Multivan და მარშრუტიზაცია Mikrotik RouterOS-ზე

შესავალი

სტატიის მიღება, გარდა ამაოებისა, გამოწვეული იყო ამ თემაზე კითხვების დამთრგუნველი სიხშირით რუსულენოვანი ტელეგრამის საზოგადოების პროფილის ჯგუფებში. სტატია გამიზნულია დამწყები Mikrotik RouterOS (შემდგომში ROS) ადმინისტრატორებისთვის. ის ეხება მხოლოდ მულტივენს, აქცენტით მარშრუტიზაციაზე. როგორც ბონუსი, არის მინიმალური საკმარისი პარამეტრები უსაფრთხო და მოსახერხებელი მუშაობის უზრუნველსაყოფად. ისინი, ვინც ეძებენ თემების გამჟღავნებას რიგების, დატვირთვის დაბალანსების, ვლანების, ხიდების, არხის მდგომარეობის მრავალსაფეხურიანი ღრმა ანალიზის შესახებ და ა.

Raw მონაცემები

როგორც ტესტის საგანი, შეირჩა ხუთპორტიანი Mikrotik როუტერი ROS ვერსიით 6.45.3. ის მარშრუტებს ტრაფიკს ორ ადგილობრივ ქსელს (LAN1 და LAN2) და სამ პროვაიდერს (ISP1, ISP2, ISP3) შორის. ISP1-ის არხს აქვს სტატიკური "ნაცრისფერი" მისამართი, ISP2 - "თეთრი", მიღებული DHCP-ის საშუალებით, ISP3 - "თეთრი" PPPoE ავტორიზაცია. კავშირის დიაგრამა ნაჩვენებია ფიგურაში:

ამოცანაა MTK როუტერის კონფიგურაცია სქემის მიხედვით ისე, რომ:

1. უზრუნველყოს ავტომატური გადართვა სარეზერვო პროვაიდერზე. მთავარი პროვაიდერი არის ISP2, პირველი რეზერვი არის ISP1, მეორე რეზერვი არის ISP3.
2. LAN1 ქსელის წვდომის ორგანიზება ინტერნეტში მხოლოდ ISP1-ის საშუალებით.
3. შესთავაზეთ ადგილობრივი ქსელებიდან ინტერნეტში ტრაფიკის მარშრუტის შესაძლებლობა შერჩეული პროვაიდერის მეშვეობით მისამართების სიის საფუძველზე.
4. უზრუნველყოს სერვისების გამოქვეყნების შესაძლებლობა ლოკალური ქსელიდან ინტერნეტში (DSTNAT)
5. დააყენეთ firewall ფილტრი, რათა უზრუნველყოთ მინიმალური საკმარისი უსაფრთხოება ინტერნეტიდან.
6. როუტერს შეეძლო საკუთარი ტრაფიკის გაცემა სამი პროვაიდერის საშუალებით, არჩეული წყაროს მისამართიდან გამომდინარე.
7. დარწმუნდით, რომ საპასუხო პაკეტები მიემართება არხზე, საიდანაც ისინი მოვიდა (მათ შორის LAN).

კომენტარი ჩვენ დავაკონფიგურირებთ როუტერს „ნულიდან“, რათა გარანტირებული იყოს სიურპრიზების არარსებობა საწყის კონფიგურაციებში, რომლებიც იცვლება ვერსიიდან ვერსიამდე. Winbox აირჩიეს კონფიგურაციის ინსტრუმენტად, სადაც ცვლილებები ვიზუალურად იქნება ნაჩვენები. თავად პარამეტრები დაყენდება Winbox ტერმინალში ბრძანებებით. კონფიგურაციისთვის ფიზიკური კავშირი ხდება Ether5 ინტერფეისის პირდაპირი კავშირით.

ცოტა მსჯელობა იმაზე, თუ რა არის მულტივენი, პრობლემაა თუ ცბიერი ჭკვიანი ხალხი კონსპირაციული ქსელების ქსოვის გარშემო

ცნობისმოყვარე და ყურადღებიანი ადმინისტრატორი, რომელიც დამოუკიდებლად ადგენს ასეთ ან მსგავს სქემას, უცებ ხვდება, რომ ის უკვე ნორმალურად მუშაობს. დიახ, დიახ, თქვენი მორგებული მარშრუტიზაციის ცხრილებისა და მარშრუტების სხვა წესების გარეშე, რომლებითაც სავსეა სტატიების უმეტესობა ამ თემაზე. შევამოწმოთ?

შეგვიძლია თუ არა მისამართების კონფიგურაცია ინტერფეისებზე და ნაგულისხმევ კარიბჭეებზე? დიახ:

ISP1-ზე დარეგისტრირდა მისამართი და კარიბჭე მანძილი = 2 и check-gateway=პინგ.
ISP2-ზე ნაგულისხმევი dhcp კლიენტის პარამეტრი - შესაბამისად, მანძილი ერთის ტოლი იქნება.
ISP3-ზე pppoe კლიენტის პარამეტრებში როცა add-default-route=დიახ დადება default-route-distance=3.

არ დაგავიწყდეთ NAT-ის რეგისტრაცია გასასვლელზე:

/ip firewall nat add action=masquerade chain=srcnat out-interface-list=WAN

შედეგად, ადგილობრივი საიტების მომხმარებლებს სიამოვნებთ კატების ჩამოტვირთვა ISP2 მთავარი პროვაიდერის მეშვეობით და ხდება არხის დაჯავშნა მექანიზმის გამოყენებით. შეამოწმეთ კარიბჭე იხილეთ შენიშვნა 1

დავალების 1 პუნქტი განხორციელებულია. სად არის მულტივენი თავისი ნიშნებით? არა…

Უფრო. თქვენ უნდა გაათავისუფლოთ კონკრეტული კლიენტები LAN-დან ISP1-ის საშუალებით:

/ip firewall mangle დამატება action=route chain=prerouting dst-address-list=!BOGONS
passthrough=დიახ route-dst=100.66.66.1 src-address-list=Via_ISP1
/ip firewall mangle დამატება action=route chain=prerouting dst-address-list=!BOGONS
გავლა=არ არის მარშრუტი-dst=100.66.66.1 src-address=192.168.88.0/24

დავალების მე-2 და მე-3 პუნქტები შესრულებულია. ეტიკეტები, შტამპები, მარშრუტის წესები, სად ხარ?!

გჭირდებათ წვდომა თქვენს საყვარელ OpenVPN სერვერზე 172.17.17.17 მისამართით, კლიენტებისთვის ინტერნეტიდან? გთხოვთ:

/ip cloud set ddns-enabled=yes

როგორც თანატოლი, ჩვენ კლიენტს ვაძლევთ გამომავალ შედეგს: ”:დააყენე [ip cloud get dns-name]"

ჩვენ ვარეგისტრირებთ პორტის გადამისამართებას ინტერნეტიდან:

/ip firewall nat add action=dst-nat chain=dstnat dst-port=1194
in-interface-list=WAN პროტოკოლი=udp to-addresses=172.17.17.17

პუნქტი 4 მზად არის.

ჩვენ დავაყენეთ firewall და სხვა დაცვა მე-5 პუნქტისთვის, ამავდროულად მოხარული ვართ, რომ ყველაფერი უკვე მუშაობს მომხმარებლებისთვის და მივაღწიეთ კონტეინერს საყვარელი სასმელით ...
ა! გვირაბები დავიწყებულია.

l2tp-კლიენტი, კონფიგურირებული google სტატიის მიერ, გაიზარდა თქვენს საყვარელ ჰოლანდიურ VDS-მდე? დიახ.
l2tp-სერვერი IPsec-ით გაიზარდა და კლიენტები DNS-სახელით IP Cloud-დან (იხ. ზემოთ.) ჩერდებიან? დიახ.
სკამის საზურგეს მიყრდნობილი, სასმელს ვსვამთ, ზარმაცად განვიხილავთ დავალების მე-6 და მე-7 პუნქტებს. ჩვენ ვფიქრობთ - გვჭირდება ეს? სულ ერთია, ასე მუშაობს (გ)... ასე რომ, თუ მაინც არ არის საჭირო, ესე იგი. მულტივენი განხორციელდა.

რა არის მულტივენი? ეს არის რამდენიმე ინტერნეტ არხის კავშირი ერთ როუტერთან.

თქვენ არ გჭირდებათ სტატიის შემდგომი წაკითხვა, რადგან რა შეიძლება იყოს იქ საეჭვო გამოყენებადობის ჩვენების გარდა?

მათთვის, ვინც რჩება, ვისაც აინტერესებს დავალების მე-6 და მე-7 პუნქტები და ასევე გრძნობს პერფექციონიზმის ქავილს, ჩვენ უფრო ღრმად ჩავდივართ.

მულტივენის განხორციელების ყველაზე მნიშვნელოვანი ამოცანაა მოძრაობის სწორი მარშრუტირება. კერძოდ: იმისდა მიუხედავად, რომელი (ან რომელი) იხ. შენიშვნა 3 ISP-ის არხ(ებ)ი უყურებს ნაგულისხმევ მარშრუტს ჩვენს როუტერზე, მან უნდა დააბრუნოს პასუხი ზუსტად იმ არხზე, საიდანაც მოვიდა პაკეტი. ამოცანა გასაგებია. Სად არის პრობლემა? მართლაც, უბრალო ლოკალურ ქსელში, ამოცანა იგივეა, მაგრამ არავინ აწუხებს დამატებითი პარამეტრებით და არ გრძნობს უბედურებას. განსხვავება ისაა, რომ ნებისმიერი მარშრუტირებადი კვანძი ინტერნეტში ხელმისაწვდომია ჩვენი თითოეული არხის მეშვეობით და არა მკაცრად კონკრეტულის მეშვეობით, როგორც უბრალო LAN-ში. და "პრობლემა" არის ის, რომ თუ ჩვენთან მოთხოვნა მოვიდა ISP3-ის IP მისამართზე, მაშინ ჩვენს შემთხვევაში პასუხი გაივლის ISP2 არხზე, რადგან ნაგულისხმევი კარიბჭე არის მიმართული იქ. ტოვებს და გაუქმდება პროვაიდერის მიერ, როგორც არასწორი. პრობლემა გამოვლენილია. როგორ მოვაგვაროთ?

გამოსავალი დაყოფილია სამ ეტაპად:

1. წინასწარ დაყენება. ამ ეტაპზე დაყენდება როუტერის ძირითადი პარამეტრები: ლოკალური ქსელი, ბუხარი, მისამართების სიები, თმის სამაგრი NAT და ა.შ.
2. მულტივენი. ამ ეტაპზე საჭირო კავშირები მოინიშნება და დალაგდება მარშრუტიზაციის ცხრილებად.
3. დაკავშირება ISP-თან. ამ ეტაპზე მოხდება ინტერნეტთან დაკავშირების უზრუნველყოფის ინტერფეისების კონფიგურაცია, მარშრუტიზაცია და ინტერნეტ არხის დაჯავშნის მექანიზმი.

1. წინასწარ დაყენება

1.1. ჩვენ ვასუფთავებთ როუტერის კონფიგურაციას ბრძანებით:

/system reset-configuration skip-backup=yes no-defaults=yes

ვეთანხმები "საშიში! გადაყენება მაინც? [y/N]:”და გადატვირთვის შემდეგ, ჩვენ ვუკავშირდებით Winbox-ს MAC-ის საშუალებით. ამ ეტაპზე კონფიგურაცია და მომხმარებლის ბაზა გასუფთავებულია.

1.2. შექმენით ახალი მომხმარებელი:

/user add group=full name=knight password=ultrasecret comment=”Not horse”

შედით მის ქვეშ და წაშალეთ ნაგულისხმევი:

/user remove admin

კომენტარი ეს არის ნაგულისხმევი მომხმარებლის წაშლა და არ გამორთვა, რასაც ავტორი მიიჩნევს უფრო უსაფრთხოდ და ურჩევს გამოყენებას.

1.3. ჩვენ ვქმნით საბაზისო ინტერფეისის სიებს Firewall-ში მუშაობის მოხერხებულობისთვის, აღმოჩენის პარამეტრებში და სხვა MAC სერვერებზე:

/interface list add name=WAN comment="For Internet"
/interface list add name=LAN comment="For Local Area"

ინტერფეისების ხელმოწერა კომენტარებით

/interface ethernet set ether1 comment="to ISP1"
/interface ethernet set ether2 comment="to ISP2"
/interface ethernet set ether3 comment="to ISP3"
/interface ethernet set ether4 comment="to LAN1"
/interface ethernet set ether5 comment="to LAN2"

და შეავსეთ ინტერფეისის სიები:

/interface list member add interface=ether1 list=WAN comment=ISP1
/interface list member add interface=ether2 list=WAN comment=ISP2 
/interface list member add interface=ether3 list=WAN comment="to ISP3"
/interface list member add interface=ether4 list=LAN  comment="LAN1"
/interface list member add interface=ether5 list=LAN  comment="LAN2"

კომენტარი გასაგები კომენტარების დაწერა ღირს ამაზე დახარჯული დრო, გარდა ამისა, ეს მნიშვნელოვნად უწყობს ხელს პრობლემების მოგვარებას და კონფიგურაციის გაგებას.

ავტორი საჭიროდ მიიჩნევს, უსაფრთხოების მიზეზების გამო, დაემატოს ether3 ინტერფეისი "WAN" ინტერფეისის სიაში, მიუხედავად იმისა, რომ ip პროტოკოლი არ გაივლის მას.

არ დაგავიწყდეთ, რომ PPP ინტერფეისის ამაღლების შემდეგ ether3-ზე, ის ასევე უნდა დაემატოს ინტერფეისის სიას „WAN“

1.4. ჩვენ ვმალავთ როუტერს სამეზობლოში აღმოჩენისა და კონტროლისგან პროვაიდერის ქსელებისგან MAC-ის საშუალებით:

/ip neighbor discovery-settings set discover-interface-list=!WAN
/tool mac-server set allowed-interface-list=LAN
/tool mac-server mac-winbox set allowed-interface-list=LAN

1.5. ჩვენ ვქმნით ბუხრის ფილტრის წესების მინიმალურ საკმარის კომპლექტს როუტერის დასაცავად:

/ip firewall filter add action=accept chain=input comment="Related Established Untracked Allow" 
connection-state=established,related,untracked

(წესი იძლევა ნებართვას დამყარებულ და დაკავშირებულ კავშირებზე, რომლებიც ინიცირებულია როგორც დაკავშირებული ქსელებიდან, ასევე თავად როუტერიდან)

/ip firewall filter add action=accept chain=input comment="ICMP from ALL" protocol=icmp

(პინგი და არა მხოლოდ ping. ყველა icmp დაშვებულია. ძალიან სასარგებლოა MTU პრობლემების მოსაძებნად)

/ip firewall filter add action=drop chain=input comment="All other WAN Drop" in-interface-list=WAN

(წესი, რომელიც ხურავს შეყვანის ჯაჭვს, კრძალავს ყველაფერს, რაც მოდის ინტერნეტიდან)

/ip firewall filter add action=accept chain=forward 
comment="Established, Related, Untracked allow" 
connection-state=established,related,untracked

(წესი იძლევა დამყარებულ და დაკავშირებულ კავშირებს, რომლებიც გადის როუტერში)

/ip firewall filter add action=drop chain=forward comment="Invalid drop" connection-state=invalid

(წესი აღადგენს კავშირებს Connection-state=არასწორი როუტერის გავლით. მკაცრად არის რეკომენდებული Mikrotik-ის მიერ, მაგრამ ზოგიერთ იშვიათ სიტუაციაში მას შეუძლია დაბლოკოს სასარგებლო ტრაფიკი)

/ip firewall filter add action=drop chain=forward comment="Drop all from WAN not DSTNATed"  
connection-nat-state=!dstnat connection-state=new in-interface-list=WAN

(წესი კრძალავს პაკეტებს, რომლებიც მოდიან ინტერნეტიდან და არ გაივლიან dstnat პროცედურას, გაიარონ როუტერში. ეს დაიცავს ლოკალურ ქსელებს შემოჭრილებისგან, რომლებიც ჩვენს გარე ქსელებთან იმავე სამაუწყებლო დომენში ყოფნისას დაარეგისტრირებენ ჩვენს გარე IP-ებს, როგორც კარიბჭე და, ამრიგად, შეეცადეთ „გამოიკვლიოთ“ ​​ჩვენი ადგილობრივი ქსელები.)

კომენტარი დავუშვათ, რომ LAN1 და LAN2 ქსელები სანდოა და მათ შორის და მათ შორის ტრაფიკი არ არის გაფილტრული.

1.6. შექმენით სია არამარშრუტირებადი ქსელების სიით:

/ip firewall address-list
add address=0.0.0.0/8 comment=""This" Network" list=BOGONS
add address=10.0.0.0/8 comment="Private-Use Networks" list=BOGONS
add address=100.64.0.0/10 comment="Shared Address Space. RFC 6598" list=BOGONS
add address=127.0.0.0/8 comment=Loopback list=BOGONS
add address=169.254.0.0/16 comment="Link Local" list=BOGONS
add address=172.16.0.0/12 comment="Private-Use Networks" list=BOGONS
add address=192.0.0.0/24 comment="IETF Protocol Assignments" list=BOGONS
add address=192.0.2.0/24 comment=TEST-NET-1 list=BOGONS
add address=192.168.0.0/16 comment="Private-Use Networks" list=BOGONS
add address=198.18.0.0/15 comment="Network Interconnect Device Benchmark Testing"
 list=BOGONS
add address=198.51.100.0/24 comment=TEST-NET-2 list=BOGONS
add address=203.0.113.0/24 comment=TEST-NET-3 list=BOGONS
add address=224.0.0.0/4 comment=Multicast list=BOGONS
add address=192.88.99.0/24 comment="6to4 Relay Anycast" list=BOGONS
add address=240.0.0.0/4 comment="Reserved for Future Use" list=BOGONS
add address=255.255.255.255 comment="Limited Broadcast" list=BOGONS

(ეს არის მისამართებისა და ქსელების სია, რომლებიც არ არის ინტერნეტში მარშრუტირებადი და შესაბამისად მოჰყვება.)

კომენტარი სია შეიძლება შეიცვალოს, ამიტომ გირჩევთ პერიოდულად შეამოწმოთ შესაბამისობა.

1.7. დააყენეთ DNS თავად როუტერისთვის:

/ip dns set servers=1.1.1.1,8.8.8.8

კომენტარი ROS-ის ამჟამინდელ ვერსიაში დინამიური სერვერები უპირატესობას ანიჭებენ სტატიკური სერვერებს. სახელის გადაწყვეტის მოთხოვნა იგზავნება პირველ სერვერზე სიაში თანმიმდევრობით. შემდეგ სერვერზე გადასვლა ხდება მაშინ, როდესაც მიმდინარე სერვერი მიუწვდომელია. დრო დიდია - 5 წამზე მეტი. უკან დაბრუნება, როდესაც "დავარდნილი სერვერი" განახლდება, ავტომატურად არ ხდება. ამ ალგორითმისა და მულტივენის არსებობის გათვალისწინებით, ავტორი გირჩევთ არ გამოიყენოთ პროვაიდერების მიერ მოწოდებული სერვერები.

1.8. დააყენეთ ადგილობრივი ქსელი.
1.8.1. ჩვენ ვაკონფიგურირებთ სტატიკური IP მისამართებს LAN ინტერფეისებზე:

/ip address add interface=ether4 address=192.168.88.254/24 comment="LAN1 IP"
/ip address add interface=ether5 address=172.16.1.0/23 comment="LAN2 IP"

1.8.2. ჩვენ ვადგენთ მარშრუტების წესებს ჩვენს ლოკალურ ქსელებში მთავარი მარშრუტიზაციის ცხრილის მეშვეობით:

/ip route rule add dst-address=192.168.88.0/24 table=main comment=”to LAN1”
/ip route rule add dst-address=172.16.0.0/23 table=main comment="to LAN2"

კომენტარი ეს არის ერთ-ერთი სწრაფი და მარტივი გზა LAN მისამართებზე წვდომისთვის როუტერის ინტერფეისების გარე IP მისამართების წყაროებით, რომლებიც არ გადიან ნაგულისხმევ მარშრუტს.

1.8.3. ჩართეთ Hairpin NAT LAN1 და LAN2-ისთვის:

/ip firewall nat add action=src-nat chain=srcnat comment="Hairpin to LAN1" 
out-interface=ether4 src-address=192.168.88.0/24 to-addresses=192.168.88.254
/ip firewall nat add action=src-nat chain=srcnat comment="Hairpin to LAN2" 
out-interface=ether5 src-address=172.16.0.0/23 to-addresses=172.16.1.0

კომენტარი ეს საშუალებას გაძლევთ შეხვიდეთ თქვენს რესურსებზე (dstnat) გარე IP-ის საშუალებით ქსელში ყოფნისას.

2. რეალურად, ძალიან სწორი მულტივენის დანერგვა

პრობლემის გადასაჭრელად „პასუხი საიდან ითხოვეს“, ჩვენ გამოვიყენებთ ორ ROS ინსტრუმენტს: კავშირის ნიშანი и მარშრუტის ნიშანი. კავშირის ნიშანი საშუალებას გაძლევთ მონიშნოთ სასურველი კავშირი და შემდეგ იმუშაოთ ამ ნიშნით, როგორც განაცხადის პირობა მარშრუტის ნიშანი. და უკვე თან მარშრუტის ნიშანი შესაძლებელია მუშაობა ip მარშრუტი и მარშრუტის წესები. ჩვენ გავარკვიეთ ხელსაწყოები, ახლა თქვენ უნდა გადაწყვიტოთ რომელი კავშირები მონიშნოთ - ერთხელ, ზუსტად სად უნდა მონიშნოთ - ორი.

პირველთან ერთად ყველაფერი მარტივია - უნდა მოვნიშნოთ ყველა ის კავშირი, რომელიც როუტერზე მოდის ინტერნეტიდან შესაბამისი არხის მეშვეობით. ჩვენს შემთხვევაში, ეს იქნება სამი ლეიბლი (არხების რაოდენობის მიხედვით): "conn_isp1", "conn_isp2" და "conn_isp3".

ნიუანსი მეორესთან არის ის, რომ შემომავალი კავშირები იქნება ორი ტიპის: ტრანზიტი და ის, რაც განკუთვნილია თავად როუტერისთვის. კავშირის ნიშნის მექანიზმი მუშაობს ცხრილში mangle. განვიხილოთ პაკეტის მოძრაობა გამარტივებულ დიაგრამაზე, რომელიც შედგენილია mikrotik-trainings.com რესურსის სპეციალისტების მიერ (არა რეკლამა):

ისრების შემდეგ, ჩვენ ვხედავთ, რომ პაკეტი მოდის "შეყვანის ინტერფეისი", გადის ჯაჭვს"პრეროუტირება”და მხოლოდ ამის შემდეგ იყოფა ბლოკში ტრანზიტად და ადგილობრივად”მარშრუტის გადაწყვეტილება". ამიტომ, ერთი ქვით ორი ფრინველის მოსაკლავად ვიყენებთ კავშირის ნიშანი მაგიდაზე მანგლის წინასწარი მარშრუტიზაცია ჯაჭვები პრეროუტირება.

შენიშვნა:. ROS-ში, „მარშრუტის ნიშნის“ ეტიკეტები ჩამოთვლილია როგორც „ცხრილი“ განყოფილებაში Ip/მარშრუტები/წესები და როგორც „მარშრუტიზაციის ნიშანი“ სხვა სექციებში. ამან შეიძლება გამოიწვიოს გარკვეული დაბნეულობა გაგებაში, მაგრამ, სინამდვილეში, ეს იგივეა და არის rt_tables-ის ანალოგი iproute2-ში ლინუქსზე.

2.1. ჩვენ აღვნიშნავთ შემომავალ კავშირებს თითოეული პროვაიდერისგან:

/ip firewall mangle add action=mark-connection chain=prerouting 
comment="Connmark in from ISP1" connection-mark=no-mark in-interface=ether1  new-connection-mark=conn_isp1 passthrough=no

/ip firewall mangle add action=mark-connection chain=prerouting 
comment="Connmark in from ISP2" connection-mark=no-mark in-interface=ether2  new-connection-mark=conn_isp2 passthrough=no

/ip firewall mangle add action=mark-connection chain=prerouting 
comment="Connmark in from ISP3" connection-mark=no-mark in-interface=pppoe-isp3  new-connection-mark=conn_isp3 passthrough=no

კომენტარი იმისათვის, რომ არ მოვინიშნო უკვე მონიშნული კავშირები, ვიყენებ Connection-mark=no-mark მდგომარეობას ნაცვლად connection-state=new, რადგან ვფიქრობ, რომ ეს უფრო სწორია, ისევე როგორც შეყვანის ფილტრში არასწორი კავშირების ჩაშვების უარყოფა.

passthrough=არა - რადგან ამ განხორციელების მეთოდით ხელახალი მარკირება გამორიცხულია და დაჩქარების მიზნით, შეგიძლიათ შეწყვიტოთ წესების დათვლა პირველი მატჩის შემდეგ.

გასათვალისწინებელია, რომ მარშრუტიზაციაში ჯერ არანაირად არ ვერევით. ახლა მხოლოდ მომზადების ეტაპებია. განხორციელების შემდეგი ეტაპი იქნება ტრანზიტული ტრაფიკის დამუშავება, რომელიც ბრუნდება დამყარებულ კავშირზე დანიშნულების ადგილიდან ლოკალურ ქსელში. იმათ. იმ პაკეტებმა, რომლებიც (იხ. დიაგრამა) გაიარეს როუტერში გზაზე:

“Input Interface”=>”Prerouting”=>”Routing Decision”=>”Forward”=>”Post Routing”=>”გამომავალი ინტერფეისი” და მიაღწიეს ადგილობრივ ქსელში მათ ადრესატს.

მნიშვნელოვანია! ROS-ში არ არსებობს ლოგიკური დაყოფა გარე და შიდა ინტერფეისებად. თუ საპასუხო პაკეტის ბილიკს ზემოაღნიშნული სქემის მიხედვით მივყვებით, მაშინ ის იგივე ლოგიკურ გზას გაუყვება, როგორც მოთხოვნა:

“Input Interface”=>”Prerouting”=>”Routing Decision”=>”Forward”=>”Post Routing”=>”გამომავალი ინტერფეისი” მხოლოდ თხოვნით"შეყვანის ინტერფეისი” იყო ISP ინტერფეისი, ხოლო პასუხისთვის - LAN

2.2. ჩვენ მივმართავთ საპასუხო ტრანზიტულ ტრაფიკს შესაბამის მარშრუტიზაციის ცხრილებზე:

/ip firewall mangle add action=mark-routing chain=prerouting 
comment="Routemark transit out via ISP1" connection-mark=conn_isp1 
dst-address-type=!local in-interface-list=!WAN new-routing-mark=to_isp1 passthrough=no

/ip firewall mangle add action=mark-routing chain=prerouting 
comment="Routemark transit out via ISP2" connection-mark=conn_isp2 
dst-address-type=!local in-interface-list=!WAN new-routing-mark=to_isp2 passthrough=no

/ip firewall mangle add action=mark-routing chain=prerouting 
comment="Routemark transit out via ISP3" connection-mark=conn_isp3 
dst-address-type=!local in-interface-list=!WAN new-routing-mark=to_isp3 passthrough=no

კომენტარი. in-interface-list=!WAN - ჩვენ ვმუშაობთ მხოლოდ ტრაფიკით ლოკალური ქსელიდან და dst-address-type=!local, რომელსაც არ აქვს თავად როუტერის ინტერფეისების მისამართის დანიშნულების მისამართი.

იგივე ლოკალური პაკეტებისთვის, რომლებიც როუტერთან მივიდა გზაზე:

"შეყვანის ინტერფეისი"=>"წინასწარი გამგზავრება"=>"მარშრუტიზაციის გადაწყვეტილება"=>"შეყვანა"=>"ლოკალური პროცესი"

მნიშვნელოვანია! პასუხი შემდეგნაირად წავა:

”ლოკალური პროცესი”=>”მარშრუტიზაციის გადაწყვეტილება”=>”გამომავალი”=>”პოსტ მარშრუტი”=>”გამომავალი ინტერფეისი”

2.3. ჩვენ ვუპასუხებთ ადგილობრივ ტრაფიკს შესაბამის მარშრუტიზაციის ცხრილებზე:

/ip firewall mangle add action=mark-routing chain=output 
comment="Routemark local out via ISP1" connection-mark=conn_isp1 dst-address-type=!local 
new-routing-mark=to_isp1 passthrough=no

/ip firewall mangle add action=mark-routing chain=output 
comment="Routemark local out via ISP2" connection-mark=conn_isp2 dst-address-type=!local 
new-routing-mark=to_isp2 passthrough=no

/ip firewall mangle add action=mark-routing chain=output 
comment="Routemark local out via ISP3" connection-mark=conn_isp3 dst-address-type=!local 
new-routing-mark=to_isp3 passthrough=no

ამ ეტაპზე გადაჭრად შეიძლება ჩაითვალოს იმ ინტერნეტ არხზე პასუხის გასაგზავნად მომზადების ამოცანა, საიდანაც მოვიდა მოთხოვნა. ყველაფერი მონიშნულია, ეტიკეტირებული და მზადაა გასასვლელად.
ამ დაყენების შესანიშნავი „გვერდითი“ ეფექტი არის DSNAT პორტის გადამისამართებასთან მუშაობის შესაძლებლობა ორივე (ISP2, ISP3) პროვაიდერის ერთდროულად. სულაც არა, რადგან ISP1-ზე გვაქვს მარშრუტირებადი მისამართი. ეს ეფექტი მნიშვნელოვანია, მაგალითად, ფოსტის სერვერისთვის ორი MX-ით, რომელიც უყურებს სხვადასხვა ინტერნეტ არხებს.

გარე IP მარშრუტიზატორებით ლოკალური ქსელების მუშაობის ნიუანსების აღმოსაფხვრელად, ჩვენ ვიყენებთ გადაწყვეტილებებს აბზაცებიდან. 1.8.2 და 3.1.2.6.

გარდა ამისა, პრობლემის მე-3 პუნქტის გადასაჭრელად შეგიძლიათ გამოიყენოთ მარკირების ინსტრუმენტი. ჩვენ ვახორციელებთ მას შემდეგნაირად:

2.4. ჩვენ მივმართავთ ტრაფიკს ადგილობრივი კლიენტებიდან მარშრუტიზაციის სიებიდან შესაბამის ცხრილებზე:

/ip firewall mangle add action=mark-routing chain=prerouting 
comment="Address List via ISP1" dst-address-list=!BOGONS new-routing-mark=to_isp1 
passthrough=no src-address-list=Via_ISP1

/ip firewall mangle add action=mark-routing chain=prerouting 
comment="Address List via ISP2" dst-address-list=!BOGONS new-routing-mark=to_isp2 
passthrough=no src-address-list=Via_ISP2

/ip firewall mangle add action=mark-routing chain=prerouting 
comment="Address List via ISP3" dst-address-list=!BOGONS new-routing-mark=to_isp3 
passthrough=no src-address-list=Via_ISP3

შედეგად, ეს ასე გამოიყურება:

3. დააყენეთ კავშირი ISP-თან და ჩართეთ ბრენდირებული მარშრუტიზაცია

3.1. დააყენეთ კავშირი ISP1-თან:
3.1.1. სტატიკური IP მისამართის კონფიგურაცია:

/ip address add interface=ether1 address=100.66.66.2/30 comment="ISP1 IP"

3.1.2. სტატიკური მარშრუტის დაყენება:
3.1.2.1. დაამატეთ ნაგულისხმევი "გადაუდებელი" მარშრუტი:

/ip route add comment="Emergency route" distance=254 type=blackhole

კომენტარი ეს მარშრუტი საშუალებას აძლევს ტრაფიკს ადგილობრივი პროცესებიდან გაიაროს მარშრუტის გადაწყვეტილების ეტაპი, მიუხედავად რომელიმე პროვაიდერის ბმულების მდგომარეობისა. გამავალი ლოკალური ტრაფიკის ნიუანსი არის ის, რომ იმისთვის, რომ პაკეტი გადავიდეს სადმე მაინც, მთავარ მარშრუტიზაციის ცხრილს უნდა ჰქონდეს აქტიური მარშრუტი ნაგულისხმევი კარიბჭისკენ. თუ არა, მაშინ პაკეტი უბრალოდ განადგურდება.

როგორც ხელსაწყოს გაფართოება შეამოწმეთ კარიბჭე არხის მდგომარეობის უფრო ღრმა ანალიზისთვის, მე გთავაზობთ რეკურსიული მარშრუტის მეთოდის გამოყენებას. მეთოდის არსი იმაში მდგომარეობს, რომ ჩვენ ვეუბნებით როუტერს, მოძებნოს გზა თავისი კარიბჭისკენ არა პირდაპირ, არამედ შუალედური კარიბჭის გავლით. 4.2.2.1, 4.2.2.2 და 4.2.2.3 არჩეული იქნება, როგორც „სატესტო“ კარიბჭეები ISP1, ISP2 და ISP3 შესაბამისად.

3.1.2.2. მარშრუტი "ვერიფიკაციის" მისამართისკენ:

/ip route add check-gateway=ping comment="For recursion via ISP1"  
distance=1 dst-address=4.2.2.1 gateway=100.66.66.1 scope=10

კომენტარი ჩვენ ვამცირებთ არეალის მნიშვნელობას ნაგულისხმევამდე ROS-ის სამიზნე დიაპაზონში, რათა მომავალში გამოვიყენოთ 4.2.2.1, როგორც რეკურსიული კარიბჭე. ხაზს ვუსვამ: მარშრუტის ფარგლები „სატესტო“ მისამართისკენ უნდა იყოს ნაკლები ან ტოლი მარშრუტის სამიზნე ფარგლებს, რომელიც ეხება საცდელს.

3.1.2.3. რეკურსიული ნაგულისხმევი მარშრუტი ტრაფიკისთვის მარშრუტიზაციის ნიშნის გარეშე:

/ip route add comment="Unmarked via ISP1" distance=2 gateway=4.2.2.1

კომენტარი დისტანცია=2 მნიშვნელობა გამოიყენება იმიტომ, რომ ISP1 გამოცხადებულია პირველ სარეზერვო ასლად, დავალების პირობების მიხედვით.

3.1.2.4. რეკურსიული ნაგულისხმევი მარშრუტი ტრაფიკისთვის მარშრუტიზაციის ნიშნით „to_isp1“:

/ip route add comment="Marked via ISP1 Main" distance=1 gateway=4.2.2.1 
routing-mark=to_isp1

კომენტარი სინამდვილეში, აქ ჩვენ საბოლოოდ ვიწყებთ მოსამზადებელი სამუშაოების ნაყოფით ტკბობას, რომელიც ჩატარდა მე-2 პუნქტში.

ამ მარშრუტზე, მთელი ტრაფიკი, რომელსაც აქვს მარკირებული მარშრუტი „to_isp1“ მიმართული იქნება პირველი პროვაიდერის კარიბჭისკენ, მიუხედავად იმისა, თუ რომელი ნაგულისხმევი კარიბჭეა ამჟამად აქტიური ძირითადი ცხრილისთვის.

3.1.2.5. პირველი რეკურსიული ნაგულისხმევი მარშრუტი ISP2 და ISP3 ტეგირებული ტრაფიკისთვის:

/ip route add comment="Marked via ISP2 Backup1" distance=2 gateway=4.2.2.1 
routing-mark=to_isp2
/ip route add comment="Marked via ISP3 Backup1" distance=2 gateway=4.2.2.1 
routing-mark=to_isp3

კომენტარი ეს მარშრუტები საჭიროა, სხვა საკითხებთან ერთად, ტრაფიკის დასაჯავშნად ადგილობრივი ქსელებიდან, რომლებიც არიან მისამართების სიის წევრები "to_isp*"'

3.1.2.6. ჩვენ ვარეგისტრირებთ მარშრუტს როუტერის ლოკალური ტრაფიკისთვის ინტერნეტში ISP1-ის საშუალებით:

/ip route rule add comment="From ISP1 IP to Inet" src-address=100.66.66.2 table=to_isp1

კომენტარი 1.8.2 პუნქტის წესებთან ერთად, ის უზრუნველყოფს სასურველ არხზე წვდომას მოცემულ წყაროსთან. ეს მნიშვნელოვანია გვირაბების მშენებლობისთვის, რომლებიც აზუსტებენ ლოკალური მხარის IP მისამართს (EoIP, IP-IP, GRE). ვინაიდან ip მარშრუტის წესები შესრულებულია ზემოდან ქვემოდან, პირობების პირველ დამთხვევამდე, მაშინ ეს წესი უნდა იყოს 1.8.2 პუნქტის წესების შემდეგ.

3.1.3. ჩვენ ვრეგისტრირებთ NAT წესს გამავალი ტრაფიკისთვის:

/ip firewall nat add action=src-nat chain=srcnat comment="NAT via ISP1"  
ipsec-policy=out,none out-interface=ether1 to-addresses=100.66.66.2

კომენტარი NATim ყველაფერი, რაც გამოდის, გარდა იმისა, რაც შედის IPsec პოლიტიკაში. ვცდილობ არ გამოვიყენო action=masquerade, თუ აბსოლუტურად აუცილებელი არ არის. ის უფრო ნელი და რესურსი ინტენსიურია ვიდრე src-nat, რადგან ითვლის NAT მისამართს ყოველი ახალი კავშირისთვის.

3.1.4. ჩვენ ვაგზავნით კლიენტებს სიიდან, რომლებსაც ეკრძალებათ წვდომა სხვა პროვაიდერების მეშვეობით პირდაპირ ISP1 პროვაიდერის კარიბჭეზე.

/ip firewall mangle add action=route chain=prerouting comment="Address List via ISP1 only" 
dst-address-list=!BOGONS passthrough=no route-dst=100.66.66.1 
src-address-list=Via_only_ISP1 place-before=0

კომენტარი action=route აქვს უფრო მაღალი პრიორიტეტი და გამოიყენება მარშრუტიზაციის სხვა წესებამდე.

place-before=0 - განათავსებს ჩვენს წესს სიაში პირველ ადგილზე.

3.2. დააყენეთ კავშირი ISP2-თან.

იმის გამო, რომ ISP2 პროვაიდერი გვაძლევს პარამეტრებს DHCP-ის საშუალებით, მიზანშეწონილია შევიტანოთ საჭირო ცვლილებები სკრიპტით, რომელიც იწყება DHCP კლიენტის გაშვებისას:

/ip dhcp-client
add add-default-route=no disabled=no interface=ether2 script=":if ($bound=1) do={r
    n    /ip route add check-gateway=ping comment="For recursion via ISP2" distance=1 
           dst-address=4.2.2.2/32 gateway=$"gateway-address" scope=10r
    n    /ip route add comment="Unmarked via ISP2" distance=1 gateway=4.2.2.2;r
    n    /ip route add comment="Marked via ISP2 Main" distance=1 gateway=4.2.2.2 
           routing-mark=to_isp2;r
    n    /ip route add comment="Marked via ISP1 Backup1" distance=2 gateway=4.2.2.2 
           routing-mark=to_isp1;r
    n    /ip route add comment="Marked via ISP3 Backup2" distance=3 gateway=4.2.2.2 
           routing-mark=to_isp3;r
    n    /ip firewall nat add action=src-nat chain=srcnat ipsec-policy=out,none 
           out-interface=$"interface" to-addresses=$"lease-address" comment="NAT via ISP2" 
           place-before=1;r
    n    if ([/ip route rule find comment="From ISP2 IP to Inet"] ="") do={r
    n        /ip route rule add comment="From ISP2 IP to Inet" 
               src-address=$"lease-address" table=to_isp2 r
    n    } else={r
    n       /ip route rule set [find comment="From ISP2 IP to Inet"] disabled=no 
              src-address=$"lease-address"r
    n    }      r
    n} else={r
    n   /ip firewall nat remove  [find comment="NAT via ISP2"];r
    n   /ip route remove [find comment="For recursion via ISP2"];r
    n   /ip route remove [find comment="Unmarked via ISP2"];r
    n   /ip route remove [find comment="Marked via ISP2 Main"];r
    n   /ip route remove [find comment="Marked via ISP1 Backup1"];r
    n   /ip route remove [find comment="Marked via ISP3 Backup2"];r
    n   /ip route rule set [find comment="From ISP2 IP to Inet"] disabled=yesr
    n}r
    n" use-peer-dns=no use-peer-ntp=no

თავად სკრიპტი Winbox ფანჯარაში:

კომენტარი სკრიპტის პირველი ნაწილი ამოქმედდება, როდესაც იჯარა წარმატებით არის მიღებული, მეორე - იჯარის გათავისუფლების შემდეგ.იხილეთ შენიშვნა 2

3.3. ჩვენ დავამყარეთ კავშირი ISP3 პროვაიდერთან.

ვინაიდან პარამეტრების პროვაიდერი გვაძლევს დინამიკას, მიზანშეწონილია შევიტანოთ საჭირო ცვლილებები სკრიპტებით, რომლებიც იწყება ppp ინტერფეისის ამაღლების შემდეგ და დაცემის შემდეგ.

3.3.1. ჯერ ჩვენ ვაკონფიგურირებთ პროფილს:

/ppp profile
add comment="for PPPoE to ISP3" interface-list=WAN name=isp3_client 
on-down="/ip firewall nat remove  [find comment="NAT via ISP3"];r
    n/ip route remove [find comment="For recursion via ISP3"];r
    n/ip route remove [find comment="Unmarked via ISP3"];r
    n/ip route remove [find comment="Marked via ISP3 Main"];r
    n/ip route remove [find comment="Marked via ISP1 Backup2"];r
    n/ip route remove [find comment="Marked via ISP2 Backup2"];r
    n/ip route rule set [find comment="From ISP3 IP to Inet"] disabled=yes;" 
on-up="/ip route add check-gateway=ping comment="For recursion via ISP3" distance=1 
    dst-address=4.2.2.3/32 gateway=$"remote-address" scope=10r
    n/ip route add comment="Unmarked via ISP3" distance=3 gateway=4.2.2.3;r
    n/ip route add comment="Marked via ISP3 Main" distance=1 gateway=4.2.2.3 
    routing-mark=to_isp3;r
    n/ip route add comment="Marked via ISP1 Backup2" distance=3 gateway=4.2.2.3 
    routing-mark=to_isp1;r
    n/ip route add comment="Marked via ISP2 Backup2" distance=3 gateway=4.2.2.3 
    routing-mark=to_isp2;r
    n/ip firewall mangle set [find comment="Connmark in from ISP3"] 
    in-interface=$"interface";r
    n/ip firewall nat add action=src-nat chain=srcnat ipsec-policy=out,none 
    out-interface=$"interface" to-addresses=$"local-address" comment="NAT via ISP3" 
    place-before=1;r
    nif ([/ip route rule find comment="From ISP3 IP to Inet"] ="") do={r
    n   /ip route rule add comment="From ISP3 IP to Inet" src-address=$"local-address" 
    table=to_isp3 r
    n} else={r
    n   /ip route rule set [find comment="From ISP3 IP to Inet"] disabled=no 
    src-address=$"local-address"r
    n};r
    n"

თავად სკრიპტი Winbox ფანჯარაში:

კომენტარი ხაზი
/ip firewall mangle set [find comment="Connmark in from ISP3"] in-interface=$"interface";
საშუალებას გაძლევთ სწორად გაუმკლავდეთ ინტერფეისის გადარქმევას, რადგან ის მუშაობს მისი კოდით და არა საჩვენებელი სახელით.

3.3.2. ახლა, პროფილის გამოყენებით, შექმენით ppp კავშირი:

/interface pppoe-client add allow=mschap2 comment="to ISP3" disabled=no 
interface=ether3 name=pppoe-isp3 password=isp3_pass profile=isp3_client user=isp3_client

როგორც საბოლოო შეხება, მოდით დავაყენოთ საათი:

/system ntp client set enabled=yes server-dns-names=0.pool.ntp.org,1.pool.ntp.org,2.pool.ntp.org

მათთვის ვინც ბოლომდე წაიკითხავს

მულტივენის განხორციელების შემოთავაზებული გზა ავტორის პირადი უპირატესობაა და არ არის ერთადერთი შესაძლო. ROS ინსტრუმენტარიუმი არის ვრცელი და მოქნილი, რაც, ერთი მხრივ, უქმნის სირთულეებს დამწყებთათვის და, მეორე მხრივ, არის მისი პოპულარობის მიზეზი. ისწავლეთ, სცადეთ, აღმოაჩინეთ ახალი ინსტრუმენტები და გადაწყვეტილებები. მაგალითად, როგორც მიღებული ცოდნის გამოყენება, შესაძლებელია ინსტრუმენტის შეცვლა მულტივენის ამ დანერგვაში გამშვები კარიბჭე რეკურსიული მარშრუტებით ქსელის საათი.

შენიშვნები

1. გამშვები კარიბჭე - მექანიზმი, რომელიც საშუალებას გაძლევთ გამორთოთ მარშრუტი კარიბჭის ხელმისაწვდომობის ორი ზედიზედ წარუმატებელი შემოწმების შემდეგ. შემოწმება ტარდება ყოველ 10 წამში ერთხელ, პლუს რეაგირების დრო. საერთო ჯამში, გადართვის ფაქტობრივი დრო 20-30 წამის დიაპაზონშია. თუ ასეთი გადართვის დრო არ არის საკმარისი, არსებობს ინსტრუმენტის გამოყენების შესაძლებლობა ქსელის საათი, სადაც გამშვები ტაიმერი შეიძლება ხელით დაყენდეს. გამშვები კარიბჭე არ მუშაობს ლინკზე წყვეტილი პაკეტის დაკარგვაზე.

   Მნიშვნელოვანი! ძირითადი მარშრუტის გამორთვა გამორთავს ყველა სხვა მარშრუტს, რომელიც მას ეხება. ამიტომ, მათ უნდა დააკონკრეტოთ check-gateway=პინგ არ არის საჭირო.

2. ეს ხდება, რომ მარცხი ხდება DHCP მექანიზმში, რომელიც ჰგავს განახლების მდგომარეობაში ჩარჩენილ კლიენტს. ამ შემთხვევაში, სკრიპტის მეორე ნაწილი არ იმუშავებს, მაგრამ ის არ შეუშლის ხელს ტრაფიკს სწორად სიარულიდან, რადგან სახელმწიფო აკონტროლებს შესაბამის რეკურსიულ მარშრუტს.
3. ECMP (თანაბარი ღირებულების მრავალ გზა) - ROS-ში შესაძლებელია მარშრუტის დაყენება რამდენიმე კარიბჭით და იგივე მანძილით. ამ შემთხვევაში, კავშირები გადანაწილდება არხებზე მრგვალი ალგორითმის გამოყენებით, მითითებული კარიბჭეების რაოდენობის პროპორციულად.

სტატიის დაწერის სტიმულისთვის, დაეხმარეთ მისი სტრუქტურის ჩამოყალიბებასა და აქცენტების განთავსებას - პირადი მადლიერება ევგენის მიმართ. @jscar

წყარო: www.habr.com