Mikrotik RouterOS의 멀티밴 및 라우팅

소개

허영심 외에도 기사를 채택하는 것은 러시아어를 사용하는 전보 커뮤니티의 프로필 그룹에서이 주제에 대한 우울한 질문 빈도로 인해 촉발되었습니다. 이 기사는 초보자 Mikrotik RouterOS(이하 ROS) 관리자를 대상으로 합니다. 라우팅에 중점을 둔 멀티밴만 다룹니다. 보너스로 안전하고 편리한 작동을 보장하는 최소한의 설정이 있습니다. 대기열, 로드 밸런싱, VLAN, 브리지, 채널 상태에 대한 다단계 심층 분석 등에 대한 주제 공개를 원하는 사람들은 시간과 노력을 낭비하지 않을 수 있습니다.

원시 데이터

테스트 대상으로 ROS 버전 6.45.3의 1포트 Mikrotik 라우터를 선택했습니다. 두 개의 로컬 네트워크(LAN2 및 LAN1)와 세 개의 공급자(ISP2, ISP3, ISP1) 간에 트래픽을 라우팅합니다. ISP2에 대한 채널에는 정적 "회색" 주소, ISP3 - "흰색", DHCP를 통해 얻은 ISPXNUMX - PPPoE 인증이 있는 "흰색"이 있습니다. 연결 다이어그램은 그림에 나와 있습니다.

작업은 체계를 기반으로 MTK 라우터를 구성하여 다음을 수행하는 것입니다.

1. 백업 공급자에게 자동 전환을 제공합니다. 주요 공급자는 ISP2이고 첫 번째 예비는 ISP1이고 두 번째 예비는 ISP3입니다.
2. ISP1을 통해서만 인터넷에 LAN1 네트워크 액세스를 구성합니다.
3. 주소 목록을 기반으로 선택한 공급자를 통해 로컬 네트워크에서 인터넷으로 트래픽을 라우팅하는 기능을 제공합니다.
4. 로컬 네트워크에서 인터넷으로 서비스 게시 가능성 제공(DSTNAT)
5. 인터넷에서 최소한의 충분한 보안을 제공하도록 방화벽 필터를 설정하십시오.
6. 라우터는 선택한 소스 주소에 따라 세 공급자 중 하나를 통해 자체 트래픽을 발행할 수 있습니다.
7. 응답 패킷이 온 채널(LAN 포함)로 라우팅되는지 확인하십시오.

비고 버전에서 버전으로 변경되는 "즉시 사용 가능한" 시작 구성에 놀라움이 없도록 라우터를 "처음부터" 구성합니다. 변경 사항이 시각적으로 표시되는 구성 도구로 Winbox가 선택되었습니다. 설정 자체는 Winbox 터미널의 명령으로 설정됩니다. 구성을 위한 물리적 연결은 Ether5 인터페이스에 대한 직접 연결을 통해 이루어집니다.

다중 밴이 무엇인지에 대한 약간의 추론, 그것이 문제입니까 아니면 음모 네트워크를 짜는 데 교활한 똑똑한 사람들입니까?

호기심 많고 세심한 관리자가 스스로 이와 유사한 계획을 세우다가 갑자기 이미 정상적으로 작동하고 있음을 깨닫습니다. 예, 예, 이 주제에 대한 대부분의 기사가 가득한 사용자 지정 라우팅 테이블 및 기타 라우팅 규칙이 없습니다. 점검 해보자?

인터페이스 및 기본 게이트웨이에서 주소 지정을 구성할 수 있습니까? 예:

ISP1에서 주소와 게이트웨이는 거리=2 и 체크-게이트웨이=ping.
ISP2에서 기본 dhcp 클라이언트 설정 - 그에 따라 거리는 XNUMX과 같습니다.
pppoe 클라이언트 설정의 ISP3에서 추가-기본 경로=예 놓다 기본 경로 거리=3.

종료 시 NAT를 등록하는 것을 잊지 마십시오.

/ip 방화벽 nat 추가 작업=매스커레이드 체인=srcnat out-interface-list=WAN

그 결과 국내 사이트 이용자들은 메인 ISP2 제공자를 통해 고양이를 다운로드하는 재미를 느끼고 있으며, 메커니즘을 이용한 채널 예약이 있다. 게이트웨이 확인 참고 1 참조

작업의 포인트 1이 구현됩니다. 마크가 있는 멀티밴은 어디에 있습니까? 아니요…

더 나아가. ISP1을 통해 LAN에서 특정 클라이언트를 해제해야 합니다.

/ip 방화벽 mangle add action=route chain=prerouting dst-address-list=!BOGONS
passthrough=예 route-dst=100.66.66.1 src-address-list=Via_ISP1
/ip 방화벽 mangle add action=route chain=prerouting dst-address-list=!BOGONS
통과=경로 없음-dst=100.66.66.1 src-주소=192.168.88.0/24

작업의 항목 2와 3이 구현되었습니다. 라벨, 스탬프, 경로 규칙, 어디에 있습니까?!

인터넷에서 클라이언트를 위해 172.17.17.17 주소로 선호하는 OpenVPN 서버에 대한 액세스 권한을 부여해야 합니까? 제발:

/ip 클라우드 세트 ddns-enabled=yes

피어로서 우리는 클라이언트에게 다음과 같은 출력 결과를 제공합니다.:put [IP 클라우드 DNS 이름 가져오기]"

인터넷에서 포트 포워딩을 등록합니다.

/ip 방화벽 nat 추가 작업=dst-nat chain=dstnat dst-port=1194
인-인터페이스-목록=WAN 프로토콜=udp to-addresses=172.17.17.17

항목 4가 준비되었습니다.

우리는 지점 5에 대한 방화벽 및 기타 보안을 설정하는 동시에 사용자를 위해 모든 것이 이미 작동하고 좋아하는 음료가 담긴 용기에 도달하는 것을 기쁘게 생각합니다 ...
ㅏ! 터널은 잊혀졌습니다.

Google 기사에서 구성한 l2tp-client가 가장 좋아하는 네덜란드 VDS로 부상했습니까? 예.
IPsec을 사용하는 l2tp-server가 증가하고 IP 클라우드(위 참조)에서 DNS 이름으로 클라이언트가 달라붙습니까? 예.
의자에 등을 기대고 음료수를 홀짝이며 게으르게 작업의 6번과 7번 항목을 고려합니다. 우리는 생각합니다-필요합니까? 똑같이 작동합니다 (c) ... 그래서 여전히 필요하지 않다면 그게 다입니다. 멀티밴 구현.

멀티밴이란? 이것은 여러 인터넷 채널을 하나의 라우터에 연결하는 것입니다.

의심스러운 적용 가능성을 과시하는 것 외에 무엇이 있을 수 있기 때문에 기사를 더 읽을 필요가 없습니다.

남은 사람들, 작업의 6번과 7번 항목에 관심이 있고 완벽주의의 간지러움도 느끼는 사람들을 위해 우리는 더 깊이 잠수합니다.

멀티밴 구현의 가장 중요한 작업은 올바른 트래픽 라우팅입니다. 즉 : 어느 (또는 어느) 참조에 관계없이. 참고 3 ISP의 채널은 라우터의 기본 경로를 살펴보고 패킷이 온 정확한 채널에 대한 응답을 반환해야 합니다. 과제는 분명합니다. 문제는 어디에 있습니까? 실제로 간단한 로컬 네트워크에서 작업은 동일하지만 아무도 추가 설정에 신경 쓰지 않고 문제를 느끼지 않습니다. 차이점은 인터넷의 모든 라우팅 가능한 노드는 단순한 LAN에서와 같이 엄격하게 특정한 채널이 아니라 각 채널을 통해 액세스할 수 있다는 것입니다. 그리고 "문제"는 ISP3의 IP 주소에 대한 요청이 우리에게 온 경우 기본 게이트웨이가 ISP2 채널로 향하기 때문에 응답이 ISPXNUMX 채널을 통해 전달된다는 것입니다. 부정확한 것으로 제공자가 떠나고 폐기합니다. 문제가 확인되었습니다. 그것을 해결하는 방법?

솔루션은 세 단계로 나뉩니다.

1. 사전 설정. 이 단계에서 로컬 네트워크, 방화벽, 주소 목록, 헤어핀 NAT 등 라우터의 기본 설정이 설정됩니다.
2. 멀티밴. 이 단계에서 필요한 연결이 표시되고 라우팅 테이블로 정렬됩니다.
3. ISP에 연결 중입니다. 이 단계에서 인터넷 연결을 제공하는 인터페이스가 구성되고 라우팅 및 인터넷 채널 예약 메커니즘이 활성화됩니다.

1. 사전 설정

1.1. 다음 명령을 사용하여 라우터 구성을 지웁니다.

/system reset-configuration skip-backup=yes no-defaults=yes

에 동의합니다 "위험한! 재설정하시겠습니까? [예/아니요]:" 재부팅 후 MAC을 통해 Winbox에 연결합니다. 이 단계에서 구성 및 사용자 기반이 지워집니다.

1.2. 새 사용자 만들기:

/user add group=full name=knight password=ultrasecret comment=”Not horse”

그 아래에 로그인하고 기본 항목을 삭제하십시오.

/user remove admin

비고 저자가 더 안전하다고 생각하고 사용을 권장하는 것은 기본 사용자를 제거하고 비활성화하지 않는 것입니다.

1.3. 방화벽, 검색 설정 및 기타 MAC 서버에서 편리하게 작동할 수 있도록 기본 인터페이스 목록을 만듭니다.

/interface list add name=WAN comment="For Internet"
/interface list add name=LAN comment="For Local Area"

주석이 있는 서명 인터페이스

/interface ethernet set ether1 comment="to ISP1"
/interface ethernet set ether2 comment="to ISP2"
/interface ethernet set ether3 comment="to ISP3"
/interface ethernet set ether4 comment="to LAN1"
/interface ethernet set ether5 comment="to LAN2"

인터페이스 목록을 채우십시오.

/interface list member add interface=ether1 list=WAN comment=ISP1
/interface list member add interface=ether2 list=WAN comment=ISP2 
/interface list member add interface=ether3 list=WAN comment="to ISP3"
/interface list member add interface=ether4 list=LAN  comment="LAN1"
/interface list member add interface=ether5 list=LAN  comment="LAN2"

비고 이해할 수 있는 주석을 작성하는 것은 여기에 시간을 투자할 가치가 있으며 문제 해결 및 구성 이해를 크게 촉진합니다.

저자는 ip 프로토콜이 통과하지 않는다는 사실에도 불구하고 보안상의 이유로 "WAN" 인터페이스 목록에 ether3 인터페이스를 추가하는 것이 필요하다고 생각합니다.

PPP 인터페이스가 ether3에서 생성된 후 "WAN" 인터페이스 목록에도 추가해야 함을 잊지 마십시오.

1.4. 우리는 라우터를 MAC을 통해 공급자 네트워크의 이웃 감지 및 제어로부터 숨깁니다.

/ip neighbor discovery-settings set discover-interface-list=!WAN
/tool mac-server set allowed-interface-list=LAN
/tool mac-server mac-winbox set allowed-interface-list=LAN

1.5. 라우터를 보호하기 위해 최소한의 충분한 방화벽 필터 규칙 집합을 생성합니다.

/ip firewall filter add action=accept chain=input comment="Related Established Untracked Allow" 
connection-state=established,related,untracked

(이 규칙은 연결된 네트워크와 라우터 자체에서 시작되는 설정 및 관련 연결에 대한 권한을 제공합니다.)

/ip firewall filter add action=accept chain=input comment="ICMP from ALL" protocol=icmp

(ping뿐만 아니라 ping. 모든 icmp가 허용됩니다. MTU 문제를 찾는 데 매우 유용합니다)

/ip firewall filter add action=drop chain=input comment="All other WAN Drop" in-interface-list=WAN

(입력 체인을 닫는 규칙은 인터넷에서 오는 모든 것을 금지합니다)

/ip firewall filter add action=accept chain=forward 
comment="Established, Related, Untracked allow" 
connection-state=established,related,untracked

(규칙은 라우터를 통과하는 확립된 관련 연결을 허용함)

/ip firewall filter add action=drop chain=forward comment="Invalid drop" connection-state=invalid

(규칙은 라우터를 통과하는 connection-state=invalid 통과로 연결을 재설정합니다. Mikrotik에서 강력히 권장하지만 일부 드문 경우 유용한 트래픽을 차단할 수 있습니다.)

/ip firewall filter add action=drop chain=forward comment="Drop all from WAN not DSTNATed"  
connection-nat-state=!dstnat connection-state=new in-interface-list=WAN

(규칙은 인터넷에서 오는 패킷이 dstnat 절차를 통과하지 않고 라우터를 통과하는 것을 금지합니다. 이것은 외부 네트워크와 동일한 브로드캐스트 도메인에 있는 침입자로부터 로컬 네트워크를 보호하고 외부 IP를 따라서 로컬 네트워크를 "탐색"하려고 합니다.)

비고 네트워크 LAN1과 LAN2가 신뢰되고 이들 사이의 트래픽이 필터링되지 않는다고 가정합니다.

1.6. 라우팅할 수 없는 네트워크 목록으로 목록을 만듭니다.

/ip firewall address-list
add address=0.0.0.0/8 comment=""This" Network" list=BOGONS
add address=10.0.0.0/8 comment="Private-Use Networks" list=BOGONS
add address=100.64.0.0/10 comment="Shared Address Space. RFC 6598" list=BOGONS
add address=127.0.0.0/8 comment=Loopback list=BOGONS
add address=169.254.0.0/16 comment="Link Local" list=BOGONS
add address=172.16.0.0/12 comment="Private-Use Networks" list=BOGONS
add address=192.0.0.0/24 comment="IETF Protocol Assignments" list=BOGONS
add address=192.0.2.0/24 comment=TEST-NET-1 list=BOGONS
add address=192.168.0.0/16 comment="Private-Use Networks" list=BOGONS
add address=198.18.0.0/15 comment="Network Interconnect Device Benchmark Testing"
 list=BOGONS
add address=198.51.100.0/24 comment=TEST-NET-2 list=BOGONS
add address=203.0.113.0/24 comment=TEST-NET-3 list=BOGONS
add address=224.0.0.0/4 comment=Multicast list=BOGONS
add address=192.88.99.0/24 comment="6to4 Relay Anycast" list=BOGONS
add address=240.0.0.0/4 comment="Reserved for Future Use" list=BOGONS
add address=255.255.255.255 comment="Limited Broadcast" list=BOGONS

(이는 인터넷으로 라우팅할 수 없는 주소 및 네트워크 목록이며 그에 따라 따를 것입니다.)

비고 목록은 변경될 수 있으므로 정기적으로 관련성을 확인하는 것이 좋습니다.

1.7. 라우터 자체에 대한 DNS 설정:

/ip dns set servers=1.1.1.1,8.8.8.8

비고 현재 버전의 ROS에서는 동적 서버가 정적 서버보다 우선합니다. 이름 확인 요청은 목록에 있는 순서대로 첫 번째 서버로 전송됩니다. 다음 서버로의 전환은 현재 서버를 사용할 수 없을 때 수행됩니다. 제한 시간이 5초 이상입니다. "떨어진 서버"가 다시 시작될 때 다시 돌아가는 것은 자동으로 발생하지 않습니다. 이 알고리즘과 멀티밴의 존재를 고려할 때 작성자는 공급자가 제공하는 서버를 사용하지 않을 것을 권장합니다.

1.8. 로컬 네트워크를 설정합니다.
1.8.1. LAN 인터페이스에서 고정 IP 주소를 구성합니다.

/ip address add interface=ether4 address=192.168.88.254/24 comment="LAN1 IP"
/ip address add interface=ether5 address=172.16.1.0/23 comment="LAN2 IP"

1.8.2. 기본 라우팅 테이블을 통해 로컬 네트워크에 대한 경로 규칙을 설정합니다.

/ip route rule add dst-address=192.168.88.0/24 table=main comment=”to LAN1”
/ip route rule add dst-address=172.16.0.0/23 table=main comment="to LAN2"

비고 이것은 기본 경로를 거치지 않는 라우터 인터페이스의 외부 IP 주소 소스로 LAN 주소에 액세스하는 빠르고 쉬운 방법 중 하나입니다.

1.8.3. LAN1 및 LAN2용 헤어핀 NAT 활성화:

/ip firewall nat add action=src-nat chain=srcnat comment="Hairpin to LAN1" 
out-interface=ether4 src-address=192.168.88.0/24 to-addresses=192.168.88.254
/ip firewall nat add action=src-nat chain=srcnat comment="Hairpin to LAN2" 
out-interface=ether5 src-address=172.16.0.0/23 to-addresses=172.16.1.0

비고 이를 통해 네트워크 내부에 있는 동안 외부 IP를 통해 리소스(dstnat)에 액세스할 수 있습니다.

2. 사실 아주 정확한 멀티밴 구현

"요청한 위치에 응답"하는 문제를 해결하기 위해 두 가지 ROS 도구를 사용합니다. 연결 마크 и 라우팅 마크. 연결 마크 원하는 연결을 표시한 다음 이 레이블을 적용 조건으로 사용할 수 있습니다. 라우팅 마크. 그리고 이미 라우팅 마크 에서 근무 가능 IP 경로 и 경로 규칙. 우리는 도구를 알아냈으므로 이제 표시할 연결을 결정해야 합니다. 한 번, 정확히 표시할 위치는 두 개입니다.

첫 번째는 모든 것이 간단합니다. 적절한 채널을 통해 인터넷에서 라우터로 오는 모든 연결을 표시해야 합니다. 우리의 경우에는 "conn_isp1", "conn_isp2" 및 "conn_isp3"의 세 가지 레이블(채널 수 기준)이 됩니다.

두 번째의 뉘앙스는 들어오는 연결이 통과 및 라우터 자체를 위한 연결의 두 가지 유형이라는 것입니다. 연결 표시 메커니즘은 테이블에서 작동합니다. 압착 롤러. mikrotik-trainings.com 리소스(광고 아님)의 전문가가 친절하게 편집한 단순화된 다이어그램에서 패키지의 움직임을 고려하십시오.

화살표를 따라 "에 도착하는 패킷을 볼 수 있습니다.입력 인터페이스", 체인을 통과합니다. "사전 라우팅” 그런 다음에야 블록에서 대중 교통과 지역으로 나뉩니다.라우팅 결정". 따라서 한 돌로 두 마리의 새를 죽이려면 연결 마크 테이블에 맹글 프리라우팅 쇠사슬 사전 라우팅.

참고 :. ROS에서 "Routing mark" 레이블은 Ip/Routes/Rules 섹션에서 "Table"로, 다른 섹션에서는 "Routing Mark"로 나열됩니다. 이것은 이해에 약간의 혼란을 야기할 수 있지만 사실 이것은 동일한 것이며 Linux의 iproute2에 있는 rt_tables와 유사합니다.

2.1. 각 공급자로부터 들어오는 연결을 표시합니다.

/ip firewall mangle add action=mark-connection chain=prerouting 
comment="Connmark in from ISP1" connection-mark=no-mark in-interface=ether1  new-connection-mark=conn_isp1 passthrough=no

/ip firewall mangle add action=mark-connection chain=prerouting 
comment="Connmark in from ISP2" connection-mark=no-mark in-interface=ether2  new-connection-mark=conn_isp2 passthrough=no

/ip firewall mangle add action=mark-connection chain=prerouting 
comment="Connmark in from ISP3" connection-mark=no-mark in-interface=pppoe-isp3  new-connection-mark=conn_isp3 passthrough=no

비고 이미 표시된 연결을 표시하지 않으려면 connection-state=new 대신 connection-mark=no-mark 조건을 사용합니다. 이것이 더 정확하다고 생각하고 입력 필터에서 유효하지 않은 연결 삭제를 거부하기 때문입니다.

passthrough=no - 이 구현 방법에서는 재표시가 제외되고 속도를 높이기 위해 첫 번째 일치 후 규칙 열거를 중단할 수 있기 때문입니다.

아직 라우팅을 어떤 식으로든 방해하지 않는다는 점을 염두에 두어야 합니다. 이제 준비 단계만 남았습니다. 구현의 다음 단계는 로컬 네트워크의 대상에서 설정된 연결을 통해 반환되는 통과 트래픽을 처리하는 것입니다. 저것들. 경로를 따라 라우터를 통과한 패킷(다이어그램 참조):

“입력 인터페이스”=>”Prerouting”=>”Routing Decision”=>”Forward”=>”Post Routing”=>”출력 인터페이스” 로컬 네트워크의 수취인에게 도착했습니다.

중요! ROS에서는 외부 인터페이스와 내부 인터페이스로의 논리적 구분이 없습니다. 위의 다이어그램에 따라 응답 패킷의 경로를 추적하면 요청과 동일한 논리적 경로를 따릅니다.

“입력 인터페이스”=>”Prerouting”=>”Routing Decision”=>”Forward”=>”Post Routing”=>”출력 인터페이스” 요청으로만"입력 인터페이스"는 ISP 인터페이스였으며 대답은 LAN이었습니다.

2.2. 응답 전송 트래픽을 해당 라우팅 테이블로 보냅니다.

/ip firewall mangle add action=mark-routing chain=prerouting 
comment="Routemark transit out via ISP1" connection-mark=conn_isp1 
dst-address-type=!local in-interface-list=!WAN new-routing-mark=to_isp1 passthrough=no

/ip firewall mangle add action=mark-routing chain=prerouting 
comment="Routemark transit out via ISP2" connection-mark=conn_isp2 
dst-address-type=!local in-interface-list=!WAN new-routing-mark=to_isp2 passthrough=no

/ip firewall mangle add action=mark-routing chain=prerouting 
comment="Routemark transit out via ISP3" connection-mark=conn_isp3 
dst-address-type=!local in-interface-list=!WAN new-routing-mark=to_isp3 passthrough=no

논평. in-interface-list=!WAN - 라우터 자체의 인터페이스 주소의 대상 주소가 없는 로컬 네트워크 및 dst-address-type=!local의 트래픽으로만 작업합니다.

도중에 라우터로 들어오는 로컬 패킷에 대해서도 마찬가지입니다.

“입력 인터페이스”=>”프리라우팅”=>”라우팅 결정”=>”입력”=>”로컬 프로세스”

중요! 대답은 다음과 같이 진행됩니다.

”로컬 프로세스”=>”라우팅 결정”=>”출력”=>”포스트 라우팅”=>”출력 인터페이스”

2.3. 응답 로컬 트래픽을 해당 라우팅 테이블로 보냅니다.

/ip firewall mangle add action=mark-routing chain=output 
comment="Routemark local out via ISP1" connection-mark=conn_isp1 dst-address-type=!local 
new-routing-mark=to_isp1 passthrough=no

/ip firewall mangle add action=mark-routing chain=output 
comment="Routemark local out via ISP2" connection-mark=conn_isp2 dst-address-type=!local 
new-routing-mark=to_isp2 passthrough=no

/ip firewall mangle add action=mark-routing chain=output 
comment="Routemark local out via ISP3" connection-mark=conn_isp3 dst-address-type=!local 
new-routing-mark=to_isp3 passthrough=no

이 단계에서 요청이 온 인터넷 채널에 응답을 보낼 준비 작업이 해결된 것으로 간주할 수 있습니다. 모든 것이 표시되고 레이블이 지정되며 라우팅할 준비가 됩니다.
이 설정의 탁월한 "부수" 효과는 두 공급자(ISP2, ISP3)의 DSNAT 포트 포워딩을 동시에 사용할 수 있다는 것입니다. 전혀 그렇지 않습니다. ISP1에는 라우팅할 수 없는 주소가 있기 때문입니다. 이 효과는 예를 들어 서로 다른 인터넷 채널을 보는 두 개의 MX가 있는 메일 서버에 중요합니다.

외부 IP 라우터를 사용한 로컬 네트워크 작동의 뉘앙스를 제거하기 위해 단락의 솔루션을 사용합니다. 1.8.2 및 3.1.2.6.

또한 표시가 있는 도구를 사용하여 문제의 단락 3을 해결할 수 있습니다. 다음과 같이 구현합니다.

2.4. 라우팅 목록에서 로컬 클라이언트의 트래픽을 적절한 테이블로 보냅니다.

/ip firewall mangle add action=mark-routing chain=prerouting 
comment="Address List via ISP1" dst-address-list=!BOGONS new-routing-mark=to_isp1 
passthrough=no src-address-list=Via_ISP1

/ip firewall mangle add action=mark-routing chain=prerouting 
comment="Address List via ISP2" dst-address-list=!BOGONS new-routing-mark=to_isp2 
passthrough=no src-address-list=Via_ISP2

/ip firewall mangle add action=mark-routing chain=prerouting 
comment="Address List via ISP3" dst-address-list=!BOGONS new-routing-mark=to_isp3 
passthrough=no src-address-list=Via_ISP3

결과적으로 다음과 같이 보입니다.

3. ISP에 대한 연결 설정 및 브랜드 라우팅 활성화

3.1. ISP1에 대한 연결 설정:
3.1.1. 고정 IP 주소를 구성합니다.

/ip address add interface=ether1 address=100.66.66.2/30 comment="ISP1 IP"

3.1.2. 정적 라우팅 설정:
3.1.2.1. 기본 "긴급" 경로를 추가합니다.

/ip route add comment="Emergency route" distance=254 type=blackhole

비고 이 경로를 사용하면 공급자의 링크 상태에 관계없이 로컬 프로세스의 트래픽이 경로 결정 단계를 통과할 수 있습니다. 나가는 로컬 트래픽의 미묘한 차이는 패킷이 적어도 어딘가로 이동하기 위해서는 기본 라우팅 테이블에 기본 게이트웨이에 대한 활성 경로가 있어야 한다는 것입니다. 그렇지 않은 경우 패키지는 단순히 파괴됩니다.

도구 확장으로 게이트웨이 확인 채널 상태에 대한 더 깊은 분석을 위해 재귀 경로 방법을 사용하는 것이 좋습니다. 이 방법의 핵심은 라우터에게 게이트웨이에 대한 경로를 직접 찾지 않고 중간 게이트웨이를 통해 찾도록 지시하는 것입니다. 4.2.2.1, 4.2.2.2 및 4.2.2.3은 각각 ISP1, ISP2 및 ISP3에 대한 "테스트" 게이트웨이로 선택됩니다.

3.1.2.2. "확인" 주소로 라우팅:

/ip route add check-gateway=ping comment="For recursion via ISP1"  
distance=1 dst-address=4.2.2.1 gateway=100.66.66.1 scope=10

비고 향후 4.2.2.1을 재귀 게이트웨이로 사용하기 위해 ROS 대상 범위에서 범위 값을 기본값으로 낮춥니다. 저는 강조합니다: "테스트" 주소에 대한 경로의 범위는 테스트 주소를 참조할 경로의 대상 범위보다 작거나 같아야 합니다.

3.1.2.3. 라우팅 표시가 없는 트래픽에 대한 재귀적 기본 경로:

/ip route add comment="Unmarked via ISP1" distance=2 gateway=4.2.2.1

비고 작업 조건에 따라 ISP2이 첫 번째 백업으로 선언되어 있기 때문에 distance=1 값을 사용합니다.

3.1.2.4. 라우팅 표시가 "to_isp1"인 트래픽에 대한 재귀적 기본 경로:

/ip route add comment="Marked via ISP1 Main" distance=1 gateway=4.2.2.1 
routing-mark=to_isp1

비고 실제로 여기에서 우리는 2항에서 수행한 준비 작업의 결실을 마침내 즐기기 시작했습니다.

이 경로에서 표시 경로 "to_isp1"이 있는 모든 트래픽은 현재 기본 테이블에 대해 활성화된 기본 게이트웨이에 관계없이 첫 번째 공급자의 게이트웨이로 전달됩니다.

3.1.2.5. ISP2 및 ISP3 태그가 지정된 트래픽에 대한 첫 번째 폴백 재귀 기본 경로:

/ip route add comment="Marked via ISP2 Backup1" distance=2 gateway=4.2.2.1 
routing-mark=to_isp2
/ip route add comment="Marked via ISP3 Backup1" distance=2 gateway=4.2.2.1 
routing-mark=to_isp3

비고 이러한 경로는 무엇보다도 "to_isp*" 주소 목록의 구성원인 로컬 네트워크의 트래픽을 예약하는 데 필요합니다.

3.1.2.6. ISP1을 통해 라우터의 로컬 트래픽 경로를 인터넷에 등록합니다.

/ip route rule add comment="From ISP1 IP to Inet" src-address=100.66.66.2 table=to_isp1

비고 단락 1.8.2의 규칙과 함께 주어진 소스로 원하는 채널에 대한 액세스를 제공합니다. 이는 로컬 측 IP 주소(EoIP, IP-IP, GRE)를 지정하는 터널을 구축하는 데 중요합니다. ip 경로 규칙의 규칙은 조건의 첫 번째 일치까지 위에서 아래로 실행되므로 이 규칙은 1.8.2절의 규칙 다음에 있어야 합니다.

3.1.3. 나가는 트래픽에 대해 NAT 규칙을 등록합니다.

/ip firewall nat add action=src-nat chain=srcnat comment="NAT via ISP1"  
ipsec-policy=out,none out-interface=ether1 to-addresses=100.66.66.2

비고 NATim은 IPsec 정책에 들어오는 것을 제외하고 나가는 모든 것입니다. 꼭 필요한 경우가 아니면 action=masquerade를 사용하지 않으려고 합니다. 각각의 새 연결에 대한 NAT 주소를 계산하기 때문에 src-nat보다 느리고 리소스 집약적입니다.

3.1.4. 우리는 다른 공급자를 통한 액세스가 금지된 목록의 클라이언트를 ISP1 공급자의 게이트웨이로 직접 보냅니다.

/ip firewall mangle add action=route chain=prerouting comment="Address List via ISP1 only" 
dst-address-list=!BOGONS passthrough=no route-dst=100.66.66.1 
src-address-list=Via_only_ISP1 place-before=0

비고 action=route는 우선 순위가 더 높으며 다른 라우팅 규칙보다 먼저 적용됩니다.

place-before=0 - 목록의 첫 번째 규칙을 배치합니다.

3.2. ISP2에 대한 연결을 설정합니다.

ISP2 공급자가 DHCP를 통해 설정을 제공하므로 DHCP 클라이언트가 트리거될 때 시작되는 스크립트로 필요한 변경을 수행하는 것이 합리적입니다.

/ip dhcp-client
add add-default-route=no disabled=no interface=ether2 script=":if ($bound=1) do={r
    n    /ip route add check-gateway=ping comment="For recursion via ISP2" distance=1 
           dst-address=4.2.2.2/32 gateway=$"gateway-address" scope=10r
    n    /ip route add comment="Unmarked via ISP2" distance=1 gateway=4.2.2.2;r
    n    /ip route add comment="Marked via ISP2 Main" distance=1 gateway=4.2.2.2 
           routing-mark=to_isp2;r
    n    /ip route add comment="Marked via ISP1 Backup1" distance=2 gateway=4.2.2.2 
           routing-mark=to_isp1;r
    n    /ip route add comment="Marked via ISP3 Backup2" distance=3 gateway=4.2.2.2 
           routing-mark=to_isp3;r
    n    /ip firewall nat add action=src-nat chain=srcnat ipsec-policy=out,none 
           out-interface=$"interface" to-addresses=$"lease-address" comment="NAT via ISP2" 
           place-before=1;r
    n    if ([/ip route rule find comment="From ISP2 IP to Inet"] ="") do={r
    n        /ip route rule add comment="From ISP2 IP to Inet" 
               src-address=$"lease-address" table=to_isp2 r
    n    } else={r
    n       /ip route rule set [find comment="From ISP2 IP to Inet"] disabled=no 
              src-address=$"lease-address"r
    n    }      r
    n} else={r
    n   /ip firewall nat remove  [find comment="NAT via ISP2"];r
    n   /ip route remove [find comment="For recursion via ISP2"];r
    n   /ip route remove [find comment="Unmarked via ISP2"];r
    n   /ip route remove [find comment="Marked via ISP2 Main"];r
    n   /ip route remove [find comment="Marked via ISP1 Backup1"];r
    n   /ip route remove [find comment="Marked via ISP3 Backup2"];r
    n   /ip route rule set [find comment="From ISP2 IP to Inet"] disabled=yesr
    n}r
    n" use-peer-dns=no use-peer-ntp=no

Winbox 창의 스크립트 자체:

비고 임대가 성공적으로 획득되면 스크립트의 첫 번째 부분이 트리거되고 두 번째 부분은 임대가 해제된 후 트리거됩니다.참고 2 참조

3.3. ISP3 공급자에 대한 연결을 설정했습니다.

설정 제공자가 우리에게 동적인 것을 제공하기 때문에, ppp 인터페이스가 올라간 후와 떨어진 후에 시작하는 스크립트로 필요한 변경을 하는 것이 합당합니다.

3.3.1. 먼저 프로필을 구성합니다.

/ppp profile
add comment="for PPPoE to ISP3" interface-list=WAN name=isp3_client 
on-down="/ip firewall nat remove  [find comment="NAT via ISP3"];r
    n/ip route remove [find comment="For recursion via ISP3"];r
    n/ip route remove [find comment="Unmarked via ISP3"];r
    n/ip route remove [find comment="Marked via ISP3 Main"];r
    n/ip route remove [find comment="Marked via ISP1 Backup2"];r
    n/ip route remove [find comment="Marked via ISP2 Backup2"];r
    n/ip route rule set [find comment="From ISP3 IP to Inet"] disabled=yes;" 
on-up="/ip route add check-gateway=ping comment="For recursion via ISP3" distance=1 
    dst-address=4.2.2.3/32 gateway=$"remote-address" scope=10r
    n/ip route add comment="Unmarked via ISP3" distance=3 gateway=4.2.2.3;r
    n/ip route add comment="Marked via ISP3 Main" distance=1 gateway=4.2.2.3 
    routing-mark=to_isp3;r
    n/ip route add comment="Marked via ISP1 Backup2" distance=3 gateway=4.2.2.3 
    routing-mark=to_isp1;r
    n/ip route add comment="Marked via ISP2 Backup2" distance=3 gateway=4.2.2.3 
    routing-mark=to_isp2;r
    n/ip firewall mangle set [find comment="Connmark in from ISP3"] 
    in-interface=$"interface";r
    n/ip firewall nat add action=src-nat chain=srcnat ipsec-policy=out,none 
    out-interface=$"interface" to-addresses=$"local-address" comment="NAT via ISP3" 
    place-before=1;r
    nif ([/ip route rule find comment="From ISP3 IP to Inet"] ="") do={r
    n   /ip route rule add comment="From ISP3 IP to Inet" src-address=$"local-address" 
    table=to_isp3 r
    n} else={r
    n   /ip route rule set [find comment="From ISP3 IP to Inet"] disabled=no 
    src-address=$"local-address"r
    n};r
    n"

Winbox 창의 스크립트 자체:

비고 선
/ip firewall mangle set [find comment="Connmark in from ISP3"] in-interface=$"인터페이스";
표시 이름이 아닌 코드와 함께 작동하므로 인터페이스 이름 변경을 올바르게 처리할 수 있습니다.

3.3.2. 이제 프로필을 사용하여 ppp 연결을 만듭니다.

/interface pppoe-client add allow=mschap2 comment="to ISP3" disabled=no 
interface=ether3 name=pppoe-isp3 password=isp3_pass profile=isp3_client user=isp3_client

마지막으로 시계를 설정해 보겠습니다.

/system ntp client set enabled=yes server-dns-names=0.pool.ntp.org,1.pool.ntp.org,2.pool.ntp.org

끝까지 읽어주신 분들을 위해

멀티밴을 구현하기 위해 제안된 방법은 저자의 개인적 선호도이며 가능한 유일한 방법은 아닙니다. ROS 툴킷은 광범위하고 유연하여 한편으로는 초보자에게 어려움을 초래하고 다른 한편으로는 인기의 이유입니다. 새로운 도구와 솔루션을 배우고, 시도하고, 발견하십시오. 예를 들어, 습득한 지식의 응용으로 멀티밴 구현에서 도구를 대체할 수 있습니다. 체크 게이트웨이 재귀 경로로 넷워치.

참고 사항

1. 체크 게이트웨이 - 게이트웨이의 가용성 확인에 두 번 연속 실패하면 경로를 비활성화할 수 있는 메커니즘입니다. 확인은 10초마다 한 번씩 수행되며 응답 시간 초과도 포함됩니다. 전체적으로 실제 스위칭 타이밍은 20-30초 범위에 있습니다. 이러한 전환 타이밍이 충분하지 않은 경우 도구를 사용할 수 있는 옵션이 있습니다. 넷워치, 여기서 확인 타이머를 수동으로 설정할 수 있습니다. 체크 게이트웨이 링크에서 간헐적인 패킷 손실 시 실행되지 않습니다.

   중요한! 기본 경로를 비활성화하면 이를 참조하는 다른 모든 경로가 비활성화됩니다. 그러므로 그들이 나타내기 위해서는 체크-게이트웨이=ping 필요하지 않습니다.

2. 클라이언트가 갱신 상태에 있는 것처럼 보이는 DHCP 메커니즘에서 오류가 발생합니다. 이 경우 스크립트의 두 번째 부분은 작동하지 않지만 상태가 해당 재귀 경로를 추적하기 때문에 트래픽이 올바르게 걷는 것을 방해하지는 않습니다.
3. ECMP(동일 비용 다중 경로) - ROS에서는 여러 게이트웨이와 동일한 거리로 경로를 설정할 수 있습니다. 이 경우 지정된 게이트웨이 수에 비례하여 라운드 로빈 알고리즘을 사용하여 채널 간에 연결이 분산됩니다.

기사 작성에 대한 자극을 받으려면 구조 및 악센트 배치를 형성하는 데 도움을주십시오. Evgeny에 대한 개인적인 감사 @jscar

출처 : habr.com