🥇Multivan ແລະ routing ໃນ Mikrotik RouterOS

ການນໍາສະເຫນີ

ການເອົາບົດຄວາມ, ນອກເຫນືອໄປຈາກຄວາມ vanity, ໄດ້ຖືກກະຕຸ້ນໂດຍຄວາມຖີ່ຂອງການຊຶມເສົ້າຂອງຄໍາຖາມກ່ຽວກັບຫົວຂໍ້ນີ້ໃນກຸ່ມ profile ຂອງຊຸມຊົນໂທລະເລກທີ່ເວົ້າພາສາລັດເຊຍ. ບົດຄວາມແມ່ນແນໃສ່ຜູ້ບໍລິຫານ Mikrotik RouterOS ຈົວ (ຕໍ່ໄປນີ້ເອີ້ນວ່າ ROS). ມັນປະຕິບັດພຽງແຕ່ກັບ multivan, ໂດຍເນັ້ນຫນັກໃສ່ການກໍານົດເສັ້ນທາງ. ໃນຖານະເປັນໂບນັດ, ມີການຕັ້ງຄ່າທີ່ພຽງພໍຫນ້ອຍທີ່ສຸດເພື່ອຮັບປະກັນການດໍາເນີນງານທີ່ປອດໄພແລະສະດວກ. ຜູ້ທີ່ກໍາລັງຊອກຫາການເປີດເຜີຍຫົວຂໍ້ຂອງແຖວ, ການດຸ່ນດ່ຽງການໂຫຼດ, vlans, ຂົວ, ການວິເຄາະເລິກຫຼາຍຂັ້ນຕອນຂອງສະຖານະຂອງຊ່ອງທາງແລະຄ້າຍຄືກັນ - ອາດຈະບໍ່ເສຍເວລາແລະຄວາມພະຍາຍາມໃນການອ່ານ.

ຂໍ້ມູນເບື້ອງຕົ້ນ

ໃນຖານະເປັນຫົວຂໍ້ການທົດສອບ, ເປັນ router Mikrotik ຫ້າພອດທີ່ມີ ROS ເວີຊັນ 6.45.3 ໄດ້ຖືກຄັດເລືອກ. ມັນຈະສົ່ງເສັ້ນທາງການຈະລາຈອນລະຫວ່າງສອງເຄືອຂ່າຍທ້ອງຖິ່ນ (LAN1 ແລະ LAN2) ແລະສາມຜູ້ໃຫ້ບໍລິການ (ISP1, ISP2, ISP3). ຊ່ອງທາງໄປຫາ ISP1 ມີທີ່ຢູ່ "ສີຂີ້ເຖົ່າ", ISP2 - "ສີຂາວ", ໄດ້ຮັບຜ່ານ DHCP, ISP3 - "ສີຂາວ" ດ້ວຍການອະນຸຍາດ PPPoE. ແຜນວາດການເຊື່ອມຕໍ່ແມ່ນສະແດງຢູ່ໃນຮູບ:

ວຽກງານແມ່ນເພື່ອກໍາຫນົດຄ່າ router MTK ໂດຍອີງໃສ່ໂຄງການເພື່ອວ່າ:

ໃຫ້ການສະຫຼັບອັດຕະໂນມັດໄປຫາຜູ້ໃຫ້ບໍລິການສຳຮອງ. ຜູ້ໃຫ້ບໍລິການຕົ້ນຕໍແມ່ນ ISP2, ສະຫງວນທໍາອິດແມ່ນ ISP1, ສະຫງວນທີສອງແມ່ນ ISP3.
ຈັດລະບຽບເຄືອຂ່າຍ LAN1 ເຂົ້າເຖິງອິນເຕີເນັດຜ່ານ ISP1 ເທົ່ານັ້ນ.
ໃຫ້ຄວາມສາມາດໃນການສົ່ງເສັ້ນທາງການຈະລາຈອນຈາກເຄືອຂ່າຍທ້ອງຖິ່ນໄປຫາອິນເຕີເນັດໂດຍຜ່ານຜູ້ໃຫ້ບໍລິການທີ່ເລືອກໂດຍອີງໃສ່ລາຍຊື່ທີ່ຢູ່.
ສະໜອງຄວາມເປັນໄປໄດ້ຂອງການບໍລິການເຜີຍແຜ່ຈາກເຄືອຂ່າຍທ້ອງຖິ່ນໄປຫາອິນເຕີເນັດ (DSTNAT)
ຕັ້ງຄ່າຕົວກອງໄຟວໍເພື່ອສະຫນອງຄວາມປອດໄພຂັ້ນຕ່ໍາພຽງພໍຈາກອິນເຕີເນັດ.
ເຣົາເຕີສາມາດອອກທຣາບຟິກຂອງຕົນເອງຜ່ານຜູ້ໃຫ້ບໍລິການສາມອັນ, ຂຶ້ນກັບທີ່ຢູ່ຂອງແຫຼ່ງທີ່ເລືອກ.
ໃຫ້ແນ່ໃຈວ່າຊຸດການຕອບໂຕ້ຖືກສົ່ງໄປຫາຊ່ອງທາງທີ່ພວກເຂົາມາ (ລວມທັງ LAN).

ຂໍ້ສັງເກດ. ພວກເຮົາຈະຕັ້ງຄ່າ router "ຕັ້ງແຕ່ເລີ່ມຕົ້ນ" ເພື່ອຮັບປະກັນວ່າບໍ່ມີຄວາມແປກໃຈໃນການຕັ້ງຄ່າເລີ່ມຕົ້ນ "ອອກຈາກກ່ອງ" ທີ່ປ່ຽນຈາກຮຸ່ນໄປຫາຮຸ່ນ. Winbox ຖືກເລືອກເປັນເຄື່ອງມືການຕັ້ງຄ່າ, ບ່ອນທີ່ການປ່ຽນແປງຈະຖືກສະແດງດ້ວຍສາຍຕາ. ການຕັ້ງຄ່າຕົວມັນເອງຈະຖືກກໍານົດໂດຍຄໍາສັ່ງໃນ terminal Winbox. ການເຊື່ອມຕໍ່ທາງດ້ານຮ່າງກາຍສໍາລັບການຕັ້ງຄ່າແມ່ນເຮັດໂດຍການເຊື່ອມຕໍ່ໂດຍກົງກັບອິນເຕີເຟດ Ether5.

ການໃຫ້ເຫດຜົນເລັກນ້ອຍກ່ຽວກັບ multivan ແມ່ນຫຍັງ, ມັນເປັນບັນຫາຫຼືເປັນຄົນສະຫລາດທີ່ສະຫລາດຮອບຄອບກ່ຽວກັບການທໍຜ້າ.

ຜູ້ບໍລິຫານທີ່ສົນໃຈແລະເອົາໃຈໃສ່, ສ້າງຕັ້ງໂຄງການດັ່ງກ່າວຫຼືຄ້າຍຄືກັນດ້ວຍຕົນເອງ, ທັນທີທັນໃດຮັບຮູ້ວ່າມັນເຮັດວຽກເປັນປົກກະຕິ. ແມ່ນແລ້ວ, ແມ່ນແລ້ວ, ໂດຍບໍ່ມີຕາຕະລາງການກໍານົດເສັ້ນທາງທີ່ກໍາຫນົດເອງຂອງທ່ານແລະກົດລະບຽບເສັ້ນທາງອື່ນໆ, ເຊິ່ງບົດຄວາມສ່ວນໃຫຍ່ໃນຫົວຂໍ້ນີ້ແມ່ນເຕັມໄປດ້ວຍ. ໃຫ້ກວດເບິ່ງ?

ພວກເຮົາສາມາດກໍານົດທີ່ຢູ່ໃນການໂຕ້ຕອບແລະ gateways ເລີ່ມຕົ້ນໄດ້ບໍ? ແມ່ນແລ້ວ:

ໃນ ISP1, ທີ່ຢູ່ ແລະປະຕູໄດ້ລົງທະບຽນກັບ ໄລຍະທາງ=2 и check-gateway=ping.
ໃນ ISP2, ການຕັ້ງຄ່າລູກຄ້າ dhcp ເລີ່ມຕົ້ນ - ຕາມຄວາມເຫມາະສົມ, ໄລຍະຫ່າງຈະເທົ່າກັບຫນຶ່ງ.
ໃນ ISP3 ໃນການຕັ້ງຄ່າລູກຄ້າ pppoe ເມື່ອ add-default-route=yes ໃສ່ default-route-distance=3.

ຢ່າລືມລົງທະບຽນ NAT ຢູ່ທາງອອກ:

/ip firewall nat add action=masquerade chain=srcnat out-interface-list=WAN

ດັ່ງນັ້ນ, ຜູ້ໃຊ້ເວັບໄຊທ໌ທ້ອງຖິ່ນມີຄວາມມ່ວນໃນການດາວໂຫລດແມວຜ່ານຜູ້ໃຫ້ບໍລິການ ISP2 ຕົ້ນຕໍແລະມີການຈອງຊ່ອງທາງໂດຍໃຊ້ກົນໄກ. ກວດເບິ່ງປະຕູ ເບິ່ງບັນທຶກ 1

ຈຸດທີ 1 ຂອງການຈັດຕັ້ງປະຕິບັດວຽກງານ. ລົດ multivan ມີເຄື່ອງຫມາຍຂອງມັນຢູ່ໃສ? ບໍ່…

ຕື່ມອີກ. ທ່ານຈໍາເປັນຕ້ອງປ່ອຍລູກຄ້າສະເພາະຈາກ LAN ຜ່ານ ISP1:

/ip firewall mangle ເພີ່ມ action=route chain=prerouting dst-address-list=!BOGONS
passthrough=yes route-dst=100.66.66.1 src-address-list=Via_ISP1
/ip firewall mangle ເພີ່ມ action=route chain=prerouting dst-address-list=!BOGONS
passthrough=no route-dst=100.66.66.1 src-address=192.168.88.0/24

ວຽກງານ 2 ແລະ 3 ໄດ້ຮັບການຈັດຕັ້ງປະຕິບັດ. ປ້າຍ, ສະແຕມ, ກົດລະບຽບເສັ້ນທາງ, ເຈົ້າຢູ່ໃສ?!

ຕ້ອງການໃຫ້ການເຂົ້າເຖິງເຄື່ອງແມ່ຂ່າຍ OpenVPN ທີ່ທ່ານມັກດ້ວຍທີ່ຢູ່ 172.17.17.17 ສໍາລັບລູກຄ້າຈາກອິນເຕີເນັດບໍ? ກະລຸນາ:

/ip cloud set ddns-enabled=yes

ໃນຖານະເປັນເພື່ອນມິດ, ພວກເຮົາໃຫ້ຜົນໄດ້ຮັບຂອງລູກຄ້າ: ": put [ip cloud get dns-name]"

ພວກເຮົາລົງທະບຽນການສົ່ງຕໍ່ພອດຈາກອິນເຕີເນັດ:

/ip firewall nat ເພີ່ມ action=dst-nat chain=dstnat dst-port=1194
in-interface-list=WAN protocol=udp to-addresses=172.17.17.17

ລາຍການ 4 ແມ່ນກຽມພ້ອມ.

ພວກເຮົາຕັ້ງ firewall ແລະຄວາມປອດໄພອື່ນໆສໍາລັບຈຸດ 5, ໃນເວລາດຽວກັນພວກເຮົາດີໃຈທີ່ທຸກສິ່ງທຸກຢ່າງແມ່ນແລ້ວສໍາລັບຜູ້ໃຊ້ແລະສາມາດບັນລຸສໍາລັບພາຊະນະທີ່ມີເຄື່ອງດື່ມ favorite ...
ກ! ອຸໂມງຖືກລືມ.

l2tp-client, configured by google article, ໄດ້ເພີ່ມຂຶ້ນເປັນ VDS ໂຮນລັງທີ່ທ່ານມັກບໍ? ແມ່ນແລ້ວ.
l2tp-server ກັບ IPsec ໄດ້ເພີ່ມຂຶ້ນແລະລູກຄ້າໂດຍ DNS-name ຈາກ IP Cloud (ເບິ່ງຂ້າງເທິງ.) cling? ແມ່ນແລ້ວ.
ນັ່ງກັບຕັ່ງນັ່ງ, ດື່ມເຄື່ອງດື່ມ, ພວກເຮົາພິຈາລະນາຈຸດ 6 ແລະ 7 ຂອງວຽກຢ່າງອິດເມື່ອຍ. ພວກເຮົາຄິດວ່າ - ພວກເຮົາຕ້ອງການມັນບໍ? ທັງຫມົດດຽວກັນ, ມັນເຮັດວຽກຄືວ່າ (c) ... ສະນັ້ນ, ຖ້າຫາກວ່າມັນຍັງບໍ່ຈໍາເປັນ, ຫຼັງຈາກນັ້ນມັນ. Multivan ປະຕິບັດ.

Multivan ແມ່ນຫຍັງ? ນີ້ແມ່ນການເຊື່ອມຕໍ່ຂອງຫຼາຍຊ່ອງອິນເຕີເນັດກັບຫນຶ່ງ router.

ທ່ານບໍ່ ຈຳ ເປັນຕ້ອງອ່ານບົດຄວາມຕໍ່ໄປ, ເພາະວ່າສິ່ງທີ່ສາມາດຢູ່ທີ່ນັ້ນໄດ້ນອກ ເໜືອ ຈາກການສະແດງຜົນທີ່ ໜ້າ ສົງໄສ?

ສໍາລັບຜູ້ທີ່ຍັງຄົງຢູ່, ຜູ້ທີ່ມີຄວາມສົນໃຈໃນຈຸດ 6 ແລະ 7 ຂອງວຽກງານ, ແລະຍັງຮູ້ສຶກວ່າມີອາການຄັນຂອງຄວາມສົມບູນແບບ, ພວກເຮົາ dive deeper.

ວຽກງານທີ່ສໍາຄັນທີ່ສຸດຂອງການປະຕິບັດ multivan ແມ່ນເສັ້ນທາງການຈະລາຈອນທີ່ຖືກຕ້ອງ. ຄື: ບໍ່ວ່າອັນໃດ (ຫຼືອັນໃດ) ເບິ່ງ. ຫມາຍເຫດ 3 ຊ່ອງທາງຂອງ ISP ເບິ່ງເສັ້ນທາງເລີ່ມຕົ້ນໃນ router ຂອງພວກເຮົາ, ມັນຄວນຈະສົ່ງຄືນການຕອບສະຫນອງກັບຊ່ອງທາງທີ່ແນ່ນອນທີ່ແພັກເກັດມາຈາກ. ວຽກງານແມ່ນຈະແຈ້ງ. ບັນຫາຢູ່ໃສ? ແທ້ຈິງແລ້ວ, ໃນເຄືອຂ່າຍທ້ອງຖິ່ນທີ່ງ່າຍດາຍ, ວຽກງານແມ່ນຄືກັນ, ແຕ່ບໍ່ມີໃຜລົບກວນການຕັ້ງຄ່າເພີ່ມເຕີມແລະບໍ່ຮູ້ສຶກມີບັນຫາ. ຄວາມແຕກຕ່າງແມ່ນວ່າ node routable ໃດໃນອິນເຕີເນັດແມ່ນສາມາດເຂົ້າເຖິງໄດ້ໂດຍຜ່ານແຕ່ລະຊ່ອງທາງຂອງພວກເຮົາ, ແລະບໍ່ແມ່ນໂດຍຜ່ານສະເພາະໃດຫນຶ່ງຢ່າງເຂັ້ມງວດ, ເຊັ່ນດຽວກັບ LAN ງ່າຍດາຍ. ແລະ "ບັນຫາ" ແມ່ນວ່າຖ້າຄໍາຮ້ອງຂໍມາຫາພວກເຮົາສໍາລັບທີ່ຢູ່ IP ຂອງ ISP3, ຫຼັງຈາກນັ້ນ, ໃນກໍລະນີຂອງພວກເຮົາຄໍາຕອບຈະຜ່ານຊ່ອງທາງ ISP2, ເພາະວ່າປະຕູເລີ່ມຕົ້ນແມ່ນມຸ້ງໄປທີ່ນັ້ນ. ໃບແລະຈະຖືກປະຖິ້ມໂດຍຜູ້ໃຫ້ບໍລິການຍ້ອນບໍ່ຖືກຕ້ອງ. ບັນຫາໄດ້ຖືກລະບຸ. ວິທີການແກ້ໄຂມັນ?

ການແກ້ໄຂແມ່ນແບ່ງອອກເປັນສາມຂັ້ນຕອນ:

ການຕັ້ງຄ່າລ່ວງໜ້າ. ໃນຂັ້ນຕອນນີ້, ການຕັ້ງຄ່າພື້ນຖານຂອງ router ຈະຖືກກໍານົດ: ເຄືອຂ່າຍທ້ອງຖິ່ນ, firewall, ລາຍຊື່ທີ່ຢູ່, hairpin NAT, ແລະອື່ນໆ.
Multivan. ໃນຂັ້ນຕອນນີ້, ການເຊື່ອມຕໍ່ທີ່ຈໍາເປັນຈະຖືກຫມາຍແລະຈັດລຽງເຂົ້າໄປໃນຕາຕະລາງການກໍານົດເສັ້ນທາງ.
ກຳລັງເຊື່ອມຕໍ່ກັບ ISP. ໃນຂັ້ນຕອນນີ້, ການໂຕ້ຕອບທີ່ສະຫນອງການເຊື່ອມຕໍ່ກັບອິນເຕີເນັດຈະຖືກຕັ້ງຄ່າ, ກໍານົດເສັ້ນທາງແລະກົນໄກການຈອງຊ່ອງທາງອິນເຕີເນັດຈະຖືກເປີດໃຊ້.

1. ການຕັ້ງໄວ້ລ່ວງໜ້າ

1.1. ພວກເຮົາລ້າງການຕັ້ງຄ່າ router ດ້ວຍຄໍາສັ່ງ:

/system reset-configuration skip-backup=yes no-defaults=yes

ຕົກລົງເຫັນດີກັບ "ອັນຕະລາຍ! ຣີເຊັດບໍ? [y/N]:” ແລະ, ຫຼັງຈາກ rebooting, ພວກເຮົາເຊື່ອມຕໍ່ກັບ Winbox ຜ່ານ MAC. ໃນຂັ້ນຕອນນີ້, ການຕັ້ງຄ່າແລະພື້ນຖານຜູ້ໃຊ້ຖືກລຶບລ້າງ.

1.2. ສ້າງຜູ້ໃຊ້ໃໝ່:

/user add group=full name=knight password=ultrasecret comment=”Not horse”

ເຂົ້າສູ່ລະບົບພາຍໃຕ້ມັນແລະລຶບຄ່າເລີ່ມຕົ້ນ:

/user remove admin

ຂໍ້ສັງເກດ. ມັນແມ່ນການໂຍກຍ້າຍແລະບໍ່ປິດການໃຊ້ງານຂອງຜູ້ໃຊ້ເລີ່ມຕົ້ນທີ່ຜູ້ຂຽນຖືວ່າປອດໄພກວ່າແລະແນະນໍາໃຫ້ໃຊ້.

1.3. ພວກເຮົາສ້າງລາຍການການໂຕ້ຕອບພື້ນຖານເພື່ອຄວາມສະດວກໃນການດໍາເນີນງານໃນ firewall, ການຕັ້ງຄ່າການຄົ້ນພົບແລະເຄື່ອງແມ່ຂ່າຍ MAC ອື່ນໆ:

/interface list add name=WAN comment="For Internet"
/interface list add name=LAN comment="For Local Area"

ເຊັນການໂຕ້ຕອບກັບຄໍາເຫັນ

/interface ethernet set ether1 comment="to ISP1"
/interface ethernet set ether2 comment="to ISP2"
/interface ethernet set ether3 comment="to ISP3"
/interface ethernet set ether4 comment="to LAN1"
/interface ethernet set ether5 comment="to LAN2"

ແລະຕື່ມຂໍ້ມູນໃສ່ໃນລາຍການການໂຕ້ຕອບ:

/interface list member add interface=ether1 list=WAN comment=ISP1
/interface list member add interface=ether2 list=WAN comment=ISP2 
/interface list member add interface=ether3 list=WAN comment="to ISP3"
/interface list member add interface=ether4 list=LAN  comment="LAN1"
/interface list member add interface=ether5 list=LAN  comment="LAN2"

ຂໍ້ສັງເກດ. ການຂຽນຄໍາຄິດເຫັນທີ່ເຂົ້າໃຈໄດ້ຄຸ້ມຄ່າກັບເວລາທີ່ໃຊ້ໃນເລື່ອງນີ້, ບວກກັບມັນຊ່ວຍອໍານວຍຄວາມສະດວກໃນການແກ້ໄຂບັນຫາແລະຄວາມເຂົ້າໃຈການຕັ້ງຄ່າຢ່າງຫຼວງຫຼາຍ.

ຜູ້ຂຽນຖືວ່າມັນຈໍາເປັນ, ສໍາລັບເຫດຜົນດ້ານຄວາມປອດໄພ, ເພື່ອເພີ່ມອິນເຕີເຟດ ether3 ເຂົ້າໃນບັນຊີລາຍຊື່ການໂຕ້ຕອບ "WAN", ເຖິງວ່າຈະມີຄວາມຈິງທີ່ວ່າໂປໂຕຄອນ ip ຈະບໍ່ຜ່ານມັນ.

ຢ່າລືມວ່າຫຼັງຈາກການໂຕ້ຕອບ PPP ຖືກຍົກຂຶ້ນມາໃນ ether3, ມັນຍັງຈະຕ້ອງຖືກເພີ່ມເຂົ້າໃນລາຍການການໂຕ້ຕອບ "WAN"

1.4. ພວກເຮົາເຊື່ອງເຣົາເຕີຈາກການຊອກຄົ້ນຫາ ແລະຄວບຄຸມບໍລິເວນໃກ້ຄຽງຈາກເຄືອຂ່າຍຜູ້ໃຫ້ບໍລິການຜ່ານ MAC:

/ip neighbor discovery-settings set discover-interface-list=!WAN
/tool mac-server set allowed-interface-list=LAN
/tool mac-server mac-winbox set allowed-interface-list=LAN

1.5. ພວກເຮົາສ້າງກົດລະບຽບການກັ່ນຕອງ Firewall ຕ່ໍາສຸດເພື່ອປົກປ້ອງ router:

/ip firewall filter add action=accept chain=input comment="Related Established Untracked Allow" 
connection-state=established,related,untracked

(ກົດລະບຽບສະຫນອງການອະນຸຍາດສໍາລັບການສ້າງຕັ້ງຂຶ້ນແລະການເຊື່ອມຕໍ່ທີ່ກ່ຽວຂ້ອງທີ່ເລີ່ມຕົ້ນຈາກທັງສອງເຄືອຂ່າຍທີ່ເຊື່ອມຕໍ່ແລະ router ຕົວມັນເອງ)

/ip firewall filter add action=accept chain=input comment="ICMP from ALL" protocol=icmp

(ping ແລະບໍ່ພຽງແຕ່ ping. icmp ທັງຫມົດແມ່ນອະນຸຍາດໃຫ້ຢູ່ໃນ. ມີປະໂຫຍດຫຼາຍສໍາລັບການຊອກຫາບັນຫາ MTU)

/ip firewall filter add action=drop chain=input comment="All other WAN Drop" in-interface-list=WAN

(ກົດລະບຽບທີ່ປິດຕ່ອງໂສ້ການປ້ອນຂໍ້ມູນຫ້າມທຸກສິ່ງທຸກຢ່າງທີ່ມາຈາກອິນເຕີເນັດ)

/ip firewall filter add action=accept chain=forward 
comment="Established, Related, Untracked allow" 
connection-state=established,related,untracked

(ກົດລະບຽບອະນຸຍາດໃຫ້ສ້າງຕັ້ງຂຶ້ນແລະການເຊື່ອມຕໍ່ທີ່ກ່ຽວຂ້ອງທີ່ຜ່ານ router ໄດ້)

/ip firewall filter add action=drop chain=forward comment="Invalid drop" connection-state=invalid

(ກົດລະບຽບການປັບຄ່າການເຊື່ອມຕໍ່ກັບການເຊື່ອມຕໍ່ສະຖານະ = ບໍ່ຖືກຕ້ອງຜ່ານ router. ມັນໄດ້ຖືກແນະນໍາຢ່າງແຂງແຮງໂດຍ Mikrotik, ແຕ່ໃນບາງສະຖານະການທີ່ຫາຍາກມັນສາມາດຕັນການຈະລາຈອນທີ່ເປັນປະໂຫຍດ)

/ip firewall filter add action=drop chain=forward comment="Drop all from WAN not DSTNATed"  
connection-nat-state=!dstnat connection-state=new in-interface-list=WAN

(ກົດລະບຽບຫ້າມແພັກເກັດທີ່ມາຈາກອິນເຕີເນັດແລະບໍ່ໄດ້ຜ່ານຂັ້ນຕອນ dstnat ຜ່ານ router. ນີ້ຈະປົກປ້ອງເຄືອຂ່າຍທ້ອງຖິ່ນຈາກຜູ້ບຸກລຸກຜູ້ທີ່ຢູ່ໃນໂດເມນອອກອາກາດດຽວກັນກັບເຄືອຂ່າຍພາຍນອກຂອງພວກເຮົາ, ຈະລົງທະບຽນ IP ພາຍນອກຂອງພວກເຮົາເປັນ. gateway ແລະດັ່ງນັ້ນ, ພະຍາຍາມ "ຂຸດຄົ້ນ" ເຄືອຂ່າຍທ້ອງຖິ່ນຂອງພວກເຮົາ.)

ຂໍ້ສັງເກດ. ໃຫ້ພວກເຮົາສົມມຸດວ່າເຄືອຂ່າຍ LAN1 ແລະ LAN2 ມີຄວາມໄວ້ວາງໃຈແລະການຈະລາຈອນລະຫວ່າງພວກມັນແລະຈາກພວກມັນບໍ່ໄດ້ຖືກກັ່ນຕອງ.

1.6. ສ້າງລາຍຊື່ດ້ວຍລາຍຊື່ເຄືອຂ່າຍທີ່ບໍ່ສາມາດເຊື່ອມຕໍ່ໄດ້:

/ip firewall address-list
add address=0.0.0.0/8 comment=""This" Network" list=BOGONS
add address=10.0.0.0/8 comment="Private-Use Networks" list=BOGONS
add address=100.64.0.0/10 comment="Shared Address Space. RFC 6598" list=BOGONS
add address=127.0.0.0/8 comment=Loopback list=BOGONS
add address=169.254.0.0/16 comment="Link Local" list=BOGONS
add address=172.16.0.0/12 comment="Private-Use Networks" list=BOGONS
add address=192.0.0.0/24 comment="IETF Protocol Assignments" list=BOGONS
add address=192.0.2.0/24 comment=TEST-NET-1 list=BOGONS
add address=192.168.0.0/16 comment="Private-Use Networks" list=BOGONS
add address=198.18.0.0/15 comment="Network Interconnect Device Benchmark Testing"
 list=BOGONS
add address=198.51.100.0/24 comment=TEST-NET-2 list=BOGONS
add address=203.0.113.0/24 comment=TEST-NET-3 list=BOGONS
add address=224.0.0.0/4 comment=Multicast list=BOGONS
add address=192.88.99.0/24 comment="6to4 Relay Anycast" list=BOGONS
add address=240.0.0.0/4 comment="Reserved for Future Use" list=BOGONS
add address=255.255.255.255 comment="Limited Broadcast" list=BOGONS

(ນີ້ແມ່ນລາຍຊື່ຂອງທີ່ຢູ່ແລະເຄືອຂ່າຍທີ່ບໍ່ສາມາດນໍາໃຊ້ອິນເຕີເນັດແລະຈະໄດ້ຮັບການປະຕິບັດຕາມຄວາມເຫມາະສົມ.)

ຂໍ້ສັງເກດ. ບັນຊີລາຍຊື່ແມ່ນມີການປ່ຽນແປງ, ສະນັ້ນຂ້າພະເຈົ້າແນະນໍາໃຫ້ທ່ານກວດເບິ່ງຄວາມກ່ຽວຂ້ອງແຕ່ລະໄລຍະ.

1.7. ຕັ້ງຄ່າ DNS ສໍາລັບ router ຕົວຂອງມັນເອງ:

/ip dns set servers=1.1.1.1,8.8.8.8

ຂໍ້ສັງເກດ. ໃນເວີຊັນປັດຈຸບັນຂອງ ROS, ເຊີບເວີແບບໄດນາມິກມີອັນດັບເໜືອກວ່າອັນທີ່ຄົງທີ່. ຄໍາຮ້ອງຂໍການແກ້ໄຂຊື່ແມ່ນຖືກສົ່ງໄປຫາເຄື່ອງແມ່ຂ່າຍທໍາອິດຕາມລໍາດັບໃນບັນຊີລາຍຊື່. ການຫັນປ່ຽນໄປຫາເຊີບເວີຖັດໄປແມ່ນດໍາເນີນເມື່ອບໍ່ມີປະຈຸບັນ. ເວລາຫມົດເວລາມີຂະຫນາດໃຫຍ່ - ຫຼາຍກວ່າ 5 ວິນາທີ. ກັບຄືນ, ເມື່ອ "ເຄື່ອງແມ່ຂ່າຍທີ່ຫຼຸດລົງ" ກັບຄືນມາ, ບໍ່ໄດ້ເກີດຂື້ນໂດຍອັດຕະໂນມັດ. ເນື່ອງຈາກສູດການຄິດໄລ່ນີ້ແລະການປະກົດຕົວຂອງ multivan, ຜູ້ຂຽນແນະນໍາໃຫ້ບໍ່ໃຊ້ເຄື່ອງແມ່ຂ່າຍທີ່ສະຫນອງໂດຍຜູ້ໃຫ້ບໍລິການ.

1.8. ຕັ້ງຄ່າເຄືອຂ່າຍທ້ອງຖິ່ນ.
1.8.1. ພວກເຮົາກຳນົດຄ່າທີ່ຢູ່ IP ແບບຄົງທີ່ໃນສ່ວນຕິດຕໍ່ LAN:

/ip address add interface=ether4 address=192.168.88.254/24 comment="LAN1 IP"
/ip address add interface=ether5 address=172.16.1.0/23 comment="LAN2 IP"

1.8.2. ພວກເຮົາກໍານົດກົດລະບຽບສໍາລັບເສັ້ນທາງໄປສູ່ເຄືອຂ່າຍທ້ອງຖິ່ນຂອງພວກເຮົາໂດຍຜ່ານຕາຕະລາງຕົ້ນຕໍ:

/ip route rule add dst-address=192.168.88.0/24 table=main comment=”to LAN1”
/ip route rule add dst-address=172.16.0.0/23 table=main comment="to LAN2"

ຂໍ້ສັງເກດ. ນີ້ແມ່ນຫນຶ່ງໃນວິທີທີ່ໄວແລະງ່າຍໃນການເຂົ້າເຖິງທີ່ຢູ່ LAN ກັບແຫຼ່ງທີ່ຢູ່ IP ພາຍນອກຂອງການໂຕ້ຕອບ router ທີ່ບໍ່ຜ່ານເສັ້ນທາງເລີ່ມຕົ້ນ.

1.8.3. ເປີດໃຊ້ Hairpin NAT ສໍາລັບ LAN1 ແລະ LAN2:

/ip firewall nat add action=src-nat chain=srcnat comment="Hairpin to LAN1" 
out-interface=ether4 src-address=192.168.88.0/24 to-addresses=192.168.88.254
/ip firewall nat add action=src-nat chain=srcnat comment="Hairpin to LAN2" 
out-interface=ether5 src-address=172.16.0.0/23 to-addresses=172.16.1.0

ຂໍ້ສັງເກດ. ນີ້ອະນຸຍາດໃຫ້ທ່ານເຂົ້າເຖິງຊັບພະຍາກອນຂອງທ່ານ (dstnat) ຜ່ານ IP ພາຍນອກໃນຂະນະທີ່ຢູ່ໃນເຄືອຂ່າຍ.

2. ຕົວຈິງແລ້ວ, ການປະຕິບັດຂອງ multivan ທີ່ຖືກຕ້ອງຫຼາຍ

ເພື່ອແກ້ໄຂບັນຫາຂອງ "ຕອບບ່ອນທີ່ພວກເຂົາຖາມຈາກ", ພວກເຮົາຈະນໍາໃຊ້ສອງເຄື່ອງມື ROS: ເຄື່ອງຫມາຍການເຊື່ອມຕໍ່ и ເຄື່ອງໝາຍເສັ້ນທາງ. ເຄື່ອງຫມາຍການເຊື່ອມຕໍ່ ອະນຸຍາດໃຫ້ທ່ານເຮັດເຄື່ອງຫມາຍການເຊື່ອມຕໍ່ທີ່ຕ້ອງການແລະຫຼັງຈາກນັ້ນເຮັດວຽກກັບເຄື່ອງຫມາຍນີ້ເປັນເງື່ອນໄຂສໍາລັບການສະຫມັກ ເຄື່ອງໝາຍເສັ້ນທາງ. ແລະແລ້ວກັບ ເຄື່ອງໝາຍເສັ້ນທາງ ເປັນໄປໄດ້ທີ່ຈະເຮັດວຽກຢູ່ໃນ ip ເສັ້ນທາງ и ກົດລະບຽບເສັ້ນທາງ. ພວກເຮົາຄິດອອກເຄື່ອງມື, ໃນປັດຈຸບັນທ່ານຈໍາເປັນຕ້ອງໄດ້ຕັດສິນໃຈວ່າການເຊື່ອມຕໍ່ທີ່ຈະຫມາຍ - ຄັ້ງດຽວ, ແທ້ບ່ອນທີ່ຈະຫມາຍ - ສອງ.

ດ້ວຍສິ່ງທໍາອິດ, ທຸກສິ່ງທຸກຢ່າງແມ່ນງ່າຍດາຍ - ພວກເຮົາຕ້ອງຫມາຍການເຊື່ອມຕໍ່ທັງຫມົດທີ່ມາຮອດ router ຈາກອິນເຕີເນັດຜ່ານຊ່ອງທາງທີ່ເຫມາະສົມ. ໃນກໍລະນີຂອງພວກເຮົາ, ເຫຼົ່ານີ້ຈະເປັນສາມປ້າຍ (ໂດຍຈໍານວນຂອງຊ່ອງທາງ): "conn_isp1", "conn_isp2" ແລະ "conn_isp3".

nuance ກັບທີສອງແມ່ນວ່າການເຊື່ອມຕໍ່ຂາເຂົ້າຈະມີສອງປະເພດ: ການຂົນສົ່ງແລະທີ່ມີຈຸດປະສົງສໍາລັບ router ຕົວຂອງມັນເອງ. ກົນໄກເຄື່ອງຫມາຍການເຊື່ອມຕໍ່ເຮັດວຽກຢູ່ໃນຕາຕະລາງ mangle. ພິຈາລະນາການເຄື່ອນໄຫວຂອງຊຸດກ່ຽວກັບແຜນວາດທີ່ງ່າຍດາຍ, ສັງລວມໂດຍຜູ້ຊ່ຽວຊານຂອງ mikrotik-trainings.com ຊັບພະຍາກອນ (ບໍ່ແມ່ນການໂຄສະນາ):

ປະຕິບັດຕາມລູກສອນ, ພວກເຮົາເຫັນວ່າຊຸດທີ່ມາຮອດ "ອິນເຕີເຟດເຂົ້າ", ໄປໂດຍຜ່ານລະບົບຕ່ອງໂສ້"ກໍາລັງປ້ອງກັນລ່ວງໜ້າ” ແລະພຽງແຕ່ຫຼັງຈາກນັ້ນມັນຖືກແບ່ງອອກເປັນການຂົນສົ່ງແລະທ້ອງຖິ່ນໃນບລັອກ”ການຕັດສິນໃຈເສັ້ນທາງ". ດັ່ງນັ້ນ, ເພື່ອຂ້ານົກສອງໂຕດ້ວຍຫີນກ້ອນຫນຶ່ງ, ພວກເຮົາໃຊ້ ເຄື່ອງໝາຍການເຊື່ອມຕໍ່ ໃນຕາຕະລາງ Mangle ທາງສ່ວນຫນ້າຂອງເສັ້ນທາງ ຕ່ອງໂສ້ ກໍາລັງປ້ອງກັນລ່ວງໜ້າ.

ຫມາຍເຫດ. ໃນ ROS, ປ້າຍຊື່ “Routing mark” ແມ່ນລະບຸເປັນ “Table” ໃນສ່ວນ Ip/Routes/Rules, ແລະ “Routing Mark” ໃນພາກສ່ວນອື່ນໆ. ນີ້ອາດຈະແນະນໍາຄວາມສັບສົນເຂົ້າໄປໃນຄວາມເຂົ້າໃຈ, ແຕ່, ໃນຄວາມເປັນຈິງ, ນີ້ແມ່ນສິ່ງດຽວກັນ, ແລະເປັນ analogue ຂອງ rt_tables ໃນ iproute2 ໃນ linux.

2.1. ພວກເຮົາໝາຍການເຊື່ອມຕໍ່ຂາເຂົ້າຈາກແຕ່ລະຜູ້ໃຫ້ບໍລິການ:

/ip firewall mangle add action=mark-connection chain=prerouting 
comment="Connmark in from ISP1" connection-mark=no-mark in-interface=ether1  new-connection-mark=conn_isp1 passthrough=no

/ip firewall mangle add action=mark-connection chain=prerouting 
comment="Connmark in from ISP2" connection-mark=no-mark in-interface=ether2  new-connection-mark=conn_isp2 passthrough=no

/ip firewall mangle add action=mark-connection chain=prerouting 
comment="Connmark in from ISP3" connection-mark=no-mark in-interface=pppoe-isp3  new-connection-mark=conn_isp3 passthrough=no

ຂໍ້ສັງເກດ. ເພື່ອບໍ່ໃຫ້ເຄື່ອງຫມາຍການເຊື່ອມຕໍ່ທີ່ຖືກຫມາຍໄວ້ແລ້ວ, ຂ້ອຍໃຊ້ເງື່ອນໄຂການເຊື່ອມຕໍ່ - mark = no-mark ແທນການເຊື່ອມຕໍ່ -state = ໃຫມ່ເພາະວ່າຂ້ອຍຄິດວ່ານີ້ແມ່ນຖືກຕ້ອງກວ່າ, ເຊັ່ນດຽວກັນກັບການປະຕິເສດການເຊື່ອມຕໍ່ທີ່ບໍ່ຖືກຕ້ອງໃນການກັ່ນຕອງການປ້ອນຂໍ້ມູນ.

passthrough=no - ເນື່ອງຈາກວ່າໃນວິທີການປະຕິບັດນີ້, re-marking ແມ່ນບໍ່ລວມເອົາແລະ, ເພື່ອເລັ່ງ, ທ່ານສາມາດຂັດຂວາງການ enumeration ຂອງກົດລະບຽບຫຼັງຈາກການແຂ່ງຂັນຄັ້ງທໍາອິດ.

ມັນຄວນຈະຢູ່ໃນໃຈວ່າພວກເຮົາບໍ່ໄດ້ແຊກແຊງໃນທາງໃດກໍ່ຕາມກັບເສັ້ນທາງ. ໃນປັດຈຸບັນມີພຽງແຕ່ຂັ້ນຕອນຂອງການກະກຽມ. ຂັ້ນຕອນຕໍ່ໄປຂອງການປະຕິບັດຈະເປັນການປຸງແຕ່ງການຈະລາຈອນທາງຜ່ານທີ່ສົ່ງຄືນຜ່ານການເຊື່ອມຕໍ່ທີ່ຖືກສ້າງຕັ້ງຂຶ້ນຈາກປາຍທາງໃນເຄືອຂ່າຍທ້ອງຖິ່ນ. ເຫຼົ່ານັ້ນ. packets ເຫຼົ່ານັ້ນ (ເບິ່ງແຜນວາດ) ຜ່ານ router ຕາມທາງ:

“Input Interface”=>”Prerouting”=>”Routing Decision”=>”Forward”=>”Post Routing”=>”Output Interface” ແລະໄດ້ຮັບກັບຜູ້ທີ່ຢູ່ໃນເຄືອຂ່າຍທ້ອງຖິ່ນ.

ສໍາຄັນ! ໃນ ROS, ບໍ່ມີການແບ່ງສ່ວນຢ່າງມີເຫດຜົນເຂົ້າໄປໃນການໂຕ້ຕອບພາຍນອກແລະພາຍໃນ. ຖ້າພວກເຮົາຕິດຕາມເສັ້ນທາງຂອງຊຸດການຕອບໂຕ້ຕາມແຜນວາດຂ້າງເທິງ, ມັນຈະປະຕິບັດຕາມເສັ້ນທາງທີ່ມີເຫດຜົນດຽວກັນກັບການຮ້ອງຂໍ:

“Input Interface”=>”Prerouting”=>”Routing Decision”=>”Forward”=>”Post Routing”=>”Output Interface” ພຽງແຕ່ສໍາລັບການຮ້ອງຂໍ"ອິນເຕີເຟດຂາເຂົ້າ” ແມ່ນການໂຕ້ຕອບ ISP, ແລະສໍາລັບຄໍາຕອບ - LAN

2.2. ພວກເຮົາຕອບສະຫນອງການຈະລາຈອນການຂົນສົ່ງໂດຍກົງກັບຕາຕະລາງການນໍາທາງທີ່ສອດຄ້ອງກັນ:

/ip firewall mangle add action=mark-routing chain=prerouting 
comment="Routemark transit out via ISP1" connection-mark=conn_isp1 
dst-address-type=!local in-interface-list=!WAN new-routing-mark=to_isp1 passthrough=no

/ip firewall mangle add action=mark-routing chain=prerouting 
comment="Routemark transit out via ISP2" connection-mark=conn_isp2 
dst-address-type=!local in-interface-list=!WAN new-routing-mark=to_isp2 passthrough=no

/ip firewall mangle add action=mark-routing chain=prerouting 
comment="Routemark transit out via ISP3" connection-mark=conn_isp3 
dst-address-type=!local in-interface-list=!WAN new-routing-mark=to_isp3 passthrough=no

ຄໍາເຫັນ. in-interface-list=!WAN - ພວກເຮົາເຮັດວຽກພຽງແຕ່ກັບການຈະລາຈອນຈາກເຄືອຂ່າຍທ້ອງຖິ່ນແລະ dst-address-type=!local ທີ່ບໍ່ມີທີ່ຢູ່ປາຍທາງຂອງທີ່ຢູ່ຂອງການໂຕ້ຕອບຂອງ router ເອງ.

ດຽວກັນກັບແພັກເກັດທ້ອງຖິ່ນທີ່ມາຫາ router ຕາມທາງ:

“Input Interface”=>”Prerouting”=>”Routing Decision”=>”Input”=>”ຂະບວນການທ້ອງຖິ່ນ”

ສໍາຄັນ! ຄໍາຕອບຈະໄປໃນທາງຕໍ່ໄປນີ້:

”ຂະບວນການທ້ອງຖິ່ນ”=>”ການຕັດສິນໃຈກຳນົດເສັ້ນທາງ”=>”ຜົນໄດ້ຮັບ”=>”ການກຳນົດເສັ້ນທາງ”=>”ການໂຕ້ຕອບຜົນໄດ້ຮັບ”

2.3. ພວກເຮົາຕອບສະຫນອງການຈະລາຈອນທ້ອງຖິ່ນໂດຍກົງກັບຕາຕະລາງການນໍາທາງທີ່ສອດຄ້ອງກັນ:

/ip firewall mangle add action=mark-routing chain=output 
comment="Routemark local out via ISP1" connection-mark=conn_isp1 dst-address-type=!local 
new-routing-mark=to_isp1 passthrough=no

/ip firewall mangle add action=mark-routing chain=output 
comment="Routemark local out via ISP2" connection-mark=conn_isp2 dst-address-type=!local 
new-routing-mark=to_isp2 passthrough=no

/ip firewall mangle add action=mark-routing chain=output 
comment="Routemark local out via ISP3" connection-mark=conn_isp3 dst-address-type=!local 
new-routing-mark=to_isp3 passthrough=no

ໃນຂັ້ນຕອນນີ້, ວຽກງານຂອງການກະກຽມເພື່ອສົ່ງຄໍາຕອບກັບຊ່ອງທາງອິນເຕີເນັດຈາກການຮ້ອງຂໍມາສາມາດພິຈາລະນາແກ້ໄຂໄດ້. ທຸກສິ່ງທຸກຢ່າງໄດ້ຖືກຫມາຍ, ຕິດສະຫຼາກແລະພ້ອມທີ່ຈະໄດ້ຮັບການເສັ້ນທາງ.
ຜົນກະທົບ "ຂ້າງຄຽງ" ທີ່ດີເລີດຂອງການຕິດຕັ້ງນີ້ແມ່ນຄວາມສາມາດໃນການເຮັດວຽກກັບການສົ່ງຕໍ່ພອດ DSNAT ຈາກຜູ້ໃຫ້ບໍລິການທັງສອງ (ISP2, ISP3) ໃນເວລາດຽວກັນ. ບໍ່ແມ່ນເລີຍ, ເພາະວ່າຢູ່ໃນ ISP1 ພວກເຮົາມີທີ່ຢູ່ທີ່ບໍ່ສາມາດນຳທາງໄດ້. ຜົນກະທົບນີ້ແມ່ນສໍາຄັນ, ສໍາລັບການຍົກຕົວຢ່າງ, ສໍາລັບເຄື່ອງແມ່ຂ່າຍເມລທີ່ມີສອງ MXs ທີ່ເບິ່ງຢູ່ໃນຊ່ອງທາງອິນເຕີເນັດທີ່ແຕກຕ່າງກັນ.

ເພື່ອລົບລ້າງ nuances ຂອງການດໍາເນີນງານຂອງເຄືອຂ່າຍທ້ອງຖິ່ນກັບ routers IP ພາຍນອກ, ພວກເຮົາໃຊ້ວິທີແກ້ໄຂຈາກວັກ. 1.8.2 ແລະ 3.1.2.6.

ນອກຈາກນັ້ນ, ທ່ານສາມາດນໍາໃຊ້ເຄື່ອງມືທີ່ມີເຄື່ອງຫມາຍເພື່ອແກ້ໄຂບັນຫາໃນວັກ 3. ພວກເຮົາປະຕິບັດມັນເຊັ່ນນີ້:

2.4. ພວກເຮົາຊີ້ນໍາການຈະລາຈອນຈາກລູກຄ້າທ້ອງຖິ່ນຈາກລາຍຊື່ເສັ້ນທາງໄປຫາຕາຕະລາງທີ່ເຫມາະສົມ:

/ip firewall mangle add action=mark-routing chain=prerouting 
comment="Address List via ISP1" dst-address-list=!BOGONS new-routing-mark=to_isp1 
passthrough=no src-address-list=Via_ISP1

/ip firewall mangle add action=mark-routing chain=prerouting 
comment="Address List via ISP2" dst-address-list=!BOGONS new-routing-mark=to_isp2 
passthrough=no src-address-list=Via_ISP2

/ip firewall mangle add action=mark-routing chain=prerouting 
comment="Address List via ISP3" dst-address-list=!BOGONS new-routing-mark=to_isp3 
passthrough=no src-address-list=Via_ISP3

ດັ່ງນັ້ນ, ມັນເບິ່ງຄືວ່າ:

3. ຕັ້ງຄ່າການເຊື່ອມຕໍ່ກັບ ISP ແລະເປີດໃຊ້ເສັ້ນທາງຍີ່ຫໍ້

3.1. ຕັ້ງຄ່າການເຊື່ອມຕໍ່ກັບ ISP1:
3.1.1. ຕັ້ງຄ່າທີ່ຢູ່ IP ແບບຄົງທີ່:

/ip address add interface=ether1 address=100.66.66.2/30 comment="ISP1 IP"

3.1.2. ຕັ້ງຄ່າເສັ້ນທາງຄົງທີ່:
3.1.2.1. ເພີ່ມເສັ້ນທາງ "ສຸກເສີນ" ເລີ່ມຕົ້ນ:

/ip route add comment="Emergency route" distance=254 type=blackhole

ຂໍ້ສັງເກດ. ເສັ້ນທາງນີ້ອະນຸຍາດໃຫ້ການຈະລາຈອນຈາກຂະບວນການທ້ອງຖິ່ນຜ່ານຂັ້ນຕອນການຕັດສິນໃຈເສັ້ນທາງ, ໂດຍບໍ່ຄໍານຶງເຖິງສະຖານະຂອງການເຊື່ອມຕໍ່ຂອງຜູ້ໃຫ້ບໍລິການໃດໆ. ຄວາມແຕກຕ່າງຂອງການຈະລາຈອນໃນທ້ອງຖິ່ນທີ່ອອກໄປແມ່ນວ່າເພື່ອໃຫ້ແພັກເກັດເຄື່ອນຍ້າຍຢ່າງຫນ້ອຍບ່ອນໃດບ່ອນຫນຶ່ງ, ຕາຕະລາງເສັ້ນທາງຕົ້ນຕໍຕ້ອງມີເສັ້ນທາງທີ່ມີການເຄື່ອນໄຫວໄປສູ່ປະຕູເລີ່ມຕົ້ນ. ຖ້າບໍ່, ຫຼັງຈາກນັ້ນຊຸດຈະຖືກທໍາລາຍຢ່າງງ່າຍດາຍ.

ເປັນການຂະຫຍາຍເຄື່ອງມື ກວດເບິ່ງປະຕູ ສໍາລັບການວິເຄາະເລິກຂອງສະຖານະຊ່ອງທາງ, ຂ້າພະເຈົ້າແນະນໍາໃຫ້ໃຊ້ວິທີການເສັ້ນທາງ recursive. ໂດຍເນື້ອແທ້ແລ້ວຂອງວິທີການແມ່ນວ່າພວກເຮົາບອກ router ເພື່ອຊອກຫາເສັ້ນທາງໄປສູ່ປະຕູຂອງຕົນບໍ່ແມ່ນໂດຍກົງ, ແຕ່ຜ່ານປະຕູກາງ. 4.2.2.1, 4.2.2.2 ແລະ 4.2.2.3 ຈະຖືກເລືອກເປັນ "ທົດສອບ" gateways ສໍາລັບ ISP1, ISP2 ແລະ ISP3 ຕາມລໍາດັບ.

3.1.2.2. ເສັ້ນທາງໄປຫາທີ່ຢູ່ "ການກວດສອບ":

/ip route add check-gateway=ping comment="For recursion via ISP1"  
distance=1 dst-address=4.2.2.1 gateway=100.66.66.1 scope=10

ຂໍ້ສັງເກດ. ພວກເຮົາຫຼຸດຄ່າຂອບເຂດເປັນຄ່າເລີ່ມຕົ້ນໃນຂອບເຂດເປົ້າໝາຍ ROS ເພື່ອນຳໃຊ້ 4.2.2.1 ເປັນປະຕູທີ່ເອີ້ນຄືນໃນອະນາຄົດ. ຂ້າພະເຈົ້າເນັ້ນຫນັກວ່າ: ຂອບເຂດຂອງເສັ້ນທາງໄປຫາ "ການທົດສອບ" ທີ່ຢູ່ຕ້ອງຫນ້ອຍກວ່າຫຼືເທົ່າກັບຂອບເຂດເປົ້າຫມາຍຂອງເສັ້ນທາງທີ່ຈະຫມາຍເຖິງການທົດສອບຫນຶ່ງ.

3.1.2.3. ເສັ້ນທາງເລີ່ມຕົ້ນ recursive ສໍາລັບການຈະລາຈອນໂດຍບໍ່ມີການຫມາຍເສັ້ນທາງ:

/ip route add comment="Unmarked via ISP1" distance=2 gateway=4.2.2.1

ຂໍ້ສັງເກດ. ໄລຍະຫ່າງ = 2 ຄ່າຖືກໃຊ້ເພາະວ່າ ISP1 ຖືກປະກາດວ່າເປັນການສຳຮອງທຳອິດຕາມເງື່ອນໄຂຂອງໜ້າວຽກ.

3.1.2.4. ເສັ້ນທາງເລີ່ມຕົ້ນແບບຊ້ຳໆສຳລັບການຈະລາຈອນທີ່ມີເຄື່ອງໝາຍເສັ້ນທາງ “to_isp1”:

/ip route add comment="Marked via ISP1 Main" distance=1 gateway=4.2.2.1 
routing-mark=to_isp1

ຂໍ້ສັງເກດ. ແທ້ຈິງແລ້ວ, ໃນທີ່ສຸດພວກເຮົາກໍ່ເລີ່ມເພີດເພີນກັບຜົນຂອງວຽກກະກຽມທີ່ໄດ້ດໍາເນີນໃນວັກ 2.

ໃນເສັ້ນທາງນີ້, ການຈະລາຈອນທັງຫມົດທີ່ມີເສັ້ນທາງເຄື່ອງຫມາຍ "to_isp1" ຈະຖືກນໍາໄປຫາປະຕູຂອງຜູ້ໃຫ້ບໍລິການທໍາອິດ, ໂດຍບໍ່ຄໍານຶງເຖິງວ່າ gateway ເລີ່ມຕົ້ນໃດແມ່ນເຮັດວຽກຢູ່ໃນຕາຕະລາງຕົ້ນຕໍ.

3.1.2.5. ເສັ້ນທາງເລີ່ມຕົ້ນແບບ recursive ທໍາອິດສໍາລັບ ISP2 ແລະ ISP3 ທີ່ແທັກການຈະລາຈອນ:

/ip route add comment="Marked via ISP2 Backup1" distance=2 gateway=4.2.2.1 
routing-mark=to_isp2
/ip route add comment="Marked via ISP3 Backup1" distance=2 gateway=4.2.2.1 
routing-mark=to_isp3

ຂໍ້ສັງເກດ. ເສັ້ນທາງເຫຼົ່ານີ້ແມ່ນມີຄວາມຈໍາເປັນ, ໃນບັນດາສິ່ງອື່ນໆ, ເພື່ອສະຫງວນການຈະລາຈອນຈາກເຄືອຂ່າຍທ້ອງຖິ່ນທີ່ເປັນສະມາຊິກຂອງລາຍຊື່ທີ່ຢູ່ "to_isp*"

3.1.2.6. ພວກເຮົາລົງທະບຽນເສັ້ນທາງສໍາລັບການຈະລາຈອນທ້ອງຖິ່ນຂອງ router ກັບອິນເຕີເນັດຜ່ານ ISP1:

/ip route rule add comment="From ISP1 IP to Inet" src-address=100.66.66.2 table=to_isp1

ຂໍ້ສັງເກດ. ປະສົມປະສານກັບກົດລະບຽບຈາກວັກ 1.8.2, ມັນສະຫນອງການເຂົ້າເຖິງຊ່ອງທາງທີ່ຕ້ອງການກັບແຫຼ່ງທີ່ໃຫ້. ນີ້ແມ່ນສິ່ງສໍາຄັນສໍາລັບການກໍ່ສ້າງອຸໂມງທີ່ລະບຸທີ່ຢູ່ IP ຂ້າງທ້ອງຖິ່ນ (EoIP, IP-IP, GRE). ນັບຕັ້ງແຕ່ກົດລະບຽບໃນກົດລະບຽບເສັ້ນທາງ ip ຖືກປະຕິບັດຈາກເທິງຫາລຸ່ມສຸດ, ຈົນກ່ວາການແຂ່ງຂັນຄັ້ງທໍາອິດຂອງເງື່ອນໄຂ, ຫຼັງຈາກນັ້ນກົດລະບຽບນີ້ຄວນຈະເປັນຫຼັງຈາກກົດລະບຽບຈາກຂໍ້ 1.8.2.

3.1.3. ພວກເຮົາລົງທະບຽນກົດລະບຽບ NAT ສໍາລັບການຈະລາຈອນຂາອອກ:

/ip firewall nat add action=src-nat chain=srcnat comment="NAT via ISP1"  
ipsec-policy=out,none out-interface=ether1 to-addresses=100.66.66.2

ຂໍ້ສັງເກດ. NATim ທຸກສິ່ງທຸກຢ່າງທີ່ອອກໄປ, ຍົກເວັ້ນສິ່ງທີ່ເຂົ້າໄປໃນນະໂຍບາຍ IPsec. ຂ້ອຍພະຍາຍາມບໍ່ໃຊ້ action=masquerade ເວັ້ນເສຍແຕ່ມີຄວາມຈໍາເປັນແທ້ໆ. ມັນຊ້າກວ່າແລະມີຄວາມເຂັ້ມຂົ້ນຂອງຊັບພະຍາກອນຫຼາຍກ່ວາ src-nat ເພາະວ່າມັນຄິດໄລ່ທີ່ຢູ່ NAT ສໍາລັບແຕ່ລະການເຊື່ອມຕໍ່ໃຫມ່.

3.1.4. ພວກເຮົາສົ່ງລູກຄ້າຈາກລາຍຊື່ທີ່ຖືກຫ້າມບໍ່ໃຫ້ເຂົ້າເຖິງຜ່ານຜູ້ໃຫ້ບໍລິການອື່ນໂດຍກົງໄປຫາປະຕູຂອງຜູ້ໃຫ້ບໍລິການ ISP1.

/ip firewall mangle add action=route chain=prerouting comment="Address List via ISP1 only" 
dst-address-list=!BOGONS passthrough=no route-dst=100.66.66.1 
src-address-list=Via_only_ISP1 place-before=0

ຂໍ້ສັງເກດ. action=route ມີບູລິມະສິດສູງກວ່າ ແລະຖືກນຳໃຊ້ກ່ອນກົດລະບຽບການກຳນົດເສັ້ນທາງອື່ນ.

place-before=0 - ວາງກົດລະບຽບຂອງພວກເຮົາກ່ອນໃນບັນຊີລາຍຊື່.

3.2. ຕັ້ງຄ່າການເຊື່ອມຕໍ່ກັບ ISP2.

ເນື່ອງຈາກຜູ້ໃຫ້ບໍລິການ ISP2 ໃຫ້ພວກເຮົາຕັ້ງຄ່າຜ່ານ DHCP, ມັນສົມເຫດສົມຜົນທີ່ຈະເຮັດການປ່ຽນແປງທີ່ຈໍາເປັນດ້ວຍສະຄິບທີ່ເລີ່ມຕົ້ນເມື່ອລູກຄ້າ DHCP ຖືກກະຕຸ້ນ:

/ip dhcp-client
add add-default-route=no disabled=no interface=ether2 script=":if ($bound=1) do={r
    n    /ip route add check-gateway=ping comment="For recursion via ISP2" distance=1 
           dst-address=4.2.2.2/32 gateway=$"gateway-address" scope=10r
    n    /ip route add comment="Unmarked via ISP2" distance=1 gateway=4.2.2.2;r
    n    /ip route add comment="Marked via ISP2 Main" distance=1 gateway=4.2.2.2 
           routing-mark=to_isp2;r
    n    /ip route add comment="Marked via ISP1 Backup1" distance=2 gateway=4.2.2.2 
           routing-mark=to_isp1;r
    n    /ip route add comment="Marked via ISP3 Backup2" distance=3 gateway=4.2.2.2 
           routing-mark=to_isp3;r
    n    /ip firewall nat add action=src-nat chain=srcnat ipsec-policy=out,none 
           out-interface=$"interface" to-addresses=$"lease-address" comment="NAT via ISP2" 
           place-before=1;r
    n    if ([/ip route rule find comment="From ISP2 IP to Inet"] ="") do={r
    n        /ip route rule add comment="From ISP2 IP to Inet" 
               src-address=$"lease-address" table=to_isp2 r
    n    } else={r
    n       /ip route rule set [find comment="From ISP2 IP to Inet"] disabled=no 
              src-address=$"lease-address"r
    n    }      r
    n} else={r
    n   /ip firewall nat remove  [find comment="NAT via ISP2"];r
    n   /ip route remove [find comment="For recursion via ISP2"];r
    n   /ip route remove [find comment="Unmarked via ISP2"];r
    n   /ip route remove [find comment="Marked via ISP2 Main"];r
    n   /ip route remove [find comment="Marked via ISP1 Backup1"];r
    n   /ip route remove [find comment="Marked via ISP3 Backup2"];r
    n   /ip route rule set [find comment="From ISP2 IP to Inet"] disabled=yesr
    n}r
    n" use-peer-dns=no use-peer-ntp=no

script ຕົວຂອງມັນເອງຢູ່ໃນປ່ອງຢ້ຽມ Winbox:

ຂໍ້ສັງເກດ. ສ່ວນທໍາອິດຂອງສະຄິບຖືກກະຕຸ້ນເມື່ອສັນຍາເຊົ່າໄດ້ຮັບຜົນສໍາເລັດ, ທີສອງ - ຫຼັງຈາກການເຊົ່າໄດ້ຖືກປ່ອຍອອກມາ.ເບິ່ງບັນທຶກ 2

3.3. ພວກເຮົາຕັ້ງຄ່າການເຊື່ອມຕໍ່ກັບຜູ້ໃຫ້ບໍລິການ ISP3.

ນັບຕັ້ງແຕ່ຜູ້ໃຫ້ບໍລິການຕັ້ງຄ່າໃຫ້ພວກເຮົາແບບເຄື່ອນໄຫວ, ມັນສົມເຫດສົມຜົນທີ່ຈະເຮັດການປ່ຽນແປງທີ່ຈໍາເປັນກັບສະຄິບທີ່ເລີ່ມຕົ້ນຫຼັງຈາກການໂຕ້ຕອບ ppp ໄດ້ຖືກຍົກຂຶ້ນມາແລະຫຼັງຈາກການຫຼຸດລົງ.

3.3.1. ທໍາອິດພວກເຮົາ configure profile ໄດ້:

/ppp profile
add comment="for PPPoE to ISP3" interface-list=WAN name=isp3_client 
on-down="/ip firewall nat remove  [find comment="NAT via ISP3"];r
    n/ip route remove [find comment="For recursion via ISP3"];r
    n/ip route remove [find comment="Unmarked via ISP3"];r
    n/ip route remove [find comment="Marked via ISP3 Main"];r
    n/ip route remove [find comment="Marked via ISP1 Backup2"];r
    n/ip route remove [find comment="Marked via ISP2 Backup2"];r
    n/ip route rule set [find comment="From ISP3 IP to Inet"] disabled=yes;" 
on-up="/ip route add check-gateway=ping comment="For recursion via ISP3" distance=1 
    dst-address=4.2.2.3/32 gateway=$"remote-address" scope=10r
    n/ip route add comment="Unmarked via ISP3" distance=3 gateway=4.2.2.3;r
    n/ip route add comment="Marked via ISP3 Main" distance=1 gateway=4.2.2.3 
    routing-mark=to_isp3;r
    n/ip route add comment="Marked via ISP1 Backup2" distance=3 gateway=4.2.2.3 
    routing-mark=to_isp1;r
    n/ip route add comment="Marked via ISP2 Backup2" distance=3 gateway=4.2.2.3 
    routing-mark=to_isp2;r
    n/ip firewall mangle set [find comment="Connmark in from ISP3"] 
    in-interface=$"interface";r
    n/ip firewall nat add action=src-nat chain=srcnat ipsec-policy=out,none 
    out-interface=$"interface" to-addresses=$"local-address" comment="NAT via ISP3" 
    place-before=1;r
    nif ([/ip route rule find comment="From ISP3 IP to Inet"] ="") do={r
    n   /ip route rule add comment="From ISP3 IP to Inet" src-address=$"local-address" 
    table=to_isp3 r
    n} else={r
    n   /ip route rule set [find comment="From ISP3 IP to Inet"] disabled=no 
    src-address=$"local-address"r
    n};r
    n"

script ຕົວຂອງມັນເອງຢູ່ໃນປ່ອງຢ້ຽມ Winbox:

ຂໍ້ສັງເກດ. ສາຍ
/ip firewall mangle set [find comment="Connmark in from ISP3"] in-interface=$"interface";
ຊ່ວຍໃຫ້ທ່ານສາມາດຈັດການການປ່ຽນຊື່ຂອງການໂຕ້ຕອບຢ່າງຖືກຕ້ອງ, ເພາະວ່າມັນເຮັດວຽກກັບລະຫັດຂອງມັນແລະບໍ່ແມ່ນຊື່ທີ່ສະແດງ.

3.3.2. ໃນປັດຈຸບັນ, ການນໍາໃຊ້ໂປຣໄຟລ໌, ສ້າງການເຊື່ອມຕໍ່ ppp:

/interface pppoe-client add allow=mschap2 comment="to ISP3" disabled=no 
interface=ether3 name=pppoe-isp3 password=isp3_pass profile=isp3_client user=isp3_client

ເປັນການສໍາພັດສຸດທ້າຍ, ໃຫ້ເຮົາຕັ້ງໂມງ:

/system ntp client set enabled=yes server-dns-names=0.pool.ntp.org,1.pool.ntp.org,2.pool.ntp.org

ສໍາລັບຜູ້ທີ່ອ່ານຈົນຈົບ

ວິທີທີ່ສະເຫນີເພື່ອປະຕິບັດ multivan ແມ່ນຄວາມມັກສ່ວນບຸກຄົນຂອງຜູ້ຂຽນແລະບໍ່ແມ່ນວິທີດຽວທີ່ເປັນໄປໄດ້. ຊຸດເຄື່ອງມື ROS ແມ່ນກວ້າງຂວາງແລະມີຄວາມຍືດຫຍຸ່ນ, ເຊິ່ງໃນອີກດ້ານຫນຶ່ງ, ເຮັດໃຫ້ເກີດຄວາມຫຍຸ້ງຍາກສໍາລັບຜູ້ເລີ່ມຕົ້ນ, ແລະອີກດ້ານຫນຶ່ງ, ແມ່ນເຫດຜົນສໍາລັບຄວາມນິຍົມຂອງມັນ. ຮຽນຮູ້, ທົດລອງ, ຄົ້ນພົບເຄື່ອງມື ແລະວິທີແກ້ໄຂໃໝ່. ສໍາລັບຕົວຢ່າງ, ເປັນຄໍາຮ້ອງສະຫມັກຂອງຄວາມຮູ້ທີ່ໄດ້ມາ, ມັນເປັນໄປໄດ້ທີ່ຈະທົດແທນເຄື່ອງມືໃນການປະຕິບັດ multivan ນີ້. check-gateway ກັບເສັ້ນທາງ recursive ກັບ ເນັດໂມງ.

ຫມາຍເຫດ

check-gateway - ກົນໄກທີ່ອະນຸຍາດໃຫ້ທ່ານປິດການໃຊ້ງານເສັ້ນທາງຫຼັງຈາກການກວດສອບສອງຄັ້ງຕິດຕໍ່ກັນທີ່ບໍ່ປະສົບຜົນສໍາເລັດຂອງປະຕູສໍາລັບການມີ. ການກວດສອບແມ່ນປະຕິບັດຫນຶ່ງຄັ້ງໃນທຸກໆ 10 ວິນາທີ, ບວກກັບເວລາຕອບໂຕ້. ໃນຈໍານວນທັງຫມົດ, ໄລຍະເວລາສະຫຼັບຕົວຈິງແມ່ນຢູ່ໃນຂອບເຂດຂອງ 20-30 ວິນາທີ. ຖ້າການປ່ຽນເວລາດັ່ງກ່າວບໍ່ພຽງພໍ, ມີທາງເລືອກທີ່ຈະໃຊ້ເຄື່ອງມື ເນັດໂມງ, ບ່ອນທີ່ໂມງຈັບເວລາກວດສອບສາມາດຕັ້ງດ້ວຍຕົນເອງ. check-gateway ບໍ່ໄຟໄຫມ້ໃນການສູນເສຍແພັກເກັດຊົ່ວຄາວໃນການເຊື່ອມຕໍ່.
ສຳຄັນ! ການປິດການນຳໃຊ້ເສັ້ນທາງຫຼັກຈະປິດການນຳໃຊ້ເສັ້ນທາງອື່ນທັງໝົດທີ່ອ້າງອີງເຖິງມັນ. ເພາະສະນັ້ນ, ສໍາລັບພວກເຂົາທີ່ຈະລະບຸ check-gateway=ping ບໍ່ຈໍາເປັນ.
ມັນເກີດຂື້ນວ່າຄວາມລົ້ມເຫລວເກີດຂື້ນໃນກົນໄກ DHCP, ເຊິ່ງເບິ່ງຄືວ່າລູກຄ້າຕິດຢູ່ໃນສະຖານະຕໍ່ອາຍຸ. ໃນກໍລະນີນີ້, ສ່ວນທີສອງຂອງສະຄິບຈະບໍ່ເຮັດວຽກ, ແຕ່ມັນຈະບໍ່ປ້ອງກັນການຈະລາຈອນຈາກການຍ່າງຢ່າງຖືກຕ້ອງ, ນັບຕັ້ງແຕ່ລັດຕິດຕາມເສັ້ນທາງ recursive ທີ່ສອດຄ້ອງກັນ.
ECMP (ລາຄາເທົ່າກັນຫຼາຍເສັ້ນທາງ) - ໃນ ROS ມັນເປັນໄປໄດ້ທີ່ຈະກໍານົດເສັ້ນທາງທີ່ມີຫຼາຍປະຕູແລະໄລຍະຫ່າງດຽວກັນ. ໃນກໍລະນີນີ້, ການເຊື່ອມຕໍ່ຈະຖືກແຈກຢາຍຜ່ານຊ່ອງທາງຕ່າງໆໂດຍໃຊ້ algorithm robin ຮອບ, ໃນອັດຕາສ່ວນຂອງຈໍານວນປະຕູທີ່ກໍານົດໄວ້.

ສໍາລັບແຮງຈູງໃຈໃນການຂຽນບົດຄວາມ, ຊ່ວຍສ້າງໂຄງສ້າງແລະການຈັດວາງສໍານຽງຂອງຕົນ - ຄວາມກະຕັນຍູສ່ວນບຸກຄົນກັບ Evgeny @jscar

ແຫຼ່ງຂໍ້ມູນ: www.habr.com