🥇Static Routing Basics នៅក្នុង Mikrotik RouterOS

ការនាំផ្លូវគឺជាដំណើរការនៃការស្វែងរកផ្លូវដ៏ល្អបំផុតសម្រាប់ការបញ្ជូនកញ្ចប់ព័ត៌មានតាមបណ្តាញ TCP/IP ។ ឧបករណ៍ណាមួយដែលភ្ជាប់ទៅបណ្តាញ IPv4 មានដំណើរការ និងតារាងនាំផ្លូវ។

អត្ថបទនេះមិនមែនជា HOWTO ទេ វាពិពណ៌នាអំពីផ្លូវឋិតិវន្តនៅក្នុង RouterOS ជាមួយនឹងឧទាហរណ៍ ខ្ញុំបានលុបចោលការកំណត់ដែលនៅសល់ដោយចេតនា (ឧទាហរណ៍ srcnat សម្រាប់ចូលប្រើអ៊ីនធឺណិត) ដូច្នេះការយល់ដឹងអំពីសម្ភារៈទាមទារកម្រិតជាក់លាក់នៃចំណេះដឹងអំពីបណ្តាញ និង RouterOS ។

ការប្តូរនិងកំណត់ផ្លូវ

Switching គឺជាដំណើរការនៃការផ្លាស់ប្តូរកញ្ចប់ព័ត៌មានក្នុងផ្នែកមួយ Layer2 (Ethernet, ppp, ...)។ ប្រសិនបើឧបករណ៍ឃើញថាអ្នកទទួលកញ្ចប់ព័ត៌មានស្ថិតនៅលើបណ្តាញរងអ៊ីសឺរណិតដូចគ្នាជាមួយវា វារៀនអាសយដ្ឋាន mac ដោយប្រើពិធីការ arp ហើយបញ្ជូនកញ្ចប់ព័ត៌មានដោយផ្ទាល់ដោយឆ្លងកាត់រ៉ោតទ័រ។ ការតភ្ជាប់ ppp (ចំណុចមួយទៅចំណុច) អាចមានអ្នកចូលរួមតែពីរនាក់ប៉ុណ្ណោះ ហើយកញ្ចប់ព័ត៌មានតែងតែត្រូវបានផ្ញើទៅកាន់អាសយដ្ឋានមួយ 0xff ។

Routing គឺជាដំណើរការនៃការផ្ទេរកញ្ចប់ព័ត៌មានរវាងផ្នែក Layer2។ ប្រសិនបើឧបករណ៍ចង់ផ្ញើកញ្ចប់ព័ត៌មានដែលអ្នកទទួលនៅខាងក្រៅផ្នែកអ៊ីសឺរណិត វាមើលទៅក្នុងតារាងនាំផ្លូវរបស់វា ហើយបញ្ជូនកញ្ចប់ព័ត៌មានទៅកាន់ច្រកទ្វារ ដែលដឹងពីកន្លែងដែលត្រូវផ្ញើកញ្ចប់ព័ត៌មានបន្ទាប់ (ឬប្រហែលជាមិនដឹង អ្នកផ្ញើដើមនៃកញ្ចប់ព័ត៌មាន មិនដឹងអំពីរឿងនេះទេ) ។

មធ្យោបាយងាយស្រួលបំផុតក្នុងការគិតពីរ៉ោតទ័រគឺដូចជាឧបករណ៍ដែលភ្ជាប់ទៅផ្នែក Layer2 ពីរ ឬច្រើន ហើយអាចឆ្លងកាត់កញ្ចប់ព័ត៌មានរវាងពួកវាដោយកំណត់ផ្លូវល្អបំផុតពីតារាងនាំផ្លូវ។

ប្រសិនបើអ្នកយល់គ្រប់យ៉ាង ឬអ្នកដឹងរួចហើយ សូមអានបន្ត។ សម្រាប់អ្វីដែលនៅសល់ខ្ញុំសូមណែនាំយ៉ាងមុតមាំថាអ្នកស្គាល់ខ្លួនអ្នកជាមួយនឹងខ្នាតតូចប៉ុន្តែមានសមត្ថភាពខ្លាំង អត្ថបទ.

ដំណើរការក្នុង RouterOS និង PacketFlow

មុខងារស្ទើរតែទាំងអស់ដែលទាក់ទងនឹងការបញ្ជូនបន្តឋិតិវន្តគឺស្ថិតនៅក្នុងកញ្ចប់ ប្រព័ន្ធ. ថង់ផ្លាស្ទិច routing បន្ថែមការគាំទ្រសម្រាប់ក្បួនដោះស្រាយការនាំផ្លូវថាមវន្ត (RIP, OSPF, BGP, MME), តម្រងផ្លូវ និង BFD ។

ម៉ឺនុយមេសម្រាប់កំណត់ការនាំផ្លូវ៖ [IP]->[Route]. គ្រោងការណ៍ស្មុគ្រស្មាញអាចតម្រូវឱ្យកញ្ចប់ព័ត៌មានត្រូវបានដាក់ស្លាកជាមុនជាមួយនឹងសញ្ញាសម្គាល់ផ្លូវនៅក្នុង៖ [IP]->[Firewall]->[Mangle] (ខ្សែសង្វាក់ PREROUTING и OUTPUT).

មានបីកន្លែងនៅលើ PacketFlow ដែលការសម្រេចចិត្តកំណត់ផ្លូវនៃកញ្ចប់ព័ត៌មាន IP ត្រូវបានធ្វើឡើង៖

កញ្ចប់បញ្ជូនផ្លូវដែលទទួលដោយរ៉ោតទ័រ។ នៅដំណាក់កាលនេះ វាត្រូវបានសម្រេចថាតើកញ្ចប់ព័ត៌មាននឹងទៅកាន់ដំណើរការមូលដ្ឋាន ឬនឹងត្រូវបញ្ជូនបន្ថែមទៀតទៅកាន់បណ្តាញ។ កញ្ចប់ដឹកជញ្ជូនទទួលបាន ចំណុចប្រទាក់លទ្ធផល
កំណត់ផ្លូវចេញកញ្ចប់ព័ត៌មានក្នុងស្រុក។ កញ្ចប់ចេញទទួលបាន ចំណុចប្រទាក់លទ្ធផល
ជំហានបញ្ជូនបន្តបន្ថែមសម្រាប់កញ្ចប់ព័ត៌មានចេញ អនុញ្ញាតឱ្យអ្នកផ្លាស់ប្តូរការសម្រេចចិត្តផ្លូវចូល [Output|Mangle]

ផ្លូវកញ្ចប់ព័ត៌មាននៅក្នុងប្លុក 1, 2 អាស្រ័យលើច្បាប់នៅក្នុង [IP]->[Route]
ផ្លូវកញ្ចប់ព័ត៌មានក្នុងចំណុច 1, 2 និង 3 អាស្រ័យលើច្បាប់នៅក្នុង [IP]->[Route]->[Rules]
ផ្លូវកញ្ចប់នៅក្នុងប្លុក 1, 3 អាចមានឥទ្ធិពលលើការប្រើប្រាស់ [IP]->[Firewall]->[Mangle]

RIB, FIB, Routing Cache

មូលដ្ឋានព័ត៌មានផ្លូវ
មូលដ្ឋានដែលផ្លូវត្រូវបានប្រមូលពីពិធីការផ្លូវថាមវន្ត ផ្លូវពី ppp និង dhcp ផ្លូវឋិតិវន្ត និងផ្លូវតភ្ជាប់។ មូលដ្ឋានទិន្នន័យនេះមានផ្លូវទាំងអស់ លើកលែងតែផ្លូវដែលត្រូវបានត្រងដោយអ្នកគ្រប់គ្រង។

តាមលក្ខខណ្ឌយើងអាចសន្មត់ថា [IP]->[Route] បង្ហាញ RIB ។

មូលដ្ឋានព័ត៌មានបញ្ជូនបន្ត

មូលដ្ឋានដែលផ្លូវល្អបំផុតពី RIB ត្រូវបានប្រមូល។ ផ្លូវទាំងអស់នៅក្នុង FIB គឺសកម្ម ហើយត្រូវបានប្រើដើម្បីបញ្ជូនបន្តកញ្ចប់ព័ត៌មាន។ ប្រសិនបើផ្លូវក្លាយជាអសកម្ម (បិទដោយអ្នកគ្រប់គ្រង (ប្រព័ន្ធ) ឬចំណុចប្រទាក់ដែលកញ្ចប់ព័ត៌មានគួរតែត្រូវបានផ្ញើមិនសកម្ម) ផ្លូវត្រូវដកចេញពី FIB ។

ដើម្បីធ្វើការសម្រេចចិត្តលើផ្លូវ តារាង FIB ប្រើព័ត៌មានខាងក្រោមអំពីកញ្ចប់ព័ត៌មាន IP៖

អាសយដ្ឋានប្រភព
អាសយដ្ឋានគោលដៅ
ចំណុចប្រទាក់ប្រភព
សញ្ញាផ្លូវ
ToS (DSCP)

ការចូលទៅក្នុងកញ្ចប់ FIB ឆ្លងកាត់ដំណាក់កាលដូចខាងក្រោម:

តើកញ្ចប់នេះមានគោលបំណងសម្រាប់ដំណើរការរ៉ោតទ័រក្នុងស្រុកដែរឬទេ?
តើកញ្ចប់ព័ត៌មានជាកម្មវត្ថុរបស់ប្រព័ន្ធ ឬច្បាប់ PBR របស់អ្នកប្រើដែរឬទេ?
- ប្រសិនបើបាទ/ចាស នោះកញ្ចប់ព័ត៌មានត្រូវបានផ្ញើទៅកាន់តារាងកំណត់ផ្លូវដែលបានបញ្ជាក់
កញ្ចប់ត្រូវបានបញ្ជូនទៅតុមេ

តាមលក្ខខណ្ឌយើងអាចសន្មត់ថា [IP]->[Route Active=yes] បង្ហាញ FIB ។

កំណត់ផ្លូវឃ្លាំងសម្ងាត់
យន្តការឃ្លាំងសម្ងាត់ផ្លូវ។ រ៉ោតទ័រចងចាំកន្លែងដែលកញ្ចប់ព័ត៌មានត្រូវបានផ្ញើ ហើយប្រសិនបើមានដូចគ្នា (សន្មតថាមកពីការតភ្ជាប់ដូចគ្នា) វាអនុញ្ញាតឱ្យពួកគេទៅតាមផ្លូវដូចគ្នា ដោយមិនចាំបាច់ពិនិត្យនៅក្នុង FIB ។ ឃ្លាំងសម្ងាត់ផ្លូវត្រូវបានសម្អាតជាទៀងទាត់។

សម្រាប់អ្នកគ្រប់គ្រង RouterOS ពួកគេមិនបានបង្កើតឧបករណ៍សម្រាប់មើល និងគ្រប់គ្រង Routing Cache ទេ ប៉ុន្តែនៅពេលដែលវាអាចត្រូវបានបិទនៅក្នុង [IP]->[Settings].

យន្តការនេះត្រូវបានដកចេញពីខឺណែល linux 3.6 ប៉ុន្តែ RouterOS នៅតែប្រើខឺណែល 3.3.5 ប្រហែលជា Routing cahce គឺជាហេតុផលមួយ។

បន្ថែមប្រអប់ផ្លូវ

[IP]->[Route]->[+]

បណ្តាញរងដែលអ្នកចង់បង្កើតផ្លូវមួយ (លំនាំដើម៖ 0.0.0.0/0)
Gateway IP ឬចំណុចប្រទាក់ដែលកញ្ចប់ព័ត៌មាននឹងត្រូវបានផ្ញើ (អាចមានច្រើន សូមមើល ECMP ខាងក្រោម)
ការត្រួតពិនិត្យភាពអាចរកបាននៃច្រកទ្វារ
ប្រភេទកំណត់ត្រា
ចម្ងាយ (ម៉ែត្រ) សម្រាប់ផ្លូវមួយ។
តារាងនាំផ្លូវ
IP សម្រាប់កញ្ចប់ព័ត៌មានចេញក្នុងស្រុកតាមរយៈផ្លូវនេះ។
គោលបំណងនៃវិសាលភាព និងវិសាលភាពគោលដៅត្រូវបានសរសេរនៅចុងបញ្ចប់នៃអត្ថបទ។

ទង់ផ្លូវ

X - ផ្លូវត្រូវបានបិទដោយអ្នកគ្រប់គ្រង (disabled=yes)
ក - ផ្លូវត្រូវបានប្រើដើម្បីផ្ញើកញ្ចប់ព័ត៌មាន
ឃ - ផ្លូវត្រូវបានបន្ថែមថាមវន្ត (BGP, OSPF, RIP, MME, PPP, DHCP, Connected)
គ - បណ្តាញរងត្រូវបានភ្ជាប់ដោយផ្ទាល់ទៅរ៉ោតទ័រ
S - ផ្លូវឋិតិវន្ត
r,b,o,m - ផ្លូវត្រូវបានបន្ថែមដោយពិធីការនាំផ្លូវថាមវន្តមួយ។
B,U,P - ផ្លូវត្រង (ទម្លាក់កញ្ចប់ព័ត៌មានជំនួសឱ្យការបញ្ជូន)

អ្វីដែលត្រូវបញ្ជាក់នៅក្នុង gateway: ip-address ឬ interface?

ប្រព័ន្ធអនុញ្ញាតឱ្យអ្នកបញ្ជាក់ទាំងពីរខណៈពេលដែលវាមិនស្បថនិងមិនផ្តល់ការណែនាំប្រសិនបើអ្នកបានធ្វើអ្វីមួយខុស។

អាសយដ្ឋាន IP
អាសយដ្ឋាន gateway ត្រូវតែអាចចូលប្រើបាននៅលើ Layer2។ សម្រាប់អ៊ីសឺរណិត នេះមានន័យថារ៉ោតទ័រត្រូវតែមានអាសយដ្ឋានពីបណ្តាញរងដូចគ្នានៅលើចំណុចប្រទាក់ ip សកម្មមួយសម្រាប់ ppp ដែលអាសយដ្ឋានច្រកផ្លូវត្រូវបានបញ្ជាក់នៅលើចំណុចប្រទាក់សកម្មមួយក្នុងចំណោមអាសយដ្ឋានបណ្តាញរង។
ប្រសិនបើលក្ខខណ្ឌភាពងាយស្រួលសម្រាប់ Layer2 មិនត្រូវបានបំពេញ នោះផ្លូវត្រូវបានចាត់ទុកថាអសកម្ម ហើយមិនធ្លាក់ចូលទៅក្នុង FIB ទេ។

ចំណុចប្រទាក់
អ្វីគ្រប់យ៉ាងកាន់តែស្មុគស្មាញ ហើយឥរិយាបថរបស់រ៉ោតទ័រអាស្រ័យលើប្រភេទនៃចំណុចប្រទាក់៖

ការតភ្ជាប់ PPP (Async, PPTP, L2TP, SSTP, PPPoE, OpenVPN *) សន្មតថាមានអ្នកចូលរួមតែពីរនាក់ប៉ុណ្ណោះ ហើយកញ្ចប់ព័ត៌មាននឹងតែងតែត្រូវបានផ្ញើទៅកាន់ច្រកផ្លូវសម្រាប់ការបញ្ជូន ប្រសិនបើច្រកទ្វាររកឃើញថាអ្នកទទួលគឺជាខ្លួនវា នោះវានឹងផ្ទេរកញ្ចប់ព័ត៌មានទៅ ដំណើរការក្នុងស្រុករបស់វា។
អ៊ីសឺរណិតសន្មតថាមានវត្តមានរបស់អ្នកចូលរួមជាច្រើន ហើយនឹងផ្ញើសំណើទៅកាន់ចំណុចប្រទាក់ arp ជាមួយនឹងអាសយដ្ឋានរបស់អ្នកទទួលកញ្ចប់ព័ត៌មាន នេះគឺជាការរំពឹងទុក និងអាកប្បកិរិយាធម្មតាសម្រាប់ផ្លូវដែលតភ្ជាប់។
ប៉ុន្តែនៅពេលដែលអ្នកព្យាយាមប្រើចំណុចប្រទាក់ជាផ្លូវសម្រាប់បណ្តាញរងពីចម្ងាយ អ្នកនឹងទទួលបានស្ថានភាពដូចខាងក្រោម៖ ផ្លូវគឺសកម្ម ping ទៅច្រកផ្លូវឆ្លងកាត់ ប៉ុន្តែមិនទៅដល់អ្នកទទួលពីបណ្តាញរងដែលបានបញ្ជាក់នោះទេ។ ប្រសិនបើអ្នកក្រឡេកមើលចំណុចប្រទាក់តាមរយៈ sniffer អ្នកនឹងឃើញសំណើ arp ដែលមានអាសយដ្ឋានពីបណ្តាញរងពីចម្ងាយ។

ព្យាយាមបញ្ជាក់អាសយដ្ឋាន ip ជាច្រកផ្លូវនៅពេលណាដែលអាចធ្វើទៅបាន។ ករណីលើកលែងគឺផ្លូវតភ្ជាប់ (បង្កើតដោយស្វ័យប្រវត្តិ) និងចំណុចប្រទាក់ PPP (Async, PPTP, L2TP, SSTP, PPPoE, OpenVPN*) ។

OpenVPN មិនមានបឋមកថា PPP ទេ ប៉ុន្តែអ្នកអាចប្រើឈ្មោះចំណុចប្រទាក់ OpenVPN ដើម្បីបង្កើតផ្លូវមួយ។

ផ្លូវជាក់លាក់បន្ថែមទៀត

ក្បួនជាមូលដ្ឋាននៃផ្លូវ។ ផ្លូវដែលពិពណ៌នាអំពីបណ្តាញរងតូចជាង (ជាមួយរបាំងបណ្តាញរងធំបំផុត) មានអាទិភាពក្នុងការសម្រេចចិត្តកំណត់ផ្លូវរបស់កញ្ចប់ព័ត៌មាន។ ទីតាំងនៃធាតុនៅក្នុងតារាងនាំផ្លូវគឺមិនទាក់ទងនឹងជម្រើសទេ - ច្បាប់សំខាន់គឺជាក់លាក់ជាង។

ផ្លូវទាំងអស់ពីគ្រោងការណ៍ដែលបានបញ្ជាក់គឺសកម្ម (មានទីតាំងនៅ FIB) ។ ចង្អុលទៅបណ្តាញរងផ្សេងគ្នា ហើយកុំប៉ះទង្គិចគ្នាទៅវិញទៅមក។

ប្រសិនបើច្រកផ្លូវណាមួយមិនអាចប្រើបាន ផ្លូវដែលពាក់ព័ន្ធនឹងត្រូវបានចាត់ទុកថាអសកម្ម (ដកចេញពី FIB) ហើយកញ្ចប់ព័ត៌មាននឹងត្រូវបានស្វែងរកពីផ្លូវដែលនៅសល់។

ផ្លូវដែលមានបណ្តាញរង 0.0.0.0/0 ជួនកាលត្រូវបានផ្តល់អត្ថន័យពិសេស ហើយត្រូវបានគេហៅថា "ផ្លូវលំនាំដើម" ឬ "ច្រកផ្លូវនៃរមណីយដ្ឋានចុងក្រោយ" ។ តាមពិតទៅ មិនមានអ្វីអស្ចារ្យអំពីវាទេ ហើយវាគ្រាន់តែរួមបញ្ចូលអាសយដ្ឋាន IPv4 ដែលអាចធ្វើទៅបានទាំងអស់ ប៉ុន្តែឈ្មោះទាំងនេះពិពណ៌នាអំពីកិច្ចការរបស់វាបានយ៉ាងល្អ - វាបង្ហាញពីច្រកផ្លូវដែលត្រូវបញ្ជូនបន្តកញ្ចប់ព័ត៌មាន ដែលមិនមានផ្លូវត្រឹមត្រូវជាងផ្សេងទៀត។

របាំងបណ្ដាញរងអតិបរមាដែលអាចធ្វើបានសម្រាប់ IPv4 គឺ /32 ផ្លូវនេះចង្អុលទៅម៉ាស៊ីនជាក់លាក់មួយ ហើយអាចប្រើក្នុងតារាងនាំផ្លូវ។

ការយល់ដឹងអំពីផ្លូវជាក់លាក់បន្ថែមទៀតគឺជាមូលដ្ឋានគ្រឹះសម្រាប់ឧបករណ៍ TCP/IP ណាមួយ។

ចម្ងាយ

ចម្ងាយ (ឬម៉ែត្រ) ត្រូវបានទាមទារសម្រាប់ការត្រងរដ្ឋបាលនៃផ្លូវទៅកាន់បណ្តាញរងតែមួយដែលអាចចូលបានតាមរយៈច្រកផ្លូវច្រើន។ ផ្លូវដែលមានម៉ែត្រទាបត្រូវបានចាត់ទុកថាជាអាទិភាព ហើយនឹងត្រូវបានរួមបញ្ចូលនៅក្នុង FIB ។ ប្រសិនបើផ្លូវដែលមានម៉ែត្រទាបជាងឈប់ដំណើរការ នោះវានឹងត្រូវបានជំនួសដោយផ្លូវដែលមានម៉ែត្រខ្ពស់ជាងនៅក្នុង FIB ។

ប្រសិនបើមានផ្លូវជាច្រើនទៅកាន់បណ្តាញរងដូចគ្នាដែលមានម៉ែត្រដូចគ្នា រ៉ោតទ័រនឹងបន្ថែមតែមួយក្នុងចំណោមពួកវាទៅក្នុងតារាង FIB ដែលដឹកនាំដោយតក្កវិជ្ជាផ្ទៃក្នុងរបស់វា។

ម៉ែត្រអាចយកតម្លៃពី 0 ដល់ 255៖

0 - ម៉ែត្រសម្រាប់ផ្លូវតភ្ជាប់។ ចម្ងាយ 0 មិនអាចកំណត់ដោយអ្នកគ្រប់គ្រងបានទេ។
1-254 - ម៉ែត្រដែលមានសម្រាប់អ្នកគ្រប់គ្រងសម្រាប់ការកំណត់ផ្លូវ។ ម៉ែត្រដែលមានតម្លៃទាបមានអាទិភាពខ្ពស់ជាង
255 - ម៉ែត្រមានសម្រាប់អ្នកគ្រប់គ្រងសម្រាប់ការកំណត់ផ្លូវ។ មិនដូច 1-254 ផ្លូវដែលមានម៉ែត្រ 255 តែងតែអសកម្ម ហើយមិនធ្លាក់ចូលទៅក្នុង FIB ទេ។
ម៉ែត្រជាក់លាក់។ ផ្លូវដែលបានមកពីពិធីការនាំផ្លូវថាមវន្តមានតម្លៃម៉ែត្រស្តង់ដារ

ពិនិត្យច្រកផ្លូវ

Check gateway គឺជាផ្នែកបន្ថែម MikroTik RoutesOS សម្រាប់ពិនិត្យមើលភាពអាចរកបាននៃ gateway តាមរយៈ icmp ឬ arp។ រៀងរាល់ 10 វិនាទីម្តង (មិនអាចផ្លាស់ប្តូរបានទេ) សំណើត្រូវបានផ្ញើទៅកាន់ច្រកទ្វារ ប្រសិនបើការឆ្លើយតបមិនត្រូវបានទទួលពីរដងទេ ផ្លូវនេះត្រូវបានគេចាត់ទុកថាមិនអាចប្រើបាន ហើយត្រូវបានដកចេញពី FIB ។ ប្រសិនបើច្រកចេញចូលពិនិត្យបានបិទ ផ្លូវពិនិត្យនៅតែបន្ត ហើយផ្លូវនឹងសកម្មម្តងទៀត បន្ទាប់ពីការត្រួតពិនិត្យជោគជ័យមួយ។

Check gateway បិទដំណើរការធាតុដែលវាត្រូវបានកំណត់រចនាសម្ព័ន្ធ និងធាតុផ្សេងទៀតទាំងអស់ (នៅក្នុងតារាង routing ទាំងអស់ និង ecmp routes) ជាមួយនឹង gateway ដែលបានបញ្ជាក់។

ជាទូទៅ check gateway ដំណើរការល្អ ដរាបណាមិនមានបញ្ហាជាមួយនឹងការបាត់បង់កញ្ចប់ព័ត៌មានទៅកាន់ gateway។ Check gateway មិនដឹងថាមានអ្វីកើតឡើងជាមួយនឹងការទំនាក់ទំនងនៅខាងក្រៅច្រកចេញចូលដែលបានពិនិត្យទេ វាទាមទារឧបករណ៍បន្ថែមទៀត៖ ស្គ្រីប ការកំណត់ផ្លូវដែលកើតឡើងដដែលៗ ពិធីការកំណត់ផ្លូវថាមវន្ត។

ពិធីការ VPN និងផ្លូវរូងក្រោមដីភាគច្រើនមានឧបករណ៍ដែលភ្ជាប់មកជាមួយសម្រាប់ពិនិត្យមើលសកម្មភាពការតភ្ជាប់ ការបើកដំណើរការច្រកចេញចូលសម្រាប់ពួកវាគឺជាការផ្ទុកបន្ថែម (ប៉ុន្តែតូចណាស់) នៅលើបណ្តាញ និងដំណើរការឧបករណ៍។

ផ្លូវ ECMP

Equal-Cost Multi-Path - ការផ្ញើកញ្ចប់ព័ត៌មានទៅកាន់អ្នកទទួលដោយប្រើ gateways ជាច្រើនក្នុងពេលដំណាលគ្នាដោយប្រើ Round Robin algorithm។

ផ្លូវ ECMP ត្រូវបានបង្កើតឡើងដោយអ្នកគ្រប់គ្រងដោយបញ្ជាក់ច្រកផ្លូវជាច្រើនសម្រាប់បណ្តាញរងមួយ (ឬដោយស្វ័យប្រវត្តិប្រសិនបើមានផ្លូវ OSPF ស្មើគ្នាពីរ)។

ECMP ត្រូវបានប្រើសម្រាប់តុល្យភាពបន្ទុករវាងឆានែលពីរ តាមទ្រឹស្តីប្រសិនបើមានឆានែលពីរនៅក្នុងផ្លូវ ecmp នោះសម្រាប់កញ្ចប់ព័ត៌មាននីមួយៗ ឆានែលដែលចេញគួរតែខុសគ្នា។ ប៉ុន្តែយន្តការឃ្លាំងសម្ងាត់ Routing ផ្ញើកញ្ចប់ព័ត៌មានពីការតភ្ជាប់តាមបណ្តោយផ្លូវដែលកញ្ចប់ព័ត៌មានដំបូងបានយក ជាលទ្ធផលយើងទទួលបានប្រភេទនៃតុល្យភាពដោយផ្អែកលើការតភ្ជាប់ (តុល្យភាពការផ្ទុកក្នុងមួយការតភ្ជាប់) ។

ប្រសិនបើអ្នកបិទដំណើរការ Routing Cache នោះកញ្ចប់ព័ត៌មាននៅក្នុងផ្លូវ ECMP នឹងត្រូវបានចែករំលែកយ៉ាងត្រឹមត្រូវ ប៉ុន្តែមានបញ្ហាជាមួយ NAT ។ ច្បាប់ NAT ដំណើរការតែកញ្ចប់ព័ត៌មានដំបូងពីការតភ្ជាប់ (នៅសល់ត្រូវបានដំណើរការដោយស្វ័យប្រវត្តិ) ហើយវាបង្ហាញថាកញ្ចប់ព័ត៌មានដែលមានអាសយដ្ឋានប្រភពដូចគ្នាទុកចំណុចប្រទាក់ផ្សេងគ្នា។

ពិនិត្យច្រកចេញចូលមិនដំណើរការក្នុងផ្លូវ ECMP (កំហុសរបស់ RouterOS)។ ប៉ុន្តែអ្នកអាចទទួលបានជុំវិញដែនកំណត់នេះដោយបង្កើតផ្លូវបញ្ជាក់បន្ថែមដែលនឹងបិទធាតុនៅក្នុង ECMP ។

ត្រងដោយមធ្យោបាយនៃការកំណត់ផ្លូវ

ជម្រើសប្រភេទកំណត់នូវអ្វីដែលត្រូវធ្វើជាមួយកញ្ចប់៖

unicast - ផ្ញើទៅកាន់ច្រកផ្លូវដែលបានបញ្ជាក់ (ចំណុចប្រទាក់)
blackhole - បោះចោលកញ្ចប់មួយ។
ហាមឃាត់ មិនអាចទៅដល់បាន - បោះបង់កញ្ចប់ព័ត៌មាន ហើយផ្ញើសារ icmp ទៅកាន់អ្នកផ្ញើ

ជាធម្មតាការត្រងត្រូវបានប្រើនៅពេលដែលវាចាំបាច់ដើម្បីធានាការផ្ញើកញ្ចប់ព័ត៌មានតាមផ្លូវខុស ជាការពិតអ្នកអាចត្រងវាតាមរយៈជញ្ជាំងភ្លើង។

ឧទាហរណ៍ពីរបី

ដើម្បីបង្រួបបង្រួមរឿងជាមូលដ្ឋានអំពីការនាំផ្លូវ។

រ៉ោតទ័រផ្ទះធម្មតា។

/ip route
add dst-address=0.0.0.0/0 gateway=10.10.10.1

ផ្លូវឋិតិវន្តទៅ 0.0.0.0/0 (ផ្លូវលំនាំដើម)
ផ្លូវតភ្ជាប់នៅលើចំណុចប្រទាក់ជាមួយអ្នកផ្តល់សេវា
ផ្លូវតភ្ជាប់នៅលើចំណុចប្រទាក់ LAN

រ៉ោតទ័រផ្ទះធម្មតាជាមួយ PPPoE

ផ្លូវឋិតិវន្តទៅផ្លូវលំនាំដើម បន្ថែមដោយស្វ័យប្រវត្តិ។ វាត្រូវបានបញ្ជាក់នៅក្នុងលក្ខណៈសម្បត្តិនៃការតភ្ជាប់
ផ្លូវតភ្ជាប់សម្រាប់ការតភ្ជាប់ PPP
ផ្លូវតភ្ជាប់នៅលើចំណុចប្រទាក់ LAN

រ៉ោតទ័រតាមផ្ទះធម្មតាដែលមានអ្នកផ្តល់សេវាពីរ និងការប្រើប្រាស់ឡើងវិញ

/ip route
add dst-address=0.0.0.0/0 gateway=10.10.10.1 distance=1 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=10.20.20.1 distance=2

ផ្លូវឋិតិវន្តទៅផ្លូវលំនាំដើមតាមរយៈអ្នកផ្តល់សេវាទីមួយដែលមានការត្រួតពិនិត្យម៉ែត្រ 1 និងច្រកផ្លូវដែលអាចរកបាន
ផ្លូវឋិតិវន្តទៅផ្លូវលំនាំដើមតាមរយៈអ្នកផ្តល់សេវាទីពីរដែលមានម៉ែត្រ 2
ផ្លូវតភ្ជាប់

ចរាចរណ៍ទៅ 0.0.0.0/0 ឆ្លងកាត់ 10.10.10.1 ខណៈច្រកនេះអាចប្រើបាន បើមិនដូច្នេះទេ វាប្តូរទៅ 10.20.20.1

គ្រោងការណ៍បែបនេះអាចត្រូវបានចាត់ទុកថាជាការកក់ឆានែលប៉ុន្តែវាមិនមែនដោយគ្មានគុណវិបត្តិទេ។ ប្រសិនបើការសម្រាកកើតឡើងនៅខាងក្រៅច្រកផ្លូវរបស់អ្នកផ្តល់សេវា (ឧទាហរណ៍ នៅខាងក្នុងបណ្តាញរបស់ប្រតិបត្តិករ) រ៉ោតទ័ររបស់អ្នកនឹងមិនដឹងអំពីវាទេ ហើយនឹងបន្តពិចារណាផ្លូវថាជាសកម្មភាព។

រ៉ោតទ័រផ្ទះធម្មតាដែលមានអ្នកផ្តល់សេវាពីរគឺ ភាពលែងត្រូវការតទៅទៀត និង ECMP

/ip route
add dst-address=0.0.0.0/0 gateway=10.10.10.1 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=10.20.20.1 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=10.10.10.1,10.20.20.1 distance=1

ផ្លូវឋិតិវន្តសម្រាប់ពិនិត្យច្រកចេញចូល
ផ្លូវ ECMP
ផ្លូវតភ្ជាប់

ផ្លូវដែលត្រូវពិនិត្យមានពណ៌ខៀវ (ពណ៌នៃផ្លូវដែលអសកម្ម) ប៉ុន្តែវាមិនរំខានដល់ច្រកទ្វារត្រួតពិនិត្យទេ។ កំណែបច្ចុប្បន្ន (6.44) នៃ RoS ផ្តល់អាទិភាពដោយស្វ័យប្រវត្តិចំពោះផ្លូវ ECMP ប៉ុន្តែវាជាការប្រសើរក្នុងការបន្ថែមផ្លូវសាកល្បងទៅតារាងនាំផ្លូវផ្សេងទៀត (ជម្រើស routing-mark)

នៅលើ Speedtest និងគេហទំព័រស្រដៀងគ្នាផ្សេងទៀត នឹងមិនមានការបង្កើនល្បឿនទេ (ECMP បែងចែកចរាចរណ៍ដោយការតភ្ជាប់ មិនមែនដោយកញ្ចប់) ប៉ុន្តែកម្មវិធី p2p គួរតែទាញយកលឿនជាងមុន។

ត្រងតាមរយៈការកំណត់ផ្លូវ

/ip route
add dst-address=0.0.0.0/0 gateway=10.10.10.1
add dst-address=192.168.200.0/24 gateway=10.30.30.1 distance=1
add dst-address=192.168.200.0/24 gateway=10.10.10.1 distance=2 type=blackhole

ផ្លូវឋិតិវន្តទៅផ្លូវលំនាំដើម
ផ្លូវឋិតិវន្តទៅ 192.168.200.0/24 លើផ្លូវរូងក្រោមដី ipip
ការហាមឃាត់ផ្លូវឋិតិវន្តទៅ 192.168.200.0/24 តាមរយៈរ៉ោតទ័រ ISP

ជម្រើសត្រងដែលចរាចរណ៍ផ្លូវរូងក្រោមដីនឹងមិនទៅកាន់រ៉ោតទ័ររបស់អ្នកផ្តល់សេវា នៅពេលដែលចំណុចប្រទាក់ ipip ត្រូវបានបិទ។ គ្រោងការណ៍បែបនេះកម្រត្រូវបានទាមទារ, ដោយសារតែ អ្នកអាចអនុវត្តការទប់ស្កាត់តាមរយៈជញ្ជាំងភ្លើង។

រង្វិលជុំផ្លូវ
Routing loop - ស្ថានភាពនៅពេលដែល packet ដំណើរការរវាង routers មុនពេល ttl ផុតកំណត់។ ជាធម្មតាវាគឺជាលទ្ធផលនៃកំហុសក្នុងការកំណត់រចនាសម្ព័ន្ធ ដែលនៅក្នុងបណ្តាញធំៗ វាត្រូវបានព្យាបាលដោយការអនុវត្តពិធីការបញ្ជូនបន្តថាមវន្ត តូច - ដោយប្រុងប្រយ័ត្ន។

វាមើលទៅដូចនេះ៖

ឧទាហរណ៍ (សាមញ្ញបំផុត) នៃរបៀបដើម្បីទទួលបានលទ្ធផលស្រដៀងគ្នា៖

ឧទាហរណ៍នៃ Routing loop គឺមិនមានការប្រើប្រាស់ជាក់ស្តែងទេ ប៉ុន្តែវាបង្ហាញថា Routers មិនមានគំនិតអំពី Routing Table របស់អ្នកជិតខាងនោះទេ។

ការកំណត់ផ្លូវមូលដ្ឋាន និងតារាងកំណត់ផ្លូវបន្ថែម

នៅពេលជ្រើសរើសផ្លូវមួយ រ៉ោតទ័រប្រើវាលតែមួយពីបឋមកថាកញ្ចប់ព័ត៌មាន (អាសយដ្ឋាន Dst.) - នេះគឺជាការកំណត់ផ្លូវមូលដ្ឋាន។ ការនាំផ្លូវដោយផ្អែកលើលក្ខខណ្ឌផ្សេងទៀត ដូចជាអាសយដ្ឋានប្រភព ប្រភេទនៃចរាចរណ៍ (ToS) តុល្យភាពដោយគ្មាន ECMP ជាកម្មសិទ្ធិរបស់គោលការណ៍ណែនាំមូលដ្ឋាន (PBR) និងប្រើតារាងនាំផ្លូវបន្ថែម។

ផ្លូវជាក់លាក់បន្ថែមទៀត គឺជាច្បាប់ជ្រើសរើសផ្លូវសំខាន់នៅក្នុងតារាងនាំផ្លូវ។

តាមលំនាំដើម ច្បាប់នាំផ្លូវទាំងអស់ត្រូវបានបន្ថែមទៅតារាងមេ។ អ្នកគ្រប់គ្រងអាចបង្កើតតារាងកំណត់ផ្លូវបន្ថែមមួយចំនួនតាមអំពើចិត្តនិងកញ្ចប់ផ្លូវទៅពួកគេ។ ច្បាប់ក្នុងតារាងផ្សេងគ្នាមិនទាស់ទែងគ្នាទេ។ ប្រសិនបើកញ្ចប់មិនរកឃើញច្បាប់សមរម្យនៅក្នុងតារាងដែលបានបញ្ជាក់នោះវានឹងទៅតារាងមេ។

ឧទាហរណ៍ជាមួយនឹងការចែកចាយតាមរយៈ Firewall៖

៣.១៤១៥៩២៦ -> ៣.១៤
1. ចរាចរណ៍ពី 192.168.100.10 ទទួលបានស្លាក តាមរយៈ isp1 в [Prerouting|Mangle]
2. នៅដំណាក់កាល Routing នៅក្នុងតារាង តាមរយៈ isp1 ស្វែងរកផ្លូវទៅកាន់ 8.8.8.8
3. ផ្លូវត្រូវបានរកឃើញ ចរាចរណ៍ត្រូវបានបញ្ជូនទៅច្រកផ្លូវ 10.10.10.1
៣.១៤១៥៩២៦ -> ៣.១៤
1. ចរាចរណ៍ពី 192.168.200.20 ទទួលបានស្លាក តាមរយៈ isp2 в [Prerouting|Mangle]
2. នៅដំណាក់កាល Routing នៅក្នុងតារាង តាមរយៈ isp2 ស្វែងរកផ្លូវទៅកាន់ 8.8.8.8
3. ផ្លូវត្រូវបានរកឃើញ ចរាចរណ៍ត្រូវបានបញ្ជូនទៅច្រកផ្លូវ 10.20.20.1
ប្រសិនបើច្រកផ្លូវណាមួយ (10.10.10.1 ឬ 10.20.20.1) មិនអាចប្រើបាន នោះកញ្ចប់ព័ត៌មាននឹងទៅកាន់តុ សំខាន់ ហើយនឹងស្វែងរកផ្លូវសមរម្យនៅទីនោះ

បញ្ហាវាក្យសព្ទ

RouterOS មានបញ្ហាវាក្យស័ព្ទជាក់លាក់។
នៅពេលធ្វើការជាមួយច្បាប់នៅក្នុង [IP]->[Routes] តារាងនាំផ្លូវត្រូវបានចង្អុលបង្ហាញ ទោះបីជាវាត្រូវបានសរសេរថាស្លាក៖

В [IP]->[Routes]->[Rule] អ្វីគ្រប់យ៉ាងគឺត្រឹមត្រូវនៅក្នុងលក្ខខណ្ឌស្លាកនៅក្នុងសកម្មភាពតារាង៖

របៀបផ្ញើកញ្ចប់ព័ត៌មានទៅតារាងផ្លូវជាក់លាក់

RouterOS ផ្តល់ឧបករណ៍ជាច្រើន៖

ច្បាប់នៅក្នុង [IP]->[Routes]->[Rules]
សញ្ញាសម្គាល់ផ្លូវ (action=mark-routing) ក្នុង [IP]->[Firewall]->[Mangle]
VRF

ច្បាប់ [IP]->[Route]->[Rules]
ច្បាប់ត្រូវបានដំណើរការតាមលំដាប់លំដោយ ប្រសិនបើកញ្ចប់ព័ត៌មានត្រូវគ្នានឹងលក្ខខណ្ឌនៃច្បាប់នោះ វាមិនឆ្លងកាត់បន្ថែមទៀតទេ។

ច្បាប់នាំផ្លូវអនុញ្ញាតឱ្យអ្នកពង្រីកលទ្ធភាពនៃការនាំផ្លូវដោយពឹងផ្អែកមិនត្រឹមតែលើអាសយដ្ឋានអ្នកទទួលប៉ុណ្ណោះទេ ប៉ុន្តែក៏មានអាសយដ្ឋានប្រភព និងចំណុចប្រទាក់ដែលកញ្ចប់ព័ត៌មានត្រូវបានទទួលផងដែរ។

ច្បាប់មានលក្ខខណ្ឌ និងសកម្មភាព៖

លក្ខខណ្ឌ។ អនុវត្តឡើងវិញនូវបញ្ជីសញ្ញាដែលកញ្ចប់ត្រូវបានពិនិត្យនៅក្នុង FIB មានតែ ToS ប៉ុណ្ណោះដែលបាត់។
សកម្មភាព
- រកមើល - ផ្ញើកញ្ចប់ព័ត៌មានទៅតុ
- រកមើលតែក្នុងតារាងប៉ុណ្ណោះ - ចាក់សោកញ្ចប់ក្នុងតារាង ប្រសិនបើរកផ្លូវមិនឃើញ កញ្ចប់នឹងមិនទៅតារាងមេទេ
- ទម្លាក់ - ទម្លាក់កញ្ចប់មួយ។
- មិនអាចចូលបាន - បោះបង់កញ្ចប់ព័ត៌មានជាមួយនឹងការជូនដំណឹងអ្នកផ្ញើ

នៅក្នុង FIB ចរាចរណ៍ទៅកាន់ដំណើរការក្នុងតំបន់ត្រូវបានដំណើរការដោយឆ្លងកាត់ច្បាប់ [IP]->[Route]->[Rules]:

សម្គាល់ [IP]->[Firewall]->[Mangle]
ស្លាកកំណត់ផ្លូវអនុញ្ញាតឱ្យអ្នកកំណត់ច្រកផ្លូវសម្រាប់កញ្ចប់ព័ត៌មានដោយប្រើស្ទើរតែគ្រប់លក្ខខណ្ឌ Firewall៖

ជាក់ស្តែង ព្រោះវាមិនមែនសុទ្ធតែសមហេតុផលទេ ហើយខ្លះអាចដំណើរការមិនស្ថិតស្ថេរ។

មានវិធីពីរយ៉ាងក្នុងការដាក់ស្លាកកញ្ចប់មួយ៖

ដាក់ភ្លាម សញ្ញាផ្លូវ
ដាក់ដំបូង សញ្ញាសម្គាល់ការតភ្ជាប់បន្ទាប់មកផ្អែកលើ សញ្ញាសម្គាល់ការតភ្ជាប់ ដើម្បីដាក់ សញ្ញាផ្លូវ

នៅក្នុងអត្ថបទអំពីជញ្ជាំងភ្លើង ខ្ញុំបានសរសេរថា ជម្រើសទីពីរគឺល្អជាង។ កាត់បន្ថយការផ្ទុកនៅលើស៊ីភីយូក្នុងករណីសម្គាល់ផ្លូវ - នេះមិនពិតទាំងស្រុងទេ។ វិធីសាស្រ្តសម្គាល់ទាំងនេះមិនតែងតែស្មើនឹងទេ ហើយជាធម្មតាត្រូវបានប្រើដើម្បីដោះស្រាយបញ្ហាផ្សេងៗ។

ឧទាហរណ៍ការប្រើប្រាស់

ចូរយើងបន្តទៅឧទាហរណ៍នៃការប្រើប្រាស់ការនាំផ្លូវមូលដ្ឋានគោលការណ៍ វាកាន់តែងាយស្រួលក្នុងការបង្ហាញថាហេតុអ្វីបានជាតម្រូវការទាំងអស់នេះ។

MultiWAN និងត្រលប់មកវិញ (ទិន្នផល) ចរាចរ
បញ្ហាទូទៅជាមួយការកំណត់រចនាសម្ព័ន្ធ MultiWAN៖ Mikrotik អាចរកបានពីអ៊ីនធឺណិតតែតាមរយៈអ្នកផ្តល់សេវា "សកម្ម" ប៉ុណ្ណោះ។

រ៉ោតទ័រមិនខ្វល់ពីអ្វីដែល ip សំណើបានមកនោះទេ នៅពេលបង្កើតការឆ្លើយតប វានឹងស្វែងរកផ្លូវនៅក្នុងតារាងនាំផ្លូវដែលផ្លូវតាមរយៈ isp1 សកម្ម។ លើសពីនេះ កញ្ចប់ព័ត៌មានបែបនេះទំនងជានឹងត្រូវបានត្រងតាមផ្លូវទៅកាន់អ្នកទទួល។

ចំណុចគួរឱ្យចាប់អារម្មណ៍មួយទៀត។ ប្រសិនបើ nat ប្រភព "សាមញ្ញ" ត្រូវបានកំណត់នៅលើចំណុចប្រទាក់ ether1៖ /ip fi nat add out-interface=ether1 action=masquerade កញ្ចប់នឹងដំណើរការលើអ៊ីនធឺណិតជាមួយ src ។ address=10.10.10.100 ដែលធ្វើអោយអ្វីៗកាន់តែអាក្រក់។

មានវិធីជាច្រើនដើម្បីដោះស្រាយបញ្ហា ប៉ុន្តែពួកវាណាមួយនឹងត្រូវការតារាងនាំផ្លូវបន្ថែម៖

/ip route
add dst-address=0.0.0.0/0 gateway=10.10.10.1 check-gateway=ping distance=1
add dst-address=0.0.0.0/0 gateway=10.20.20.1 check-gateway=ping distance=2
add dst-address=0.0.0.0/0 gateway=10.10.10.1 routing-mark=over-isp1
add dst-address=0.0.0.0/0 gateway=10.20.20.1 routing-mark=over-isp2

ប្រើ [IP]->[Route]->[Rules]
បញ្ជាក់តារាងនាំផ្លូវដែលនឹងត្រូវបានប្រើសម្រាប់កញ្ចប់ព័ត៌មានជាមួយ IP ប្រភពដែលបានបញ្ជាក់។

/ip route rule
add src-address=10.10.10.100/32 action=lookup-only-in-table table=over-isp1
add src-address=10.20.20.200/32 action=lookup-only-in-table table=over-isp2

អាចប្រើបាន action=lookupប៉ុន្តែសម្រាប់ចរាចរណ៍ចេញក្នុងតំបន់ ជម្រើសនេះមិនរាប់បញ្ចូលទាំងស្រុងការតភ្ជាប់ពីចំណុចប្រទាក់ខុស។

ប្រព័ន្ធបង្កើតកញ្ចប់ឆ្លើយតបជាមួយ Src ។ អាស័យដ្ឋាន៖ 10.20.20.200
ការពិនិត្យមើលការសម្រេចចិត្តជំហាន (2) [IP]->[Routes]->[Rules] ហើយកញ្ចប់ត្រូវបានបញ្ជូនទៅតារាងនាំផ្លូវ លើស isp2
យោងតាមតារាងនាំផ្លូវ កញ្ចប់ព័ត៌មានត្រូវតែផ្ញើទៅកាន់ច្រកទ្វារ 10.20.20.1 តាមរយៈចំណុចប្រទាក់ ether2

វិធីសាស្រ្តនេះមិនតម្រូវឱ្យមានកម្មវិធីតាមដានការតភ្ជាប់ដែលកំពុងដំណើរការទេ មិនដូចការប្រើតារាង Mangle ទេ។

ប្រើ [IP]->[Firewall]->[Mangle]
ការតភ្ជាប់ចាប់ផ្តើមដោយកញ្ចប់ព័ត៌មានចូល ដូច្នេះយើងសម្គាល់វា (action=mark-connection) សម្រាប់កញ្ចប់ចេញពីការតភ្ជាប់ដែលបានសម្គាល់ សូមកំណត់ស្លាកនាំផ្លូវ (action=mark-routing).

/ip firewall mangle
#Маркировка входящих соединений
add chain=input in-interface=ether1 connection-state=new action=mark-connection new-connection-mark=from-isp1
add chain=input in-interface=ether2 connection-state=new action=mark-connection new-connection-mark=from-isp2
#Маркировка исходящих пакетов на основе соединений
add chain=output connection-mark=from-isp1 action=mark-routing new-routing-mark=over-isp1 passthrough=no
add chain=output connection-mark=from-isp2 action=mark-routing new-routing-mark=over-isp2 passthrough=no

ប្រសិនបើ ips ជាច្រើនត្រូវបានកំណត់រចនាសម្ព័ន្ធនៅលើចំណុចប្រទាក់តែមួយ អ្នកអាចបន្ថែមទៅលក្ខខណ្ឌ dst-address ដើម្បីឱ្យប្រាកដ។

កញ្ចប់មួយបើកការតភ្ជាប់នៅលើចំណុចប្រទាក់ ether2 ។ កញ្ចប់ចូលទៅក្នុង [INPUT|Mangle] ដែលនិយាយថាដើម្បីសម្គាល់កញ្ចប់ទាំងអស់ពីការតភ្ជាប់ជា ពី-isp2
ប្រព័ន្ធបង្កើតកញ្ចប់ឆ្លើយតបជាមួយ Src ។ អាស័យដ្ឋាន៖ 10.20.20.200
នៅដំណាក់កាល Routing Decision(2) packet ស្របតាម routing table ត្រូវបានផ្ញើទៅកាន់ gateway 10.20.20.1 តាមរយៈ ether1 interface។ អ្នកអាចផ្ទៀងផ្ទាត់វាដោយចូលទៅក្នុងកញ្ចប់ [OUTPUT|Filter]
នៅឆាក [OUTPUT|Mangle] ស្លាកការតភ្ជាប់ត្រូវបានពិនិត្យ ពី-isp2 ហើយកញ្ចប់ទទួលបានស្លាកផ្លូវ លើស isp2
ការកែតម្រូវផ្លូវ (3) ជំហានពិនិត្យរកមើលវត្តមាននៃស្លាកសញ្ញាផ្លូវ ហើយផ្ញើវាទៅតារាងកំណត់ផ្លូវសមស្រប
យោងតាមតារាងនាំផ្លូវ កញ្ចប់ព័ត៌មានត្រូវតែផ្ញើទៅកាន់ច្រកទ្វារ 10.20.20.1 តាមរយៈចំណុចប្រទាក់ ether2

MultiWAN និងត្រឡប់ dst-nat traffic

ឧទាហរណ៍មួយគឺកាន់តែស្មុគស្មាញ អ្វីដែលត្រូវធ្វើប្រសិនបើមានម៉ាស៊ីនមេ (ឧទាហរណ៍ បណ្តាញ) នៅពីក្រោយរ៉ោតទ័រនៅលើបណ្តាញរងឯកជន ហើយអ្នកត្រូវផ្តល់ការចូលប្រើវាតាមរយៈអ្នកផ្តល់សេវាណាមួយ។

/ip firewall nat
add chain=dstnat proto=tcp dst-port=80,443 in-interface=ether1 action=dst-nat to-address=192.168.100.100
add chain=dstnat proto=tcp dst-port=80,443 in-interface=ether2 action=dst-nat to-address=192.168.100.100

ខ្លឹមសារនៃបញ្ហានឹងដូចគ្នា ដំណោះស្រាយគឺស្រដៀងនឹងជម្រើស Firewall Manngle មានតែខ្សែសង្វាក់ផ្សេងទៀតប៉ុណ្ណោះដែលនឹងត្រូវប្រើ៖

/ip firewall mangle
add chain=prerouting connection-state=new in-interface=ether1 protocol=tcp dst-port=80,443 action=mark-connection new-connection-mark=web-input-isp1
add chain=prerouting connection-state=new in-interface=ether2 protocol=tcp dst-port=80,443 action=mark-connection new-connection-mark=web-input-isp2
add chain=prerouting connection-mark=web-input-isp1 in-interface=ether3 action=mark-routing new-routing-mark=over-isp1 passthrough=no
add chain=prerouting connection-mark=web-input-isp2 in-interface=ether3 action=mark-routing new-routing-mark=over-isp2 passthrough=no

ដ្យាក្រាមមិនបង្ហាញ NAT ទេ ប៉ុន្តែខ្ញុំគិតថាអ្វីៗគឺច្បាស់។

MultiWAN និងការតភ្ជាប់ទៅក្រៅប្រទេស

អ្នកអាចប្រើសមត្ថភាព PBR ដើម្បីបង្កើតការតភ្ជាប់ vpn ច្រើន (SSTP ក្នុងឧទាហរណ៍) ពីចំណុចប្រទាក់រ៉ោតទ័រផ្សេងៗគ្នា។

តារាងនាំផ្លូវបន្ថែម៖

/ip route
add dst-address=0.0.0.0/0 gateway=192.168.100.1 routing-mark=over-isp1
add dst-address=0.0.0.0/0 gateway=192.168.200.1 routing-mark=over-isp2
add dst-address=0.0.0.0/0 gateway=192.168.0.1 routing-mark=over-isp3

add dst-address=0.0.0.0/0 gateway=192.168.100.1 distance=1
add dst-address=0.0.0.0/0 gateway=192.168.200.1 distance=2
add dst-address=0.0.0.0/0 gateway=192.168.0.1 distance=3

ការសម្គាល់កញ្ចប់៖

/ip firewall mangle
add chain=output dst-address=10.10.10.100 proto=tcp dst-port=443 action=mark-routing new-routing-mark=over-isp1 passtrough=no
add chain=output dst-address=10.10.10.101 proto=tcp dst-port=443 action=mark-routing new-routing-mark=over-isp2 passtrough=no
add chain=output dst-address=10.10.10.102 proto=tcp dst-port=443 action=mark-routing new-routing-mark=over-isp3 passtrough=no

ច្បាប់ NAT សាមញ្ញ បើមិនដូច្នេះទេ កញ្ចប់ព័ត៌មាននឹងចាកចេញពីចំណុចប្រទាក់ជាមួយ Src ខុស។ អាសយដ្ឋាន៖

/ip firewall nat
add chain=srcnat out-interface=ether1 action=masquerade
add chain=srcnat out-interface=ether2 action=masquerade
add chain=srcnat out-interface=ether3 action=masquerade

ការត្រួសៗ:

រ៉ោតទ័របង្កើតដំណើរការ SSTP ចំនួនបី
នៅដំណាក់កាលការសម្រេចចិត្តផ្លូវ (2) ផ្លូវមួយត្រូវបានជ្រើសរើសសម្រាប់ដំណើរការទាំងនេះដោយផ្អែកលើតារាងនាំផ្លូវចម្បង។ ពីផ្លូវដូចគ្នា កញ្ចប់ទទួល Src ។ អាសយដ្ឋានភ្ជាប់ទៅចំណុចប្រទាក់ ether1
В [Output|Mangle] កញ្ចប់ព័ត៌មានពីការភ្ជាប់ផ្សេងៗគ្នាទទួលបានស្លាកផ្សេងៗគ្នា
កញ្ចប់បញ្ចូលតារាងដែលត្រូវគ្នានឹងស្លាកនៅដំណាក់កាលកែតម្រូវផ្លូវ ហើយទទួលបានផ្លូវថ្មីសម្រាប់ផ្ញើកញ្ចប់ព័ត៌មាន
ប៉ុន្តែកញ្ចប់នៅតែមាន Src ។ អាសយដ្ឋានពី ether1 នៅលើឆាក [Nat|Srcnat] អាសយដ្ឋានត្រូវបានជំនួសដោយយោងតាមចំណុចប្រទាក់

គួរឱ្យចាប់អារម្មណ៍នៅលើរ៉ោតទ័រអ្នកនឹងឃើញតារាងការតភ្ជាប់ដូចខាងក្រោម:

កម្មវិធីតាមដានការតភ្ជាប់ដំណើរការមុន។ [Mangle] и [Srcnat]ដូច្នេះការតភ្ជាប់ទាំងអស់គឺមកពីអាសយដ្ឋានដូចគ្នា ប្រសិនបើអ្នកមើលលម្អិតបន្ថែមទៀត បន្ទាប់មកចូល Replay Dst. Address វានឹងមានអាសយដ្ឋានបន្ទាប់ពី NAT៖

នៅលើម៉ាស៊ីនមេ VPN (ខ្ញុំមានមួយនៅលើកៅអីសាកល្បង) អ្នកអាចឃើញថាការតភ្ជាប់ទាំងអស់បានមកពីអាសយដ្ឋានត្រឹមត្រូវ៖

រង់ចាំផ្លូវមួយ។
មានវិធីងាយស្រួលជាង អ្នកអាចបញ្ជាក់ច្រកផ្លូវជាក់លាក់មួយសម្រាប់អាសយដ្ឋាននីមួយៗ៖

/ip route
add dst-address=10.10.10.100 gateway=192.168.100.1
add dst-address=10.10.10.101 gateway=192.168.200.1
add dst-address=10.10.10.102 gateway=192.168.0.1

ប៉ុន្តែផ្លូវបែបនេះនឹងប៉ះពាល់មិនត្រឹមតែច្រកចេញប៉ុណ្ណោះទេ ប៉ុន្តែក៏ប៉ះពាល់ដល់ចរាចរណ៍ឆ្លងកាត់ផងដែរ។ លើសពីនេះ ប្រសិនបើអ្នកមិនត្រូវការចរាចរទៅកាន់ម៉ាស៊ីនមេ vpn ដើម្បីឆ្លងកាត់បណ្តាញទំនាក់ទំនងមិនសមរម្យទេនោះ អ្នកនឹងត្រូវបន្ថែមច្បាប់ចំនួន 6 បន្ថែមទៀតដើម្បី [IP]->[Routes]с type=blackhole. នៅក្នុងកំណែមុន - 3 ច្បាប់នៅក្នុង [IP]->[Route]->[Rules].

ការចែកចាយការតភ្ជាប់អ្នកប្រើប្រាស់ដោយបណ្តាញទំនាក់ទំនង

សាមញ្ញ កិច្ចការប្រចាំថ្ងៃ។ ជាថ្មីម្តងទៀត តារាងនាំផ្លូវបន្ថែមនឹងត្រូវការចាំបាច់៖

/ip route
add dst-address=0.0.0.0/0 gateway=10.10.10.1 dist=1 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=10.20.20.1 dist=2 check-gateway=ping

add dst-address=0.0.0.0/0 gateway=10.10.10.1 dist=1 routing-mark=over-isp1
add dst-address=0.0.0.0/0 gateway=10.20.20.1 dist=1 routing-mark=over-isp2

ការប្រើប្រាស់ [IP]->[Route]->[Rules]

/ip route rules
add src-address=192.168.100.0/25 action=lookup-only-in-table table=over-isp1
add src-address=192.168.100.128/25 action=lookup-only-in-table table=over-isp2

បើប្រើ។ action=lookupបន្ទាប់មកនៅពេលដែលបណ្តាញណាមួយត្រូវបានបិទ ចរាចរណ៍នឹងទៅកាន់តារាងមេ ហើយឆ្លងកាត់ប៉ុស្តិ៍ធ្វើការ។ ថាតើនេះចាំបាច់ឬអត់គឺអាស្រ័យលើភារកិច្ច។

ការប្រើសញ្ញាសម្គាល់នៅក្នុង [IP]->[Firewall]->[Mangle]
ឧទាហរណ៍សាមញ្ញជាមួយបញ្ជីអាសយដ្ឋាន ip ។ ជាគោលការណ៍ស្ទើរតែគ្រប់លក្ខខណ្ឌអាចប្រើប្រាស់បាន។ ការព្រមានតែមួយគត់នៃស្រទាប់ទី 7 សូម្បីតែនៅពេលផ្គូផ្គងជាមួយស្លាកការតភ្ជាប់ក៏ដោយ វាអាចហាក់ដូចជាថាអ្វីៗដំណើរការបានត្រឹមត្រូវ ប៉ុន្តែចរាចរណ៍មួយចំនួននឹងនៅតែខុសដដែល។

/ip firewall mangle
add chain=prerouting src-address-list=users-over-isp1 dst-address-type=!local action=mark-routing new-routing-mark=over-isp1
add chain=prerouting src-address-list=users-over-isp2 dst-address-type=!local action=mark-routing new-routing-mark=over-isp2

អ្នកអាច "ចាក់សោ" អ្នកប្រើប្រាស់នៅក្នុងតារាងនាំផ្លូវមួយតាមរយៈ [IP]->[Route]->[Rules]:

/ip route rules
add routing-mark=over-isp1 action=lookup-only-in-table table=over-isp1
add routing-mark=over-isp2 action=lookup-only-in-table table=over-isp2

ទាំងតាមរយៈ [IP]->[Firewall]->[Filter]:

/ip firewall filter
add chain=forward routing-mark=over-isp1 out-interface=!ether1 action=reject
add chain=forward routing-mark=over-isp2 out-interface=!ether2 action=reject

Retreat pro dst-address-type=!local
លក្ខខណ្ឌបន្ថែម dst-address-type=!local វាចាំបាច់ដែលចរាចរពីអ្នកប្រើប្រាស់ឈានដល់ដំណើរការមូលដ្ឋាននៃរ៉ោតទ័រ (dns, winbox, ssh, ... ) ។ ប្រសិនបើបណ្តាញរងក្នុងស្រុកជាច្រើនត្រូវបានភ្ជាប់ទៅរ៉ោតទ័រ នោះវាចាំបាច់ដើម្បីធានាថាចរាចររវាងពួកវាមិនចូលទៅកាន់អ៊ីនធឺណិតទេ ឧទាហរណ៍ ការប្រើ dst-address-table.

នៅក្នុងឧទាហរណ៍ដោយប្រើ [IP]->[Route]->[Rules] មិនមានករណីលើកលែងនោះទេ ប៉ុន្តែចរាចរណ៍ឈានដល់ដំណើរការក្នុងតំបន់។ ការពិតគឺថាការចូលទៅក្នុងកញ្ចប់ FIB ដែលបានសម្គាល់នៅក្នុង [PREROUTING|Mangle] មានស្លាកផ្លូវមួយ ហើយចូលទៅក្នុងតារាងនាំផ្លូវក្រៅពីមេ ដែលមិនមានចំណុចប្រទាក់មូលដ្ឋាន។ ក្នុងករណីនៃ Routing Rules ជាដំបូងវាត្រូវបានពិនិត្យថាតើ packet ត្រូវបានបម្រុងទុកសម្រាប់ដំណើរការក្នុងតំបន់ ហើយមានតែនៅដំណាក់កាល User PBR ប៉ុណ្ណោះដែលវាចូលទៅកាន់តារាងនាំផ្លូវដែលបានបញ្ជាក់។

ការប្រើប្រាស់ [IP]->[Firewall]->[Mangle action=route]
សកម្មភាពនេះដំណើរការតែនៅក្នុង [Prerouting|Mangle] និងអនុញ្ញាតឱ្យអ្នកដឹកនាំចរាចរណ៍ទៅកាន់ច្រកផ្លូវដែលបានបញ្ជាក់ដោយមិនប្រើតារាងផ្លូវបន្ថែម ដោយបញ្ជាក់អាសយដ្ឋានច្រកផ្លូវដោយផ្ទាល់៖

/ip firewall mangle
add chain=prerouting src-address=192.168.100.0/25 action=route gateway=10.10.10.1
add chain=prerouting src-address=192.168.128.0/25 action=route gateway=10.20.20.1

ផលប៉ះពាល់ route មានអាទិភាពទាបជាងច្បាប់កំណត់ផ្លូវ ([IP]->[Route]->[Rules]) នៅក្នុងករណីនៃការសម្គាល់ផ្លូវ, អ្វីគ្រប់យ៉ាងអាស្រ័យលើទីតាំងនៃច្បាប់, ប្រសិនបើច្បាប់ជាមួយ action=route មានតម្លៃជាង action=mark-routeបន្ទាប់មកវានឹងត្រូវបានប្រើ (ដោយមិនគិតពីទង់ជាតិ passtrough) បើមិនដូច្នេះទេការសម្គាល់ផ្លូវ។
មានព័ត៌មានតិចតួចណាស់នៅលើវិគីអំពីសកម្មភាពនេះ ហើយការសន្និដ្ឋានទាំងអស់ត្រូវបានទទួលដោយពិសោធន៍ ក្នុងករណីណាក៏ដោយ ខ្ញុំមិនបានរកឃើញជម្រើសនៅពេលប្រើជម្រើសនេះផ្តល់អត្ថប្រយោជន៍ជាងអ្នកដទៃ។

តុល្យភាពថាមវន្តផ្អែកលើ PPC

Per Connection Classifier - គឺជា analogue ដែលអាចបត់បែនបាននៃ ECMP ។ មិនដូច ECMP ទេ វាបែងចែកចរាចរដោយការតភ្ជាប់យ៉ាងតឹងរ៉ឹងជាង (ECMP មិនដឹងអ្វីអំពីការតភ្ជាប់ ប៉ុន្តែនៅពេលដែលបានផ្គូផ្គងជាមួយ Routing Cache អ្វីមួយដែលស្រដៀងគ្នាត្រូវបានទទួល)។

PCC យក វាលដែលបានបញ្ជាក់ ពីបឋមកថា ip បំប្លែងពួកវាទៅជាតម្លៃ 32 ប៊ីត ហើយបែងចែកដោយ ភាគបែង. នៅសល់នៃការបែងចែកត្រូវបានប្រៀបធៀបជាមួយនឹងអ្វីដែលបានបញ្ជាក់ នៅសល់ ហើយប្រសិនបើពួកវាត្រូវគ្នា នោះសកម្មភាពដែលបានបញ្ជាក់ត្រូវបានអនុវត្ត។ ច្រើនទៀត. ស្តាប់ទៅឆ្កួតប៉ុន្តែវាដំណើរការ។

ឧទាហរណ៍ជាមួយអាសយដ្ឋានបី៖

192.168.100.10: 192+168+100+10 = 470 % 3 = 2
192.168.100.11: 192+168+100+11 = 471 % 3 = 0
192.168.100.12: 192+168+100+12 = 472 % 3 = 1

ឧទាហរណ៍នៃការចែកចាយថាមវន្តនៃចរាចរណ៍ដោយ src.address រវាងបណ្តាញបី៖

#Таблица маршрутизации
/ip route
add dst-address=0.0.0.0/0 gateway=10.10.10.1 dist=1 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=10.20.20.1 dist=2 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=10.30.30.1 dist=3 check-gateway=ping

add dst-address=0.0.0.0/0 gateway=10.10.10.1 dist=1 routing-mark=over-isp1
add dst-address=0.0.0.0/0 gateway=10.20.20.1 dist=1 routing-mark=over-isp2
add dst-address=0.0.0.0/0 gateway=10.30.30.1 dist=1 routing-mark=over-isp3

#Маркировка соединений и маршрутов
/ip firewall mangle
add chain=prerouting in-interface=br-lan dst-address-type=!local connection-state=new per-connection-classifier=src-address:3/0 action=mark-connection new-connection-mark=conn-over-isp1
add chain=prerouting in-interface=br-lan dst-address-type=!local connection-state=new per-connection-classifier=src-address:3/1 action=mark-connection new-connection-mark=conn-over-isp2
add chain=prerouting in-interface=br-lan dst-address-type=!local connection-state=new per-connection-classifier=src-address:3/2 action=mark-connection new-connection-mark=conn-over-isp3

add chain=prerouting in-interface=br-lan connection-mark=conn-over-isp1 action=mark-routing new-routing-mark=over-isp1
add chain=prerouting in-interface=br-lan connection-mark=conn-over-isp2 action=mark-routing new-routing-mark=over-isp2
add chain=prerouting in-interface=br-lan connection-mark=conn-over-isp3 action=mark-routing new-routing-mark=over-isp3

នៅពេលសម្គាល់ផ្លូវ មានលក្ខខណ្ឌបន្ថែម៖ in-interface=br-lanដោយគ្មានវានៅក្រោម action=mark-routing ចរាចរណ៍ឆ្លើយតបពីអ៊ីនធឺណិតនឹងទទួលបាន ហើយស្របតាមតារាងនាំផ្លូវនឹងត្រលប់ទៅអ្នកផ្តល់សេវាវិញ។

ការផ្លាស់ប្តូរបណ្តាញទំនាក់ទំនង

Check ping គឺជាឧបករណ៍ដ៏ល្អមួយ ប៉ុន្តែវាគ្រាន់តែពិនិត្យមើលការតភ្ជាប់ជាមួយ IP ដែលនៅជិតបំផុត បណ្តាញអ្នកផ្តល់សេវាជាធម្មតាមានរ៉ោតទ័រមួយចំនួនធំ ហើយការដាច់ការតភ្ជាប់អាចកើតឡើងនៅខាងក្រៅបណ្តាញដែលនៅជិតបំផុត ហើយបន្ទាប់មកមានប្រតិបត្តិករទូរគមនាគមន៍ឆ្អឹងខ្នងដែលអាចផងដែរ។ មានបញ្ហា ជាទូទៅ check ping មិនតែងតែបង្ហាញព័ត៌មានទាន់សម័យអំពីការចូលប្រើបណ្តាញសកលទេ។
ប្រសិនបើអ្នកផ្តល់សេវា និងសាជីវកម្មធំៗមានពិធីការបញ្ជូនផ្លូវថាមវន្ត BGP នោះ អ្នកប្រើប្រាស់តាមផ្ទះ និងការិយាល័យត្រូវស្វែងរកដោយឯករាជ្យនូវវិធីពិនិត្យមើលការចូលប្រើអ៊ីនធឺណិតតាមរយៈបណ្តាញទំនាក់ទំនងជាក់លាក់មួយ។

ជាធម្មតា ស្គ្រីបត្រូវបានប្រើដែលតាមរយៈបណ្តាញទំនាក់ទំនងជាក់លាក់មួយ ពិនិត្យមើលភាពអាចរកបាននៃអាសយដ្ឋាន ip នៅលើអ៊ីនធឺណិត ខណៈពេលដែលជ្រើសរើសអ្វីមួយដែលគួរឱ្យទុកចិត្ត ឧទាហរណ៍ google dns: 8.8.8.8 ។ ៨.៨.៤.៤. ប៉ុន្តែនៅក្នុងសហគមន៍ Mikrotik ឧបករណ៍ដ៏គួរឱ្យចាប់អារម្មណ៍មួយត្រូវបានកែសម្រួលសម្រាប់រឿងនេះ។

ពាក្យពីរបីអំពីការបញ្ជូនបន្ត
ការកំណត់ផ្លូវឡើងវិញគឺចាំបាច់នៅពេលបង្កើត Multihop BGP peering ហើយបានចូលទៅក្នុងអត្ថបទអំពីមូលដ្ឋានគ្រឹះនៃការកំណត់ផ្លូវឋិតិវន្តតែដោយសារអ្នកប្រើប្រាស់ MikroTik ដែលមានល្បិចកលដែលរកវិធីប្រើផ្លូវ recursive ផ្គូផ្គងជាមួយ check gateway ដើម្បីប្តូរបណ្តាញទំនាក់ទំនងដោយគ្មានស្គ្រីបបន្ថែម។

វាដល់ពេលហើយដើម្បីស្វែងយល់អំពីជម្រើសវិសាលភាព/គោលដៅក្នុងលក្ខខណ្ឌទូទៅ និងរបៀបដែលផ្លូវត្រូវបានចងភ្ជាប់ទៅនឹងចំណុចប្រទាក់៖

ផ្លូវរកមើលចំណុចប្រទាក់មួយដើម្បីផ្ញើកញ្ចប់ព័ត៌មានដោយផ្អែកលើតម្លៃវិសាលភាពរបស់វា និងធាតុទាំងអស់នៅក្នុងតារាងមេដែលមានតម្លៃវិសាលភាពគោលដៅតិចជាង ឬស្មើគ្នា។
ពីចំណុចប្រទាក់ដែលបានរកឃើញ ច្រកដែលអ្នកអាចផ្ញើកញ្ចប់ព័ត៌មានទៅកាន់ច្រកផ្លូវដែលបានបញ្ជាក់ត្រូវបានជ្រើសរើស
ចំណុចប្រទាក់នៃធាតុដែលបានភ្ជាប់ដែលបានរកឃើញត្រូវបានជ្រើសរើសដើម្បីផ្ញើកញ្ចប់ព័ត៌មានទៅកាន់ច្រកផ្លូវ

នៅក្នុងវត្តមាននៃផ្លូវ recursive អ្វីគ្រប់យ៉ាងកើតឡើងដូចគ្នាប៉ុន្តែនៅក្នុងដំណាក់កាលពីរ:

1-3 ផ្លូវមួយបន្ថែមទៀតត្រូវបានបន្ថែមទៅផ្លូវដែលតភ្ជាប់ ដែលតាមរយៈនោះ ច្រកផ្លូវដែលបានបញ្ជាក់អាចទៅដល់
4-6 ស្វែងរកផ្លូវតភ្ជាប់សម្រាប់ច្រកផ្លូវ "កម្រិតមធ្យម"

ឧបាយកលទាំងអស់ជាមួយនឹងការស្វែងរកឡើងវិញកើតឡើងនៅក្នុង RIB ហើយមានតែលទ្ធផលចុងក្រោយប៉ុណ្ណោះដែលត្រូវបានផ្ទេរទៅ FIB៖ 0.0.0.0/0 via 10.10.10.1 on ether1.

ឧទាហរណ៍នៃការប្រើការបញ្ជូនបន្តដើម្បីប្តូរផ្លូវ

ការកំណត់រចនាសម្ព័ន្ធ:

/ip route
add dst-address=0.0.0.0/0 gateway=8.8.8.8 check-gateway=ping distance=1 target-scope=10
add dst-address=8.8.8.8 gateway=10.10.10.1 scope=10
add dst-address=0.0.0.0/0 gateway=10.20.20.1 distance=2

អ្នកអាចពិនិត្យមើលថាកញ្ចប់នឹងត្រូវបានផ្ញើទៅ 10.10.10.1:

Check gateway មិនដឹងអ្វីអំពីការបញ្ជូនបន្តឡើងវិញទេ ហើយគ្រាន់តែផ្ញើ pings ទៅ 8.8.8.8 ដែល (ផ្អែកលើតារាងមេ) អាចចូលប្រើបានតាមរយៈ gateway 10.10.10.1។

ប្រសិនបើមានការបាត់បង់ទំនាក់ទំនងរវាង 10.10.10.1 និង 8.8.8.8 នោះផ្លូវត្រូវបានផ្តាច់ ប៉ុន្តែកញ្ចប់ព័ត៌មាន (រួមទាំងការ pings សាកល្បង) ទៅ 8.8.8.8 បន្តឆ្លងកាត់ 10.10.10.1៖

ប្រសិនបើតំណភ្ជាប់ទៅ ether1 ត្រូវបានបាត់បង់ នោះស្ថានភាពមិនល្អកើតឡើងនៅពេលដែលកញ្ចប់ព័ត៌មានមុន 8.8.8.8 ឆ្លងកាត់អ្នកផ្តល់សេវាទីពីរ៖

នេះជាបញ្ហាប្រសិនបើអ្នកកំពុងប្រើ NetWatch ដើម្បីដំណើរការស្គ្រីប នៅពេលដែល 8.8.8.8 មិនមាន។ ប្រសិនបើតំណត្រូវបានខូច NetWatch នឹងដំណើរការយ៉ាងសាមញ្ញតាមរយៈបណ្តាញទំនាក់ទំនងបម្រុងទុក ហើយសន្មតថាអ្វីគ្រប់យ៉ាងគឺល្អ។ ដោះស្រាយដោយបន្ថែមផ្លូវតម្រងបន្ថែម៖

/ip route
add dst-address=8.8.8.8 gateway=10.20.20.1 distance=100 type=blackhole

មាននៅលើ habré អត្ថបទដែលជាកន្លែងដែលស្ថានភាពជាមួយ NetWatch ត្រូវបានពិចារណាលម្អិតបន្ថែមទៀត។

ហើយបាទ នៅពេលប្រើការកក់បែបនេះ អាស័យដ្ឋាន 8.8.8.8 នឹងត្រូវបានភ្ជាប់ទៅកាន់អ្នកផ្តល់សេវាណាមួយ ដូច្នេះការជ្រើសរើសវាជាប្រភព dns មិនមែនជាគំនិតល្អទេ។

ពាក្យពីរបីអំពីការបញ្ជូនបន្តនិម្មិត (VRF)

បច្ចេកវិទ្យា VRF ត្រូវបានរចនាឡើងដើម្បីបង្កើតរ៉ោតទ័រនិម្មិតជាច្រើននៅក្នុងរូបវន្តមួយ បច្ចេកវិទ្យានេះត្រូវបានប្រើប្រាស់យ៉ាងទូលំទូលាយដោយប្រតិបត្តិករទូរគមនាគមន៍ (ជាធម្មតាភ្ជាប់ជាមួយ MPLS) ដើម្បីផ្តល់សេវាកម្ម L3VPN ដល់អតិថិជនដែលមានអាសយដ្ឋានបណ្តាញរងត្រួតគ្នា៖

ប៉ុន្តែ VRF នៅក្នុង Mikrotik ត្រូវបានរៀបចំនៅលើមូលដ្ឋាននៃតារាងនាំផ្លូវ និងមានគុណវិបត្តិមួយចំនួន ឧទាហរណ៍ អាសយដ្ឋាន ip មូលដ្ឋានរបស់រ៉ោតទ័រអាចរកបានពី VRF ទាំងអស់ អ្នកអាចអានបន្ថែម តំណភ្ជាប់.

ឧទាហរណ៍នៃការកំណត់រចនាសម្ព័ន្ធ vrf៖

/ip route vrf
add interfaces=ether1 routing-mark=vrf1
add interfaces=ether2 routing-mark=vrf2

/ip address
add address=192.168.100.1/24 interface=ether1 network=192.168.100.0
add address=192.168.200.1/24 interface=ether2 network=192.168.200.0

ពីឧបករណ៍ដែលភ្ជាប់ទៅ ether2 យើងឃើញថា ping ទៅអាសយដ្ឋានរ៉ោតទ័រពី vrf មួយផ្សេងទៀត (ហើយនេះគឺជាបញ្ហា) ខណៈដែល ping មិនទៅអ៊ីនធឺណិតទេ៖

ដើម្បីចូលប្រើអ៊ីនធឺណិត អ្នកត្រូវចុះឈ្មោះផ្លូវបន្ថែមដែលចូលប្រើតារាងមេ (នៅក្នុងពាក្យ vrf វាត្រូវបានគេហៅថា route leaking)៖

/ip route
add distance=1 gateway=172.17.0.1@main routing-mark=vrf1
add distance=1 gateway=172.17.0.1%wlan1 routing-mark=vrf2

នេះគឺជាវិធីពីរយ៉ាងនៃការលេចធ្លាយផ្លូវ៖ ដោយប្រើតារាងនាំផ្លូវ៖ 172.17.0.1@main និងប្រើឈ្មោះចំណុចប្រទាក់៖ 172.17.0.1%wlan1.

និងរៀបចំការសម្គាល់សម្រាប់ចរាចរណ៍ត្រឡប់មកវិញនៅក្នុង [PREROUTING|Mangle]:

/ip firewall mangle
add chain=prerouting in-interface=ether1 action=mark-connection new-connection-mark=from-vrf1 passthrough=no
add chain=prerouting connection-mark=from-vrf1 routing-mark=!vrf1 action=mark-routing new-routing-mark=vrf1 passthrough=no 
add chain=prerouting in-interface=ether2 action=mark-connection new-connection-mark=from-vrf2 passthrough=no
add chain=prerouting connection-mark=from-vrf2 routing-mark=!vrf1 action=mark-routing new-routing-mark=vrf2 passthrough=no

បណ្តាញរងដែលមានអាសយដ្ឋានដូចគ្នា។
ការរៀបចំការចូលទៅកាន់បណ្តាញរងដែលមានអាសយដ្ឋានដូចគ្នានៅលើរ៉ោតទ័រដូចគ្នាដោយប្រើ VRF និង netmap៖

ការកំណត់រចនាសម្ព័ន្ធមូលដ្ឋាន៖

/ip route vrf
add interfaces=ether1 routing-mark=vrf1
add interfaces=ether2 routing-mark=vrf2

/ip address
add address=192.168.100.1/24 interface=ether1 network=192.168.100.0
add address=192.168.100.1/24 interface=ether2 network=192.168.100.0
add address=192.168.0.1/24 interface=ether3 network=192.168.0.0

ច្បាប់ជញ្ជាំងភ្លើង៖

#Маркируем пакеты для отправки в правильную таблицу маршрутизации
/ip firewall mangle
add chain=prerouting dst-address=192.168.101.0/24 in-interface=ether3 action=mark-routing new-routing-mark=vrf1 passthrough=no
add chain=prerouting dst-address=192.168.102.0/24 in-interface=ether3 action=mark-routing new-routing-mark=vrf2 passthrough=no

#Средствами netmap заменяем адреса "эфимерных" подсетей на реальные подсети
/ip firewall nat
add chain=dstnat dst-address=192.168.101.0/24 in-interface=ether3 action=netmap to-addresses=192.168.100.0/24
add chain=dstnat dst-address=192.168.102.0/24 in-interface=ether3 action=netmap to-addresses=192.168.100.0/24

ច្បាប់កំណត់ផ្លូវសម្រាប់ចរាចរណ៍ត្រឡប់មកវិញ៖

#Указание имени интерфейса тоже может считаться route leaking, но по сути тут создается аналог connected маршрута
/ip route
add distance=1 dst-address=192.168.0.0/24 gateway=ether3 routing-mark=vrf1
add distance=1 dst-address=192.168.0.0/24 gateway=ether3 routing-mark=vrf2

ការបន្ថែមផ្លូវដែលបានទទួលតាមរយៈ dhcp ទៅតារាងនាំផ្លូវដែលបានផ្តល់ឱ្យ
VRF អាចគួរឱ្យចាប់អារម្មណ៍ប្រសិនបើអ្នកត្រូវការបន្ថែមផ្លូវថាមវន្តដោយស្វ័យប្រវត្តិ (ឧទាហរណ៍ពីអតិថិជន dhcp) ទៅតារាងផ្លូវជាក់លាក់មួយ។

បន្ថែមចំណុចប្រទាក់ទៅ vrf៖

/ip route vrf
add interface=ether1 routing-mark=over-isp1

ច្បាប់សម្រាប់ការបញ្ជូនចរាចរ (ចេញនិងឆ្លងកាត់) តាមរយៈតារាង លើស isp1:

/ip firewall mangle
add chain=output out-interface=!br-lan action=mark-routing new-routing-mark=over-isp1 passthrough=no
add chain=prerouting in-interface=br-lan dst-address-type=!local action=mark-routing new-routing-mark=over-isp1 passthrough=no

បន្ថែម, ផ្លូវក្លែងក្លាយសម្រាប់ផ្លូវចេញក្រៅដើម្បីធ្វើការ:

/interface bridge
add name=bare

/ip route
add dst-address=0.0.0.0/0 gateway=bare

ផ្លូវនេះគឺត្រូវការតែដើម្បីឱ្យកញ្ចប់ចេញក្នុងស្រុកអាចឆ្លងកាត់ការសម្រេចចិត្តផ្លូវ (2) ពីមុន [OUTPUT|Mangle] ហើយទទួលបានស្លាកសញ្ញាផ្លូវ ប្រសិនបើមានផ្លូវសកម្មផ្សេងទៀតនៅលើរ៉ោតទ័រមុន 0.0.0.0/0 នៅក្នុងតារាងមេ វាមិនត្រូវបានទាមទារទេ។

ច្រវាក់ `connected-in` и `dynamic-in` в `[Routing] -> [Filters]`

តម្រងផ្លូវ (ចូល និងចេញ) គឺជាឧបករណ៍ដែលជាធម្មតាត្រូវបានប្រើប្រាស់ដោយភ្ជាប់ជាមួយពិធីការបញ្ជូនផ្លូវថាមវន្ត (ហើយដូច្នេះអាចប្រើបានតែបន្ទាប់ពីដំឡើងកញ្ចប់។ routing) ប៉ុន្តែមានខ្សែសង្វាក់គួរឱ្យចាប់អារម្មណ៍ពីរនៅក្នុងតម្រងដែលចូលមក៖

តភ្ជាប់ក្នុង — កំពុងត្រងផ្លូវដែលបានតភ្ជាប់
dynamic-in - ត្រងផ្លូវថាមវន្តដែលបានទទួលដោយ PPP និង DCHP

ការត្រងអនុញ្ញាតឱ្យអ្នកមិនត្រឹមតែបោះបង់ផ្លូវប៉ុណ្ណោះទេប៉ុន្តែថែមទាំងផ្លាស់ប្តូរជម្រើសមួយចំនួនផងដែរ៖ ចម្ងាយ សញ្ញាផ្លូវ មតិយោបល់ វិសាលភាព វិសាលភាពគោលដៅ ...

នេះគឺជាឧបករណ៍ដ៏ច្បាស់លាស់មួយ ហើយប្រសិនបើអ្នកអាចធ្វើអ្វីមួយដោយគ្មាន Routing Filters (ប៉ុន្តែមិនមែនស្គ្រីប) បន្ទាប់មកកុំប្រើ Routing Filters កុំច្រឡំខ្លួនអ្នក និងអ្នកដែលនឹងកំណត់រចនាសម្ព័ន្ធ router បន្ទាប់ពីអ្នក។ នៅក្នុងបរិបទនៃការកំណត់ផ្លូវថាមវន្ត តម្រងផ្លូវនឹងត្រូវបានប្រើញឹកញាប់ និងមានប្រសិទ្ធភាពជាងមុន។

ការកំណត់សញ្ញាផ្លូវសម្រាប់ផ្លូវថាមវន្ត
ឧទាហរណ៍ពីរ៉ោតទ័រផ្ទះ។ ខ្ញុំមានការតភ្ជាប់ VPN ពីរដែលបានកំណត់រចនាសម្ព័ន្ធ ហើយចរាចរណ៍នៅក្នុងពួកវាគួរតែត្រូវបានរុំដោយអនុលោមតាមតារាងនាំផ្លូវ។ ក្នុងពេលជាមួយគ្នានេះ ខ្ញុំចង់ឱ្យផ្លូវត្រូវបានបង្កើតដោយស្វ័យប្រវត្តិ នៅពេលដែលចំណុចប្រទាក់ត្រូវបានធ្វើឱ្យសកម្ម៖

#При создании vpn подключений указываем создание default route и задаем дистанцию
/interface pptp-client
add connect-to=X.X.X.X add-default-route=yes default-route-distance=101 ...
add connect-to=Y.Y.Y.Y  add-default-route=yes default-route-distance=100 ...

#Фильтрами отправляем маршруты в определенные таблицы маршрутизации на основе подсети назначения и дистанции
/routing filter
add chain=dynamic-in distance=100 prefix=0.0.0.0/0 action=passthrough set-routing-mark=over-vpn1
add chain=dynamic-in distance=101 prefix=0.0.0.0/0 action=passthrough set-routing-mark=over-vpn2

ខ្ញុំមិនដឹងថាហេតុអ្វីទេ ប្រហែលជាមានកំហុស ប៉ុន្តែប្រសិនបើអ្នកបង្កើត vrf សម្រាប់ចំណុចប្រទាក់ ppp នោះផ្លូវទៅកាន់ 0.0.0.0/0 នឹងនៅតែចូលទៅក្នុងតារាងចម្បង។ បើមិនដូច្នោះទេអ្វីៗនឹងកាន់តែងាយស្រួល។

បិទផ្លូវតភ្ជាប់
ពេលខ្លះវាទាមទារ៖

/route filter
add chain=connected-in prefix=192.168.100.0/24 action=reject

ឧបករណ៍បំបាត់កំហុស

RouterOS ផ្តល់នូវឧបករណ៍មួយចំនួនសម្រាប់ការបំបាត់កំហុសការកំណត់ផ្លូវ៖

[Tool]->[Tourch] - អនុញ្ញាតឱ្យអ្នកមើលកញ្ចប់ព័ត៌មាននៅលើចំណុចប្រទាក់
/ip route check - អនុញ្ញាតឱ្យអ្នកមើលឃើញផ្លូវចេញចូលមួយណាដែលកញ្ចប់ព័ត៌មាននឹងត្រូវបានផ្ញើទៅ មិនដំណើរការជាមួយនឹងតារាងផ្លូវ
/ping routing-table=<name> и /tool traceroute routing-table=<name> - ping និងតាមដានដោយប្រើតារាងនាំផ្លូវដែលបានបញ្ជាក់
action=log в [IP]->[Firewall] - ឧបករណ៍ដ៏ល្អដែលអនុញ្ញាតឱ្យអ្នកតាមដានផ្លូវនៃកញ្ចប់ព័ត៌មានតាមលំហូរកញ្ចប់ព័ត៌មាន សកម្មភាពនេះមាននៅក្នុងខ្សែសង្វាក់ និងតារាងទាំងអស់

ប្រភព: www.habr.com

មូលដ្ឋានគ្រឹះនៃការកំណត់ផ្លូវឋិតិវន្តនៅក្នុង Mikrotik RouterOS

ការប្តូរនិងកំណត់ផ្លូវ

ដំណើរការក្នុង RouterOS និង PacketFlow

RIB, FIB, Routing Cache

បន្ថែមប្រអប់ផ្លូវ

អ្វីដែលត្រូវបញ្ជាក់នៅក្នុង gateway: ip-address ឬ interface?

ផ្លូវជាក់លាក់បន្ថែមទៀត

ចម្ងាយ

ពិនិត្យច្រកផ្លូវ

ផ្លូវ ECMP

ត្រងដោយមធ្យោបាយនៃការកំណត់ផ្លូវ

ឧទាហរណ៍ពីរបី

ការកំណត់ផ្លូវមូលដ្ឋាន និងតារាងកំណត់ផ្លូវបន្ថែម

បញ្ហាវាក្យសព្ទ

របៀបផ្ញើកញ្ចប់ព័ត៌មានទៅតារាងផ្លូវជាក់លាក់

ឧទាហរណ៍ការប្រើប្រាស់

MultiWAN និងត្រឡប់ dst-nat traffic

MultiWAN និងការតភ្ជាប់ទៅក្រៅប្រទេស

ការចែកចាយការតភ្ជាប់អ្នកប្រើប្រាស់ដោយបណ្តាញទំនាក់ទំនង

តុល្យភាពថាមវន្តផ្អែកលើ PPC

ការផ្លាស់ប្តូរបណ្តាញទំនាក់ទំនង

ពាក្យពីរបីអំពីការបញ្ជូនបន្តនិម្មិត (VRF)

ច្រវាក់ `connected-in` и `dynamic-in` в `[Routing] -> [Filters]`

ឧបករណ៍បំបាត់កំហុស

បន្ថែមមតិយោបល់ ответОтменить

មូលដ្ឋានគ្រឹះនៃការកំណត់ផ្លូវឋិតិវន្តនៅក្នុង Mikrotik RouterOS

ការប្តូរនិងកំណត់ផ្លូវ

ដំណើរការក្នុង RouterOS និង PacketFlow

RIB, FIB, Routing Cache

បន្ថែមប្រអប់ផ្លូវ

អ្វីដែលត្រូវបញ្ជាក់នៅក្នុង gateway: ip-address ឬ interface?

ផ្លូវជាក់លាក់បន្ថែមទៀត

ចម្ងាយ

ពិនិត្យច្រកផ្លូវ

ផ្លូវ ECMP

ត្រងដោយមធ្យោបាយនៃការកំណត់ផ្លូវ

ឧទាហរណ៍ពីរបី

ការកំណត់ផ្លូវមូលដ្ឋាន និងតារាងកំណត់ផ្លូវបន្ថែម

បញ្ហាវាក្យសព្ទ

របៀបផ្ញើកញ្ចប់ព័ត៌មានទៅតារាងផ្លូវជាក់លាក់

ឧទាហរណ៍ការប្រើប្រាស់

MultiWAN និងត្រឡប់ dst-nat traffic

MultiWAN និងការតភ្ជាប់ទៅក្រៅប្រទេស

ការចែកចាយការតភ្ជាប់អ្នកប្រើប្រាស់ដោយបណ្តាញទំនាក់ទំនង

តុល្យភាពថាមវន្តផ្អែកលើ PPC

ការផ្លាស់ប្តូរបណ្តាញទំនាក់ទំនង

ពាក្យពីរបីអំពីការបញ្ជូនបន្តនិម្មិត (VRF)

ច្រវាក់ connected-in и dynamic-in в [Routing] -> [Filters]

ឧបករណ៍បំបាត់កំហុស

បន្ថែមមតិយោបល់ ответОтменить

ច្រវាក់ `connected-in` и `dynamic-in` в `[Routing] -> [Filters]`