Routage se pwosesis pou jwenn pi bon chemen pou transmèt pakè sou rezo TCP/IP. Nenpòt aparèy ki konekte nan yon rezo IPv4 gen yon pwosesis ak tab routage.
Atik sa a se pa yon HOWTO, li dekri routage estatik nan RouterOS ak egzanp, mwen fè espre omisyon rès la nan anviwònman yo (pa egzanp, srcnat pou jwenn aksè nan entènèt la), kidonk konprann materyèl la mande pou yon sèten nivo konesans nan rezo ak RouterOS.
Chanje ak routage
Chanje se pwosesis pou echanje pake nan yon segman Layer2 (Ethernet, ppp, ...). Si aparèy la wè ke moun k ap resevwa pake a sou menm sous-rezo Ethernet ak li, li aprann adrès mac la lè l sèvi avèk pwotokòl arp la epi li transmèt pake a dirèkteman, kontourne routeur la. Yon koneksyon ppp (pwen-a-pwen) ka gen sèlman de patisipan epi yo toujou voye pake a nan yon adrès 0xff.
Routage se pwosesis pou transfere pake ant segman Layer2. Si yon aparèy vle voye yon pake ki gen moun k ap resevwa a deyò segman Ethernet, li gade nan tab routage li yo epi li pase pake a nan pòtay la, ki konnen ki kote yo voye pake a pwochen (oswa li ka pa konnen, moun k ap voye pake a orijinal la. pa okouran de sa).
Fason ki pi fasil pou panse a yon routeur se tankou yon aparèy ki konekte ak de oswa plis Layer2 segman epi ki kapab pase pake ant yo lè w detèmine wout ki pi bon soti nan tab la routage.
Si ou konprann tout bagay, oswa ou deja konnen li, Lè sa a, li sou. Pou rès la, mwen rekòmande ke ou familyarize tèt ou ak yon ti, men trè capacious .
Wout nan RouterOS ak PacketFlow
Prèske tout fonksyonalite ki gen rapò ak routage estatik se nan pake a sistèm. Sache plastik routage ajoute sipò pou algoritm routage dinamik (RIP, OSPF, BGP, MME), filtè routage ak BFD.
Meni prensipal pou konfigirasyon routage: [IP]->[Route]. Konplo konplèks yo ka mande pou pake yo dwe pre-etikèt ak yon mak routage nan: [IP]->[Firewall]->[Mangle] (chenn PREROUTING и OUTPUT).
Gen twa kote sou PacketFlow kote yo pran desizyon sou routage pake IP:
- Pake routage routeur la resevwa. Nan etap sa a, li deside si pake a pral ale nan pwosesis lokal la oswa yo pral voye pi lwen nan rezo a. Pakè transpò piblik resevwa Sòti Entèfas
- Routage pakè sortan lokal yo. Pake sortant resevwa Sòti Entèfas
- Lòt etap routage pou pake sortan, pèmèt ou chanje desizyon an routage nan
[Output|Mangle]
- Chemen pake a nan blòk 1, 2 depann sou règ yo nan
[IP]->[Route] - Chemen pake a nan pwen 1, 2 ak 3 depann sou règ yo nan
[IP]->[Route]->[Rules] - Pake chemen an nan blòk 1, 3 ka enfliyanse lè l sèvi avèk
[IP]->[Firewall]->[Mangle]
RIB, FIB, Cache routage
Baz enfòmasyon routage
Baz kote wout yo kolekte nan pwotokòl routage dinamik, wout ki soti nan ppp ak dhcp, wout estatik ak konekte. Baz done sa a gen tout wout, eksepte sa yo filtre pa administratè a.
Kondisyonèlman, nou ka asime sa [IP]->[Route] montre RIB.
Transmisyon Enfòmasyon Baz
Baz la nan ki pi bon wout yo soti nan RIB yo kolekte. Tout wout nan FIB yo aktif epi yo itilize pou voye pake yo. Si wout la vin inaktif (enfim pa administratè a (sistèm), oswa koòdone nan kote yo ta dwe voye pake a pa aktif), wout la retire nan FIB la.
Pou pran yon desizyon routage, tab FIB la itilize enfòmasyon sa yo sou yon pake IP:
- Adrès Sous
- Adrès Destinasyon
- Entèfas Sous
- Mak routage
- ToS (DSCP)
Antre nan pake FIB la ale nan etap sa yo:
- Èske pake a fèt pou yon pwosesis routeur lokal?
- Èske pake a sijè a règ sistèm oswa itilizatè PBR?
- Si wi, Lè sa a, yo voye pake a nan tab la routage espesifye
- Yo voye pake a sou tab prensipal la
Kondisyonèlman, nou ka asime sa [IP]->[Route Active=yes] montre FIB.
Cache routage
Mekanis kachèt wout. Routeur la sonje kote yo te voye pakè yo epi si gen sa yo ki sanble (sitou ki soti nan menm koneksyon an) li kite yo ale sou menm wout la, san yo pa tcheke nan FIB la. Kachèt wout la detanzantan netwaye.
Pou administratè RouterOS yo, yo pa t fè zouti pou gade ak jere Cache Routing la, men lè li ka enfim nan [IP]->[Settings].
Yo te retire mekanis sa a nan linux 3.6 kernel, men RouterOS toujou sèvi ak kernel 3.3.5, petèt Routing cahce se youn nan rezon ki fè yo.
Ajoute dyalòg wout la
[IP]->[Route]->[+]
- Sourezo pou ki ou vle kreye yon wout (default: 0.0.0.0/0)
- Gateway IP oswa koòdone kote yo pral voye pake a (kapab genyen plizyè, gade ECMP anba a)
- Tcheke Disponibilite Gateway
- Kalite dosye
- Distans (metrik) pou yon wout
- Tablo routage
- IP pou pake lokal sortan atravè wout sa a
- Objektif Dimansyon ak Dimansyon Sib ekri nan fen atik la.
Drapo wout
- X - Wout la enfim pa administratè a (
disabled=yes) - A - Yo itilize wout la pou voye pakè
- D - Wout te ajoute dinamik (BGP, OSPF, RIP, MME, PPP, DHCP, Konekte)
- C - Sou-rezo a konekte dirèkteman ak routeur la
- S - Wout estatik
- r,b,o,m - Wout te ajoute pa youn nan pwotokòl routage dinamik yo
- B,U,P - Wout filtraj (goute pake olye pou yo transmèt)
Ki sa ki presize nan pòtay: IP-address oswa koòdone?
Sistèm nan pèmèt ou presize tou de, pandan ke li pa sèmante epi li pa bay sijesyon si ou te fè yon bagay ki mal.
Adrès IP
Adrès pòtay la dwe aksesib sou Kouch2. Pou Ethernet, sa vle di ke routeur la dwe gen yon adrès ki soti nan menm subnet sou youn nan interfaces ip aktif yo, pou ppp, ke adrès la pòtay espesifye sou youn nan interfaces aktif yo kòm adrès la subnet.
Si kondisyon aksè pou Layer2 pa satisfè, wout la konsidere kòm inaktif epi li pa tonbe nan FIB la.
koòdone
Tout bagay se pi konplike ak konpòtman an nan routeur la depann sou kalite a nan koòdone:
- PPP (Async, PPTP, L2TP, SSTP, PPPoE, OpenVPN *) koneksyon sipoze sèlman de patisipan yo epi yo pral toujou voye pake a nan pòtay la pou transmisyon, si pòtay la detekte ke moun k ap resevwa a se tèt li, Lè sa a, li pral transfere pake a nan pwosesis lokal li yo.
- Ethernet sipoze prezans nan anpil patisipan epi yo pral voye demann nan koòdone nan arp ak adrès la nan moun k ap resevwa a nan pake a, sa a espere ak konpòtman byen nòmal pou wout konekte.
Men, lè ou eseye sèvi ak koòdone a kòm yon wout pou yon subnet aleka, ou pral jwenn sitiyasyon sa a: wout la se aktif, ping nan pòtay la pase, men li pa rive nan benefisyè a soti nan subnet espesifye a. Si ou gade nan koòdone nan yon sniffer, ou pral wè demann arp ak adrès ki soti nan yon subnet aleka.
Eseye presize adrès IP la kòm pòtay chak fwa sa posib. Eksepsyon an se konekte wout (kreye otomatikman) ak PPP (Async, PPTP, L2TP, SSTP, PPPoE, OpenVPN *) koòdone.
OpenVPN pa genyen yon header PPP, men ou ka itilize non koòdone OpenVPN pou kreye yon wout.
Plis spesifik wout
Règ routage de baz. Wout ki dekri pi piti sous-rezo a (ak pi gwo mas sous-rezo a) pran priyorite nan desizyon routage pake a. Pozisyon an nan antre yo nan tab la routage se pa enpòtan nan chwa a - règ prensipal la se Plis Espesifik.
Tout wout ki soti nan konplo espesifye yo aktif (ki sitiye nan FIB). lonje dwèt sou diferan sous-rezo epi yo pa konfli youn ak lòt.
Si youn nan pòtay yo vin pa disponib, yo pral konsidere wout ki asosye a inaktif (retire nan FIB la) epi yo pral chèche pake yo nan rès wout yo.
Wout la ak subnet 0.0.0.0/0 pafwa bay siyifikasyon espesyal epi yo rele "Default Route" oswa "Gateway nan dènye rekou". An reyalite, pa gen anyen majik sou li epi li tou senpleman gen ladan tout adrès IPv4 posib, men non sa yo dekri travay li byen - li endike pòtay la kote yo voye pake pou ki pa gen okenn lòt, wout ki pi egzak.
Mask subnet maksimòm posib pou IPv4 se /32, wout sa a lonje dwèt sou yon lame espesifik epi yo ka itilize nan tablo routage.
Konprann plis espesifik wout se fondamantal pou nenpòt aparèy TCP/IP.
Distans
Distans (oswa Metrics) obligatwa pou filtraj administratif wout ki mennen nan yon sèl sous-rezo ki aksesib atravè plizyè pòtay. Yon wout ki gen yon mezi ki pi ba yo konsidere kòm yon priyorite epi yo pral enkli nan FIB la. Si yon wout ki gen yon metrik ki pi ba sispann aktif, Lè sa a, li pral ranplase pa yon wout ki gen yon metrik ki pi wo nan FIB la.
Si gen plizyè wout nan menm sous-rezo a ak menm metrik la, routeur la pral ajoute sèlman youn nan yo nan tab la FIB, gide pa lojik entèn li yo.
Metrik la ka pran yon valè soti nan 0 a 255:
- 0 - Metrik pou wout ki konekte. Distans 0 pa kapab etabli pa administratè a
- 1-254 - Paramèt ki disponib pou administratè a pou fikse wout yo. Metri ki gen yon valè ki pi ba yo gen yon pi gwo priyorite
- 255 - Metrik ki disponib pou administratè a pou mete wout yo. Kontrèman ak 1-254, yon wout ki gen yon metrik 255 toujou rete inaktif epi li pa tonbe nan FIB la.
- mezi espesifik. Wout ki sòti nan pwotokòl routage dinamik gen valè metrik estanda
tcheke pòtay la
Tcheke pòtay se yon ekstansyon MikroTik RoutesOS pou tcheke disponiblite pòtay la atravè icmp oswa arp. Yon fwa chak 10 segonn (pa ka chanje), yo voye yon demann nan pòtay la, si yo pa resevwa repons lan de fwa, yo konsidere wout la pa disponib epi yo retire li nan FIB la. Si pòtay chèk la enfim wout chèk la ap kontinye epi wout la ap tounen aktif ankò apre yon chèk ki reyisi.
Tcheke pòtay enfim antre nan kote li se configuré ak tout lòt antre (nan tout tab routage ak wout ecmp) ak pòtay la espesifye.
An jeneral, chèk pòtay travay byen osi lontan ke pa gen pwoblèm ak pèt pake nan pòtay la. Tcheke pòtay pa konnen sa k ap pase ak kominikasyon deyò pòtay la tcheke, sa a mande zouti adisyonèl: scripts, routage rekursif, pwotokòl routage dinamik.
Pifò VPN ak pwotokòl tinèl yo genyen zouti entegre pou tcheke aktivite koneksyon, pèmèt tcheke pòtay pou yo se yon chaj adisyonèl (men piti anpil) sou rezo a ak pèfòmans aparèy.
Wout ECMP
Egal-Cost Multi-Path - voye pake bay moun k ap resevwa a lè l sèvi avèk plizyè pòtay ansanm ak algorithm Round Robin la.
Administratè a kreye yon wout ECMP lè li espesifye plizyè pòtay pou yon sèl sous-rezo (oswa otomatikman, si gen de wout OSPF ekivalan).
ECMP yo itilize pou balanse chaj ant de chanèl, nan teyori, si gen de chanèl nan wout la ecmp, Lè sa a, pou chak pake chanèl sortan an ta dwe diferan. Men, mekanis nan kachèt Routing voye pake soti nan koneksyon an sou wout la ke premye pake a te pran, kòm yon rezilta, nou jwenn yon kalite balanse ki baze sou koneksyon (pou chak koneksyon loading balanse).
Si ou enfim Routing Cache, Lè sa a, pake yo nan wout ECMP yo pral pataje kòrèkteman, men gen yon pwoblèm ak NAT. Règ NAT trete sèlman premye pake ki soti nan koneksyon an (rès yo trete otomatikman), epi li sanble ke pake ki gen menm adrès sous la kite koòdone diferan.
Tcheke pòtay pa travay nan wout ECMP (ensèk RouterOS). Men, ou ka jwenn limit sa a lè w kreye lòt wout validation ki pral enfim antre nan ECMP.
Filtrage pa mwayen Routage
Opsyon Kalite a detèmine kisa pou w fè ak pake a:
- unicast - voye bay pòtay espesifye (koòdone)
- blackhole - jete yon pake
- entèdi, inaccessible - jete pake a epi voye yon mesaj icmp bay moun k la
Filtraj se anjeneral yo itilize lè li nesesè an sekirite voye pakè nan move direksyon an, nan kou, ou ka filtre sa a nan firewall la.
Yon koup nan egzanp
Pou konsolide bagay debaz yo sou routage.
Routeur lakay tipik
/ip route
add dst-address=0.0.0.0/0 gateway=10.10.10.1- Wout estatik nan 0.0.0.0/0 (default wout)
- Konekte wout sou koòdone ak founisè a
- Wout konekte sou koòdone LAN
Tipik routeur lakay ak PPPoE
- Wout estatik nan wout default, te ajoute otomatikman. li espesifye nan pwopriyete koneksyon
- Wout konekte pou koneksyon PPP
- Wout konekte sou koòdone LAN
Tipik routeur lakay ak de founisè ak redondance
/ip route
add dst-address=0.0.0.0/0 gateway=10.10.10.1 distance=1 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=10.20.20.1 distance=2- Wout estatik nan wout default atravè premye founisè a ak metrik 1 ak chèk disponiblite pòtay
- Wout estatik nan wout default nan dezyèm founisè ak metrik 2
- Wout konekte
Trafik nan 0.0.0.0/0 ale nan 10.10.10.1 pandan ke pòtay sa a disponib, otreman li chanje a 10.20.20.1
Tankou yon konplo ka konsidere kòm yon rezèvasyon chanèl, men li se pa san dezavantaj. Si yon repo fèt deyò pòtay founisè a (pa egzanp, andedan rezo operatè a), routeur ou a p ap konnen sou li epi yo pral kontinye konsidere wout la kòm aktif.
Tipik routeur lakay ak de founisè, redondance ak ECMP
/ip route
add dst-address=0.0.0.0/0 gateway=10.10.10.1 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=10.20.20.1 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=10.10.10.1,10.20.20.1 distance=1- Wout estatik pou tcheke pòtay chack
- wout ECMP
- Wout konekte
Wout yo tcheke yo ble (koulè wout inaktif), men sa pa entèfere ak pòtay chèk la. Vèsyon aktyèl la (6.44) nan RoS bay priyorite otomatik wout ECMP la, men li pi bon pou ajoute wout tès nan lòt tab routage (opsyon. routing-mark)
Sou Speedtest ak lòt sit ki sanble, pa pral gen ogmantasyon nan vitès (ECMP divize trafik pa koneksyon, pa pa pake), men aplikasyon p2p yo ta dwe telechaje pi vit.
Filtrage via routage
/ip route
add dst-address=0.0.0.0/0 gateway=10.10.10.1
add dst-address=192.168.200.0/24 gateway=10.30.30.1 distance=1
add dst-address=192.168.200.0/24 gateway=10.10.10.1 distance=2 type=blackhole- Wout estatik nan wout default
- Wout estatik nan 192.168.200.0/24 sou tinèl ipip
- Entèdi wout estatik nan 192.168.200.0/24 atravè ISP routeur
Yon opsyon filtraj kote trafik tinèl pa pral ale nan routeur founisè a lè koòdone ipip la enfim. Konplo sa yo raman obligatwa, paske ou ka aplike bloke atravè firewall la.
Bouk routage
Routing bouk - yon sitiyasyon lè yon pake kouri ant routeurs anvan ttl la ekspire. Anjeneral li se rezilta yon erè konfigirasyon, nan gwo rezo li trete pa aplikasyon an nan pwotokòl routage dinamik, nan ti yo - ak swen.
Li sanble yon bagay tankou sa a:
Yon egzanp (pi senp) sou fason pou jwenn yon rezilta menm jan an:
Egzanp routage bouk la pa sèvi ak pratik, men li montre ke routeurs pa gen okenn lide sou tab routage vwazen yo.
Policy Baz Routage ak Tablo Routing Adisyonèl
Lè w ap chwazi yon wout, routeur la sèvi ak yon sèl jaden nan header pake a (Dst. Adrès) - sa a se routage debaz. Wout ki baze sou lòt kondisyon, tankou adrès sous, kalite trafik (ToS), balanse san ECMP, fè pati Policy Base Routing (PBR) epi li itilize tab routage adisyonèl.
Plis spesifik wout se règ seleksyon wout prensipal la nan tablo routage la.
Pa default, tout règ routage yo ajoute nan tablo prensipal la. Administratè a ka kreye yon kantite abitrè tab routage adisyonèl ak pake wout yo. Règ nan tab diferan pa konfli youn ak lòt. Si pake a pa jwenn yon règ apwopriye nan tab la espesifye, li pral ale nan tab prensipal la.
Egzanp ak distribisyon atravè Firewall:
- 192.168.100.10 -> 8.8.8.8
- Trafik soti nan 192.168.100.10 vin make via-isp1 в
[Prerouting|Mangle] - Nan etap nan Routage nan tablo a via-isp1 chèche yon wout pou 8.8.8.8
- Yo jwenn wout, trafik yo voye sou pòtay 10.10.10.1
- Trafik soti nan 192.168.100.10 vin make via-isp1 в
- 192.168.200.20 -> 8.8.8.8
- Trafik soti nan 192.168.200.20 vin make via-isp2 в
[Prerouting|Mangle] - Nan etap nan Routage nan tablo a via-isp2 chèche yon wout pou 8.8.8.8
- Yo jwenn wout, trafik yo voye sou pòtay 10.20.20.1
- Trafik soti nan 192.168.200.20 vin make via-isp2 в
- Si youn nan pòtay yo (10.10.10.1 oswa 10.20.20.1) vin pa disponib, Lè sa a, pake a pral ale nan tab la. prensipal epi yo pral chèche yon wout apwopriye la
Pwoblèm tèminoloji
RouterOS gen sèten pwoblèm tèminoloji.
Lè w ap travay ak règ nan [IP]->[Routes] se tab la routage endike, byenke li ekri ke etikèt la:
В [IP]->[Routes]->[Rule] tout bagay kòrèk, nan kondisyon etikèt la nan aksyon tab la:
Ki jan yo voye yon pake nan yon tab routage espesifik
RouterOS bay plizyè zouti:
- Règ nan
[IP]->[Routes]->[Rules] - Makè wout (
action=mark-routing) an[IP]->[Firewall]->[Mangle] - VRF
Règleman [IP]->[Route]->[Rules]
Règ yo trete sekans, si pake a matche ak kondisyon yo nan règ la, li pa pase pi lwen.
Règ routage pèmèt ou elaji posiblite yo nan routage, konte pa sèlman sou adrès moun k ap resevwa a, men tou sou adrès sous la ak koòdone sou ki pake a te resevwa.
Règ yo konpoze de kondisyon ak yon aksyon:
- Kondisyon. Pratikman repete lis siy pakè a tcheke nan FIB la, se sèlman ToS ki manke.
- Aksyon yo
- rechèch - voye yon pake sou yon tab
- rechèch sèlman nan tab la - fèmen pake a nan tab la, si wout la pa jwenn, pake a pa pral ale nan tab prensipal la
- gout - lage yon pake
- inaccessible - jete pake a ak notifikasyon moun k ap voye a
Nan FIB, trafik nan pwosesis lokal yo trete kontoune règ yo [IP]->[Route]->[Rules]:
Make [IP]->[Firewall]->[Mangle]
Etikèt routage pèmèt ou mete pòtay la pou yon pake lè l sèvi avèk prèske nenpòt kondisyon Firewall:
Pratikman, paske se pa tout nan yo fè sans, ak kèk ka travay enstab.
Gen de fason pou make yon pake:
- Menm lè a mete mak routage
- Mete premye koneksyon-mak, Lè sa a, ki baze sou koneksyon-mak mete mak routage
Nan yon atik sou firewall, mwen te ekri ke dezyèm opsyon an pi preferab. diminye chaj la sou CPU a, nan ka make wout - sa a se pa totalman vre. Metòd make sa yo pa toujou ekivalan epi yo anjeneral yo itilize pou rezoud pwoblèm divès kalite.
Men kèk egzanp sou itilize
Ann ale nan egzanp yo itilize Policy Base Routing, yo pi fasil pou montre poukisa tout bagay sa yo nesesè.
MultiWAN ak retounen sòtan (Sòti) trafik
Yon pwoblèm komen ak yon konfigirasyon MultiWAN: Mikrotik disponib sou entènèt la sèlman atravè yon founisè "aktif".
Routeur la pa pran swen ki IP demann lan te vini, lè jenere yon repons, li pral gade pou yon wout nan tab la routage kote wout la nan isp1 aktif. Anplis de sa, yon pake konsa pral gen plis chans pou yo filtre sou wout la nan moun k ap resevwa a.
Yon lòt pwen enteresan. Si yon "senp" sous nat configuré sou koòdone ether1 la: /ip fi nat add out-interface=ether1 action=masquerade pake a pral ale sou entènèt ak src. adrès = 10.10.10.100, ki fè bagay sa yo menm vin pi mal.
Gen plizyè fason pou rezoud pwoblèm nan, men nenpòt nan yo pral mande pou lòt tab routage:
/ip route
add dst-address=0.0.0.0/0 gateway=10.10.10.1 check-gateway=ping distance=1
add dst-address=0.0.0.0/0 gateway=10.20.20.1 check-gateway=ping distance=2
add dst-address=0.0.0.0/0 gateway=10.10.10.1 routing-mark=over-isp1
add dst-address=0.0.0.0/0 gateway=10.20.20.1 routing-mark=over-isp2Sèvi ak [IP]->[Route]->[Rules]
Espesifye tab routage ke yo pral itilize pou pake ki gen IP Sous espesifye a.
/ip route rule
add src-address=10.10.10.100/32 action=lookup-only-in-table table=over-isp1
add src-address=10.20.20.200/32 action=lookup-only-in-table table=over-isp2Ka itilize action=lookup, men pou trafik lokal sortan, opsyon sa a konplètman eskli koneksyon ki soti nan koòdone nan move.
- Sistèm nan jenere yon pake repons ak Src. Adrès: 10.20.20.200
- Chèk etap Desizyon Route(2).
[IP]->[Routes]->[Rules]epi yo voye pake a sou tab la routage sou-isp2 - Dapre tablo routage a, yo dwe voye pake a nan pòtay 10.20.20.1 atravè koòdone ether2 la.
Metòd sa a pa mande pou yon Tracker Koneksyon k ap travay, kontrèman ak lè l sèvi avèk tab la Mangle.
Sèvi ak [IP]->[Firewall]->[Mangle]
Koneksyon an kòmanse ak yon pake fèk ap rantre, kidonk nou make li (action=mark-connection), pou pake sortan ki soti nan yon koneksyon ki make, mete etikèt sou wout la (action=mark-routing).
/ip firewall mangle
#Маркировка входящих соединений
add chain=input in-interface=ether1 connection-state=new action=mark-connection new-connection-mark=from-isp1
add chain=input in-interface=ether2 connection-state=new action=mark-connection new-connection-mark=from-isp2
#Маркировка исходящих пакетов на основе соединений
add chain=output connection-mark=from-isp1 action=mark-routing new-routing-mark=over-isp1 passthrough=no
add chain=output connection-mark=from-isp2 action=mark-routing new-routing-mark=over-isp2 passthrough=noSi plizyè ips yo configuré sou yon sèl koòdone, ou ka ajoute nan kondisyon an dst-address pou asire w.
- Yon pake ouvè koneksyon an sou koòdone ether2 la. Pake a antre nan
[INPUT|Mangle]ki di make tout pakè soti nan koneksyon an kòm soti nan-isp2 - Sistèm nan jenere yon pake repons ak Src. Adrès: 10.20.20.200
- Nan etap la Desizyon routage (2), pake a, an akò ak tab la routage, yo voye nan pòtay la 10.20.20.1 atravè koòdone nan ether1. Ou ka verifye sa lè w konekte pakè yo
[OUTPUT|Filter] - Nan etap la
[OUTPUT|Mangle]se etikèt koneksyon tcheke soti nan-isp2 epi pake a resevwa yon etikèt sou wout sou-isp2 - Etap Ajisteman routage(3) tcheke pou prezans yon etikèt routage epi voye li nan tab routage ki apwopriye a.
- Dapre tablo routage a, yo dwe voye pake a nan pòtay 10.20.20.1 atravè koòdone ether2 la.
MultiWAN epi retounen trafik dst-nat
Yon egzanp ki pi konplike se sa pou w fè si gen yon sèvè (pa egzanp, entènèt) dèyè routeur la sou yon subnet prive epi ou bezwen bay aksè a li atravè nenpòt nan founisè yo.
/ip firewall nat
add chain=dstnat proto=tcp dst-port=80,443 in-interface=ether1 action=dst-nat to-address=192.168.100.100
add chain=dstnat proto=tcp dst-port=80,443 in-interface=ether2 action=dst-nat to-address=192.168.100.100Sans nan pwoblèm nan pral menm, solisyon an se menm jan ak opsyon nan Firewall Mangle, sèlman lòt chenn yo pral itilize:
/ip firewall mangle
add chain=prerouting connection-state=new in-interface=ether1 protocol=tcp dst-port=80,443 action=mark-connection new-connection-mark=web-input-isp1
add chain=prerouting connection-state=new in-interface=ether2 protocol=tcp dst-port=80,443 action=mark-connection new-connection-mark=web-input-isp2
add chain=prerouting connection-mark=web-input-isp1 in-interface=ether3 action=mark-routing new-routing-mark=over-isp1 passthrough=no
add chain=prerouting connection-mark=web-input-isp2 in-interface=ether3 action=mark-routing new-routing-mark=over-isp2 passthrough=no
Dyagram nan pa montre NAT, men mwen panse tout bagay klè.
MultiWAN ak koneksyon sortan
Ou ka itilize kapasite PBR yo pou kreye plizyè vpn (SSTP nan egzanp lan) koneksyon ki soti nan diferan interfaces routeur.
Tablo routage adisyonèl:
/ip route
add dst-address=0.0.0.0/0 gateway=192.168.100.1 routing-mark=over-isp1
add dst-address=0.0.0.0/0 gateway=192.168.200.1 routing-mark=over-isp2
add dst-address=0.0.0.0/0 gateway=192.168.0.1 routing-mark=over-isp3
add dst-address=0.0.0.0/0 gateway=192.168.100.1 distance=1
add dst-address=0.0.0.0/0 gateway=192.168.200.1 distance=2
add dst-address=0.0.0.0/0 gateway=192.168.0.1 distance=3Mak pakè:
/ip firewall mangle
add chain=output dst-address=10.10.10.100 proto=tcp dst-port=443 action=mark-routing new-routing-mark=over-isp1 passtrough=no
add chain=output dst-address=10.10.10.101 proto=tcp dst-port=443 action=mark-routing new-routing-mark=over-isp2 passtrough=no
add chain=output dst-address=10.10.10.102 proto=tcp dst-port=443 action=mark-routing new-routing-mark=over-isp3 passtrough=noRèg NAT senp, otreman pake a pral kite koòdone a ak Src a mal. adrès:
/ip firewall nat
add chain=srcnat out-interface=ether1 action=masquerade
add chain=srcnat out-interface=ether2 action=masquerade
add chain=srcnat out-interface=ether3 action=masqueradePasaj:
- Routeur kreye twa pwosesis SSTP
- Nan etap Desizyon routage (2), yo chwazi yon wout pou pwosesis sa yo ki baze sou tablo routage prensipal la. Soti nan menm wout la, pake a resevwa Src. Adrès mare nan koòdone ether1
- В
[Output|Mangle]pake ki soti nan diferan koneksyon resevwa etikèt diferan - Pake yo antre nan tab ki koresponn ak etikèt yo nan etap Ajisteman Wout la epi resevwa yon nouvo wout pou voye pake yo.
- Men, pakè yo toujou gen Src. Adrès soti nan ether1, sou sèn
[Nat|Srcnat]adrès la ranplase dapre koòdone a
Enteresan, sou routeur la ou pral wè tab koneksyon sa a:
Connection Tracker travay pi bonè [Mangle] и [Srcnat], Se konsa, tout koneksyon soti nan menm adrès la, si ou gade nan plis detay, Lè sa a, nan Replay Dst. Address pral gen adrès apre NAT:
Sou sèvè VPN a (mwen gen youn sou ban tès la), ou ka wè ke tout koneksyon soti nan adrès kòrèk yo:
Tann yon fason
Gen yon fason ki pi fasil, ou ka tou senpleman presize yon pòtay espesifik pou chak nan adrès yo:
/ip route
add dst-address=10.10.10.100 gateway=192.168.100.1
add dst-address=10.10.10.101 gateway=192.168.200.1
add dst-address=10.10.10.102 gateway=192.168.0.1Men, wout sa yo pral afekte non sèlman sòtan, men tou trafik transpò piblik. Anplis de sa, si ou pa bezwen trafik sou sèvè vpn pou ale nan chanèl kominikasyon ki pa apwopriye, Lè sa a, w ap oblije ajoute 6 règ plis pou [IP]->[Routes]с type=blackhole. Nan vèsyon anvan an - 3 règ nan [IP]->[Route]->[Rules].
Distribisyon koneksyon itilizatè pa chanèl kominikasyon
Travay senp, chak jou. Yon fwa ankò, tab routage adisyonèl yo pral bezwen:
/ip route
add dst-address=0.0.0.0/0 gateway=10.10.10.1 dist=1 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=10.20.20.1 dist=2 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=10.10.10.1 dist=1 routing-mark=over-isp1
add dst-address=0.0.0.0/0 gateway=10.20.20.1 dist=1 routing-mark=over-isp2Sèvi ak [IP]->[Route]->[Rules]
/ip route rules
add src-address=192.168.100.0/25 action=lookup-only-in-table table=over-isp1
add src-address=192.168.100.128/25 action=lookup-only-in-table table=over-isp2Si ou itilize action=lookup, Lè sa a, lè youn nan chanèl yo enfim, trafik la pral ale nan tab prensipal la epi ale nan kanal la ap travay. Si sa nesesè oswa ou pa depann de travay la.
Sèvi ak mak yo nan [IP]->[Firewall]->[Mangle]
Yon egzanp senp ak lis adrès ip. Nan prensip, prèske nenpòt kondisyon ka itilize. Sèl avètisman nan layer7, menm lè yo asosye ak etikèt koneksyon, li ka sanble ke tout bagay ap travay kòrèkteman, men kèk nan trafik la ap toujou ale nan move chemen an.
/ip firewall mangle
add chain=prerouting src-address-list=users-over-isp1 dst-address-type=!local action=mark-routing new-routing-mark=over-isp1
add chain=prerouting src-address-list=users-over-isp2 dst-address-type=!local action=mark-routing new-routing-mark=over-isp2Ou ka "bloke" itilizatè yo nan yon sèl tab routage nan [IP]->[Route]->[Rules]:
/ip route rules
add routing-mark=over-isp1 action=lookup-only-in-table table=over-isp1
add routing-mark=over-isp2 action=lookup-only-in-table table=over-isp2Swa atravè [IP]->[Firewall]->[Filter]:
/ip firewall filter
add chain=forward routing-mark=over-isp1 out-interface=!ether1 action=reject
add chain=forward routing-mark=over-isp2 out-interface=!ether2 action=rejectRetreat pro dst-address-type=!local
Kondisyon adisyonèl dst-address-type=!local li nesesè ke trafik soti nan itilizatè yo rive nan pwosesis lokal yo nan routeur la (dns, winbox, ssh, ...). Si plizyè subnet lokal yo konekte ak routeur la, li nesesè asire ke trafik ki genyen ant yo pa ale nan entènèt la, pou egzanp, lè l sèvi avèk dst-address-table.
Nan egzanp lè l sèvi avèk [IP]->[Route]->[Rules] pa gen okenn eksepsyon sa yo, men trafik rive nan pwosesis lokal yo. Reyalite a se ke antre nan pake a FIB make nan [PREROUTING|Mangle] gen yon etikèt wout epi li antre nan yon tab routage lòt pase prensipal, kote pa gen okenn koòdone lokal yo. Nan ka Règ routage, premye tcheke si pake a gen entansyon pou yon pwosesis lokal epi sèlman nan etap Itilizatè PBR la li ale nan tab la routage espesifye.
Sèvi ak [IP]->[Firewall]->[Mangle action=route]
Aksyon sa a sèlman travay nan [Prerouting|Mangle] epi pèmèt ou dirije trafik nan pòtay ki espesifye a san yo pa itilize tab routage adisyonèl, lè w espesifye adrès pòtay la dirèkteman:
/ip firewall mangle
add chain=prerouting src-address=192.168.100.0/25 action=route gateway=10.10.10.1
add chain=prerouting src-address=192.168.128.0/25 action=route gateway=10.20.20.1efè route gen yon priyorite ki pi ba pase règ routage ([IP]->[Route]->[Rules]). Nan ka a nan mak wout, tout bagay depann sou pozisyon nan règ yo, si règ la ak action=route vo plis pase action=mark-route, Lè sa a, li pral itilize (kèlkeswa drapo a passtrough), otreman make wout la.
Gen anpil ti enfòmasyon sou wiki sou aksyon sa a ak tout konklizyon yo jwenn eksperimantal, nan nenpòt ka, mwen pa t 'jwenn opsyon lè w ap itilize opsyon sa a bay avantaj sou lòt moun.
PPC baze balanse dinamik
Pou Klasifikasyon Koneksyon - se yon analòg ki pi fleksib nan ECMP. Kontrèman ak ECMP, li divize trafik pa koneksyon pi estrikteman (ECMP pa konnen anyen sou koneksyon, men lè pè ak Routing Cache, yo jwenn yon bagay ki sanble).
PCC pran jaden espesifye soti nan header la ip, konvèti yo nan yon valè 32-bit, epi divize pa denominatè. Rès divizyon an konpare ak espesifye a rès epi si yo matche, Lè sa a, aksyon an espesifye aplike. . Son fou, men li travay.
Egzanp ak twa adrès:
192.168.100.10: 192+168+100+10 = 470 % 3 = 2
192.168.100.11: 192+168+100+11 = 471 % 3 = 0
192.168.100.12: 192+168+100+12 = 472 % 3 = 1Yon egzanp distribisyon dinamik nan trafik pa src.address ant twa chanèl:
#Таблица маршрутизации
/ip route
add dst-address=0.0.0.0/0 gateway=10.10.10.1 dist=1 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=10.20.20.1 dist=2 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=10.30.30.1 dist=3 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=10.10.10.1 dist=1 routing-mark=over-isp1
add dst-address=0.0.0.0/0 gateway=10.20.20.1 dist=1 routing-mark=over-isp2
add dst-address=0.0.0.0/0 gateway=10.30.30.1 dist=1 routing-mark=over-isp3
#Маркировка соединений и маршрутов
/ip firewall mangle
add chain=prerouting in-interface=br-lan dst-address-type=!local connection-state=new per-connection-classifier=src-address:3/0 action=mark-connection new-connection-mark=conn-over-isp1
add chain=prerouting in-interface=br-lan dst-address-type=!local connection-state=new per-connection-classifier=src-address:3/1 action=mark-connection new-connection-mark=conn-over-isp2
add chain=prerouting in-interface=br-lan dst-address-type=!local connection-state=new per-connection-classifier=src-address:3/2 action=mark-connection new-connection-mark=conn-over-isp3
add chain=prerouting in-interface=br-lan connection-mark=conn-over-isp1 action=mark-routing new-routing-mark=over-isp1
add chain=prerouting in-interface=br-lan connection-mark=conn-over-isp2 action=mark-routing new-routing-mark=over-isp2
add chain=prerouting in-interface=br-lan connection-mark=conn-over-isp3 action=mark-routing new-routing-mark=over-isp3Lè w make wout, gen yon lòt kondisyon: in-interface=br-lan, san li anba action=mark-routing trafik repons soti nan Entènèt la pral jwenn epi, an akò ak tab routage yo, pral tounen nan founisè a.
Chanje chanèl kominikasyon yo
Tcheke ping se yon bon zouti, men li sèlman tcheke koneksyon an ak parèy IP ki pi pre a, rezo founisè yo anjeneral konpoze de yon gwo kantite routeurs ak yon kraze koneksyon ka rive deyò kanmarad ki pi pre a, ak Lè sa a, gen operatè telecom zo rèl do ki ka tou. gen pwoblèm, an jeneral tcheke ping pa toujou montre ajou enfòmasyon sou aksè nan rezo mondyal la.
Si founisè yo ak gwo kòporasyon yo gen pwotokòl routage dinamik BGP, Lè sa a, itilizatè kay ak biwo yo dwe poukont yo konnen ki jan yo tcheke aksè Entènèt atravè yon kanal kominikasyon espesifik.
Tipikman, scripts yo itilize ki, atravè yon kanal kominikasyon sèten, tcheke disponiblite a nan yon adrès IP sou entènèt la, pandan y ap chwazi yon bagay serye, pou egzanp, google dns: 8.8.8.8. 8.8.4.4. Men, nan kominote Mikrotik la, yon zouti ki pi enteresan yo te adapte pou sa.
Yon kèk mo sou routage rekursif
Rekursif routage nesesè lè bati Multihop BGP peering ak antre nan atik la sou Basics yo nan routage estatik sèlman akòz rize itilizatè MikroTik ki kalkile ki jan yo sèvi ak wout repetitif pè ak pòtay chèk chanje chanèl kominikasyon san scripts adisyonèl.
Li lè pou w konprann opsyon sijè ki abòde / sib yo an tèm jeneral ak fason wout la mare nan koòdone a:
- Wout la gade yon koòdone pou voye pake a ki baze sou valè dimansyon li yo ak tout antre nan tablo prensipal la ki gen mwens pase oswa egal valè dimansyon sib.
- Soti nan koòdone yo jwenn, se youn nan kote ou ka voye yon pake nan pòtay la espesifye
- Se koòdone nan jwenn konekte antre a chwazi voye pake a nan pòtay la
Nan prezans yon wout repetitif, tout bagay rive menm jan an, men nan de etap:
- 1-3 Yo ajoute yon lòt wout sou wout ki konekte yo, kote yo ka rive jwenn pòtay espesifye a
- 4-6 Jwenn wout ki konekte wout la pou pòtay "entèmedyè".
Tout manipilasyon ak rechèch rekursif rive nan RIB la, epi sèlman rezilta final la transfere nan FIB la: 0.0.0.0/0 via 10.10.10.1 on ether1.
Yon egzanp lè w sèvi ak routage rekursif pou chanje wout
Konfigirasyon:
/ip route
add dst-address=0.0.0.0/0 gateway=8.8.8.8 check-gateway=ping distance=1 target-scope=10
add dst-address=8.8.8.8 gateway=10.10.10.1 scope=10
add dst-address=0.0.0.0/0 gateway=10.20.20.1 distance=2Ou ka tcheke si yo pral voye pake yo nan 10.10.10.1:
Tcheke pòtay pa konnen anyen sou routage rekursif epi tou senpleman voye ping nan 8.8.8.8, ki (ki baze sou tablo prensipal la) aksesib atravè pòtay 10.10.10.1.
Si gen yon pèt kominikasyon ant 10.10.10.1 ak 8.8.8.8, Lè sa a, wout la dekonekte, men pake (ki gen ladan ping tès) nan 8.8.8.8 kontinye ale nan 10.10.10.1:
Si lyen ki mennen nan ether1 pèdi, Lè sa a, yon sitiyasyon dezagreyab rive lè pake anvan 8.8.8.8 pase nan dezyèm founisè a:
Sa a se yon pwoblèm si w ap itilize NetWatch pou kouri scripts lè 8.8.8.8 pa disponib. Si lyen an kase, NetWatch pral tou senpleman travay atravè kanal kominikasyon backup epi asime ke tout bagay anfòm. Rezoud lè w ajoute yon wout filtre adisyonèl:
/ip route
add dst-address=8.8.8.8 gateway=10.20.20.1 distance=100 type=blackhole
Gen sou habré , kote sitiyasyon an ak NetWatch konsidere an plis detay.
Ak repons lan se wi, lè w ap itilize yon rezèvasyon sa a, adrès 8.8.8.8 la pral branche nan youn nan founisè yo, kidonk chwazi li kòm yon sous dns se pa yon bon lide.
Kèk mo sou Virtual Routing and Forwarding (VRF)
Teknoloji VRF fèt pou kreye plizyè routè vityèl nan yon sèl fizik, se teknoloji sa a lajman ki itilize pa operatè telecom (anjeneral ansanm ak MPLS) pou bay sèvis L3VPN a kliyan ki gen adrès subnet ki sipèpoze:
Men, VRF nan Mikrotik òganize sou baz routage tab e li gen yon kantite dezavantaj, pou egzanp, adrès IP lokal yo nan routeur la disponib nan tout VRFs, ou ka li plis .
egzanp konfigirasyon vrf:
/ip route vrf
add interfaces=ether1 routing-mark=vrf1
add interfaces=ether2 routing-mark=vrf2
/ip address
add address=192.168.100.1/24 interface=ether1 network=192.168.100.0
add address=192.168.200.1/24 interface=ether2 network=192.168.200.0Soti nan aparèy la ki konekte ak ether2, nou wè ke ping ale nan adrès routeur la soti nan yon lòt vrf (e sa a se yon pwoblèm), pandan y ap ping pa ale nan entènèt la:
Pou jwenn aksè nan Entènèt la, ou bezwen anrejistre yon wout adisyonèl ki gen aksè nan tablo prensipal la (nan tèminoloji vrf, yo rele sa a wout koule):
/ip route
add distance=1 gateway=172.17.0.1@main routing-mark=vrf1
add distance=1 gateway=172.17.0.1%wlan1 routing-mark=vrf2Men de fason pou koule wout la: lè l sèvi avèk tab routage la: 172.17.0.1@main epi itilize non koòdone: 172.17.0.1%wlan1.
Epi mete make pou trafik retounen nan [PREROUTING|Mangle]:
/ip firewall mangle
add chain=prerouting in-interface=ether1 action=mark-connection new-connection-mark=from-vrf1 passthrough=no
add chain=prerouting connection-mark=from-vrf1 routing-mark=!vrf1 action=mark-routing new-routing-mark=vrf1 passthrough=no
add chain=prerouting in-interface=ether2 action=mark-connection new-connection-mark=from-vrf2 passthrough=no
add chain=prerouting connection-mark=from-vrf2 routing-mark=!vrf1 action=mark-routing new-routing-mark=vrf2 passthrough=no
Sou-rezo ki gen menm adrès la
Òganizasyon aksè nan subnet ak menm adrès sou menm routeur la lè l sèvi avèk VRF ak netmap:
Konfigirasyon debaz:
/ip route vrf
add interfaces=ether1 routing-mark=vrf1
add interfaces=ether2 routing-mark=vrf2
/ip address
add address=192.168.100.1/24 interface=ether1 network=192.168.100.0
add address=192.168.100.1/24 interface=ether2 network=192.168.100.0
add address=192.168.0.1/24 interface=ether3 network=192.168.0.0règ firewall:
#Маркируем пакеты для отправки в правильную таблицу маршрутизации
/ip firewall mangle
add chain=prerouting dst-address=192.168.101.0/24 in-interface=ether3 action=mark-routing new-routing-mark=vrf1 passthrough=no
add chain=prerouting dst-address=192.168.102.0/24 in-interface=ether3 action=mark-routing new-routing-mark=vrf2 passthrough=no
#Средствами netmap заменяем адреса "эфимерных" подсетей на реальные подсети
/ip firewall nat
add chain=dstnat dst-address=192.168.101.0/24 in-interface=ether3 action=netmap to-addresses=192.168.100.0/24
add chain=dstnat dst-address=192.168.102.0/24 in-interface=ether3 action=netmap to-addresses=192.168.100.0/24Règ wout pou trafik retounen:
#Указание имени интерфейса тоже может считаться route leaking, но по сути тут создается аналог connected маршрута
/ip route
add distance=1 dst-address=192.168.0.0/24 gateway=ether3 routing-mark=vrf1
add distance=1 dst-address=192.168.0.0/24 gateway=ether3 routing-mark=vrf2Ajoute wout ki resevwa atravè dhcp nan yon tab routage bay yo
VRF ka enteresan si ou bezwen otomatikman ajoute yon wout dinamik (pa egzanp, soti nan yon kliyan dhcp) nan yon tab routage espesifik.
Ajoute koòdone nan vrf:
/ip route vrf
add interface=ether1 routing-mark=over-isp1Règ pou voye trafik (sòtan ak transpò piblik) atravè tab la sou-isp1:
/ip firewall mangle
add chain=output out-interface=!br-lan action=mark-routing new-routing-mark=over-isp1 passthrough=no
add chain=prerouting in-interface=br-lan dst-address-type=!local action=mark-routing new-routing-mark=over-isp1 passthrough=noLòt, fo wout pou wout sortant nan travay:
/interface bridge
add name=bare
/ip route
add dst-address=0.0.0.0/0 gateway=bareWout sa a se sèlman nesesè pou pake lokal sortan yo ka pase nan desizyon an Routage (2) anvan [OUTPUT|Mangle] epi jwenn etikèt la routage, si gen lòt wout aktif sou routeur la anvan 0.0.0.0/0 nan tablo prensipal la, li pa obligatwa.
chenn connected-in и dynamic-in в [Routing] -> [Filters]
Filtraj wout (entrant ak sortant) se yon zouti ki anjeneral yo itilize ansanm ak pwotokòl routage dinamik (ak Se poutèt sa disponib sèlman apre enstale pake a. routage), men gen de chenn enteresan nan filtè k ap fèk ap rantre yo:
- connect-in — filtraj wout konekte
- dynamic-in - filtraj wout dinamik resevwa pa PPP ak DCHP
Filtrage pèmèt ou pa sèlman jete wout, men tou, chanje yon kantite opsyon: distans, routage-mark, kòmantè, dimansyon, sijè ki abòde sib, ...
Sa a se yon zouti trè presi epi si ou ka fè yon bagay san filtè routage (men pa scripts), Lè sa a, pa sèvi ak filtè routage, pa konfonn tèt ou ak moun ki pral configured routeur la apre ou. Nan kontèks routage dinamik, filtè routage yo pral itilize pi souvan ak plis pwodiktif.
Mete mak routage pou wout dinamik yo
Yon egzanp nan yon routeur lakay ou. Mwen gen de koneksyon vpn configuré e trafik nan yo ta dwe vlope an akò ak tab routage yo. An menm tan an, mwen vle yo kreye wout yo otomatikman lè koòdone a aktive:
#При создании vpn подключений указываем создание default route и задаем дистанцию
/interface pptp-client
add connect-to=X.X.X.X add-default-route=yes default-route-distance=101 ...
add connect-to=Y.Y.Y.Y add-default-route=yes default-route-distance=100 ...
#Фильтрами отправляем маршруты в определенные таблицы маршрутизации на основе подсети назначения и дистанции
/routing filter
add chain=dynamic-in distance=100 prefix=0.0.0.0/0 action=passthrough set-routing-mark=over-vpn1
add chain=dynamic-in distance=101 prefix=0.0.0.0/0 action=passthrough set-routing-mark=over-vpn2Mwen pa konnen poukisa, pwobableman yon ensèk, men si ou kreye yon vrf pou koòdone nan ppp, Lè sa a, wout la nan 0.0.0.0/0 ap toujou antre nan tablo prensipal la. Sinon, tout bagay ta menm pi fasil.
Enfim Wout Konekte
Pafwa sa nesesè:
/route filter
add chain=connected-in prefix=192.168.100.0/24 action=rejectZouti debogaj
RouterOS bay yon kantite zouti pou debogaj routage:
[Tool]->[Tourch]- pèmèt ou wè pake sou interfaces/ip route check- pèmèt ou wè nan ki pòtay yo pral voye pake a, pa travay ak tab routage/ping routing-table=<name>и/tool traceroute routing-table=<name>- ping ak trase lè l sèvi avèk tab la routage espesifyeaction=logв[IP]->[Firewall]- yon zouti ekselan ki pèmèt ou trase chemen an nan yon pake sou koule nan pake, aksyon sa a disponib nan tout chenn ak tab
Sous: www.habr.com