.20.1 dist=2 check-gateway=ping

add dst-address=0.0.0.0/0 gateway=10.10.10.1 dist=1 routing-mark=over-isp1
add dst-address=0.0.0.0/0 gateway=10.20.20.1 dist=1 routing-mark=over-isp2

Paggamit [IP]->[Route]->[Rules]
Mga sukaranan sa Static Routing sa Mikrotik RouterOS

/ip route rules
add src-address=192.168.100.0/25 action=lookup-only-in-table table=over-isp1
add src-address=192.168.100.128/25 action=lookup-only-in-table table=over-isp2

Kung mogamit ka action=lookup, unya kung ang usa sa mga kanal na-disable, ang trapiko moadto sa main table ug moagi sa working channel. Kinahanglan ba kini o dili depende sa buluhaton.

Paggamit sa mga marka sa [IP]->[Firewall]->[Mangle]
Usa ka yano nga pananglitan nga adunay mga lista sa mga adres sa ip. Sa prinsipyo, halos bisan unsang mga kondisyon mahimong magamit. Ang bugtong caveat sa layer7, bisan kung gipares sa mga label sa koneksyon, mahimo’g ingon nga ang tanan nagtrabaho sa husto, apan ang pipila sa mga trapiko moadto gihapon sa sayup nga paagi.
Mga sukaranan sa Static Routing sa Mikrotik RouterOS

/ip firewall mangle
add chain=prerouting src-address-list=users-over-isp1 dst-address-type=!local action=mark-routing new-routing-mark=over-isp1
add chain=prerouting src-address-list=users-over-isp2 dst-address-type=!local action=mark-routing new-routing-mark=over-isp2

Mahimo nimong "i-lock" ang mga tiggamit sa usa ka routing table pinaagi [IP]->[Route]->[Rules]:

/ip route rules
add routing-mark=over-isp1 action=lookup-only-in-table table=over-isp1
add routing-mark=over-isp2 action=lookup-only-in-table table=over-isp2

Bisan pinaagi sa [IP]->[Firewall]->[Filter]:

/ip firewall filter
add chain=forward routing-mark=over-isp1 out-interface=!ether1 action=reject
add chain=forward routing-mark=over-isp2 out-interface=!ether2 action=reject

Pag-atras pro dst-address-type=!local
Dugang nga kondisyon dst-address-type=!local gikinahanglan nga ang trapiko gikan sa mga tiggamit makaabot sa lokal nga mga proseso sa router (dns, winbox, ssh, ...). Kung daghang mga lokal nga subnet ang konektado sa router, kinahanglan nga masiguro nga ang trapiko tali kanila dili moadto sa Internet, pananglitan, gamit ang dst-address-table.

Sa pananglitan nga naggamit [IP]->[Route]->[Rules] wala'y ingon nga mga eksepsiyon, apan ang trapiko nakaabot sa mga lokal nga proseso. Ang kamatuoran mao nga ang pagsulod sa FIB package nga gimarkahan [PREROUTING|Mangle] adunay label sa ruta ug moadto sa usa ka routing table gawas sa main, diin walay lokal nga interface. Sa kaso sa Rules Rules, una nga susihon kung ang pakete gituyo alang sa lokal nga proseso ug sa yugto lamang sa User PBR nga kini moadto sa gitakda nga routing table.

Paggamit [IP]->[Firewall]->[Mangle action=route]
Kini nga aksyon naglihok lamang sa [Prerouting|Mangle] ug nagtugot kanimo sa pagdirekta sa trapiko ngadto sa espesipikong ganghaan nga dili mogamit ug dugang nga mga routing table, pinaagi sa pagtino sa address sa gateway direkta:

/ip firewall mangle
add chain=prerouting src-address=192.168.100.0/25 action=route gateway=10.10.10.1
add chain=prerouting src-address=192.168.128.0/25 action=route gateway=10.20.20.1

epekto route adunay ubos nga prayoridad kaysa mga lagda sa pag-ruta ([IP]->[Route]->[Rules]). Sa kaso sa mga marka sa ruta, ang tanan nagdepende sa posisyon sa mga lagda, kung ang lagda sa action=route bili labaw pa sa action=mark-route, unya kini gamiton (bisan unsa pa ang bandila passtrough), kon dili markahan ang ruta.
Adunay gamay kaayo nga kasayuran sa wiki bahin sa kini nga aksyon ug ang tanan nga mga konklusyon nakuha sa eksperimento, sa bisan unsang kaso, wala ako nakit-an nga mga kapilian kung gigamit kini nga kapilian naghatag mga bentaha sa uban.

Ang dinamikong pagbalanse nga nakabase sa PPC

Per Connection Classifier - usa ka mas flexible nga analogue sa ECMP. Dili sama sa ECMP, gibahin niini ang trapiko pinaagi sa mga koneksyon nga mas estrikto (ang ECMP walay nahibal-an bahin sa mga koneksyon, apan kung gipares sa Routing Cache, adunay susama nga makuha).

Gikuha sa PCC espesipikong mga natad gikan sa ip header, gi-convert kini ngadto sa 32-bit nga bili, ug gibahin sa denominador. Ang nahibilin sa dibisyon gitandi sa gipiho nahibilin ug kung sila magkatugma, nan ang espesipikong aksyon gipadapat. Basaha ang dugang pa. Morag buang, apan kini molihok.
Mga sukaranan sa Static Routing sa Mikrotik RouterOS

Pananglitan nga adunay tulo ka adres:

192.168.100.10: 192+168+100+10 = 470 % 3 = 2
192.168.100.11: 192+168+100+11 = 471 % 3 = 0
192.168.100.12: 192+168+100+12 = 472 % 3 = 1

Usa ka pananglitan sa dinamikong pag-apod-apod sa trapiko pinaagi sa src.address tali sa tulo ka mga channel:
Mga sukaranan sa Static Routing sa Mikrotik RouterOS

#Π’Π°Π±Π»ΠΈΡ†Π° ΠΌΠ°Ρ€ΡˆΡ€ΡƒΡ‚ΠΈΠ·Π°Ρ†ΠΈΠΈ
/ip route
add dst-address=0.0.0.0/0 gateway=10.10.10.1 dist=1 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=10.20.20.1 dist=2 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=10.30.30.1 dist=3 check-gateway=ping

add dst-address=0.0.0.0/0 gateway=10.10.10.1 dist=1 routing-mark=over-isp1
add dst-address=0.0.0.0/0 gateway=10.20.20.1 dist=1 routing-mark=over-isp2
add dst-address=0.0.0.0/0 gateway=10.30.30.1 dist=1 routing-mark=over-isp3

#ΠœΠ°Ρ€ΠΊΠΈΡ€ΠΎΠ²ΠΊΠ° соСдинСний ΠΈ ΠΌΠ°Ρ€ΡˆΡ€ΡƒΡ‚ΠΎΠ²
/ip firewall mangle
add chain=prerouting in-interface=br-lan dst-address-type=!local connection-state=new per-connection-classifier=src-address:3/0 action=mark-connection new-connection-mark=conn-over-isp1
add chain=prerouting in-interface=br-lan dst-address-type=!local connection-state=new per-connection-classifier=src-address:3/1 action=mark-connection new-connection-mark=conn-over-isp2
add chain=prerouting in-interface=br-lan dst-address-type=!local connection-state=new per-connection-classifier=src-address:3/2 action=mark-connection new-connection-mark=conn-over-isp3

add chain=prerouting in-interface=br-lan connection-mark=conn-over-isp1 action=mark-routing new-routing-mark=over-isp1
add chain=prerouting in-interface=br-lan connection-mark=conn-over-isp2 action=mark-routing new-routing-mark=over-isp2
add chain=prerouting in-interface=br-lan connection-mark=conn-over-isp3 action=mark-routing new-routing-mark=over-isp3

Kung nagtimaan sa mga ruta, adunay dugang nga kondisyon: in-interface=br-lan, nga wala kini ubos action=mark-routing Ang trapiko sa tubag gikan sa Internet makuha ug, uyon sa mga routing tables, mobalik sa provider.

Pagbalhin sa mga channel sa komunikasyon

Ang pagsusi sa ping usa ka maayo nga himan, apan kini nagsusi lamang sa koneksyon sa labing duol nga IP peer, ang mga network sa provider kasagaran naglangkob sa usa ka dako nga gidaghanon sa mga routers ug usa ka koneksyon break mahimong mahitabo sa gawas sa labing duol nga kaedad, ug unya adunay mga backbone telecom operators nga mahimo usab adunay mga problema, sa kinatibuk-an ang check ping dili kanunay magpakita sa pinakabag-o nga impormasyon mahitungod sa pag-access sa global network.
Kung ang mga provider ug dagkong mga korporasyon adunay BGP dynamic routing protocol, nan ang mga tiggamit sa balay ug opisina kinahanglan nga independente nga mahibal-an kung giunsa pagsusi ang pag-access sa Internet pinaagi sa usa ka piho nga channel sa komunikasyon.

Kasagaran, gigamit ang mga script nga, pinaagi sa usa ka channel sa komunikasyon, susihon ang pagkaanaa sa usa ka ip address sa Internet, samtang nagpili usa ka butang nga kasaligan, pananglitan, google dns: 8.8.8.8. 8.8.4.4. Apan sa komunidad sa Mikrotik, usa ka mas makapaikag nga himan ang gipahiangay alang niini.

Pipila ka mga pulong mahitungod sa recursive routing
Ang recursive routing gikinahanglan sa pagtukod sa Multihop BGP peering ug nakasulod sa artikulo mahitungod sa mga sukaranan sa static routing lamang tungod sa maliputon nga mga tiggamit sa MikroTik nga nakahunahuna kung unsaon paggamit ang recursive nga mga ruta nga gipares sa check gateway aron sa pagbalhin sa mga channel sa komunikasyon nga walay dugang nga mga script.

Panahon na aron masabtan ang mga kapilian sa scope / target scope sa kinatibuk-ang termino ug kung giunsa ang ruta gigapos sa interface:
Mga sukaranan sa Static Routing sa Mikrotik RouterOS

  1. Ang ruta nangita ug interface aron ipadala ang pakete base sa kantidad sa sakup niini ug ang tanan nga mga entri sa main table nga adunay gamay o parehas nga kantidad sa sakup sa target.
  2. Gikan sa nakit-an nga mga interface, gipili ang usa diin mahimo nimong ipadala ang usa ka pakete sa gitakda nga ganghaan
  3. Ang interface sa nakit-an nga konektado nga entry gipili aron ipadala ang pakete sa ganghaan

Sa presensya sa usa ka recursive nga ruta, ang tanan mahitabo parehas, apan sa duha ka yugto:
Mga sukaranan sa Static Routing sa Mikrotik RouterOS

  • 1-3 Usa pa ka ruta ang gidugang sa konektado nga mga ruta, diin ang piho nga ganghaan mahimong maabot
  • 4-6 Pagpangita sa ruta nga konektado nga ruta alang sa "intermediate" nga ganghaan

Ang tanan nga mga manipulasyon nga adunay recursive nga pagpangita mahitabo sa RIB, ug ang katapusan nga resulta lamang ang gibalhin sa FIB: 0.0.0.0/0 via 10.10.10.1 on ether1.

Usa ka pananglitan sa paggamit sa recursive routing aron sa pagbalhin sa mga ruta
Mga sukaranan sa Static Routing sa Mikrotik RouterOS

Configuration:
Mga sukaranan sa Static Routing sa Mikrotik RouterOS

/ip route
add dst-address=0.0.0.0/0 gateway=8.8.8.8 check-gateway=ping distance=1 target-scope=10
add dst-address=8.8.8.8 gateway=10.10.10.1 scope=10
add dst-address=0.0.0.0/0 gateway=10.20.20.1 distance=2

Mahimo nimong susihon nga ang mga pakete ipadala sa 10.10.10.1:
Mga sukaranan sa Static Routing sa Mikrotik RouterOS

Ang Check gateway walay nahibal-an bahin sa recursive routing ug nagpadala lang og mga ping sa 8.8.8.8, nga (base sa main table) kay ma-access pinaagi sa gateway 10.10.10.1.

Kung adunay pagkawala sa komunikasyon tali sa 10.10.10.1 ug 8.8.8.8, nan ang ruta wala’y koneksyon, apan ang mga pakete (lakip ang mga test ping) hangtod sa 8.8.8.8 nagpadayon sa pag-agi sa 10.10.10.1:
Mga sukaranan sa Static Routing sa Mikrotik RouterOS

Kung ang link sa ether1 nawala, unya usa ka dili maayo nga sitwasyon ang mahitabo kung ang mga pakete sa wala pa ang 8.8.8.8 moagi sa ikaduhang provider:
Mga sukaranan sa Static Routing sa Mikrotik RouterOS

Kini usa ka problema kung ikaw naggamit sa NetWatch aron sa pagpadagan sa mga script kung ang 8.8.8.8 wala magamit. Kung nabuak ang link, ang NetWatch molihok lang pinaagi sa backup nga channel sa komunikasyon ug maghunahuna nga maayo ang tanan. Nasulbad pinaagi sa pagdugang usa ka dugang nga ruta sa pagsala:

/ip route
add dst-address=8.8.8.8 gateway=10.20.20.1 distance=100 type=blackhole

Mga sukaranan sa Static Routing sa Mikrotik RouterOS

Adunay sa habrΓ© nga artikulo, diin ang sitwasyon sa NetWatch gikonsiderar nga mas detalyado.

Ug oo, kung gamiton ang ingon nga reserbasyon, ang adres nga 8.8.8.8 i-hardwired sa usa sa mga provider, busa ang pagpili niini ingon usa ka gigikanan sa dns dili maayong ideya.

Pipila ka mga pulong mahitungod sa Virtual Routing and Forwarding (VRF)

Ang teknolohiya sa VRF gidesinyo sa paghimo og daghang mga virtual nga router sulod sa usa ka pisikal, kini nga teknolohiya kaylap nga gigamit sa mga operator sa telecom (kasagaran kauban sa MPLS) aron mahatagan ang mga serbisyo sa L3VPN sa mga kliyente nga adunay nagsapaw nga mga adres sa subnet:
Mga sukaranan sa Static Routing sa Mikrotik RouterOS

Apan ang VRF sa Mikrotik giorganisar base sa mga routing table ug adunay daghang mga disadvantages, pananglitan, ang mga lokal nga ip address sa router magamit gikan sa tanan nga mga VRF, mahimo nimong mabasa ang dugang link.

vrf configuration pananglitan:
Mga sukaranan sa Static Routing sa Mikrotik RouterOS

/ip route vrf
add interfaces=ether1 routing-mark=vrf1
add interfaces=ether2 routing-mark=vrf2

/ip address
add address=192.168.100.1/24 interface=ether1 network=192.168.100.0
add address=192.168.200.1/24 interface=ether2 network=192.168.200.0

Gikan sa device nga konektado sa ether2, atong makita nga ang ping moadto sa router address gikan sa laing vrf (ug kini usa ka problema), samtang ang ping dili moadto sa Internet:
Mga sukaranan sa Static Routing sa Mikrotik RouterOS

Aron maka-access sa Internet, kinahanglan ka magparehistro og dugang nga ruta nga maka-access sa main table (sa vrf terminology, gitawag kini nga route leaking):
Mga sukaranan sa Static Routing sa Mikrotik RouterOS

/ip route
add distance=1 gateway=172.17.0.1@main routing-mark=vrf1
add distance=1 gateway=172.17.0.1%wlan1 routing-mark=vrf2

Ania ang duha ka paagi sa pagtulo sa ruta: gamit ang routing table: 172.17.0.1@main ug gamit ang ngalan sa interface: 172.17.0.1%wlan1.

Ug i-set up ang pagmarka para sa pagbalik sa trapiko [PREROUTING|Mangle]:
Mga sukaranan sa Static Routing sa Mikrotik RouterOS

/ip firewall mangle
add chain=prerouting in-interface=ether1 action=mark-connection new-connection-mark=from-vrf1 passthrough=no
add chain=prerouting connection-mark=from-vrf1 routing-mark=!vrf1 action=mark-routing new-routing-mark=vrf1 passthrough=no 
add chain=prerouting in-interface=ether2 action=mark-connection new-connection-mark=from-vrf2 passthrough=no
add chain=prerouting connection-mark=from-vrf2 routing-mark=!vrf1 action=mark-routing new-routing-mark=vrf2 passthrough=no

Mga sukaranan sa Static Routing sa Mikrotik RouterOS

Mga subnet nga adunay parehas nga adres
Organisasyon sa pag-access sa mga subnet nga adunay parehas nga address sa parehas nga router gamit ang VRF ug netmap:
Mga sukaranan sa Static Routing sa Mikrotik RouterOS

Basic nga configuration:

/ip route vrf
add interfaces=ether1 routing-mark=vrf1
add interfaces=ether2 routing-mark=vrf2

/ip address
add address=192.168.100.1/24 interface=ether1 network=192.168.100.0
add address=192.168.100.1/24 interface=ether2 network=192.168.100.0
add address=192.168.0.1/24 interface=ether3 network=192.168.0.0

Mga lagda sa firewall:

#ΠœΠ°Ρ€ΠΊΠΈΡ€ΡƒΠ΅ΠΌ ΠΏΠ°ΠΊΠ΅Ρ‚Ρ‹ для ΠΎΡ‚ΠΏΡ€Π°Π²ΠΊΠΈ Π² ΠΏΡ€Π°Π²ΠΈΠ»ΡŒΠ½ΡƒΡŽ Ρ‚Π°Π±Π»ΠΈΡ†Ρƒ ΠΌΠ°Ρ€ΡˆΡ€ΡƒΡ‚ΠΈΠ·Π°Ρ†ΠΈΠΈ
/ip firewall mangle
add chain=prerouting dst-address=192.168.101.0/24 in-interface=ether3 action=mark-routing new-routing-mark=vrf1 passthrough=no
add chain=prerouting dst-address=192.168.102.0/24 in-interface=ether3 action=mark-routing new-routing-mark=vrf2 passthrough=no

#БрСдствами netmap замСняСм адрСса "эфимСрных" подсСтСй Π½Π° Ρ€Π΅Π°Π»ΡŒΠ½Ρ‹Π΅ подсСти
/ip firewall nat
add chain=dstnat dst-address=192.168.101.0/24 in-interface=ether3 action=netmap to-addresses=192.168.100.0/24
add chain=dstnat dst-address=192.168.102.0/24 in-interface=ether3 action=netmap to-addresses=192.168.100.0/24

Mga lagda sa pagruta alang sa pagbalik sa trapiko:

#Π£ΠΊΠ°Π·Π°Π½ΠΈΠ΅ ΠΈΠΌΠ΅Π½ΠΈ интСрфСйса Ρ‚ΠΎΠΆΠ΅ ΠΌΠΎΠΆΠ΅Ρ‚ ΡΡ‡ΠΈΡ‚Π°Ρ‚ΡŒΡΡ route leaking, Π½ΠΎ ΠΏΠΎ сути Ρ‚ΡƒΡ‚ создаСтся Π°Π½Π°Π»ΠΎΠ³ connected ΠΌΠ°Ρ€ΡˆΡ€ΡƒΡ‚Π°
/ip route
add distance=1 dst-address=192.168.0.0/24 gateway=ether3 routing-mark=vrf1
add distance=1 dst-address=192.168.0.0/24 gateway=ether3 routing-mark=vrf2

Pagdugang mga rota nga nadawat pinaagi sa dhcp sa gihatag nga routing table
Mahimong makapaikag ang VRF kung kinahanglan nimo nga awtomatiko nga magdugang usa ka dinamikong ruta (pananglitan, gikan sa usa ka kliyente sa dhcp) sa usa ka piho nga lamesa sa ruta.

Pagdugang interface sa vrf:

/ip route vrf
add interface=ether1 routing-mark=over-isp1

Mga lagda alang sa pagpadala sa trapiko (outgoing ug transit) pinaagi sa lamesa sobra nga isp1:

/ip firewall mangle
add chain=output out-interface=!br-lan action=mark-routing new-routing-mark=over-isp1 passthrough=no
add chain=prerouting in-interface=br-lan dst-address-type=!local action=mark-routing new-routing-mark=over-isp1 passthrough=no

Dugang, peke nga ruta para sa outbound nga ruta padulong sa trabaho:

/interface bridge
add name=bare

/ip route
add dst-address=0.0.0.0/0 gateway=bare

Kini nga rota gikinahanglan lamang aron ang mga lokal nga outgoing packet makaagi sa Routing decision (2) kaniadto [OUTPUT|Mangle] ug kuhaa ang routing label, kung adunay uban nga aktibo nga mga ruta sa router hangtod sa 0.0.0.0/0 sa main table, wala kini kinahanglana.
Mga sukaranan sa Static Routing sa Mikrotik RouterOS

Mga Kolsa connected-in ΠΈ dynamic-in Π² [Routing] -> [Filters]

Ang pagsala sa ruta (inbound ug outbound) usa ka himan nga sagad gigamit kauban ang dinamikong mga protocol sa ruta (ug busa magamit ra pagkahuman ma-install ang package. routing), apan adunay duha ka makapaikag nga mga kadena sa umaabot nga mga pagsala:

  • konektado-sa β€” pagsala sa konektado nga mga ruta
  • dynamic-in - pagsala sa dinamikong mga rota nga nadawat sa PPP ug DCHP

Ang pagsala nagtugot kanimo dili lamang sa pagsalikway sa mga ruta, apan usab sa pag-usab sa usa ka gidaghanon sa mga kapilian: gilay-on, routing-marka, komento, scope, target scope, ...

Kini usa ka tukma kaayo nga himan ug kung mahimo nimo ang usa ka butang nga wala ang Mga Pagsala sa Pag-ruta (apan dili mga script), nan ayaw gamita ang Mga Pagsala sa Pag-ruta, ayaw kalibog ang imong kaugalingon ug kadtong mag-configure sa router pagkahuman nimo. Sa konteksto sa dinamikong pag-ruta, ang Mga Pagsala sa Pag-ruta kay gamiton nga mas kanunay ug mas produktibo.

Pagbutang sa Marka sa Pag-ruta para sa Dinamikong mga Ruta
Usa ka pananglitan gikan sa usa ka router sa balay. Duna koy duha ka koneksyon sa VPN nga na-configure ug ang trapiko niini kinahanglang maputos subay sa mga routing tables. Sa parehas nga oras, gusto nako nga ang mga ruta awtomatiko nga mahimo kung gi-aktibo ang interface:

#ΠŸΡ€ΠΈ создании vpn ΠΏΠΎΠ΄ΠΊΠ»ΡŽΡ‡Π΅Π½ΠΈΠΉ ΡƒΠΊΠ°Π·Ρ‹Π²Π°Π΅ΠΌ созданиС default route ΠΈ Π·Π°Π΄Π°Π΅ΠΌ Π΄ΠΈΡΡ‚Π°Π½Ρ†ΠΈΡŽ
/interface pptp-client
add connect-to=X.X.X.X add-default-route=yes default-route-distance=101 ...
add connect-to=Y.Y.Y.Y  add-default-route=yes default-route-distance=100 ...

#Π€ΠΈΠ»ΡŒΡ‚Ρ€Π°ΠΌΠΈ отправляСм ΠΌΠ°Ρ€ΡˆΡ€ΡƒΡ‚Ρ‹ Π² ΠΎΠΏΡ€Π΅Π΄Π΅Π»Π΅Π½Π½Ρ‹Π΅ Ρ‚Π°Π±Π»ΠΈΡ†Ρ‹ ΠΌΠ°Ρ€ΡˆΡ€ΡƒΡ‚ΠΈΠ·Π°Ρ†ΠΈΠΈ Π½Π° основС подсСти назначСния ΠΈ дистанции
/routing filter
add chain=dynamic-in distance=100 prefix=0.0.0.0/0 action=passthrough set-routing-mark=over-vpn1
add chain=dynamic-in distance=101 prefix=0.0.0.0/0 action=passthrough set-routing-mark=over-vpn2

Wala ko mahibal-an kung ngano, tingali usa ka bug, apan kung maghimo ka usa ka vrf alang sa interface sa ppp, nan ang ruta sa 0.0.0.0/0 makuha gihapon sa main table. Kay kon dili, ang tanan mahimong mas sayon.

Pag-disable sa Konektado nga mga Ruta
Usahay kini gikinahanglan:

/route filter
add chain=connected-in prefix=192.168.100.0/24 action=reject

Mga gamit sa pag-debug

Naghatag ang RouterOS og daghang mga himan alang sa pag-debug sa ruta:

  • [Tool]->[Tourch] - nagtugot kanimo sa pagtan-aw sa mga pakete sa mga interface
  • /ip route check - nagtugot kanimo sa pagtan-aw kung asa nga ganghaan ipadala ang pakete, dili molihok sa mga routing table
  • /ping routing-table=<name> ΠΈ /tool traceroute routing-table=<name> - ping ug pagsubay gamit ang gipiho nga routing table
  • action=log Π² [IP]->[Firewall] - usa ka maayo kaayo nga himan nga nagtugot kanimo sa pagsubay sa agianan sa usa ka pakete sa dagan sa pakete, kini nga aksyon magamit sa tanan nga mga kadena ug mga lamesa

Source: www.habr.com

Idugang sa usa ka comment