Bingehên Rêvekirina Statîk di Mikrotik RouterOS de

Routing pêvajoya dîtina riya çêtirîn e ji bo veguheztina pakêtan li ser torên TCP/IP. Her amûrek ku bi tora IPv4 ve girêdayî ye pêvajoyek û tabloyên rêvekirinê dihewîne.

Ev gotar ne HOWTO ye, ew rêveçûna statîk a li RouterOS bi mînakan vedibêje, min bi qestî mîhengên mayî ji holê rakir (mînak, srcnat ji bo gihîştina Înternetê), ji ber vê yekê têgihîştina materyalê astek zanîna torê û RouterOS hewce dike.

Veguheztin û rêkirin

Veguheztin pêvajoyek pevguhertina pakêtan e di nav yek beşa Layer2 de (Ethernet, ppp, ...). Ger cîhaz dibîne ku wergirê pakêtê bi wê re li ser heman subneta Ethernetê ye, ew navnîşana mac-ê bi karanîna protokola arp fêr dibe û pakêtê rasterast vediguhezîne, ji routerê derbas dibe. Têkiliyek ppp (xal-bi-xal) dikare tenê du beşdaran hebin û pakêt her gav ji navnîşek 0xff re tê şandin.

Routing pêvajoya veguhastina pakêtan di navbera beşên Layer2 de ye. Ger amûrek bixwaze pakêtek ku wergirê wê li derveyî beşa Ethernetê ye bişîne, ew li tabloya rêgezê dinêre û pakêtê digihîne dergehek ku dizane dê paşê pakêtê bişîne ku derê (an jî dibe ku nizanibe, şanderê eslî yê pakêtê ye haya wî jê tuneye).

Awayê herî hêsan ku meriv li ser routerê bifikire wekî amûrek e ku bi du an zêdetir beşên Layer2 ve girêdayî ye û dikare pakêtan di navbera wan de bi destnîşankirina riya çêtirîn ji tabloya rêvekirinê re derbas bike.

Heke hûn her tiştî fêm dikin, an we berê dizanibû, wê hingê bixwînin. Ji bo yên mayî, ez bi tundî pêşniyar dikim ku hûn xwe bi piçûkek, lê pir jêhatî nas bikin tişt.

Rêvekirin di RouterOS û PacketFlow de

Hema hema hemî fonksiyonên ku bi rêvekirina statîk ve girêdayî ne di pakêtê de ne sîstem. Çenteyê plastîk kargoroohe piştgiriya ji bo algorîtmayên rêveçûna dînamîk (RIP, OSPF, BGP, MME), Parzûnên Rêvekirinê û BFD zêde dike.

Menuya sereke ji bo sazkirina rêgezê: [IP]->[Route]. Dibe ku nexşeyên tevlihev hewce bike ku pakêtan bi nîşana rêvekirinê pêş-etîket bikin: [IP]->[Firewall]->[Mangle] (zincîran PREROUTING и OUTPUT).

Li ser PacketFlow sê cîh hene ku biryarên rêvekirina pakêta IP-ê têne girtin:

1. Pakêtên rêvekirinê ji hêla router ve têne wergirtin. Di vê qonaxê de, biryar tê girtin ka dê pakêt biçe pêvajoya herêmî an dê bêtir ji torê re were şandin. Pakêtên transît distînin Derketina navberê
2. Rêwîkirina pakêtên derketinê yên herêmî. Pakêtên derketinê distînin Derketina navberê
3. Pêveka rêvekirinê ya ji bo pakêtên derketinê, dihêle hûn biryara rêvekirinê tê de biguhezînin [Output|Mangle]

• Rêya pakêtê di blokên 1, 2 de bi qaîdeyên hundur ve girêdayî ye [IP]->[Route]
• Rêya pakêtê di xalên 1, 2 û 3 de bi qaîdeyên tê de ve girêdayî ye [IP]->[Route]->[Rules]
• Rêya pakêtê ya di blokên 1, 3 de dikare bi kar were bandor kirin [IP]->[Firewall]->[Mangle]

RIB, FIB, Routing Cache

Bingeha Agahdariya Rêwîtiyê
Bingeha ku tê de rê ji protokolên rêveçûna dînamîkî, rêyên ji ppp û dhcp, rêyên statîk û girêdayî têne berhev kirin. Ev databas hemû rêçikan dihewîne, ji xeynî yên ku ji hêla rêvebir ve hatine fîltrekirin.

Bi şert, em dikarin wisa texmîn bikin [IP]->[Route] RIB nîşan dide.

Bingeha Agahdariya Pêşkêşkirinê

Bingeha ku tê de rêyên çêtirîn ji RIB têne berhev kirin. Hemî rêyên di FIB-ê de çalak in û ji bo şandina pakêtan têne bikar anîn. Ger rê neçalak bibe (ji hêla rêvebirê (pergalê) ve neçalak bibe, an navbeynkariya ku divê pakêt jê re were şandin ne çalak be), rê ji FIB tê rakirin.

Ji bo girtina biryarek rêvekirinê, tabloya FIB agahdariya jêrîn li ser pakêtek IP-ê bikar tîne:

• Navnîşana Çavkaniyê
• Navnîşana Destination
• navrûya çavkaniyê
• Nîşana rêvekirinê
• ToS (DSCP)

Ketina nav pakêta FIB di qonaxên jêrîn de derbas dibe:

• Ma pakêt ji bo pêvajoyek routerê herêmî ye?
• Ma pakêt di bin qaîdeyên PBR-ê yên pergalê an bikarhêner de ye?
  • Ger erê, wê hingê pakêt ji tabloya rêvekirinê ya diyarkirî re tê şandin
• Pakêt ji maseya sereke re tê şandin

Bi şert, em dikarin wisa texmîn bikin [IP]->[Route Active=yes] FIB nîşan dide.

Routing Cache
Route caching mekanîzmaya. Router bi bîr tîne ku pakêt li ku derê hatine şandin û heke yên mîna wan hebin (dibe ku ji heman girêdanê be) ew dihêle ku ew bi heman rêyê biçin, bêyî ku di FIB-ê de kontrol bikin. Veşartina rêyê dem bi dem tê paqij kirin.

Ji bo rêvebirên RouterOS-ê, wan amûr ji bo dîtin û rêvebirina Routing Cache çênekirin, lê gava ku ew dikare di nav de were asteng kirin [IP]->[Settings].

Ev mekanîzma ji kernel linux 3.6 hate derxistin, lê RouterOS hîn jî kernel 3.3.5 bikar tîne, dibe ku Routing cahce yek ji wan sedeman be.

Diyaloga rêyê zêde bikin

[IP]->[Route]->[+]

1. Subneta ku hûn dixwazin rêyek ji bo biafirînin (pêşniyaz: 0.0.0.0/0)
2. Gateway IP an navbeynkariya ku dê pakêt jê re were şandin (dibe ku çend hebin, li jêr ECMP binêre)
3. Gateway Availability Check
4. Cureyê qeydkirinê
5. Dûrbûn (metric) ji bo rêgezê
6. Tabloya rêwîtiyê
7. IP ji bo pakêtên derketinê yên herêmî bi vê rêyê
8. Armanca Scope û Target Scope di dawiya gotarê de hatiye nivîsandin.

alayên rê

• X - Rê ji hêla rêveberê ve hatî asteng kirin (disabled=yes)
• A - Rê ji bo şandina pakêtan tê bikar anîn
• D - Rê bi dînamîk lê zêde kirin (BGP, OSPF, RIP, MME, PPP, DHCP, Girêdayî)
• C - Subnet rasterast bi routerê ve girêdayî ye
• S - Rêya Statîk
• r,b,o,m - Rêç ji hêla yek ji protokolên rêveçûna dînamîkî ve hatî zêdekirin
• B,U,P - Rêya Parzûnkirinê (li şûna ku veguhezîne pakêtan davêje)

Di dergehê de çi diyar bike: navnîşana IP an navrû?

Pergal destûrê dide te ku hûn herduyan jî diyar bikin, di heman demê de ew sond naxwe û heke we tiştek xelet kir şîretan nade.

navnîşana IP'yê
Divê navnîşana dergehê li ser Layer2 bigihîje. Ji bo Ethernet, ev tê vê wateyê ku router divê navnîşek ji heman subnetê li ser yek ji navgînên ip-ya çalak hebe, ji bo ppp, ku navnîşana dergehê li ser yek ji navgînên çalak wekî navnîşana jêrtorê tête diyar kirin.
Ger şerta gihîştinê ya Layer2 pêk neyê, rê neçalak tê hesibandin û nakeve nav FIB.

virtual
Her tişt tevlihevtir e û tevgera router bi celebê pêwendiyê ve girêdayî ye:

• Têkiliya PPP (Async, PPTP, L2TP, SSTP, PPPoE, OpenVPN *) tenê du beşdaran dihesibîne û pakêt dê her gav ji bo veguheztinê ji dergehê re were şandin, heke dergeh bibîne ku wergir bi xwe ye, wê hingê ew ê pakêtê veguhezîne pêvajoya wê ya herêmî.
  
• Ethernet hebûna gelek beşdaran dihesibîne û dê daxwazan bi navnîşana wergirê pakêtê re ji navbeyna arp re bişîne, ev ji bo rêyên girêdayî tevgerek tê hêvîkirin û pir normal e.
  Lê gava ku hûn hewl didin ku navbeynkariyê wekî rêgezek ji bo jêrtorêk dûr bikar bînin, hûn ê rewşa jêrîn bistînin: rê çalak e, ping berbi dergehê derbas dibe, lê ji jêrtora diyarkirî nagihîje wergir. Ger hûn bi navbeynkarek bişaftinê binihêrin, hûn ê daxwazên arp-ê bi navnîşanên ji subnetek dûr bibînin.
  

Hewl bidin ku gava ku gengaz be navnîşana ip-ê wekî dergeh destnîşan bikin. Ji îstîsna rêgezên girêdayî (xweber hatine afirandin) û pêwendiyên PPP (Async, PPTP, L2TP, SSTP, PPPoE, OpenVPN*).

OpenVPN sernavek PPP-ê nagire, lê hûn dikarin navê navrûya OpenVPN bikar bînin da ku rêyek biafirînin.

Route More Specific

Rêbaza bingehîn. Rêya ku jêrtora piçûktir vedibêje (bi maskeya jêrtorê ya herî mezin) di biryara rêça pakêtê de pêşî digire. Helwesta navnîşan di tabloya rêwîtiyê de bi hilbijartinê re ne têkildar e - qaîdeya sereke Zêdetir Taybet e.

Hemî rêyên ji pilana diyarkirî çalak in (li FIB-ê cih digirin). îşaret bi jêrtorên cuda dikin û bi hev re nakokî ne.

Ger yek ji derîyan peyda nebe, dê rêça têkildar neçalak were hesibandin (ji FIB were rakirin) û pakêt dê ji rêyên mayî werin lêgerîn.

Rêya bi subneta 0.0.0.0/0 carinan wateyek taybetî tê dayîn û jê re "Rêya Pêşniyar" an "Deriyê çareya dawîn" tê gotin. Bi rastî, tê de tiştek efsûnî tune û ew bi tenê hemî navnîşanên IPv4 yên mimkun vedihewîne, lê van navan peywira wê baş vedibêje - ew dergehê destnîşan dike ku meriv pakêtên ku ji bo wan rêyên din, rasttir tune ne, vedigire.

Ji bo IPv4 maskeya subnetê ya herî gengaz / 32 ye, ev rê li mêvandarek taybetî destnîşan dike û dikare di tabloya rêvekirinê de were bikar anîn.

Fêmkirina Rêya Zêdetir Taybet ji bo her amûrek TCP/IP bingehîn e.

Dûrî

Dûr (an Metrîk) ji bo fîlterkirina îdarî ya rêwiyan berbi yek subtorê ku bi gelek derwazeyan ve tê gihîştin hewce ne. Rêwîtiyek bi metrîka jêrîn wekî pêşînek tête hesibandin û dê di FIB-ê de were nav kirin. Ger rêyek bi metrîka kêmtir ji çalakbûnê raweste, wê hingê ew ê di FIB-ê de bi rêyek bi metrikek bilind ve were guheztin.

Ger çend rêçên heman subnetê bi heman metrikê hebin, router dê tenê yek ji wan li tabloya FIB zêde bike, ku ji hêla mantiqa xweya hundurîn ve tê rêve kirin.

Metrîk dikare ji 0 heta 255 nirxek bigire:

• 0 - Metric ji bo rêyên girêdayî. Dûrahiya 0 ji hêla rêveber ve nayê danîn
• 1-254 - Metrîkên ku ji bo danîna rêgezan ji rêvebir re peyda dibin. Metrîkên bi nirxek kêmtir xwedan pêşînek bilindtir in
• 255 - Metrîka ji bo danîna rêgezan ji rêvebir re peyda dibe. Berevajî 1-254, rêyek bi metrika 255 her gav neçalak dimîne û nakeve nav FIB.
• metrîkên taybetî. Rêçên ku ji protokolên rêveçûna dînamîkî têne derxistin nirxên metrîk ên standard hene

deriyê kontrol bikin

Deriyê kontrolê pêvekek MikroTik RoutesOS-ê ye ku ji bo kontrolkirina hebûna dergehê bi icmp an arp ve ye. Her 10 saniyeyan carekê (nikare were guheztin), daxwazek ji dergehê re tê şandin, heke bersiv du caran neyê wergirtin, rêwek ne berdest tê hesibandin û ji FIB tê derxistin. Ger deriyê kontrolê neçalak kiribe rêça kontrolê berdewam dike û piştî kontrolek serketî rê dê dîsa çalak bibe.

Check gateway têketina ku tê de hatî mîheng kirin û hemî têketinên din (di hemî tabloyên rê û rêgezên ecmp de) bi dergehê diyarkirî re neçalak dike.

Bi gelemperî, deriyê kontrolê baş dixebite heya ku di derheqê windabûna pakêtê ya dergehê de pirsgirêk tunebin. Deriyê kontrolê nizane bi pêwendiya li derveyî deriyê kontrolkirî re çi diqewime, ji bo vê yekê amûrên din hewce dike: nivîsar, rêça vegerî, protokolên rêveçûna dînamîkî.

Piraniya protokolên VPN û tunelê ji bo kontrolkirina çalakiya pêwendiyê amûrên çêkirî hene, çalakkirina deriyê kontrolê ji bo wan barek zêde (lê pir piçûk) li ser performansa torê û cîhazê ye.

rêyên ECMP

Pir-Rêya Wekhev-Lêçûn - şandina pakêtan ji wergir re bi karanîna çend derwazeyan bi hevdemî bi karanîna algorîtmaya Round Robin re.

Rêwîtiyek ECMP ji hêla rêveber ve bi destnîşankirina gelek derwazeyan ji bo yek subnetê (an bixweber, heke du rêgezên OSPF yên wekhev hebin) tê afirandin.

ECMP ji bo hevsengkirina barkirinê di navbera du kanalan de tê bikar anîn, di teoriyê de, heke di riya ecmp de du kanal hebin, wê hingê ji bo her pakêtê divê kanala derketinê cûda be. Lê mekanîzmaya cache Routing pakêtan ji pêwendiya li ser riya ku pakêta yekem girtiye dişîne, di encamê de, em celebek hevsengiyê li ser bingeha girêdanan digirin (hevsengkirina barkirina per-girêdanê).

Ger hûn Routing Cache neçalak bikin, wê hingê dê pakêtên di rêça ECMP de rast werin parve kirin, lê pirsgirêkek bi NAT re heye. Rêzika NAT tenê pakêta yekem ji pêwendiyê pêvajo dike (yên mayî bixweber têne pêvajo kirin), û derdikeve holê ku pakêtên bi heman navnîşana çavkaniyê navberên cihêreng dihêlin.

Deriyê kontrolê di rêyên ECMP de naxebite (xeletiya RouterOS). Lê hûn dikarin bi afirandina rêyên pejirandinê yên din ên ku dê têketinên di ECMP-ê de neçalak bikin, li dora vê tixûbdariyê bigirin.

Parzûnkirin bi rêya Routing

Vebijarka Tîp diyar dike ku bi pakêtê re çi bike:

• unicast - ji deriyê diyarkirî re bişîne (navdêr)
• çala reş - pakêtekê bavêje
• qedexekirin, negihîştin - pakêtê bavêjin û peyamek icmp ji şanderê re bişînin

Parzûnkirin bi gelemperî tê bikar anîn dema ku pêdivî ye ku şandina pakêtan li ser riya xelet ewleh bike, bê guman, hûn dikarin vê bi dîwarê agir ve fîlter bikin.

Çend mînak

Ji bo yekkirina tiştên bingehîn ên di derbarê rê de.

Routera malê ya tîpîk

/ip route
add dst-address=0.0.0.0/0 gateway=10.10.10.1

1. Rêça statîk berbi 0.0.0.0/0 (rêya xwerû)
2. Rêya girêdayî li ser pêwendiya bi pêşkêşkerê re
3. Rêya girêdayî li ser pêwendiya LAN

Routera malê ya tîpîk bi PPPoE

1. Rêça statîk berbi riya xwerû, bixweber hatî zêdekirin. ew di taybetmendiyên girêdanê de tête diyar kirin
2. Rêya girêdayî ji bo girêdana PPP
3. Rêya girêdayî li ser pêwendiya LAN

Routera malê ya tîpîk bi du pêşkêşvan û zêdebûnê

/ip route
add dst-address=0.0.0.0/0 gateway=10.10.10.1 distance=1 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=10.20.20.1 distance=2

1. Rêça statîk a berbi riya xwerû di nav pêşkêşkara yekem de bi metrika 1 û kontrolkirina hebûna dergehê
2. Rêça statîk berbi riya xwerû bi pêşkêşkarê duyemîn bi metrîka 2
3. Rêyên girêdayî

Trafîka 0.0.0.0/0 di 10.10.10.1-ê re derbas dibe dema ku ev dergeh peyda dibe, wekî din ew diguhere 10.20.20.1

Planek wusa dikare wekî rezervasyona kanalê were hesibandin, lê ew ne bê kêmasiyan e. Ger navberek li derveyî dergehê pêşkêşker çêbibe (mînak, di hundurê tora operatorê de), routerê we dê pê nizanibe û dê berdewam bike ku rêça çalak bihesibîne.

Routera malê ya tîpîk bi du pêşkêşvan, zêdebûn û ECMP

/ip route
add dst-address=0.0.0.0/0 gateway=10.10.10.1 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=10.20.20.1 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=10.10.10.1,10.20.20.1 distance=1

1. Rêyên statîk ên ji bo kontrolkirina deriyê çakê
2. riya ECMP
3. Rêyên girêdayî

Rêyên ku werin kontrol kirin şîn in (rengê rêyên neçalak), lê ev yek di deriyê kontrolê de asteng nake. Guhertoya heyî (6.44) ya RoS pêşîniya otomatîkî dide riya ECMP, lê çêtir e ku meriv rêyên ceribandinê li tabloyên rêgezê yên din zêde bike (vebijark routing-mark)

Li ser Speedtest û malperên din ên bi vî rengî, dê lezê zêde nebe (ECMP seyrûseferê li gorî girêdanan, ne bi pakêtan dabeş dike), lê divê serîlêdanên p2p zûtir dakêşin.

Parzûnkirin bi rêya Routing

/ip route
add dst-address=0.0.0.0/0 gateway=10.10.10.1
add dst-address=192.168.200.0/24 gateway=10.30.30.1 distance=1
add dst-address=192.168.200.0/24 gateway=10.10.10.1 distance=2 type=blackhole

1. Rêça statîk berbi riya xwerû
2. Rêça statîk a 192.168.200.0/24 li ser tunela ipip
3. Rêya statîk a 192.168.200.0/24 bi riya routerê ISP qedexe dike

Vebijarkek fîlterkirinê ya ku tê de seyrûsefera tunelê dê neçe rêwera peydakirox dema ku pêwendiya ipip-ê neçalak be. Planên weha kêm kêm hewce ne, ji ber hûn dikarin blokê bi navgîniya firewallê bicîh bikin.

Routing loop
Routing loop - rewşek ku berî ku ttl biqede pakêtek di navbera routeran de dimeşe. Bi gelemperî ew encama xeletiyek mîhengê ye, di torên mezin de ew bi pêkanîna protokolên rêveçûna dînamîkî, di yên piçûk de - bi baldarî tê derman kirin.

Ew tiştek mîna vê xuya dike:

Nimûneyek (herî hêsan) ya ku meriv çawa encamek wekhev digire:

Nimûneya Routing loop tu karanîna pratîkî tune, lê ew destnîşan dike ku router di derbarê tabloya rêveçûna cîranê xwe de nizanin.

Rêvekirina Bingeha Siyasetê û Tabloyên Rêvekirina Zêdeyî

Dema ku rêyek hildibijêre, router tenê zeviyek ji sernavê pakêtê (Dst. Navnîşan) bikar tîne - ev rêvekirina bingehîn e. Rêwîkirin li ser bingeha şert û mercên din, wek navnîşana çavkaniyê, celebê seyrûseferê (ToS), hevsengkirina bêyî ECMP, girêdayî Rêvekirina Bingeha Polîtîkayê (PBR) ye û tabloyên rêvekirinê yên din bikar tîne.

Route More Specific di nav tabloya rêwîtiyê de qaîdeya sereke ya hilbijartina rê ye.

Bi xwerû, hemî qaîdeyên rêvekirinê li tabloya sereke têne zêdekirin. Rêvebir dikare hejmareke kêfî ya tabloyên rêvekirinê yên din biafirîne û pakêtên rêve bike ji wan re. Qaîdeyên di tabloyên cûda de bi hevûdu re nakokî ne. Ger pakêt di tabloya diyarkirî de rêgezek guncan nebîne, ew ê biçe tabloya sereke.

Nimûne bi belavkirina bi rêya Firewall:

• 192.168.100.10 -> 8.8.8.8
  1. Trafîka ji 192.168.100.10 tê nîşankirin via-isp1 в [Prerouting|Mangle]
  2. Li qonaxa Routing di tabloyê de via-isp1 ji bo rêyek 8.8.8.8 digere
  3. Rêyek hate dîtin, seyrûsefer ji deriyê 10.10.10.1 re tê şandin
• 192.168.200.20 -> 8.8.8.8
  1. Trafîka ji 192.168.200.20 tê nîşankirin via-isp2 в [Prerouting|Mangle]
  2. Li qonaxa Routing di tabloyê de via-isp2 ji bo rêyek 8.8.8.8 digere
  3. Rêyek hate dîtin, seyrûsefer ji deriyê 10.20.20.1 re tê şandin
• Ger yek ji dergehan (10.10.10.1 an 10.20.20.1) ne berdest be, wê hingê pakêt dê biçe ser sifrê dest û dê li wir li rêyek minasib bigerin

Pirsgirêkên termînolojiyê

RouterOS hin pirsgirêkên termînolojiyê hene.
Dema ku bi qaîdeyên di hundurê de dixebitin [IP]->[Routes] tabloya rêvekirinê tê destnîşan kirin, her çend tê nivîsandin ku label:

В [IP]->[Routes]->[Rule] her tişt rast e, di rewşa labelê de di çalakiya tabloyê de:

Meriv çawa pakêtek ji tabloyek rêvekirinê ya taybetî re dişîne

RouterOS gelek amûran peyda dike:

• Rules in [IP]->[Routes]->[Rules]
• Nîşankerên rê (action=mark-routing) li [IP]->[Firewall]->[Mangle]
• VRF

Qanûn [IP]->[Route]->[Rules]
Rêgez bi rêz têne hilberandin, heke pakêt bi şertên qaîdeyê re têkildar be, ew bêtir derbas nabe.

Rêgezên rêvekirinê dihêle hûn îmkanên rêvekirinê berfireh bikin, ne tenê li ser navnîşana wergir, lê di heman demê de li ser navnîşana çavkaniyê û navbeynkariya ku pakêt li ser hatî wergirtin jî bispêrin.

Qanûn ji şert û çalakiyan pêk tê:

• Şertên. Bi pratîkî navnîşa nîşanan dubare bikin ku pakêt di FIB-ê de tê kontrol kirin, tenê ToS winda ye.
• Actions
  • lêgerîn - pakêtek bişîne ser maseyê
  • tenê li tabloyê bigerin - pakêtê di tabloyê de kilît bikin, ger rê neyê dîtin, pakêt dê neçe tabloya sereke
  • avêtin - pakêtek avêtin
  • negihîştî - pakêtê bi agahdarkirina şanderê veqetîne

Di FIB-ê de, seyrûsefera pêvajoyên herêmî li gorî rêzikan têne pêvajo kirin [IP]->[Route]->[Rules]:

Marking [IP]->[Firewall]->[Mangle]
Etîketên rêgezê dihêlin ku hûn bi karanîna hema her şert û mercên Firewallê dergehek ji bo pakêtek saz bikin:

Bi pratîkî, ji ber ku ne hemî wan watedar in, û dibe ku hin jî bêbawer bixebitin.

Du awayên nîşankirina pakêtê hene:

• Di cih de danîn nîşana rêvekirinê
• Pêşî danîn girêdan-nîşan, paşê li ser bingeha girêdan-nîşan danîn nîşana rêvekirinê

Di gotarek li ser dîwaran de, min nivîsand ku vebijarka duyemîn tercîh e. barkirina li ser cpu kêm dike, di mijara nîşankirina rêçikan de - ev bi tevahî ne rast e. Van rêbazên nîşankirinê her gav ne wekhev in û bi gelemperî ji bo çareserkirina pirsgirêkên cihêreng têne bikar anîn.

Nimûneyên karanîna

Ka em biçin ser mînakên karanîna Rêvekirina Bingeha Siyasetê, ew pir hêsantir in ku nîşan bidin ka çima ev hemî hewce ne.

MultiWAN û vegere seyrûsefera derketinê (Derketin).
Pirsgirêkek hevpar a mîhengek MultiWAN: Mikrotik ji Înternetê tenê bi pêşkêşkerek "çalak" peyda dibe.

Router ferq nake ku daxwaz bi çi ip-ê hatî, dema ku bersivek çêbike, ew ê di tabloya rêvekirinê de ku rêça bi isp1 çalak e li rêyek bigere. Zêdetir, pakêtek wusa dê bi îhtîmalek mezin di rê de ji wergir re were fîlter kirin.

Xaleke din a balkêş. Ger nat çavkaniyek "hêsan" li ser pêwendiya ether1 ve hatî mîheng kirin: /ip fi nat add out-interface=ether1 action=masquerade pakêt dê bi src bikeve serhêl. navnîşan=10.10.10.100, ku tiştan hîn xirabtir dike.

Gelek awayên çareserkirina pirsgirêkê hene, lê yek ji wan dê tabloyên rêwîtiyê yên din hewce bike:

/ip route
add dst-address=0.0.0.0/0 gateway=10.10.10.1 check-gateway=ping distance=1
add dst-address=0.0.0.0/0 gateway=10.20.20.1 check-gateway=ping distance=2
add dst-address=0.0.0.0/0 gateway=10.10.10.1 routing-mark=over-isp1
add dst-address=0.0.0.0/0 gateway=10.20.20.1 routing-mark=over-isp2

Bikar bînin [IP]->[Route]->[Rules]
Tabloya rêvekirinê ya ku dê ji bo pakêtên bi IP-ya Çavkaniyê ya diyarkirî were bikar anîn destnîşan bikin.

/ip route rule
add src-address=10.10.10.100/32 action=lookup-only-in-table table=over-isp1
add src-address=10.20.20.200/32 action=lookup-only-in-table table=over-isp2

Karanîn action=lookup, lê ji bo seyrûsefera derketinê ya herêmî, ev vebijark bi tevahî girêdanên ji navbeynkariya xelet derdixe.

• Pergal bi Src re pakêtek bersivê çêdike. Navnîşan: 10.20.20.200
• Biryara Rêwîtiyê (2) gavê kontrol dike [IP]->[Routes]->[Rules] û pakêt ji bo tabloya rêwîtiyê tê şandin ser-isp2
• Li gorî tabloya rêvekirinê, pêdivî ye ku pakêt bi navgîniya ether10.20.20.1 ve ji deriyê 2 re were şandin.

Berevajî bikaranîna tabloya Mangle, ev rêbaz ne hewceyê Trackerek Têkilî ya xebatê nake.

Bikar bînin [IP]->[Firewall]->[Mangle]
Têkilî bi pakêtek hatî dest pê dike, ji ber vê yekê em wê nîşan dikin (action=mark-connection), ji bo pakêtên derketinê yên ji girêdanek nîşankirî, etîketa rêvekirinê saz bikin (action=mark-routing).

/ip firewall mangle
#Маркировка входящих соединений
add chain=input in-interface=ether1 connection-state=new action=mark-connection new-connection-mark=from-isp1
add chain=input in-interface=ether2 connection-state=new action=mark-connection new-connection-mark=from-isp2
#Маркировка исходящих пакетов на основе соединений
add chain=output connection-mark=from-isp1 action=mark-routing new-routing-mark=over-isp1 passthrough=no
add chain=output connection-mark=from-isp2 action=mark-routing new-routing-mark=over-isp2 passthrough=no

Ger çend ip li ser yek navberê têne mîheng kirin, hûn dikarin şertê zêde bikin dst-address ji bo piştrast.

• Paketek pêwendiyê li ser pêwendiya ether2 vedike. Pakêt diçe nav [INPUT|Mangle] ku dibêje ji bo nîşankirina hemû pakêtên ji girêdana wek ji-isp2
• Pergal bi Src re pakêtek bersivê çêdike. Navnîşan: 10.20.20.200
• Di qonaxa Biryara Rêvekirinê (2) de, pakêt, li gorî tabloya rêwîtiyê, bi navgîniya ether10.20.20.1 ve ji deriyê 1 re tê şandin. Hûn dikarin vê bi têketina pakêtan verast bikin [OUTPUT|Filter]
• Di qonaxê de [OUTPUT|Mangle] etîketa girêdanê tê kontrol kirin ji-isp2 û pakêt etîketa rêyê distîne ser-isp2
• Pêvajoya Rêvekirinê (3) hebûna etîketek rêgezê kontrol dike û wê dişîne tabloya rêvekirinê ya guncan.
• Li gorî tabloya rêvekirinê, pêdivî ye ku pakêt bi navgîniya ether10.20.20.1 ve ji deriyê 2 re were şandin.

MultiWAN û vegere trafîka dst-nat

Nimûneyek tevlihevtir e, ger serverek (mînak, tevnek) li pişt routerê li ser subnetek taybet hebe û hewce bike ku hûn bi yek ji pêşkêşvanan ve gihîştina wê peyda bikin, çi bikin.

/ip firewall nat
add chain=dstnat proto=tcp dst-port=80,443 in-interface=ether1 action=dst-nat to-address=192.168.100.100
add chain=dstnat proto=tcp dst-port=80,443 in-interface=ether2 action=dst-nat to-address=192.168.100.100

Esasê pirsgirêkê dê yek be, çareserî dişibihe vebijarka Firewall Mangle, tenê zincîrên din dê werin bikar anîn:

/ip firewall mangle
add chain=prerouting connection-state=new in-interface=ether1 protocol=tcp dst-port=80,443 action=mark-connection new-connection-mark=web-input-isp1
add chain=prerouting connection-state=new in-interface=ether2 protocol=tcp dst-port=80,443 action=mark-connection new-connection-mark=web-input-isp2
add chain=prerouting connection-mark=web-input-isp1 in-interface=ether3 action=mark-routing new-routing-mark=over-isp1 passthrough=no
add chain=prerouting connection-mark=web-input-isp2 in-interface=ether3 action=mark-routing new-routing-mark=over-isp2 passthrough=no

Diagram NAT nîşan nade, lê ez difikirim ku her tişt zelal e.

MultiWAN û girêdanên derve

Hûn dikarin kapasîteyên PBR-ê bikar bînin da ku ji navbeynkarên routerê yên cihêreng pêwendiyên vpn-yê pirjimar (SSTP di nimûneyê de) biafirînin.

Tabloyên rêwîtiyê yên din:

/ip route
add dst-address=0.0.0.0/0 gateway=192.168.100.1 routing-mark=over-isp1
add dst-address=0.0.0.0/0 gateway=192.168.200.1 routing-mark=over-isp2
add dst-address=0.0.0.0/0 gateway=192.168.0.1 routing-mark=over-isp3

add dst-address=0.0.0.0/0 gateway=192.168.100.1 distance=1
add dst-address=0.0.0.0/0 gateway=192.168.200.1 distance=2
add dst-address=0.0.0.0/0 gateway=192.168.0.1 distance=3

Nîşaneyên pakêtê:

/ip firewall mangle
add chain=output dst-address=10.10.10.100 proto=tcp dst-port=443 action=mark-routing new-routing-mark=over-isp1 passtrough=no
add chain=output dst-address=10.10.10.101 proto=tcp dst-port=443 action=mark-routing new-routing-mark=over-isp2 passtrough=no
add chain=output dst-address=10.10.10.102 proto=tcp dst-port=443 action=mark-routing new-routing-mark=over-isp3 passtrough=no

Rêgezên NAT-ê yên hêsan, wekî din dê pakêt ji navrûyê bi Src-ya çewt derkeve. navnîşan:

/ip firewall nat
add chain=srcnat out-interface=ether1 action=masquerade
add chain=srcnat out-interface=ether2 action=masquerade
add chain=srcnat out-interface=ether3 action=masquerade

Parsing:

• Router sê pêvajoyên SSTP diafirîne
• Di qonaxa Biryara Rêwîtiyê (2) de, ji bo van pêvajoyan rêyek li ser bingeha tabloya rêwîtiyê ya sereke tê hilbijartin. Ji heman rêyê, pakêt Src distîne. Navnîşan bi navbeynkariya ether1 ve girêdayî ye
• В [Output|Mangle] pakêtên ji girêdanên cihêreng etîketên cihê distînin
• Paket di qonaxa Serrastkirina Rêwî de dikevin tabloyên li gorî etîketan û ji bo şandina pakêtan rêyek nû distînin.
• Lê pakêtan hîn jî Src hene. Navnîşan ji ether1, li ser sehnê [Nat|Srcnat] navnîşan li gorî navberê tê guhertin

Balkêş e, li ser routerê hûn ê tabloya pêwendiya jêrîn bibînin:

Connection Tracker berê dixebite [Mangle] и [Srcnat], ji ber vê yekê hemî girêdan ji heman navnîşanê têne, heke hûn bi hûrgulî lê binêrin, wê hingê tê de Replay Dst. Address dê navnîşanên piştî NAT hebin:

Li ser servera VPN (min yek li ser maseya ceribandinê heye), hûn dikarin bibînin ku hemî girêdan ji navnîşanên rast têne:

Li bendê bin
Rêyek hêsantir heye, hûn dikarin bi tenê ji bo her navnîşan dergehek taybetî diyar bikin:

/ip route
add dst-address=10.10.10.100 gateway=192.168.100.1
add dst-address=10.10.10.101 gateway=192.168.200.1
add dst-address=10.10.10.102 gateway=192.168.0.1

Lê rêyên bi vî rengî dê ne tenê li ser çûnûhatinê, lê di heman demê de li trafîka transît jî bandor bike. Zêdetir, heke hûn ne hewceyî seyrûsefera servera vpn nebin ku hûn di kanalên ragihandinê yên neguncayî re derbas bibin, wê hingê hûn neçar in ku 6 qaîdeyên din lê zêde bikin. [IP]->[Routes]с type=blackhole. Di guhertoya berê de - 3 qaîdeyên di [IP]->[Route]->[Rules].

Belavkirina girêdanên bikarhêner bi kanalên ragihandinê

Karên hêsan, rojane. Dîsa, tabloyên rêveçûnê yên din hewce ne:

/ip route
add dst-address=0.0.0.0/0 gateway=10.10.10.1 dist=1 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=10.20.20.1 dist=2 check-gateway=ping

add dst-address=0.0.0.0/0 gateway=10.10.10.1 dist=1 routing-mark=over-isp1
add dst-address=0.0.0.0/0 gateway=10.20.20.1 dist=1 routing-mark=over-isp2

Bikaranîn [IP]->[Route]->[Rules]

/ip route rules
add src-address=192.168.100.0/25 action=lookup-only-in-table table=over-isp1
add src-address=192.168.100.128/25 action=lookup-only-in-table table=over-isp2

Ger hûn bikar bînin action=lookup, wê hingê gava ku yek ji kanalan betal bibe, dê seyrûsefer biçe ser maseya sereke û di kanala xebatê re derbas bibe. Pêdivî ye an na ev bi peywirê ve girêdayî ye.

Bikaranîna nîşanan di nav de [IP]->[Firewall]->[Mangle]
Mînakek hêsan bi navnîşên navnîşanên ip-ê re. Di prensîbê de, hema hema her şert dikare were bikar anîn. Yekane hişyariya layer7, tewra dema ku bi etîketên pêwendiyê re were hev kirin, dibe ku xuya bibe ku her tişt rast dixebite, lê hin seyrûsefer hîn jî dê rêyek xelet biçe.

/ip firewall mangle
add chain=prerouting src-address-list=users-over-isp1 dst-address-type=!local action=mark-routing new-routing-mark=over-isp1
add chain=prerouting src-address-list=users-over-isp2 dst-address-type=!local action=mark-routing new-routing-mark=over-isp2

Hûn dikarin bikarhêneran di yek tabloya rêvekirinê de bi navgîniyê "biqefilînin". [IP]->[Route]->[Rules]:

/ip route rules
add routing-mark=over-isp1 action=lookup-only-in-table table=over-isp1
add routing-mark=over-isp2 action=lookup-only-in-table table=over-isp2

Yan bi rêya [IP]->[Firewall]->[Filter]:

/ip firewall filter
add chain=forward routing-mark=over-isp1 out-interface=!ether1 action=reject
add chain=forward routing-mark=over-isp2 out-interface=!ether2 action=reject

Retreat pro dst-address-type=!local
Rewşa zêde dst-address-type=!local Pêdivî ye ku seyrûsefera bikarhêneran bigihîje pêvajoyên herêmî yên routerê (dns, winbox, ssh, ...). Ger çend torên herêmî bi routerê ve girêdayî ne, pêdivî ye ku meriv pê ewle bibe ku seyrûsefera di navbera wan de neçe Înternetê, mînakî, karanîna dst-address-table.

Di mînaka bikaranîna [IP]->[Route]->[Rules] îstîsnayên wisa nîn in, lê trafîk digihîje pêvajoyên herêmî. Rastî ev e ku ketina nav pakêta FIB ya ku tê de hatî destnîşan kirin [PREROUTING|Mangle] xwedan etîketek rêgezê ye û ji xeynî sereke, ku têkiliyek herêmî lê tune ye, diçe tabloyek rêwîtiyê. Di mijara Rêgezên Rêvekirinê de, pêşî tê kontrol kirin ka pakêt ji bo pêvajoyek herêmî ye an na û tenê di qonaxa PBR-ya Bikarhêner de ew diçe tabloya rêwîtiyê ya diyarkirî.

Bikaranîn [IP]->[Firewall]->[Mangle action=route]
Ev çalakî tenê di nav de dixebite [Prerouting|Mangle] û dihêle hûn bêyî karanîna tabloyên rêvekirinê yên din, bi rasterast navnîşana dergehê seyrûseferê bigihînin dergehê destnîşankirî:

/ip firewall mangle
add chain=prerouting src-address=192.168.100.0/25 action=route gateway=10.10.10.1
add chain=prerouting src-address=192.168.128.0/25 action=route gateway=10.20.20.1

tesîr route xwedan pêşanîyek kêmtir ji qaîdeyên rêwîtiyê ye ([IP]->[Route]->[Rules]). Di mijara nîşaneyên rê de, her tişt bi pozîsyona qaîdeyan ve girêdayî ye, heke hukmê bi action=route hêjayî zêdetir ji action=mark-route, wê hingê ew ê were bikar anîn (bêyî ala passtrough), wekî din rê nîşankirin.
Li ser wiki-yê di derheqê vê çalakiyê de pir hindik agahdarî hene û hemî encam bi ceribandinê hatine wergirtin, di her rewşê de, min vebijark nedît dema ku karanîna vê vebijarkê li ser yên din avantajan dide.

hevsengiya dînamîkî ya bingehîn a PPC

Per Connection Classifier - analogek maqûltir a ECMP ye. Berevajî ECMP, ew seyrûseferê li gorî girêdanan bi hişktir dabeş dike (ECMP di derheqê girêdanan de tiştek nizane, lê gava ku bi Routing Cache re were hev kirin, tiştek bi vî rengî tê wergirtin).

PCC digire qadên diyarkirî ji sernavê ip-ê, wan vediguherîne nirxek 32-bit, û dabeş dike navdêr. Ya mayî ya dabeşkirinê bi ya diyarkirî re tê berhev kirin mayî û heke ew li hev bikin, wê hingê çalakiya diyarkirî tê sepandin. zêde. Dengên dîn, lê ew dixebite.

Mînak bi sê navnîşanan:

192.168.100.10: 192+168+100+10 = 470 % 3 = 2
192.168.100.11: 192+168+100+11 = 471 % 3 = 0
192.168.100.12: 192+168+100+12 = 472 % 3 = 1

Mînakek belavkirina dînamîkî ya trafîkê ji hêla src.address di navbera sê kanalan de:

#Таблица маршрутизации
/ip route
add dst-address=0.0.0.0/0 gateway=10.10.10.1 dist=1 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=10.20.20.1 dist=2 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=10.30.30.1 dist=3 check-gateway=ping

add dst-address=0.0.0.0/0 gateway=10.10.10.1 dist=1 routing-mark=over-isp1
add dst-address=0.0.0.0/0 gateway=10.20.20.1 dist=1 routing-mark=over-isp2
add dst-address=0.0.0.0/0 gateway=10.30.30.1 dist=1 routing-mark=over-isp3

#Маркировка соединений и маршрутов
/ip firewall mangle
add chain=prerouting in-interface=br-lan dst-address-type=!local connection-state=new per-connection-classifier=src-address:3/0 action=mark-connection new-connection-mark=conn-over-isp1
add chain=prerouting in-interface=br-lan dst-address-type=!local connection-state=new per-connection-classifier=src-address:3/1 action=mark-connection new-connection-mark=conn-over-isp2
add chain=prerouting in-interface=br-lan dst-address-type=!local connection-state=new per-connection-classifier=src-address:3/2 action=mark-connection new-connection-mark=conn-over-isp3

add chain=prerouting in-interface=br-lan connection-mark=conn-over-isp1 action=mark-routing new-routing-mark=over-isp1
add chain=prerouting in-interface=br-lan connection-mark=conn-over-isp2 action=mark-routing new-routing-mark=over-isp2
add chain=prerouting in-interface=br-lan connection-mark=conn-over-isp3 action=mark-routing new-routing-mark=over-isp3

Dema nîşankirina riyan, şertek din heye: in-interface=br-lan, bêyî ku di bin action=mark-routing seyrûsefera bersivê ji Înternetê dê werbigire û, li gorî tabloyên rêvekirinê, dê vegere pêşkêşker.

Guhertina kanalên ragihandinê

Ping-ya kontrolê amûrek baş e, lê ew tenê girêdana bi hevalbendê IP-ya herî nêzîk re kontrol dike, torên peydaker bi gelemperî ji hejmarek mezin router pêk tê û qutbûna pêwendiyê dikare li derveyî hevalbendê herî nêzîk çêbibe, û dûv re operatorên telekomê yên paşerojê jî hene ku dikarin pirsgirêk hene, bi gelemperî ping kontrolê her gav agahdariya nûjen di derheqê gihîştina tora gerdûnî de nîşan nade.
Ger pêşkêşvan û pargîdaniyên mezin xwediyê protokola rêveçûna dînamîkî ya BGP bin, wê hingê bikarhênerên mal û ofîsê neçar in ku bi rengek serbixwe fêr bibin ka meriv çawa gihîştina Înternetê bi kanalek ragihandinê ya taybetî ve kontrol dike.

Bi gelemperî, skrîpt têne bikar anîn ku, bi riya kanalek ragihandinê, hebûna navnîşek IP-ya li ser Înternetê kontrol bikin, dema ku tiştek pêbawer hilbijêrin, mînakî, google dns: 8.8.8.8. 8.8.4.4. Lê di civata Mikrotikê de ji bo vê amûrek balkêştir hatiye adaptekirin.

Çend gotin di derbarê rêveçûna vegerê de
Rêwîtiya vegerî dema avakirina peering Multihop BGP hewce ye û ket nav gotarê de li ser bingehên rêvekirina statîk tenê ji ber bikarhênerên MikroTik yên xapînok ên ku fêhm kirin ka meriv çawa rêyên paşverû yên ku bi deriyê kontrolê re têkildar in bikar tînin da ku kanalên ragihandinê bêyî nivîsarên zêde biguhezînin.

Wext e ku meriv bi gelemperî vebijarkên çarçovê / armancê fam bike û ka rê çawa bi navbeynê ve girêdayî ye:

1. Rêwî navbeynkarek digere da ku pakêtê li ser bingeha nirxa çarçoweya wê û hemî navnîşên di tabloya sereke de bi nirxên çarçoweya armancê kêmtir an wekhev bişîne.
2. Ji navrûyên hatine dîtin, ya ku hûn dikarin pakêtek bişînin deriyê diyarkirî tê hilbijartin
3. Navbera têketina girêdanê ya ku hatî dîtin tê hilbijartin da ku pakêtê bişîne dergehê

Di hebûna rêgezek vegerî de, her tişt heman diqewime, lê di du qonaxan de:

• 1-3 Rêyek din li rêyên pêvekirî tê zêde kirin, ku tê de deriyê diyarkirî dikare bigihîje
• 4-6 Ji bo dergehê "navîn" rêça ve girêdayî ye

Hemî manîpulasyonên bi lêgerîna paşverû di RIB-ê de çêdibin, û tenê encama dawîn ji FIB-ê re tê veguheztin: 0.0.0.0/0 via 10.10.10.1 on ether1.

Nimûneyek karanîna rêgezek vegerî ji bo veguheztina rêgezan

Veavakirin:

/ip route
add dst-address=0.0.0.0/0 gateway=8.8.8.8 check-gateway=ping distance=1 target-scope=10
add dst-address=8.8.8.8 gateway=10.10.10.1 scope=10
add dst-address=0.0.0.0/0 gateway=10.20.20.1 distance=2

Hûn dikarin kontrol bikin ku pakêt dê ji 10.10.10.1 re bêne şandin:

Deriyê kontrolê di derheqê rêveçûna paşverû de tiştek nizane û bi tenê ping ji 8.8.8.8 re dişîne, ku (li ser bingeha tabloya sereke) bi deriyê 10.10.10.1 ve tê gihîştin.

Ger di navbera 10.10.10.1 û 8.8.8.8 de windabûna pêwendiyê hebe, wê hingê rê tê qut kirin, lê pakêtên (tevî pingên ceribandinê) heya 8.8.8.8 berdewam dikin ku di 10.10.10.1 de derbas bibin:

Ger girêdana bi ether1 re winda bibe, wê hingê rewşek ne xweş çêdibe dema ku pakêtên berî 8.8.8.8 ji pêşkêşvanê duyemîn re derbas dibin:

Heke hûn NetWatch-ê bikar tînin ku dema ku 8.8.8.8 tune be, nivîsan dimeşînin ev pirsgirêkek e. Ger zencîre têk biçe, NetWatch dê tenê bi kanala ragihandinê ya paşvekêşanê bixebite û dê texmîn bike ku her tişt baş e. Bi lêzêdekirina rêgezek parzûnê ya din çareser dibe:

/ip route
add dst-address=8.8.8.8 gateway=10.20.20.1 distance=100 type=blackhole

Li ser habré heye gotara, ku rewşa NetWatch bi hûrgulî tê hesibandin.

Erê, dema ku rezervasyonek wusa bikar tîne, navnîşana 8.8.8.8 dê ji yek ji pêşkêşvanan re were girêdan, ji ber vê yekê hilbijartina wê wekî çavkaniyek dns ne ramanek baş e.

Çend gotin li ser Rêvekirin û Pêşkêşkirina Virtual (VRF)

Teknolojiya VRF ji bo afirandina çend routerên virtual di hundurê yek laşî de hatî çêkirin, ev teknolojî bi berfirehî ji hêla operatorên telekomê ve (bi gelemperî digel MPLS) tête bikar anîn da ku karûbarên L3VPN ji xerîdar re bi navnîşanên jêrtorê yên li hev re peyda bike:

Lê VRF di Mikrotik de li ser bingeha tabloyên rêvekirinê tê organîze kirin û çend kêmasiyên xwe hene, mînakî, navnîşanên IP-ya herêmî yên routerê ji hemî VRF-yan hene, hûn dikarin bêtir bixwînin. link.

Mînaka veavakirina vrf:

/ip route vrf
add interfaces=ether1 routing-mark=vrf1
add interfaces=ether2 routing-mark=vrf2

/ip address
add address=192.168.100.1/24 interface=ether1 network=192.168.100.0
add address=192.168.200.1/24 interface=ether2 network=192.168.200.0

Ji cîhaza ku bi ether2 ve girêdayî ye, em dibînin ku ping ji vrfek din diçe navnîşana routerê (û ev pirsgirêkek e), dema ku ping naçe Înternetê:

Ji bo ku hûn bigihîjin Înternetê, hûn hewce ne ku rêyek zêde ya ku xwe bigihîne tabloya sereke tomar bikin (di termînolojiya vrf de, jê re tê gotin rijandina rê):

/ip route
add distance=1 gateway=172.17.0.1@main routing-mark=vrf1
add distance=1 gateway=172.17.0.1%wlan1 routing-mark=vrf2

Li vir du awayên derketina rê hene: bikaranîna tabloya rêvekirinê: 172.17.0.1@main û navê navrûyê bikar bînin: 172.17.0.1%wlan1.

Û ji bo seyrûsefera vegerê nîşankirinê saz bikin [PREROUTING|Mangle]:

/ip firewall mangle
add chain=prerouting in-interface=ether1 action=mark-connection new-connection-mark=from-vrf1 passthrough=no
add chain=prerouting connection-mark=from-vrf1 routing-mark=!vrf1 action=mark-routing new-routing-mark=vrf1 passthrough=no 
add chain=prerouting in-interface=ether2 action=mark-connection new-connection-mark=from-vrf2 passthrough=no
add chain=prerouting connection-mark=from-vrf2 routing-mark=!vrf1 action=mark-routing new-routing-mark=vrf2 passthrough=no 

Subnets bi heman navnîşan
Rêxistinkirina gihîştina jêrtorêkan bi heman navnîşanan li ser heman routerê bi karanîna VRF û netmap:

Veavakirina bingehîn:

/ip route vrf
add interfaces=ether1 routing-mark=vrf1
add interfaces=ether2 routing-mark=vrf2

/ip address
add address=192.168.100.1/24 interface=ether1 network=192.168.100.0
add address=192.168.100.1/24 interface=ether2 network=192.168.100.0
add address=192.168.0.1/24 interface=ether3 network=192.168.0.0

qaîdeyên firewall:

#Маркируем пакеты для отправки в правильную таблицу маршрутизации
/ip firewall mangle
add chain=prerouting dst-address=192.168.101.0/24 in-interface=ether3 action=mark-routing new-routing-mark=vrf1 passthrough=no
add chain=prerouting dst-address=192.168.102.0/24 in-interface=ether3 action=mark-routing new-routing-mark=vrf2 passthrough=no

#Средствами netmap заменяем адреса "эфимерных" подсетей на реальные подсети
/ip firewall nat
add chain=dstnat dst-address=192.168.101.0/24 in-interface=ether3 action=netmap to-addresses=192.168.100.0/24
add chain=dstnat dst-address=192.168.102.0/24 in-interface=ether3 action=netmap to-addresses=192.168.100.0/24

Rêgezên rêwîtiyê ji bo seyrûsefera vegerê:

#Указание имени интерфейса тоже может считаться route leaking, но по сути тут создается аналог connected маршрута
/ip route
add distance=1 dst-address=192.168.0.0/24 gateway=ether3 routing-mark=vrf1
add distance=1 dst-address=192.168.0.0/24 gateway=ether3 routing-mark=vrf2

Zêdekirina rêyên ku bi riya dhcp hatine wergirtin li tabloyek rêvekirinê ya diyarkirî
VRF dikare balkêş be heke hûn hewce ne ku bixweber rêyek dînamîkî (mînakî, ji xerîdarek dhcp) li tabloyek rêvekirinê ya taybetî zêde bikin.

Zêdekirina navberê li vrf:

/ip route vrf
add interface=ether1 routing-mark=over-isp1

Rêbazên şandina seyrûseferê (derketin û derbasbûn) bi tabloyê ser-isp1:

/ip firewall mangle
add chain=output out-interface=!br-lan action=mark-routing new-routing-mark=over-isp1 passthrough=no
add chain=prerouting in-interface=br-lan dst-address-type=!local action=mark-routing new-routing-mark=over-isp1 passthrough=no

Rêya pêvek, sexte ji bo rêveçûna derve ya xebatê:

/interface bridge
add name=bare

/ip route
add dst-address=0.0.0.0/0 gateway=bare

Ev rê tenê hewce ye da ku pakêtên derketinê yên herêmî berê xwe bidin biryara Rêwîtkirinê (2). [OUTPUT|Mangle] û etîketa rêvekirinê bistînin, heke di tabloya sereke de berî 0.0.0.0/0 rêyên din ên çalak li ser routerê hebin, ne hewce ye.

zincîran connected-in и dynamic-in в [Routing] -> [Filters]

Parzûnkirina rê (nav û der) amûrek e ku bi gelemperî bi protokolên rêveçûna dînamîkî re tê bikar anîn (û ji ber vê yekê tenê piştî sazkirina pakêtê peyda dibe kargoroohe), lê du zincîreyên balkêş di fîlterên hatinê de hene:

• girêdan-li - fîlterkirina rêyên girêdayî
• dînamîk-di - fîlterkirina rêyên dînamîkî yên ku ji hêla PPP û DCHP ve hatine wergirtin

Parzûnkirin dihêle hûn ne tenê rêgezan bavêjin, lê di heman demê de hejmarek vebijarkan jî biguhezînin: dûrbûn, nîşana rêvekirinê, şîrovekirin, çarçove, qada armancê, ...

Ev amûrek pir rast e û heke hûn bêyî Parzûnên Rêwîtiyê (lê ne skrîptan) dikarin tiştek bikin, wê hingê Parzûnên Rêwîtiyê bikar neynin, xwe û yên ku dê piştî we routerê mîheng bikin tevlihev nekin. Di çarçoveya rêveçûna dînamîk de, Parzûnên Rêvekirinê dê pir pir caran û bêtir hilber werin bikar anîn.

Ji bo Rêçên Dînamîk Nîşana Rêwîtiyê danîn
Mînakek ji routerê malê. Min du girêdanên VPN-ê hatine mîheng kirin û divê seyrûsefera di wan de li gorî tabloyên rêvekirinê were pêçandin. Di heman demê de, ez dixwazim ku rêgez bixweber werin afirandin dema ku navber tê çalak kirin:

#При создании vpn подключений указываем создание default route и задаем дистанцию
/interface pptp-client
add connect-to=X.X.X.X add-default-route=yes default-route-distance=101 ...
add connect-to=Y.Y.Y.Y  add-default-route=yes default-route-distance=100 ...

#Фильтрами отправляем маршруты в определенные таблицы маршрутизации на основе подсети назначения и дистанции
/routing filter
add chain=dynamic-in distance=100 prefix=0.0.0.0/0 action=passthrough set-routing-mark=over-vpn1
add chain=dynamic-in distance=101 prefix=0.0.0.0/0 action=passthrough set-routing-mark=over-vpn2

Ez nizanim çima, dibe ku xeletiyek, lê heke hûn ji bo pêwendiya ppp-ê vrf biafirînin, wê hingê riya 0.0.0.0/0 dê dîsa jî têkeve tabloya sereke. Wekî din, her tişt dê hê hêsantir be.

Neçalakkirina Rêyên Girêdayî
Carinan ev pêdivî ye:

/route filter
add chain=connected-in prefix=192.168.100.0/24 action=reject

Amûrên xeletkirinê

RouterOS ji bo verastkirina rêvekirinê gelek amûr peyda dike:

• [Tool]->[Tourch] - destûrê dide te ku hûn pakêtan li ser navberan bibînin
• /ip route check - destûrê dide te ku hûn bibînin ka dê pakêt ji kîjan dergehê re were şandin, bi tabloyên rêvekirinê re kar nake
• /ping routing-table=<name> и /tool traceroute routing-table=<name> - ping û şopandin bi karanîna tabloya rêvekirinê ya diyarkirî
• action=log в [IP]->[Firewall] - Amûrek hêja ku destûrê dide te ku hûn riya pakêtê li ser herikîna pakêtê bişopînin, ev kiryar di hemî zincîre û tabloyan de heye

Source: www.habr.com