Multivan និង នាំផ្លូវនៅលើ Mikrotik RouterOS

សេចក្តីណែនាំ

ការលើកយកអត្ថបទ បន្ថែមពីលើភាពឥតប្រយោជន៍ ត្រូវបានជំរុញដោយភាពញឹកញាប់នៃការធ្លាក់ទឹកចិត្តនៃសំណួរលើប្រធានបទនេះនៅក្នុងក្រុមប្រវត្តិរូបនៃសហគមន៍ទូរលេខនិយាយភាសារុស្សី។ អត្ថបទនេះគឺសំដៅទៅលើអ្នកគ្រប់គ្រងថ្មីថ្មោង Mikrotik RouterOS (ហៅកាត់ថា ROS)។ វាទាក់ទងតែជាមួយ multivan ដោយសង្កត់ធ្ងន់លើការនាំផ្លូវ។ ជាប្រាក់រង្វាន់ មានការកំណត់តិចតួចបំផុត ដើម្បីធានាបាននូវប្រតិបត្តិការប្រកបដោយសុវត្ថិភាព និងងាយស្រួល។ អ្នកទាំងឡាយណាដែលកំពុងស្វែងរកការលាតត្រដាងនៃប្រធានបទនៃជួរ, ការផ្ទុកតុល្យភាព, vlans, ស្ពាន, ការវិភាគស៊ីជម្រៅពហុដំណាក់កាលនៃស្ថានភាពនៃឆានែលនិងផ្សេងទៀត - ប្រហែលជាមិនខ្ជះខ្ជាយពេលវេលានិងការខិតខំប្រឹងប្រែងក្នុងការអាន។

ទិន្នន័យដំបូង

ជាប្រធានបទសាកល្បង រ៉ោតទ័រ Mikrotik ច្រកប្រាំដែលមាន ROS កំណែ 6.45.3 ត្រូវបានជ្រើសរើស។ វានឹងបញ្ជូនចរាចររវាងបណ្តាញមូលដ្ឋានពីរ (LAN1 និង LAN2) និងអ្នកផ្តល់សេវាបី (ISP1, ISP2, ISP3) ។ ឆានែលទៅ ISP1 មានអាសយដ្ឋាន "ប្រផេះ" ឋិតិវន្ត ISP2 - "ស" ទទួលបានតាមរយៈ DHCP, ISP3 - "ស" ជាមួយការអនុញ្ញាត PPPoE ។ ដ្យាក្រាមតភ្ជាប់ត្រូវបានបង្ហាញក្នុងរូប៖

ភារកិច្ចគឺដើម្បីកំណត់រចនាសម្ព័ន្ធរ៉ោតទ័រ MTK ដោយផ្អែកលើគ្រោងការណ៍ដូច្នេះ:

1. ផ្តល់ការប្តូរដោយស្វ័យប្រវត្តិទៅអ្នកផ្តល់សេវាបម្រុងទុក។ អ្នកផ្តល់សេវាសំខាន់គឺ ISP2 ទុនបំរុងទីមួយគឺ ISP1 ទុនបម្រុងទីពីរគឺ ISP3។
2. រៀបចំបណ្តាញ LAN1 ចូលប្រើអ៊ីនធឺណិតតាមរយៈ ISP1 ប៉ុណ្ណោះ។
3. ផ្តល់លទ្ធភាពក្នុងការបញ្ជូនចរាចរពីបណ្តាញមូលដ្ឋានទៅកាន់អ៊ីនធឺណិតតាមរយៈអ្នកផ្តល់សេវាដែលបានជ្រើសរើសដោយផ្អែកលើបញ្ជីអាសយដ្ឋាន។
4. ផ្តល់លទ្ធភាពនៃការបោះពុម្ពផ្សាយសេវាកម្មពីបណ្តាញមូលដ្ឋានទៅអ៊ីនធឺណិត (DSTNAT)
5. ដំឡើងតម្រងជញ្ជាំងភ្លើង ដើម្បីផ្តល់សុវត្ថិភាពអប្បបរមាគ្រប់គ្រាន់ពីអ៊ីនធឺណិត។
6. រ៉ោតទ័រអាចចេញចរាចរណ៍ដោយខ្លួនឯងតាមរយៈអ្នកផ្តល់សេវាទាំងបី អាស្រ័យលើអាសយដ្ឋានប្រភពដែលបានជ្រើសរើស។
7. ត្រូវប្រាកដថាកញ្ចប់ឆ្លើយតបត្រូវបានបញ្ជូនទៅកាន់ប៉ុស្តិ៍ដែលពួកគេបានមក (រួមទាំងបណ្តាញមូលដ្ឋាន)។

សុន្ទរកថា។ យើងនឹងកំណត់រចនាសម្ព័ន្ធរ៉ោតទ័រ "ពីដំបូង" ដើម្បីធានាអវត្តមាននៃការភ្ញាក់ផ្អើលនៅក្នុងការកំណត់ចាប់ផ្តើម "ចេញពីប្រអប់" ដែលផ្លាស់ប្តូរពីកំណែទៅកំណែ។ Winbox ត្រូវបានជ្រើសរើសជាឧបករណ៍កំណត់រចនាសម្ព័ន្ធ ដែលការផ្លាស់ប្តូរនឹងត្រូវបានបង្ហាញដោយមើលឃើញ។ ការកំណត់ដោយខ្លួនឯងនឹងត្រូវបានកំណត់ដោយពាក្យបញ្ជានៅក្នុងស្ថានីយ Winbox ។ ការតភ្ជាប់រូបវន្តសម្រាប់ការកំណត់រចនាសម្ព័ន្ធត្រូវបានធ្វើឡើងដោយការភ្ជាប់ដោយផ្ទាល់ទៅចំណុចប្រទាក់ Ether5 ។

ការវែកញែកបន្តិចអំពីអ្វីជា multivan វាជាបញ្ហា ឬជាមនុស្សឆ្លាតដែលមានល្បិចកលជុំវិញបណ្តាញសមគំនិត

អ្នកគ្រប់គ្រងដែលចង់ដឹងចង់ឃើញ និងយកចិត្តទុកដាក់ ដោយបង្កើតគម្រោងបែបនេះ ឬស្រដៀងគ្នាដោយខ្លួនឯង ស្រាប់តែដឹងថាវាដំណើរការជាធម្មតាហើយ។ បាទ/ចាស បាទ/ចាស ដោយគ្មានតារាងកំណត់ផ្លូវផ្ទាល់ខ្លួនរបស់អ្នក និងច្បាប់ផ្លូវផ្សេងទៀត ដែលអត្ថបទភាគច្រើនលើប្រធានបទនេះពោរពេញទៅដោយ។ តោះពិនិត្យ?

តើយើងអាចកំណត់រចនាសម្ព័ន្ធអាសយដ្ឋាននៅលើចំណុចប្រទាក់ និងច្រកចេញចូលលំនាំដើមបានទេ? បាទ៖

នៅលើ ISP1 អាសយដ្ឋាន និងច្រកផ្លូវត្រូវបានចុះឈ្មោះជាមួយ ចម្ងាយ = ២ и check-gateway=ping ។
នៅលើ ISP2 ការកំណត់ម៉ាស៊ីនភ្ញៀវ dhcp លំនាំដើម - តាមនោះ ចម្ងាយនឹងស្មើនឹងមួយ។
នៅលើ ISP3 នៅក្នុងការកំណត់ម៉ាស៊ីនភ្ញៀវ pppoe នៅពេលដែល add-default-route=បាទ/ចាស ដាក់ default-route-distance=3.

កុំភ្លេចចុះឈ្មោះ NAT នៅច្រកចេញ៖

/ip firewall nat add action=masquerade chain=srcnat out-interface-list=WAN

ជាលទ្ធផល អ្នកប្រើប្រាស់គេហទំព័រក្នុងស្រុកមានការរីករាយក្នុងការទាញយកឆ្មាតាមរយៈអ្នកផ្តល់សេវា ISP2 សំខាន់ ហើយមានការកក់ឆានែលដោយប្រើយន្តការ ពិនិត្យច្រកចេញចូល សូមមើលកំណត់ចំណាំ 1

ចំណុចទី 1 នៃកិច្ចការត្រូវបានអនុវត្ត។ តើ multivan ដែលមានសញ្ញាណរបស់វានៅឯណា? ទេ…

បន្ថែមទៀត។ អ្នកត្រូវបញ្ចេញអតិថិជនជាក់លាក់ពី LAN តាមរយៈ ISP1៖

/ip firewall mangle បន្ថែម action=route chain=prorouting dst-address-list=!BOGONS
passthrough=yes route-dst=100.66.66.1 src-address-list=Via_ISP1
/ip firewall mangle បន្ថែម action=route chain=prorouting dst-address-list=!BOGONS
passthrough=no route-dst=100.66.66.1 src-address=192.168.88.0/24

កិច្ចការទី 2 និងទី 3 ត្រូវបានអនុវត្ត។ ស្លាកលេខ ត្រា ច្បាប់ផ្លូវ តើអ្នកនៅឯណា?!

ត្រូវការផ្តល់សិទ្ធិចូលប្រើម៉ាស៊ីនមេ OpenVPN ដែលអ្នកចូលចិត្តជាមួយនឹងអាសយដ្ឋាន 172.17.17.17 សម្រាប់អតិថិជនពីអ៊ីនធឺណិត? សូម៖

/ip cloud set ddns-enabled=yes

ក្នុង​នាម​ជា​មិត្តភ័ក្តិ យើង​ផ្តល់​លទ្ធផល​ដល់​អតិថិជន៖ ": ដាក់ [ip cloud get dns-name]"

យើងចុះឈ្មោះច្រកបញ្ជូនបន្តពីអ៊ីនធឺណិត៖

/ip firewall nat បន្ថែមសកម្មភាព=dst-nat chain=dstnat dst-port=1194
in-interface-list=ពិធីការ WAN=udp to-addresses=172.17.17.17

ធាតុទី 4 គឺរួចរាល់។

យើងរៀបចំជញ្ជាំងភ្លើង និងសុវត្ថិភាពផ្សេងទៀតសម្រាប់ចំណុចទី 5 ក្នុងពេលជាមួយគ្នានេះ យើងរីករាយដែលអ្វីៗដំណើរការសម្រាប់អ្នកប្រើប្រាស់រួចហើយ ហើយឈានដល់ធុងមួយដែលមានភេសជ្ជៈដែលចូលចិត្ត...
អេ! ផ្លូវរូងក្រោមដីត្រូវបានបំភ្លេចចោល។

l2tp-client កំណត់រចនាសម្ព័ន្ធដោយអត្ថបទ google បានកើនឡើងដល់ VDS ហូឡង់ដែលអ្នកចូលចិត្ត? បាទ។
l2tp-server ជាមួយ IPsec បានកើនឡើង ហើយអតិថិជនដោយ DNS-name ពី IP Cloud (សូមមើលខាងលើ។) cling? បាទ។
ផ្អៀង​ខ្លួន​ទៅ​លើ​កៅអី​របស់​យើង ផឹក​ភេសជ្ជៈ យើង​ខ្ជិល​ពិចារណា​ចំណុច​ទី 6 និង 7 នៃ​កិច្ចការ។ យើងគិត - តើយើងត្រូវការវាទេ? ទាំងអស់ដូចគ្នាវាដំណើរការដូចនោះ (គ) ... ដូច្នេះប្រសិនបើវានៅតែមិនត្រូវការនោះហើយជាវា។ Multivan បានអនុវត្ត។

តើ multivan ជាអ្វី? នេះគឺជាការតភ្ជាប់បណ្តាញអ៊ីនធឺណែតជាច្រើនទៅកាន់រ៉ោតទ័រមួយ។

អ្នកមិនចាំបាច់អានអត្ថបទបន្ថែមទេ ព្រោះអ្វីអាចនៅទីនោះ ក្រៅពីការបង្ហាញភាពគួរឱ្យសង្ស័យ?

សម្រាប់អ្នកដែលនៅសេសសល់ ដែលចាប់អារម្មណ៍លើចំណុចទី 6 និង 7 នៃកិច្ចការ ហើយថែមទាំងមានអារម្មណ៍រមាស់នៃភាពល្អឥតខ្ចោះនោះ ពួកយើងកាន់តែជ្រៅ។

ភារកិច្ចសំខាន់បំផុតក្នុងការអនុវត្តរថយន្តពហុវ៉ានគឺការកំណត់ផ្លូវចរាចរណ៍ត្រឹមត្រូវ។ Namely: ដោយមិនគិតពីមួយណា (ឬ) សូមមើល។ ចំណាំទី 3 ឆានែលរបស់ ISP មើលទៅផ្លូវលំនាំដើមនៅលើរ៉ោតទ័ររបស់យើង វាគួរតែត្រឡប់ការឆ្លើយតបទៅនឹងឆានែលពិតប្រាកដដែលកញ្ចប់ព័ត៌មានបានមកពី។ ភារកិច្ចគឺច្បាស់។ តើ​បញ្ហា​នៅឯណា? ជាការពិតណាស់នៅក្នុងបណ្តាញមូលដ្ឋានសាមញ្ញ ភារកិច្ចគឺដូចគ្នា ប៉ុន្តែគ្មាននរណាម្នាក់រំខានការកំណត់បន្ថែម ហើយមិនមានអារម្មណ៍ថាមានបញ្ហានោះទេ។ ភាពខុសប្លែកគ្នានោះគឺថាថ្នាំងដែលអាចកំណត់បាននៅលើអ៊ីនធឺណិតគឺអាចចូលប្រើបានតាមរយៈបណ្តាញរបស់យើងនីមួយៗ ហើយមិនមែនតាមរយៈបណ្តាញជាក់លាក់មួយយ៉ាងតឹងរ៉ឹងដូចនៅក្នុងបណ្តាញមូលដ្ឋានធម្មតានោះទេ។ ហើយ "បញ្ហា" គឺថាប្រសិនបើសំណើមួយបានមករកយើងសម្រាប់អាសយដ្ឋាន IP របស់ ISP3 នោះក្នុងករណីរបស់យើងចម្លើយនឹងឆ្លងកាត់ឆានែល ISP2 ចាប់តាំងពីច្រកចេញចូលលំនាំដើមត្រូវបានដឹកនាំនៅទីនោះ។ ចាកចេញ ហើយនឹងត្រូវបោះចោលដោយអ្នកផ្តល់សេវាថាមិនត្រឹមត្រូវ។ បញ្ហាត្រូវបានកំណត់អត្តសញ្ញាណ។ តើត្រូវដោះស្រាយដោយរបៀបណា?

ដំណោះស្រាយចែកចេញជាបីដំណាក់កាល៖

1. ការកំណត់ជាមុន។ នៅដំណាក់កាលនេះ ការកំណត់មូលដ្ឋានរបស់រ៉ោតទ័រនឹងត្រូវបានកំណត់៖ បណ្តាញមូលដ្ឋាន ជញ្ជាំងភ្លើង បញ្ជីអាសយដ្ឋាន កន្សែងសក់ NAT ជាដើម។
2. ពហុវ៉ាន់។ នៅដំណាក់កាលនេះ ការតភ្ជាប់ចាំបាច់នឹងត្រូវបានសម្គាល់ និងតម្រៀបទៅក្នុងតារាងនាំផ្លូវ។
3. កំពុងភ្ជាប់ទៅ ISP ។ នៅដំណាក់កាលនេះ ចំណុចប្រទាក់ដែលផ្តល់ការភ្ជាប់ទៅអ៊ីនធឺណិតនឹងត្រូវបានកំណត់ ការកំណត់ផ្លូវ ហើយយន្តការនៃការកក់ឆានែលអ៊ីនធឺណិតនឹងត្រូវបានធ្វើឱ្យសកម្ម។

1. ការកំណត់ជាមុន

១.១. យើងសម្អាតការកំណត់រ៉ោតទ័រដោយប្រើពាក្យបញ្ជា៖

/system reset-configuration skip-backup=yes no-defaults=yes

យល់ព្រមជាមួយ "គ្រោះថ្នាក់! កំណត់ឡើងវិញឬ? [y/N]៖ហើយបន្ទាប់ពីចាប់ផ្តើមឡើងវិញ យើងភ្ជាប់ជាមួយ Winbox តាមរយៈ MAC ។ នៅដំណាក់កាលនេះ ការកំណត់រចនាសម្ព័ន្ធ និងមូលដ្ឋានអ្នកប្រើប្រាស់ត្រូវបានសម្អាត។

១.២. បង្កើតអ្នកប្រើប្រាស់ថ្មី៖

/user add group=full name=knight password=ultrasecret comment=”Not horse”

ចូលនៅក្រោមវាហើយលុបលំនាំដើមមួយ:

/user remove admin

សុន្ទរកថា។ វា​គឺ​ជា​ការ​ដក​ចេញ និង​មិន​បិទ​អ្នក​ប្រើ​លំនាំដើម​ដែល​អ្នក​និពន្ធ​ចាត់​ទុក​ថា​មាន​សុវត្ថិភាព​ជាង និង​ណែនាំ​ឱ្យ​ប្រើ។

១.៣. យើងបង្កើតបញ្ជីចំណុចប្រទាក់មូលដ្ឋានសម្រាប់ភាពងាយស្រួលនៃប្រតិបត្តិការនៅក្នុងជញ្ជាំងភ្លើង ការកំណត់ការរកឃើញ និងម៉ាស៊ីនមេ MAC ផ្សេងទៀត៖

/interface list add name=WAN comment="For Internet"
/interface list add name=LAN comment="For Local Area"

ការចុះហត្ថលេខាលើចំណុចប្រទាក់ជាមួយមតិយោបល់

/interface ethernet set ether1 comment="to ISP1"
/interface ethernet set ether2 comment="to ISP2"
/interface ethernet set ether3 comment="to ISP3"
/interface ethernet set ether4 comment="to LAN1"
/interface ethernet set ether5 comment="to LAN2"

ហើយបំពេញបញ្ជីចំណុចប្រទាក់៖

/interface list member add interface=ether1 list=WAN comment=ISP1
/interface list member add interface=ether2 list=WAN comment=ISP2 
/interface list member add interface=ether3 list=WAN comment="to ISP3"
/interface list member add interface=ether4 list=LAN  comment="LAN1"
/interface list member add interface=ether5 list=LAN  comment="LAN2"

សុន្ទរកថា។ ការសរសេរមតិយោបល់ដែលអាចយល់បានគឺមានតម្លៃចំណាយលើបញ្ហានេះ បូកវាជួយសម្រួលយ៉ាងខ្លាំងក្នុងការដោះស្រាយបញ្ហា និងការយល់ដឹងអំពីការកំណត់រចនាសម្ព័ន្ធ។

អ្នកនិពន្ធចាត់ទុកថាវាចាំបាច់សម្រាប់ហេតុផលសុវត្ថិភាពដើម្បីបន្ថែមចំណុចប្រទាក់ ether3 ទៅក្នុងបញ្ជីចំណុចប្រទាក់ "WAN" ទោះបីជាការពិតដែលថាពិធីការ ip នឹងមិនឆ្លងកាត់វាក៏ដោយ។

កុំភ្លេចថាបន្ទាប់ពីចំណុចប្រទាក់ PPP ត្រូវបានលើកឡើងនៅលើ ether3 វាក៏នឹងត្រូវបញ្ចូលទៅក្នុងបញ្ជីចំណុចប្រទាក់ “WAN” ផងដែរ។

១.៤. យើងលាក់រ៉ោតទ័រពីការរាវរក និងការត្រួតពិនិត្យពីបណ្តាញអ្នកផ្តល់សេវាតាមរយៈ MAC៖

/ip neighbor discovery-settings set discover-interface-list=!WAN
/tool mac-server set allowed-interface-list=LAN
/tool mac-server mac-winbox set allowed-interface-list=LAN

១.៥. យើងបង្កើតច្បាប់តម្រងជញ្ជាំងភ្លើងអប្បបរមាគ្រប់គ្រាន់ដើម្បីការពាររ៉ោតទ័រ៖

/ip firewall filter add action=accept chain=input comment="Related Established Untracked Allow" 
connection-state=established,related,untracked

(ច្បាប់ផ្តល់ការអនុញ្ញាតសម្រាប់ការតភ្ជាប់ដែលបានបង្កើតឡើង និងពាក់ព័ន្ធដែលត្រូវបានផ្តួចផ្តើមចេញពីបណ្តាញភ្ជាប់ទាំងពីរ និងរ៉ោតទ័រខ្លួនឯង)

/ip firewall filter add action=accept chain=input comment="ICMP from ALL" protocol=icmp

(ping និងមិនត្រឹមតែ ping ទេ។ icmp ទាំងអស់ត្រូវបានអនុញ្ញាត។ មានប្រយោជន៍ខ្លាំងណាស់សម្រាប់ការស្វែងរកបញ្ហា MTU)

/ip firewall filter add action=drop chain=input comment="All other WAN Drop" in-interface-list=WAN

(ច្បាប់​ដែល​បិទ​សង្វាក់​បញ្ចូល​ហាម​ឃាត់​អ្វី​ផ្សេង​ទៀត​ដែល​មក​ពី​អ៊ីនធឺណិត)

/ip firewall filter add action=accept chain=forward 
comment="Established, Related, Untracked allow" 
connection-state=established,related,untracked

(ច្បាប់អនុញ្ញាតអោយមានការតភ្ជាប់ដែលបានបង្កើតឡើង និងពាក់ព័ន្ធដែលឆ្លងកាត់រ៉ោតទ័រ)

/ip firewall filter add action=drop chain=forward comment="Invalid drop" connection-state=invalid

(ច្បាប់កំណត់ឡើងវិញនូវការភ្ជាប់ជាមួយ connection-state=ការឆ្លងកាត់រ៉ោតទ័រមិនត្រឹមត្រូវ។ វាត្រូវបានណែនាំយ៉ាងខ្លាំងដោយ Mikrotik ប៉ុន្តែក្នុងស្ថានភាពដ៏កម្រមួយចំនួន វាអាចទប់ស្កាត់ចរាចរណ៍ដែលមានប្រយោជន៍)

/ip firewall filter add action=drop chain=forward comment="Drop all from WAN not DSTNATed"  
connection-nat-state=!dstnat connection-state=new in-interface-list=WAN

(ច្បាប់ហាមឃាត់កញ្ចប់ព័ត៌មានដែលមកពីអ៊ីនធឺណិត ហើយមិនបានឆ្លងកាត់នីតិវិធី dstnat ដើម្បីឆ្លងកាត់រ៉ោតទ័រ។ វានឹងការពារបណ្តាញក្នុងស្រុកពីអ្នកឈ្លានពានដែលស្ថិតនៅក្នុងដែនផ្សាយដូចគ្នាជាមួយបណ្តាញខាងក្រៅរបស់យើង នឹងចុះឈ្មោះ IP ខាងក្រៅរបស់យើងជា ដូច្នេះហើយ សូមព្យាយាម "រុករក" បណ្តាញក្នុងស្រុករបស់យើង។)

សុន្ទរកថា។ អនុញ្ញាតឱ្យយើងសន្មត់ថាបណ្តាញ LAN1 និង LAN2 ត្រូវបានជឿទុកចិត្ត ហើយចរាចររវាងពួកវា និងពីពួកវាមិនត្រូវបានត្រងទេ។

១.៦. បង្កើតបញ្ជីមួយជាមួយនឹងបញ្ជីនៃបណ្តាញដែលមិនអាចកំណត់បាន៖

/ip firewall address-list
add address=0.0.0.0/8 comment=""This" Network" list=BOGONS
add address=10.0.0.0/8 comment="Private-Use Networks" list=BOGONS
add address=100.64.0.0/10 comment="Shared Address Space. RFC 6598" list=BOGONS
add address=127.0.0.0/8 comment=Loopback list=BOGONS
add address=169.254.0.0/16 comment="Link Local" list=BOGONS
add address=172.16.0.0/12 comment="Private-Use Networks" list=BOGONS
add address=192.0.0.0/24 comment="IETF Protocol Assignments" list=BOGONS
add address=192.0.2.0/24 comment=TEST-NET-1 list=BOGONS
add address=192.168.0.0/16 comment="Private-Use Networks" list=BOGONS
add address=198.18.0.0/15 comment="Network Interconnect Device Benchmark Testing"
 list=BOGONS
add address=198.51.100.0/24 comment=TEST-NET-2 list=BOGONS
add address=203.0.113.0/24 comment=TEST-NET-3 list=BOGONS
add address=224.0.0.0/4 comment=Multicast list=BOGONS
add address=192.88.99.0/24 comment="6to4 Relay Anycast" list=BOGONS
add address=240.0.0.0/4 comment="Reserved for Future Use" list=BOGONS
add address=255.255.255.255 comment="Limited Broadcast" list=BOGONS

(នេះ​ជា​បញ្ជី​អាសយដ្ឋាន និង​បណ្តាញ​ដែល​មិន​អាច​បញ្ជូន​ទៅ​អ៊ីនធឺណិត​បាន​ទេ ហើយ​នឹង​ត្រូវ​បាន​អនុវត្ត​តាម​នោះ)។

សុន្ទរកថា។ បញ្ជីអាចផ្លាស់ប្តូរ ដូច្នេះខ្ញុំណែនាំអ្នកឱ្យពិនិត្យមើលភាពពាក់ព័ន្ធជាទៀងទាត់។

១.៧. ដំឡើង DNS សម្រាប់រ៉ោតទ័រខ្លួនឯង៖

/ip dns set servers=1.1.1.1,8.8.8.8

សុន្ទរកថា។ នៅក្នុងកំណែបច្ចុប្បន្នរបស់ ROS ម៉ាស៊ីនមេថាមវន្តមានអាទិភាពជាងម៉ាស៊ីនមេឋិតិវន្ត។ សំណើដំណោះស្រាយឈ្មោះត្រូវបានផ្ញើទៅម៉ាស៊ីនមេដំបូងតាមលំដាប់លំដោយក្នុងបញ្ជី។ ការផ្លាស់ប្តូរទៅម៉ាស៊ីនមេបន្ទាប់ត្រូវបានអនុវត្តនៅពេលដែលម៉ាស៊ីនបច្ចុប្បន្នមិនអាចប្រើបាន។ ការអស់ពេលគឺធំ - ច្រើនជាង 5 វិនាទី។ ការត្រលប់មកវិញ នៅពេលដែល "ម៉ាស៊ីនមេធ្លាក់ចុះ" ត្រូវបានបន្ត វាមិនកើតឡើងដោយស្វ័យប្រវត្តិទេ។ ដោយ​បាន​ផ្ដល់​ឱ្យ​នូវ​ក្បួន​ដោះស្រាយ​នេះ​និង​វត្តមាន​នៃ multivan មួយ​, អ្នក​និពន្ធ​ផ្ដល់​អនុសាសន៍​មិន​ឱ្យ​ប្រើ​ម៉ាស៊ីន​បម្រើ​ដែល​បាន​ផ្តល់​ឱ្យ​ដោយ​អ្នក​ផ្តល់​សេវា​។

១.៨. រៀបចំបណ្តាញមូលដ្ឋាន។
១.៨.១. យើងកំណត់រចនាសម្ព័ន្ធអាសយដ្ឋាន IP ឋិតិវន្តនៅលើចំណុចប្រទាក់ LAN៖

/ip address add interface=ether4 address=192.168.88.254/24 comment="LAN1 IP"
/ip address add interface=ether5 address=172.16.1.0/23 comment="LAN2 IP"

១.៨.២. យើងកំណត់ច្បាប់សម្រាប់ផ្លូវទៅកាន់បណ្តាញមូលដ្ឋានរបស់យើងតាមរយៈតារាងនាំផ្លូវចម្បង៖

/ip route rule add dst-address=192.168.88.0/24 table=main comment=”to LAN1”
/ip route rule add dst-address=172.16.0.0/23 table=main comment="to LAN2"

សុន្ទរកថា។ នេះគឺជាវិធីងាយស្រួល និងរហ័សមួយក្នុងការចូលប្រើអាសយដ្ឋាន LAN ជាមួយនឹងប្រភពនៃអាសយដ្ឋាន IP ខាងក្រៅនៃចំណុចប្រទាក់រ៉ោតទ័រ ដែលមិនឆ្លងកាត់ផ្លូវលំនាំដើម។

១.៨.៣. បើក Hairpin NAT សម្រាប់ LAN1.8.3 និង LAN1៖

/ip firewall nat add action=src-nat chain=srcnat comment="Hairpin to LAN1" 
out-interface=ether4 src-address=192.168.88.0/24 to-addresses=192.168.88.254
/ip firewall nat add action=src-nat chain=srcnat comment="Hairpin to LAN2" 
out-interface=ether5 src-address=172.16.0.0/23 to-addresses=172.16.1.0

សុន្ទរកថា។ នេះអនុញ្ញាតឱ្យអ្នកចូលប្រើធនធានរបស់អ្នក (dstnat) តាមរយៈ IP ខាងក្រៅខណៈពេលដែលស្ថិតនៅក្នុងបណ្តាញ។

2. តាមពិតការអនុវត្តនៃ multivan ត្រឹមត្រូវបំផុត។

ដើម្បីដោះស្រាយបញ្ហានៃ "ចម្លើយដែលពួកគេសួរពី" យើងនឹងប្រើឧបករណ៍ ROS ពីរ: សញ្ញានៃការភ្ជាប់ и សញ្ញាផ្លូវ. សញ្ញានៃការភ្ជាប់ អនុញ្ញាតឱ្យអ្នកសម្គាល់ការតភ្ជាប់ដែលចង់បានហើយបន្ទាប់មកធ្វើការជាមួយស្លាកនេះជាលក្ខខណ្ឌសម្រាប់ការដាក់ពាក្យ សញ្ញាផ្លូវ. ហើយជាមួយ សញ្ញាផ្លូវ អាចធ្វើការនៅ ផ្លូវ ip и ច្បាប់ផ្លូវ. យើងបានស្វែងរកឧបករណ៍ ឥឡូវនេះអ្នកត្រូវសម្រេចចិត្តថាតើការតភ្ជាប់ណាមួយដែលត្រូវសម្គាល់ - ម្តង កន្លែងដែលត្រូវសម្គាល់ - ពីរ។

ជាមួយនឹងទីមួយអ្វីគ្រប់យ៉ាងគឺសាមញ្ញ - យើងត្រូវសម្គាល់ការតភ្ជាប់ទាំងអស់ដែលចូលមករ៉ោតទ័រពីអ៊ីនធឺណិតតាមរយៈឆានែលសមរម្យ។ ក្នុងករណីរបស់យើង ទាំងនេះនឹងជាស្លាកចំនួនបី (តាមចំនួនប៉ុស្តិ៍): "conn_isp1", "conn_isp2" និង "conn_isp3" ។

ភាពខុសប្លែកគ្នាជាមួយនឹងទីពីរគឺថា ការតភ្ជាប់ចូលនឹងមានពីរប្រភេទ៖ ឆ្លងកាត់ និងអ្នកដែលមានបំណងសម្រាប់រ៉ោតទ័រខ្លួនឯង។ យន្តការសម្គាល់ការតភ្ជាប់ដំណើរការនៅក្នុងតារាង ធូប. ពិចារណាពីចលនានៃកញ្ចប់នៅលើដ្យាក្រាមសាមញ្ញដែលចងក្រងដោយអ្នកជំនាញនៃធនធាន mikrotik-trainings.com (មិនផ្សាយពាណិជ្ជកម្ម)៖

តាម​សញ្ញា​ព្រួញ យើង​ឃើញ​ថា​កញ្ចប់​ឯកសារ​មក​ដល់ "ចំណុចប្រទាក់បញ្ចូល", ឆ្លងកាត់ខ្សែសង្វាក់"ការកាត់មុខ"ហើយមានតែពេលនោះទេដែលវាត្រូវបានបែងចែកទៅជាឆ្លងកាត់និងក្នុងស្រុកនៅក្នុងប្លុក"ការសម្រេចចិត្តផ្លូវ"។ ដូច្នេះដើម្បីសំលាប់សត្វស្លាបពីរដោយថ្មមួយយើងប្រើ សញ្ញាសម្គាល់ការតភ្ជាប់ នៅក្នុងតារាង Mangl Prerouting ច្រវាក់ ការកាត់មុខ.

ចំណាំ. នៅក្នុង ROS ស្លាក "កំណត់ផ្លូវ" ត្រូវបានរាយបញ្ជីជា "តារាង" នៅក្នុងផ្នែក Ip/Routes/Rules និងជា "Routing Mark" នៅក្នុងផ្នែកផ្សេងទៀត។ នេះអាចណែនាំការយល់ច្រលំខ្លះចូលទៅក្នុងការយល់ដឹង ប៉ុន្តែតាមពិត នេះគឺដូចគ្នា និងជា analogue នៃ rt_tables ក្នុង iproute2 នៅលើ linux ។

២.១. យើងសម្គាល់ការតភ្ជាប់ចូលពីអ្នកផ្តល់សេវានីមួយៗ៖

/ip firewall mangle add action=mark-connection chain=prerouting 
comment="Connmark in from ISP1" connection-mark=no-mark in-interface=ether1  new-connection-mark=conn_isp1 passthrough=no

/ip firewall mangle add action=mark-connection chain=prerouting 
comment="Connmark in from ISP2" connection-mark=no-mark in-interface=ether2  new-connection-mark=conn_isp2 passthrough=no

/ip firewall mangle add action=mark-connection chain=prerouting 
comment="Connmark in from ISP3" connection-mark=no-mark in-interface=pppoe-isp3  new-connection-mark=conn_isp3 passthrough=no

សុន្ទរកថា។ ដើម្បីកុំឱ្យសម្គាល់ការតភ្ជាប់ដែលបានសម្គាល់រួចហើយ ខ្ញុំប្រើលក្ខខណ្ឌ connection-mark=no-mark ជំនួសឱ្យ connection-state=new ព្រោះខ្ញុំគិតថាវាត្រឹមត្រូវជាង ក៏ដូចជាការបដិសេធនៃការធ្លាក់ចុះនៃការតភ្ជាប់មិនត្រឹមត្រូវនៅក្នុងតម្រងបញ្ចូល។

passthrough=no - ដោយសារតែនៅក្នុងវិធីអនុវត្តនេះ ការសម្គាល់ឡើងវិញមិនត្រូវបានរាប់បញ្ចូល ហើយដើម្បីបង្កើនល្បឿន អ្នកអាចរំខានការរាប់លេខនៃច្បាប់បន្ទាប់ពីការប្រកួតដំបូង។

វាគួរតែត្រូវបានចងចាំក្នុងចិត្តថាយើងមិនជ្រៀតជ្រែកក្នុងវិធីណាមួយជាមួយនឹងការបញ្ជូននៅឡើយទេ។ ឥឡូវនេះមានតែដំណាក់កាលនៃការរៀបចំប៉ុណ្ណោះ។ ដំណាក់កាលបន្ទាប់នៃការអនុវត្តនឹងជាដំណើរការនៃចរាចរឆ្លងកាត់ដែលត្រលប់មកវិញតាមរយៈការតភ្ជាប់ដែលបានបង្កើតឡើងពីគោលដៅនៅក្នុងបណ្តាញមូលដ្ឋាន។ ទាំងនោះ។ កញ្ចប់ទាំងនោះដែល (មើលដ្យាក្រាម) បានឆ្លងកាត់រ៉ោតទ័រតាមផ្លូវ៖

“Input Interface”=>”Prorouting”=>”Routing Decision”=>”Forward”=>”Post Routing”=>”Output Interface” ហើយបានទៅដល់អ្នកទទួលអាសយដ្ឋានរបស់ពួកគេនៅក្នុងបណ្តាញមូលដ្ឋាន។

សំខាន់! នៅក្នុង ROS មិនមានការបែងចែកឡូជីខលចូលទៅក្នុងចំណុចប្រទាក់ខាងក្រៅនិងខាងក្នុងទេ។ ប្រសិនបើយើងតាមដានផ្លូវនៃកញ្ចប់ឆ្លើយតបដោយយោងតាមដ្យាក្រាមខាងលើ នោះវានឹងដើរតាមគន្លងឡូជីខលដូចគ្នានឹងការស្នើសុំ៖

“Input Interface”=>”Prorouting”=>”Routing Decision”=>”Forward”=>”Post Routing”=>”Output Interface” គ្រាន់តែសម្រាប់ការស្នើសុំ"ចំណុចប្រទាក់បញ្ចូល” គឺជាចំណុចប្រទាក់ ISP ហើយសម្រាប់ចម្លើយគឺ LAN

២.២. យើងឆ្លើយតបដោយផ្ទាល់នូវចរាចរណ៍ឆ្លងកាត់ទៅកាន់តារាងផ្លូវដែលត្រូវគ្នា៖

/ip firewall mangle add action=mark-routing chain=prerouting 
comment="Routemark transit out via ISP1" connection-mark=conn_isp1 
dst-address-type=!local in-interface-list=!WAN new-routing-mark=to_isp1 passthrough=no

/ip firewall mangle add action=mark-routing chain=prerouting 
comment="Routemark transit out via ISP2" connection-mark=conn_isp2 
dst-address-type=!local in-interface-list=!WAN new-routing-mark=to_isp2 passthrough=no

/ip firewall mangle add action=mark-routing chain=prerouting 
comment="Routemark transit out via ISP3" connection-mark=conn_isp3 
dst-address-type=!local in-interface-list=!WAN new-routing-mark=to_isp3 passthrough=no

មតិយោបល់។ in-interface-list=!WAN - យើងធ្វើការតែជាមួយចរាចរពីបណ្តាញមូលដ្ឋាន និង dst-address-type=!local ដែលមិនមានអាសយដ្ឋានទិសដៅនៃអាសយដ្ឋាននៃចំណុចប្រទាក់នៃរ៉ោតទ័រខ្លួនឯង។

ដូចគ្នាសម្រាប់កញ្ចប់ព័ត៌មានក្នុងស្រុកដែលមកដល់រ៉ោតទ័រតាមផ្លូវ៖

"ចំណុចប្រទាក់បញ្ចូល" => "ការប្រុងប្រយត្ន័" => "ការសម្រេចផ្លូវ" => "ការបញ្ចូល" => "ដំណើរការមូលដ្ឋាន"

សំខាន់! ចម្លើយ​នឹង​មាន​លក្ខណៈ​ដូច​ខាង​ក្រោម៖

"ដំណើរ​ការ​ក្នុង​តំបន់"=>"ការ​សម្រេច​ចិត្ត​ការ​កំណត់​ផ្លូវ"=>"លទ្ធផល"=>"ការ​កំណត់​ផ្លូវ​ការ​ប្រកាស"=>"ចំណុច​ប្រទាក់​លទ្ធផល"

២.៣. យើងឆ្លើយតបដោយផ្ទាល់នូវចរាចរណ៍ក្នុងតំបន់ទៅកាន់តារាងផ្លូវដែលត្រូវគ្នា៖

/ip firewall mangle add action=mark-routing chain=output 
comment="Routemark local out via ISP1" connection-mark=conn_isp1 dst-address-type=!local 
new-routing-mark=to_isp1 passthrough=no

/ip firewall mangle add action=mark-routing chain=output 
comment="Routemark local out via ISP2" connection-mark=conn_isp2 dst-address-type=!local 
new-routing-mark=to_isp2 passthrough=no

/ip firewall mangle add action=mark-routing chain=output 
comment="Routemark local out via ISP3" connection-mark=conn_isp3 dst-address-type=!local 
new-routing-mark=to_isp3 passthrough=no

នៅដំណាក់កាលនេះ ភារកិច្ចនៃការរៀបចំផ្ញើការឆ្លើយតបទៅកាន់បណ្តាញអ៊ីនធឺណេតដែលសំណើបានមកអាចត្រូវបានចាត់ទុកថាត្រូវបានដោះស្រាយ។ អ្វី​គ្រប់​យ៉ាង​គឺ​ត្រូវ​បាន​សម្គាល់​ដាក់​ស្លាក និង​ត្រៀម​ខ្លួន​ជា​ស្រេច​ដើម្បី​ត្រូវ​បាន​បញ្ជូន។
ផលប៉ះពាល់ "ចំហៀង" ដ៏ល្អនៃការដំឡើងនេះគឺសមត្ថភាពក្នុងការធ្វើការជាមួយការបញ្ជូនបន្តច្រក DSNAT ពីអ្នកផ្តល់សេវាទាំងពីរ (ISP2, ISP3) ក្នុងពេលតែមួយ។ មិនមែនទាល់តែសោះ ចាប់តាំងពីនៅលើ ISP1 យើងមានអាសយដ្ឋានដែលមិនអាចបញ្ជូនបាន។ បែបផែននេះមានសារៈសំខាន់ជាឧទាហរណ៍សម្រាប់ម៉ាស៊ីនមេសំបុត្រដែលមាន MXs ពីរដែលមើលបណ្តាញអ៊ីនធឺណិតផ្សេងគ្នា។

ដើម្បីលុបបំបាត់ភាពមិនច្បាស់លាស់នៃប្រតិបត្តិការនៃបណ្តាញមូលដ្ឋានជាមួយរ៉ោតទ័រ IP ខាងក្រៅយើងប្រើដំណោះស្រាយពីកថាខណ្ឌ។ 1.8.2 និង 3.1.2.6 ។

លើសពីនេះទៀតអ្នកអាចប្រើឧបករណ៍ដែលមានសញ្ញាសម្គាល់ដើម្បីដោះស្រាយកថាខណ្ឌទី 3 នៃបញ្ហា។ យើងអនុវត្តវាដូចនេះ៖

២.៤. យើងដឹកនាំចរាចរណ៍ពីអតិថិជនក្នុងស្រុកពីបញ្ជីផ្លូវទៅកាន់តារាងសមស្រប៖

/ip firewall mangle add action=mark-routing chain=prerouting 
comment="Address List via ISP1" dst-address-list=!BOGONS new-routing-mark=to_isp1 
passthrough=no src-address-list=Via_ISP1

/ip firewall mangle add action=mark-routing chain=prerouting 
comment="Address List via ISP2" dst-address-list=!BOGONS new-routing-mark=to_isp2 
passthrough=no src-address-list=Via_ISP2

/ip firewall mangle add action=mark-routing chain=prerouting 
comment="Address List via ISP3" dst-address-list=!BOGONS new-routing-mark=to_isp3 
passthrough=no src-address-list=Via_ISP3

ជាលទ្ធផលវាមើលទៅដូចនេះ៖

3. រៀបចំការភ្ជាប់ទៅ ISP និងបើកការបញ្ជូនតាមម៉ាក

៣.១. ដំឡើងការតភ្ជាប់ទៅ ISP3.1៖
៣.១.១. កំណត់រចនាសម្ព័ន្ធអាសយដ្ឋាន IP ឋិតិវន្ត៖

/ip address add interface=ether1 address=100.66.66.2/30 comment="ISP1 IP"

៣.១.២. រៀបចំ​ការ​កំណត់​ផ្លូវ​ឋិតិវន្ត៖
៣.១.២.១. បន្ថែមផ្លូវ "សង្គ្រោះបន្ទាន់" លំនាំដើម៖

/ip route add comment="Emergency route" distance=254 type=blackhole

សុន្ទរកថា។ ផ្លូវនេះអនុញ្ញាតឱ្យចរាចរពីដំណើរការក្នុងតំបន់ឆ្លងកាត់ដំណាក់កាលនៃការសម្រេចចិត្តផ្លូវ ដោយមិនគិតពីស្ថានភាពនៃតំណភ្ជាប់របស់អ្នកផ្តល់សេវាណាមួយឡើយ។ ភាពខុសប្លែកគ្នានៃចរាចរណ៍ក្នុងស្រុកដែលចេញគឺថាដើម្បីឱ្យកញ្ចប់ព័ត៌មានផ្លាស់ទីយ៉ាងហោចណាស់ទៅកន្លែងណាមួយ តារាងនាំផ្លូវសំខាន់ត្រូវតែមានផ្លូវសកម្មទៅកាន់ច្រកចេញចូលលំនាំដើម។ បើមិនដូច្នោះទេកញ្ចប់នឹងត្រូវបំផ្លាញចោល។

ជាឧបករណ៍បន្ថែម ពិនិត្យច្រកចេញចូល សម្រាប់ការវិភាគកាន់តែស៊ីជម្រៅអំពីស្ថានភាពឆានែល ខ្ញុំស្នើឱ្យប្រើវិធីសាស្ត្រផ្លូវដែលប្រើឡើងវិញ។ ខ្លឹមសារនៃវិធីសាស្រ្តគឺថាយើងប្រាប់រ៉ោតទ័រឱ្យរកមើលផ្លូវទៅកាន់ច្រកទ្វាររបស់វាមិនមែនដោយផ្ទាល់ទេ ប៉ុន្តែតាមរយៈច្រកទ្វារមធ្យម។ 4.2.2.1, 4.2.2.2 និង 4.2.2.3 នឹងត្រូវបានជ្រើសរើសជាច្រក "សាកល្បង" បែបនេះសម្រាប់ ISP1, ISP2 និង ISP3 រៀងគ្នា។

៣.១.២.២. ផ្លូវទៅកាន់អាសយដ្ឋាន "ផ្ទៀងផ្ទាត់"៖

/ip route add check-gateway=ping comment="For recursion via ISP1"  
distance=1 dst-address=4.2.2.1 gateway=100.66.66.1 scope=10

សុន្ទរកថា។ យើងបន្ទាបតម្លៃវិសាលភាពទៅលំនាំដើមក្នុងវិសាលភាពគោលដៅ ROS ដើម្បីប្រើ 4.2.2.1 ជាច្រកចេញចូលឡើងវិញនាពេលអនាគត។ ខ្ញុំសង្កត់ធ្ងន់៖ វិសាលភាពនៃផ្លូវទៅកាន់អាសយដ្ឋាន "សាកល្បង" ត្រូវតែតិចជាង ឬស្មើនឹងវិសាលភាពគោលដៅនៃផ្លូវដែលនឹងយោងទៅការធ្វើតេស្តមួយ។

៣.១.២.៣. ផ្លូវលំនាំដើមដដែលៗសម្រាប់ចរាចរណ៍ដោយមិនមានសញ្ញាសម្គាល់ផ្លូវ៖

/ip route add comment="Unmarked via ISP1" distance=2 gateway=4.2.2.1

សុន្ទរកថា។ តម្លៃចម្ងាយ = 2 ត្រូវបានប្រើព្រោះ ISP1 ត្រូវបានប្រកាសថាជាការបម្រុងទុកដំបូងយោងទៅតាមលក្ខខណ្ឌការងារ។

៣.១.២.៤. ផ្លូវលំនាំដើមដដែលៗសម្រាប់ចរាចរណ៍ដែលមានសញ្ញាសម្គាល់ផ្លូវ “to_isp3.1.2.4”៖

/ip route add comment="Marked via ISP1 Main" distance=1 gateway=4.2.2.1 
routing-mark=to_isp1

សុន្ទរកថា។ តាមពិត នៅទីនេះ ទីបំផុតយើងកំពុងចាប់ផ្តើមរីករាយនឹងផលផ្លែនៃការងារត្រៀមដែលត្រូវបានអនុវត្តនៅក្នុងកថាខណ្ឌទី 2 ។

នៅលើផ្លូវនេះ ចរាចរណ៍ទាំងអស់ដែលមានផ្លូវសម្គាល់ “to_isp1” នឹងត្រូវបានដឹកនាំទៅកាន់ច្រកផ្លូវរបស់អ្នកផ្តល់សេវាទីមួយ ដោយមិនគិតពីច្រកផ្លូវលំនាំដើមណាមួយដែលកំពុងដំណើរការសម្រាប់តារាងចម្បងនោះទេ។

៣.១.២.៥. ផ្លូវលំនាំដើម recursive ដំបូងសម្រាប់ ISP3.1.2.5 និង ISP2 ចរាចរណ៍ដែលបានដាក់ស្លាក៖

/ip route add comment="Marked via ISP2 Backup1" distance=2 gateway=4.2.2.1 
routing-mark=to_isp2
/ip route add comment="Marked via ISP3 Backup1" distance=2 gateway=4.2.2.1 
routing-mark=to_isp3

សុន្ទរកថា។ ផ្លូវទាំងនេះគឺត្រូវការជាចាំបាច់ ក្នុងចំណោមរបស់ផ្សេងទៀត ដើម្បីកក់ចរាចរណ៍ពីបណ្តាញក្នុងស្រុកដែលជាសមាជិកនៃបញ្ជីអាសយដ្ឋាន “to_isp*”'

៣.១.២.៦. យើងចុះឈ្មោះផ្លូវសម្រាប់ចរាចរក្នុងតំបន់នៃរ៉ោតទ័រទៅកាន់អ៊ីនធឺណិតតាមរយៈ ISP3.1.2.6៖

/ip route rule add comment="From ISP1 IP to Inet" src-address=100.66.66.2 table=to_isp1

សុន្ទរកថា។ រួមបញ្ចូលគ្នាជាមួយនឹងច្បាប់ពីកថាខណ្ឌ 1.8.2 វាផ្តល់នូវការចូលទៅកាន់ឆានែលដែលចង់បានជាមួយនឹងប្រភពដែលបានផ្តល់ឱ្យ។ នេះមានសារៈសំខាន់សម្រាប់ការសាងសង់ផ្លូវរូងក្រោមដីដែលបញ្ជាក់អាសយដ្ឋាន IP ចំហៀងមូលដ្ឋាន (EoIP, IP-IP, GRE) ។ ចាប់តាំងពីច្បាប់នៅក្នុងច្បាប់ផ្លូវ ip ត្រូវបានប្រតិបត្តិពីកំពូលទៅបាត រហូតដល់ការផ្គូផ្គងលក្ខខណ្ឌដំបូង នោះច្បាប់នេះគួរតែបន្ទាប់ពីច្បាប់ពីឃ្លា 1.8.2 ។

៣.១.៣. យើងចុះឈ្មោះច្បាប់ NAT សម្រាប់ចរាចរណ៍ចេញ៖

/ip firewall nat add action=src-nat chain=srcnat comment="NAT via ISP1"  
ipsec-policy=out,none out-interface=ether1 to-addresses=100.66.66.2

សុន្ទរកថា។ NATim អ្វីគ្រប់យ៉ាងដែលចេញ លើកលែងតែអ្វីដែលចូលទៅក្នុងគោលការណ៍ IPsec ។ ខ្ញុំព្យាយាមមិនប្រើ action=masquerade លុះត្រាតែចាំបាច់។ វាយឺតជាង និងប្រើប្រាស់ធនធានច្រើនជាង src-nat ព្រោះវាគណនាអាសយដ្ឋាន NAT សម្រាប់ការតភ្ជាប់ថ្មីនីមួយៗ។

៣.១.៤. យើងបញ្ជូនអតិថិជនពីបញ្ជីដែលត្រូវបានហាមឃាត់មិនឱ្យចូលតាមរយៈអ្នកផ្តល់សេវាផ្សេងទៀតដោយផ្ទាល់ទៅកាន់ច្រកផ្លូវរបស់អ្នកផ្តល់សេវា ISP3.1.4 ។

/ip firewall mangle add action=route chain=prerouting comment="Address List via ISP1 only" 
dst-address-list=!BOGONS passthrough=no route-dst=100.66.66.1 
src-address-list=Via_only_ISP1 place-before=0

សុន្ទរកថា។ action=route មាន​អាទិភាព​ខ្ពស់​ជាង ហើយ​ត្រូវ​បាន​អនុវត្ត​មុន​ច្បាប់​កំណត់​ផ្លូវ​ផ្សេង​ទៀត។

place-before=0 - ដាក់ច្បាប់របស់យើងមុនគេក្នុងបញ្ជី។

៣.២. ដំឡើងការតភ្ជាប់ទៅ ISP3.2 ។

ដោយសារអ្នកផ្តល់សេវា ISP2 ផ្តល់ឱ្យយើងនូវការកំណត់តាមរយៈ DHCP វាសមហេតុផលក្នុងការធ្វើការផ្លាស់ប្តូរចាំបាច់ជាមួយនឹងស្គ្រីបដែលចាប់ផ្តើមនៅពេលដែលម៉ាស៊ីនភ្ញៀវ DHCP ត្រូវបានកេះ៖

/ip dhcp-client
add add-default-route=no disabled=no interface=ether2 script=":if ($bound=1) do={r
    n    /ip route add check-gateway=ping comment="For recursion via ISP2" distance=1 
           dst-address=4.2.2.2/32 gateway=$"gateway-address" scope=10r
    n    /ip route add comment="Unmarked via ISP2" distance=1 gateway=4.2.2.2;r
    n    /ip route add comment="Marked via ISP2 Main" distance=1 gateway=4.2.2.2 
           routing-mark=to_isp2;r
    n    /ip route add comment="Marked via ISP1 Backup1" distance=2 gateway=4.2.2.2 
           routing-mark=to_isp1;r
    n    /ip route add comment="Marked via ISP3 Backup2" distance=3 gateway=4.2.2.2 
           routing-mark=to_isp3;r
    n    /ip firewall nat add action=src-nat chain=srcnat ipsec-policy=out,none 
           out-interface=$"interface" to-addresses=$"lease-address" comment="NAT via ISP2" 
           place-before=1;r
    n    if ([/ip route rule find comment="From ISP2 IP to Inet"] ="") do={r
    n        /ip route rule add comment="From ISP2 IP to Inet" 
               src-address=$"lease-address" table=to_isp2 r
    n    } else={r
    n       /ip route rule set [find comment="From ISP2 IP to Inet"] disabled=no 
              src-address=$"lease-address"r
    n    }      r
    n} else={r
    n   /ip firewall nat remove  [find comment="NAT via ISP2"];r
    n   /ip route remove [find comment="For recursion via ISP2"];r
    n   /ip route remove [find comment="Unmarked via ISP2"];r
    n   /ip route remove [find comment="Marked via ISP2 Main"];r
    n   /ip route remove [find comment="Marked via ISP1 Backup1"];r
    n   /ip route remove [find comment="Marked via ISP3 Backup2"];r
    n   /ip route rule set [find comment="From ISP2 IP to Inet"] disabled=yesr
    n}r
    n" use-peer-dns=no use-peer-ntp=no

ស្គ្រីបខ្លួនវានៅក្នុងបង្អួច Winbox៖

សុន្ទរកថា។ ផ្នែកទីមួយនៃស្គ្រីបត្រូវបានកេះនៅពេលដែលការជួលត្រូវបានទទួលដោយជោគជ័យ ទីពីរ - បន្ទាប់ពីការជួលត្រូវបានចេញផ្សាយ។សូមមើលកំណត់ចំណាំ 2

៣.៣. យើងរៀបចំការតភ្ជាប់ទៅកាន់អ្នកផ្តល់សេវា ISP3.3 ។

ដោយសារអ្នកផ្តល់ការកំណត់ផ្តល់ឱ្យយើងនូវថាមវន្ត វាសមហេតុផលក្នុងការធ្វើការផ្លាស់ប្តូរចាំបាច់ជាមួយនឹងស្គ្រីបដែលចាប់ផ្តើមបន្ទាប់ពីចំណុចប្រទាក់ ppp ត្រូវបានលើកឡើង និងបន្ទាប់ពីការដួលរលំ។

៣.៣.១. ដំបូងយើងកំណត់ទម្រង់៖

/ppp profile
add comment="for PPPoE to ISP3" interface-list=WAN name=isp3_client 
on-down="/ip firewall nat remove  [find comment="NAT via ISP3"];r
    n/ip route remove [find comment="For recursion via ISP3"];r
    n/ip route remove [find comment="Unmarked via ISP3"];r
    n/ip route remove [find comment="Marked via ISP3 Main"];r
    n/ip route remove [find comment="Marked via ISP1 Backup2"];r
    n/ip route remove [find comment="Marked via ISP2 Backup2"];r
    n/ip route rule set [find comment="From ISP3 IP to Inet"] disabled=yes;" 
on-up="/ip route add check-gateway=ping comment="For recursion via ISP3" distance=1 
    dst-address=4.2.2.3/32 gateway=$"remote-address" scope=10r
    n/ip route add comment="Unmarked via ISP3" distance=3 gateway=4.2.2.3;r
    n/ip route add comment="Marked via ISP3 Main" distance=1 gateway=4.2.2.3 
    routing-mark=to_isp3;r
    n/ip route add comment="Marked via ISP1 Backup2" distance=3 gateway=4.2.2.3 
    routing-mark=to_isp1;r
    n/ip route add comment="Marked via ISP2 Backup2" distance=3 gateway=4.2.2.3 
    routing-mark=to_isp2;r
    n/ip firewall mangle set [find comment="Connmark in from ISP3"] 
    in-interface=$"interface";r
    n/ip firewall nat add action=src-nat chain=srcnat ipsec-policy=out,none 
    out-interface=$"interface" to-addresses=$"local-address" comment="NAT via ISP3" 
    place-before=1;r
    nif ([/ip route rule find comment="From ISP3 IP to Inet"] ="") do={r
    n   /ip route rule add comment="From ISP3 IP to Inet" src-address=$"local-address" 
    table=to_isp3 r
    n} else={r
    n   /ip route rule set [find comment="From ISP3 IP to Inet"] disabled=no 
    src-address=$"local-address"r
    n};r
    n"

ស្គ្រីបខ្លួនវានៅក្នុងបង្អួច Winbox៖

សុន្ទរកថា។ បន្ទាត់
/ip firewall mangle set [find comment="Connmark in from ISP3"] in-interface=$"interface";
អនុញ្ញាតឱ្យអ្នកដោះស្រាយការប្តូរឈ្មោះរបស់ចំណុចប្រទាក់ឱ្យបានត្រឹមត្រូវ ព្រោះវាដំណើរការជាមួយកូដរបស់វា មិនមែនឈ្មោះបង្ហាញនោះទេ។

៣.៣.២. ឥឡូវនេះ ដោយប្រើទម្រង់ បង្កើតការភ្ជាប់ ppp៖

/interface pppoe-client add allow=mschap2 comment="to ISP3" disabled=no 
interface=ether3 name=pppoe-isp3 password=isp3_pass profile=isp3_client user=isp3_client

ជាការប៉ះចុងក្រោយ តោះកំណត់ម៉ោង៖

/system ntp client set enabled=yes server-dns-names=0.pool.ntp.org,1.pool.ntp.org,2.pool.ntp.org

សម្រាប់អ្នកដែលអានដល់ចប់

មធ្យោបាយដែលបានស្នើឡើងដើម្បីអនុវត្ត multivan គឺជាចំណូលចិត្តផ្ទាល់ខ្លួនរបស់អ្នកនិពន្ធ ហើយមិនមែនជាមធ្យោបាយតែមួយគត់ដែលអាចធ្វើទៅបាននោះទេ។ កញ្ចប់ឧបករណ៍ ROS គឺទូលំទូលាយ និងអាចបត់បែនបាន ដែលម្យ៉ាងវិញទៀត បង្កការលំបាកសម្រាប់អ្នកចាប់ផ្តើមដំបូង ហើយម្យ៉ាងវិញទៀត គឺជាហេតុផលសម្រាប់ប្រជាប្រិយភាពរបស់វា។ ស្វែងយល់ សាកល្បង ស្វែងរកឧបករណ៍ និងដំណោះស្រាយថ្មីៗ។ ជាឧទាហរណ៍ ជាកម្មវិធីនៃចំណេះដឹងដែលទទួលបាន វាអាចជំនួសឧបករណ៍ក្នុងការអនុវត្ត multivan នេះ។ ច្រកទ្វារត្រួតពិនិត្យ ជាមួយ​នឹង​ផ្លូវ​ដដែលៗ​ទៅ netwatch.

ចំណាំ

1. ច្រកទ្វារត្រួតពិនិត្យ - យន្តការដែលអនុញ្ញាតឱ្យអ្នកបិទផ្លូវបន្ទាប់ពីការត្រួតពិនិត្យមិនជោគជ័យពីរជាប់គ្នានៃច្រកចេញចូល។ ការត្រួតពិនិត្យត្រូវបានអនុវត្តម្តងរៀងរាល់ 10 វិនាទី បូកនឹងពេលវេលាឆ្លើយតប។ សរុបមក ពេលវេលាប្តូរពិតប្រាកដស្ថិតនៅក្នុងចន្លោះពី 20-30 វិនាទី។ ប្រសិនបើពេលវេលាប្តូរបែបនេះមិនគ្រប់គ្រាន់ទេ វាមានជម្រើសក្នុងការប្រើឧបករណ៍ netwatchដែលជាកន្លែងដែលកម្មវិធីកំណត់ម៉ោងពិនិត្យអាចត្រូវបានកំណត់ដោយដៃ។ ច្រកទ្វារត្រួតពិនិត្យ មិនដំណើរការលើការបាត់បង់កញ្ចប់ព័ត៌មានបណ្តោះអាសន្ននៅលើតំណភ្ជាប់ទេ។

   សំខាន់! ការបិទដំណើរការផ្លូវចម្បងនឹងបិទដំណើរការផ្លូវផ្សេងទៀតទាំងអស់ដែលយោងទៅវា។ ដូច្នេះសម្រាប់ពួកគេដើម្បីចង្អុលបង្ហាញ check-gateway=ping មិន​ចាំបាច់។

2. វាកើតឡើងថាការបរាជ័យកើតឡើងនៅក្នុងយន្តការ DHCP ដែលមើលទៅដូចជាអតិថិជនជាប់គាំងនៅក្នុងស្ថានភាពបន្ត។ ក្នុងករណីនេះ ផ្នែកទី XNUMX នៃស្គ្រីបនឹងមិនដំណើរការទេ ប៉ុន្តែវានឹងមិនរារាំងចរាចរណ៍ពីការដើរបានត្រឹមត្រូវទេ ដោយសាររដ្ឋតាមដានផ្លូវដែលត្រូវគ្នាវិញ។
3. ECMP (តម្លៃស្មើគ្នាច្រើនផ្លូវ) - នៅក្នុង ROS វាអាចធ្វើទៅបានដើម្បីកំណត់ផ្លូវដែលមានច្រកផ្លូវជាច្រើននិងចម្ងាយដូចគ្នា។ ក្នុងករណីនេះ ការតភ្ជាប់នឹងត្រូវបានចែកចាយតាមបណ្តាញនានាដោយប្រើក្បួនដោះស្រាយជុំ robin សមាមាត្រទៅនឹងចំនួនច្រកផ្លូវដែលបានបញ្ជាក់។

សម្រាប់កម្លាំងជំរុញក្នុងការសរសេរអត្ថបទ ជួយក្នុងការរៀបចំរចនាសម្ព័ន្ធរបស់វា និងការដាក់ការសង្កត់សំឡេង - ការដឹងគុណផ្ទាល់ខ្លួនចំពោះ Evgeny @jscar

ប្រភព: www.habr.com