ProHoster > Ny fototry ny Routing Static amin'ny Mikrotik RouterOS

Ny fototry ny Routing Static amin'ny Mikrotik RouterOS

Ny lalana dia ny dingana fitadiavana ny lalana tsara indrindra handefasana fonosana amin'ny tambajotra TCP/IP. Ny fitaovana rehetra mifandray amin'ny tamba-jotra IPv4 dia misy latabatra fizotry ny lalana.

Ity lahatsoratra ity dia tsy HOWTO, manoritsoritra ny lalana static ao amin'ny RouterOS miaraka amin'ny ohatra, niniako nesoriko ny sisa amin'ny toe-javatra (ohatra, srcnat amin'ny fidirana amin'ny Internet), ka ny fahatakarana ny fitaovana dia mitaky fahalalana momba ny tambajotra sy ny RouterOS.

Famadihana sy zotra

Ny fototry ny Routing Static amin'ny Mikrotik RouterOS

Ny famadihana dia ny dingan'ny fifanakalozana fonosana ao anatin'ny fizarana Layer2 (Ethernet, ppp, ...). Raha hitan'ilay fitaovana fa ao amin'ny subnet Ethernet mitovy aminy ny mpandray ny fonosana, dia mianatra ny adiresy mac amin'ny alΓ lan'ny protocol arp izy ary mampita mivantana ny fonosana, mandalo ny router. Ny fifandraisana ppp (point-to-point) dia tsy misy afa-tsy mpandray anjara roa ary alefa amin'ny adiresy iray 0xff foana ny fonosana.

Ny zotra dia ny dingan'ny famindrana fonosana eo anelanelan'ny fizarana Layer2. Raha toa ka te-handefa fonosana iray izay ivelan'ny fizarana Ethernet ny mpandray azy, dia mijery ny latabatry ny lΓ lany izy ary mampita ny packet ho any amin'ny vavahady, izay mahafantatra ny toerana handefasana ny fonosana manaraka (na mety tsy fantany, ilay mpandefa voalohany ny fonosana. tsy mahafantatra izany).

Ny fomba tsotra indrindra hieritreretana ny router dia toy ny fitaovana mifandray amin'ny fizarana Layer2 roa na maromaro ary afaka mampita packet eo anelanelan'izy ireo amin'ny famaritana ny lalana tsara indrindra avy amin'ny latabatra fitetezana.

Raha azonao ny zava-drehetra, na efa fantatrao izany, dia vakio. Ho an'ny ambiny, manoro hevitra mafy aho mba hahafantaranao ny tenanao amin'ny kely, saingy tena malalaka lahatsoratra.

Fandrosoana amin'ny RouterOS sy PacketFlow

Saika ao anatin'ny fonosana avokoa ny fiasa rehetra mifandraika amin'ny zotra static rafitra. Kitapo plastika tambazotra manampy fanohanana ny dynamic routing algorithms (RIP, OSPF, BGP, MME), Routing Filters ary BFD.

Main menu ho an'ny fametrahana ny zotra: [IP]->[Route]. Ny tetika sarotra dia mety mitaky ny fonosana mba homena marika mialoha miaraka amin'ny marika zotra amin'ny: [IP]->[Firewall]->[Mangle] (rojo PREROUTING ΠΈ OUTPUT).

Misy toerana telo ao amin'ny PacketFlow izay handraisana fanapahan-kevitra momba ny fandefasana fonosana IP:
Ny fototry ny Routing Static amin'ny Mikrotik RouterOS

  1. Fametrahana fonosana voarain'ny router. Amin'ity dingana ity dia tapa-kevitra raha handeha amin'ny dingana eo an-toerana ny fonosana na halefa any amin'ny tambajotra. Mahazo ny fonosana fitaterana Interface Output
  2. Famerenana ny fonosana mivoaka eo an-toerana. Mahazo ny fonosana mivoaka Interface Output
  3. Dingan-dΓ lana fanampiny ho an'ny fonosana mivoaka, ahafahanao manova ny fanapahan-kevitry ny lalana [Output|Mangle]

  • Ny lalan'ny fonosana ao amin'ny blocs 1, 2 dia miankina amin'ny fitsipika ao [IP]->[Route]
  • Ny lalan'ny fonosana amin'ny teboka 1, 2 ary 3 dia miankina amin'ny fitsipika ao [IP]->[Route]->[Rules]
  • Ny lalan'ny fonosana ao amin'ny blocs 1, 3 dia mety hisy fiantraikany amin'ny fampiasana [IP]->[Firewall]->[Mangle]

RIB, FIB, Routing Cache

Ny fototry ny Routing Static amin'ny Mikrotik RouterOS

Tobim-baovao momba ny lalana
Ny fototra anangonan'ny zotra avy amin'ny protocoles dynamic routing, lalana avy amin'ny ppp sy dhcp, static ary mifandray. Ity tahiry ity dia ahitana ny lalana rehetra, afa-tsy ireo voasivan'ny mpitantana.

fepetra, afaka mihevitra izany isika [IP]->[Route] Mampiseho RIB.

Foiben'ny fampitana vaovao
Ny fototry ny Routing Static amin'ny Mikrotik RouterOS

Ny fototry ny fanangonana ny lalana tsara indrindra avy amin'ny RIB. Ny lalana rehetra ao amin'ny FIB dia mavitrika ary ampiasaina handefasana fonosana. Raha toa ka lasa tsy mavitrika ny zotra (efa nalain'ny mpitantana (rafitra), na tsy mavitrika ny interface tsara handefasana ny fonosana), dia esorina ao amin'ny FIB ny lalana.

Mba handraisana fanapahan-kevitra momba ny lalana dia mampiasa ireto fampahalalana manaraka ireto momba ny fonosana IP iray ny tabilao FIB:

  • Adiresy loharano
  • Adiresy itodiana
  • loharano interface
  • Marika lalana
  • ToS (DSCP)

Ny fidirana ao amin'ny fonosana FIB dia mandalo amin'ireto dingana manaraka ireto:

  • Moa ve ny fonosana natao ho an'ny fizotry ny router eo an-toerana?
  • Mifanaraka amin'ny fitsipiky ny rafitra na ny mpampiasa PBR ve ny fonosana?
    • Raha eny, dia alefa any amin'ny tabilao zotra voatondro ny fonosana
  • Ny fonosana dia alefa any amin'ny latabatra lehibe

fepetra, afaka mihevitra izany isika [IP]->[Route Active=yes] Mampiseho FIB.

Routing Cache
Mekanisma caching lalana. Tsaroan'ny router ny toerana nandefasana ny fonosana ary raha misy mitovy aminy (azo inoana fa avy amin'ny fifandraisana mitovy) dia mamela azy ireo handeha amin'ny lalana iray ihany, tsy mijery ny FIB. Esorina tsindraindray ny cache zotra.

Ho an'ny mpitantana ny RouterOS dia tsy nanao fitaovana hijerena sy hitantanana ny Cache Routing izy ireo, fa rehefa mety ho kilemaina [IP]->[Settings].

Nesorina tao amin'ny kernel linux 3.6 io mekanika io, fa ny RouterOS dia mbola mampiasa kernel 3.3.5, angamba ny Routing cahce no iray amin'ireo antony.

Ampio ny fifanakalozan-dresaka

[IP]->[Route]->[+]
Ny fototry ny Routing Static amin'ny Mikrotik RouterOS

  1. Subnet izay tianao hamoronana lalana (default: 0.0.0.0/0)
  2. Gateway IP na interface tsara handefasana ny fonosana (mety misy maromaro, jereo ny ECMP etsy ambany)
  3. Fanamarinana ny fisian'ny vavahady
  4. Karazana rakitsoratra
  5. Distance (metrika) ho an'ny lalana iray
  6. Table routing
  7. IP ho an'ny fonosana mivoaka eo an-toerana amin'ny alΓ lan'ity lalana ity
  8. Ny tanjon'ny Scope sy Target Scope dia voasoratra any amin'ny faran'ny lahatsoratra.

Fanevan'ny lalana
Ny fototry ny Routing Static amin'ny Mikrotik RouterOS

  • X - Nosakanan'ny mpitantana ny lalana (disabled=yes)
  • A - Ny lalana dia ampiasaina handefasana fonosana
  • D - Lalana nampiana mavitrika (BGP, OSPF, RIP, MME, PPP, DHCP, mifandray)
  • C - Ny subnet dia mifandray mivantana amin'ny router
  • S - Lalana tsy miovaova
  • r,b,o,m - Lalana nampidirin'ny iray amin'ireo protocoles dynamic routing
  • B,U,P - LΓ lana sivana (midina ny fonosana fa tsy mandefa)

Inona no tokony hofaritana amin'ny vavahady: adiresy ip na interface?

Ny rafitra dia mamela anao hamaritra ny roa, raha tsy mianiana ary tsy manome soso-kevitra raha nanao zavatra tsy mety ianao.

Adiresy IP
Ny adiresy vavahady dia tsy maintsy azo idirana amin'ny Layer2. Ho an'ny Ethernet, midika izany fa ny router dia tsy maintsy manana adiresy avy amin'ny subnet mitovy amin'ny iray amin'ireo fifandraisana ip mavitrika, ho an'ny ppp, fa ny adiresy vavahady dia voafaritra amin'ny iray amin'ireo fifandraisana mavitrika ho toy ny adiresy subnet.
Raha tsy feno ny fepetra fidirana ho an'ny Layer2, dia heverina ho tsy mavitrika ny lalana ary tsy tafiditra ao anatin'ny FIB.

interface tsara
Sarotra kokoa ny zava-drehetra ary miankina amin'ny karazana interface tsara ny fihetsiky ny router:

  • Ny fifandraisana PPP (Async, PPTP, L2TP, SSTP, PPPoE, OpenVPN *) dia mihevi-tena ho mpandray anjara roa ihany ary halefa any amin'ny vavahady ho amin'ny fandefasana foana ny fonosana, raha hitan'ny vavahady fa ny mpandray azy dia hamindra ny fonosana mankany ny fizotrany eo an-toerana.
    Ny fototry ny Routing Static amin'ny Mikrotik RouterOS
  • Ethernet dia mihevitra ny fisian'ny mpandray anjara maro ary handefa fangatahana amin'ny interface arp miaraka amin'ny adiresin'ny mpandray ny fonosana, andrasana izany ary fihetsika mahazatra ho an'ny lalana mifandray.
    Fa rehefa miezaka ny mampiasa ny interface tsara ho toy ny lalana ho an'ny lavitra subnet, dia hahazo izao toe-javatra manaraka izao: ny lalana dia mavitrika, ping ny vavahady mandalo, fa tsy tonga any amin'ny mpandray avy amin'ny voafaritra subnet. Raha mijery ny interface amin'ny alalan'ny sniffer ianao dia ho hitanao ny fangatahana arp misy adiresy avy amin'ny subnet lavitra.
    Ny fototry ny Routing Static amin'ny Mikrotik RouterOS

Ny fototry ny Routing Static amin'ny Mikrotik RouterOS

Andramo ny mamaritra ny adiresy ip ho vavahady raha azo atao. Ny maningana dia zotra mifandray (voaforona ho azy) sy PPP (Async, PPTP, L2TP, SSTP, PPPoE, OpenVPN*).

Ny OpenVPN dia tsy misy lohatenin'ny PPP, fa azonao atao ny mampiasa ny anaran'ny interface OpenVPN hamoronana lalana.

Lalana manokana kokoa

Fitsipika zotra fototra. Ny lalana mamaritra ny subnet kely kokoa (miaraka amin'ny saron-tava subnet lehibe indrindra) no laharam-pahamehana amin'ny fanapahan-kevitry ny packet. Ny toeran'ny fidirana ao amin'ny tabilao zotra dia tsy mifandraika amin'ny safidy - ny fitsipika fototra dia voafaritra kokoa.

Ny fototry ny Routing Static amin'ny Mikrotik RouterOS

Ny lalana rehetra avy amin'ny rafitra voafaritra dia mavitrika (ao amin'ny FIB). manondro subnets samy hafa ary tsy mifanipaka.

Raha tsy misy ny iray amin'ireo vavahady dia hoheverina ho tsy mavitrika (esorina amin'ny FIB) ny lalana mifandray ary hokarohina amin'ny lalana sisa ny fonosana.

Ny lalana misy subnet 0.0.0.0/0 dia omena dikany manokana indraindray ary antsoina hoe "Lalan-dalana" na "Vavahadin'ny lalana farany". Raha ny marina, tsy misy zava-mahagaga momba izany ary tafiditra ao anatin'izany fotsiny ny adiresy IPv4 azo atao, fa ireo anarana ireo dia mamaritra tsara ny asany - manondro ny vavahady izay handefasana fonosana izay tsy misy lalana hafa sy marina kokoa.

Ny saron-tava ambony indrindra azo atao ho an'ny IPv4 dia /32, ity lalana ity dia manondro mpampiantrano manokana ary azo ampiasaina amin'ny tabilao zotra.

Ny fahatakarana ny lalana voafaritra kokoa dia fototra amin'ny fitaovana TCP/IP rehetra.

Distance

Ny halavirana (na ny Metrika) dia takiana amin'ny fanivanana ara-pitantanana ny lalana mankany amin'ny subnet tokana azo idirana amin'ny vavahady maro. Ny zotra misy metrika ambany dia raisina ho laharam-pahamehana ary ho tafiditra ao anatin'ny FIB. Raha mitsahatra tsy mihetsiketsika intsony ny zotra misy metrika ambany kokoa, dia hosoloina zotra misy metrika ambony kokoa ao amin'ny FIB izany.
Ny fototry ny Routing Static amin'ny Mikrotik RouterOS

Raha misy lalana maromaro mankany amin'ny subnet mitovy miaraka amin'ny metrika mitovy, ny router dia tsy hanampy afa-tsy ny iray amin'izy ireo amin'ny tabilao FIB, tarihin'ny lojika anatiny.

Ny metrika dia afaka maka sanda manomboka amin'ny 0 ka hatramin'ny 255:
Ny fototry ny Routing Static amin'ny Mikrotik RouterOS

  • 0 - Metrika ho an'ny lalana mifandray. Ny halavirana 0 dia tsy azon'ny administratera apetraka
  • 1-254 - Famaritana azon'ny administratera amin'ny fametrahana lalana. Ny metrika manana sanda ambany dia manana laharam-pahamehana ambony
  • 255 - Famaritana azon'ny administratera amin'ny fametrahana lalana. Tsy toy ny 1-254, ny lalana misy metrika 255 dia mijanona ho tsy mavitrika ary tsy tafiditra ao anatin'ny FIB.
  • metrika manokana. Ny lalana azo avy amin'ny protocoles dynamic routing dia manana soatoavina metrika mahazatra

jereo vavahady

Check gateway dia fanitarana MikroTik RoutesOS hanamarinana ny fisian'ny vavahady amin'ny alΓ lan'ny icmp na arp. Indray mandeha isaky ny 10 segondra (tsy azo ovaina) dia alefa any amin'ny vavahady ny fangatahana, raha tsy voaray indroa ny valiny dia heverina fa tsy misy ny lalana ary esorina amin'ny FIB. Raha toa ka tsy nety ny vavahadin-tseky dia mitohy ny zotra fisavana ary havitrika indray ny lalana aorian'ny fisavana mahomby iray.
Ny fototry ny Routing Static amin'ny Mikrotik RouterOS

Check gateway dia manafoana ny fidirana izay nanamboarana azy sy ny fidirana hafa rehetra (amin'ny tabilao zotra rehetra sy ny lalana ecmp) miaraka amin'ny vavahady voatondro.

Amin'ny ankapobeny, miasa tsara ny vavahadin-tseky raha tsy misy olana amin'ny fahaverezan'ny fonosana amin'ny vavahady. Ny vavahady Check dia tsy mahafantatra ny zava-mitranga amin'ny fifandraisana ivelan'ny vavahady voamarika, mila fitaovana fanampiny izany: scripts, routing recursive, protocols dynamic routing.

Ny ankamaroan'ny protocols VPN sy tonelina dia misy fitaovana naorina ho an'ny fanaraha-maso ny hetsika fifandraisana, mamela ny vavahadin'ny fanamarinana ho azy ireo dia entana fanampiny (fa kely dia kely) amin'ny tamba-jotra sy ny fahombiazan'ny fitaovana.

ECMP lalana

Equal-Cost Multi-Path - fandefasana fonosana amin'ny mpandray mampiasa vavahady maromaro miaraka amin'ny algorithm Round Robin.

Ny zotra ECMP dia noforonin'ny mpitantana amin'ny famaritana vavahady maromaro ho an'ny subnet iray (na mandeha ho azy, raha misy lalana OSPF roa mitovy).
Ny fototry ny Routing Static amin'ny Mikrotik RouterOS

Ny ECMP dia ampiasaina amin'ny fampifandanjana entana eo anelanelan'ny fantsona roa, amin'ny teoria, raha misy fantsona roa ao amin'ny lalan'ny ecmp, dia ho an'ny fonosana tsirairay ny fantsona mivoaka. Fa ny rafitra cache Routing dia mandefa fonosana avy amin'ny fifandraisana amin'ny lalana izay nalain'ny fonosana voalohany, vokatr'izany dia mahazo karazana fifandanjana mifototra amin'ny fifandraisana isika (per-connection loading balancing).

Raha esorinao ny Routing Cache, dia hozaraina tsara ny fonosana ao amin'ny lalana ECMP, saingy misy olana amin'ny NAT. Ny fitsipiky ny NAT ihany no mamadika ny fonosana voalohany avy amin'ny fifandraisana (ny ambiny dia voahodina ho azy), ary hita fa ny fonosana miaraka amin'ny adiresy loharano iray ihany dia mamela interface hafa.
Ny fototry ny Routing Static amin'ny Mikrotik RouterOS

Tsidiho ny vavahady tsy mandeha amin'ny lalana ECMP (RouterOS bug). Saingy azonao atao ny miala amin'io fetra io amin'ny alΓ lan'ny famoronana lalana fanamarinana fanampiny izay hanakana ny fidirana ao amin'ny ECMP.

Sivana amin'ny alalan'ny Routing

Ny safidy Type dia mamaritra izay tokony hatao amin'ny fonosana:

  • unicast - alefaso any amin'ny vavahady voafaritra (interface)
  • blackhole - manary fonosana
  • mandrara, tsy azo tratrarina - esory ny fonosana ary mandefa hafatra icmp amin'ny mpandefa

Ny sivana dia matetika ampiasaina rehefa ilaina ny fiarovana ny fandefasana fonosana amin'ny lalana diso, mazava ho azy, azonao atao ny manivana izany amin'ny alΓ lan'ny firewall.

Ohatra roa

Mba hanamafisana ireo zavatra fototra momba ny zotra.

Ny router an-trano mahazatra
Ny fototry ny Routing Static amin'ny Mikrotik RouterOS

/ip route
add dst-address=0.0.0.0/0 gateway=10.10.10.1

  1. Lalana static mankany 0.0.0.0/0 (lalana mahazatra)
  2. Lalana mifandray amin'ny interface miaraka amin'ny mpamatsy
  3. Lalana mifandray amin'ny interface LAN

Ny router an-trano mahazatra miaraka amin'ny PPPoE
Ny fototry ny Routing Static amin'ny Mikrotik RouterOS

  1. Lalana static mankany amin'ny lalana mahazatra, ampiana ho azy. voalaza ao amin'ny fananana fifandraisana
  2. Lalana mifandray amin'ny fifandraisana PPP
  3. Lalana mifandray amin'ny interface LAN

Ny router an-trano mahazatra miaraka amin'ny mpamatsy roa sy ny redundancy
Ny fototry ny Routing Static amin'ny Mikrotik RouterOS

/ip route
add dst-address=0.0.0.0/0 gateway=10.10.10.1 distance=1 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=10.20.20.1 distance=2

  1. Lalana static mankany amin'ny zotra default amin'ny alΓ lan'ny mpamatsy voalohany miaraka amin'ny metrika 1 sy fanamarinana ny fisian'ny vavahady
  2. Lalana static mankany amin'ny lalana mahazatra amin'ny mpamatsy faharoa miaraka amin'ny metrika 2
  3. Lalana mifandray

Ny fifamoivoizana mankany amin'ny 0.0.0.0/0 dia mandalo amin'ny 10.10.10.1 raha misy ity vavahady ity, raha tsy izany dia mivadika ho 10.20.20.1

Ny drafitra toy izany dia azo raisina ho famandrihana fantsona, saingy tsy misy tsy fahampiana izany. Raha misy fiatoana eo ivelan'ny vavahadin'ny mpamatsy (ohatra, ao anatin'ny tambajotran'ny mpandraharaha), tsy ho fantatry ny router-nao izany ary mbola hihevitra ny lalana ho mavitrika.

Ny router an-trano mahazatra miaraka amin'ny mpamatsy roa, redundancy ary ECMP
Ny fototry ny Routing Static amin'ny Mikrotik RouterOS

/ip route
add dst-address=0.0.0.0/0 gateway=10.10.10.1 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=10.20.20.1 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=10.10.10.1,10.20.20.1 distance=1

  1. Lalana static hanamarinana ny vavahadin'ny chack
  2. ECMP lalana
  3. Lalana mifandray

Ny lalana tokony hojerena dia manga (ny lokon'ny lalana tsy miasa), saingy tsy manelingelina ny vavahadin'ny fanamarinana izany. Ny dikan-teny ankehitriny (6.44) an'ny RoS dia manome laharam-pahamehana mandeha ho azy amin'ny lalana ECMP, fa tsara kokoa ny manampy lalan'ny fitsapana amin'ny tabilao zotra hafa (safidy routing-mark)

Ao amin'ny Speedtest sy ny tranokala hafa mitovy amin'izany, dia tsy hisy ny fitomboan'ny hafainganam-pandeha (ECMP mizara ny fifamoivoizana amin'ny fifandraisana, fa tsy amin'ny fonosana), fa ny fampiharana p2p dia tokony hampiditra haingana kokoa.

Sivana amin'ny alΓ lan'ny Routing
Ny fototry ny Routing Static amin'ny Mikrotik RouterOS

/ip route
add dst-address=0.0.0.0/0 gateway=10.10.10.1
add dst-address=192.168.200.0/24 gateway=10.30.30.1 distance=1
add dst-address=192.168.200.0/24 gateway=10.10.10.1 distance=2 type=blackhole

  1. Lalana static mankany amin'ny lalana default
  2. Lalana static mankany 192.168.200.0/24 amin'ny tonelina ipip
  3. Mandrara lalana static mankany 192.168.200.0/24 amin'ny alΓ lan'ny ISP router

Safidy fanivanana izay tsy handehanan'ny fifamoivoizana tonelina mankany amin'ny routern'ny mpamatsy rehefa kilemaina ny interface ipip. Mahalana no ilaina ny tetika toy izany, satria azonao atao ny mametraka fanakanana amin'ny alΓ lan'ny firewall.

Routing loop
Routing loop - toe-javatra iray rehefa misy fonosana mandeha eo anelanelan'ny router alohan'ny lany ny ttl. Matetika izany dia vokatry ny fahadisoana configuration, amin'ny tambajotra lehibe dia tsaboina amin'ny fampiharana ny dynamic routing protocols, amin'ny kely - amim-pitandremana.

Toa toy izao izany:
Ny fototry ny Routing Static amin'ny Mikrotik RouterOS

Ohatra (tsotra indrindra) amin'ny fomba hahazoana vokatra mitovy:
Ny fototry ny Routing Static amin'ny Mikrotik RouterOS

Ny ohatry ny routing Routing dia tsy misy fampiasana azo ampiharina, fa mampiseho fa ny routers dia tsy mahafantatra momba ny latabatra fitetezan'ny mpifanolobodirindrina aminy.

Fitsipi-dalana fototra sy tabilao fanampim-pitaterana

Rehefa mifidy lalana, ny router dia tsy mampiasa afa-tsy saha iray avy amin'ny lohapejy fonosana (Dst. Adiresy) - izany no lalana fototra. Ny fandehanana mifototra amin'ny fepetra hafa, toy ny adiresy loharano, karazana fifamoivoizana (ToS), ny fifandanjana tsy misy ECMP, dia an'ny Policy Base Routing (PBR) ary mampiasa latabatra fitetezana fanampiny.

Ny fototry ny Routing Static amin'ny Mikrotik RouterOS

Lalana manokana kokoa no fitsipika fifantenana zotra lehibe ao anatin'ny latabatra fitetezana.

Amin'ny alΓ lan'ny default, ampidirina ao amin'ny latabatra lehibe ny fitsipiky ny lalana rehetra. Ny administratera dia afaka mamorona isa tsy manara-penitra amin'ny tabilao fandalovana fanampiny sy packet zotra mankany amin'izy ireo. Ny fitsipika amin'ny latabatra samihafa dia tsy mifanipaka. Raha tsy mahita fitsipika mety amin'ny tabilao voatondro ny fonosana, dia handeha any amin'ny latabatra lehibe izany.

Ohatra misy fizarana amin'ny Firewall:
Ny fototry ny Routing Static amin'ny Mikrotik RouterOS

  • 192.168.100.10 -> 8.8.8.8
    1. Ny fifamoivoizana avy amin'ny 192.168.100.10 dia misy marika via-isp1 Π² [Prerouting|Mangle]
    2. Ao amin'ny dingana Routing eo amin'ny latabatra via-isp1 mitady lalana mankany amin'ny 8.8.8.8
    3. Lalana hita, ny fifamoivoizana dia alefa mankany amin'ny vavahady 10.10.10.1
  • 192.168.200.20 -> 8.8.8.8
    1. Ny fifamoivoizana avy amin'ny 192.168.200.20 dia misy marika via-isp2 Π² [Prerouting|Mangle]
    2. Ao amin'ny dingana Routing eo amin'ny latabatra via-isp2 mitady lalana mankany amin'ny 8.8.8.8
    3. Lalana hita, ny fifamoivoizana dia alefa mankany amin'ny vavahady 10.20.20.1
  • Raha toa ka tsy misy ny iray amin'ireo vavahady (10.10.10.1 na 10.20.20.1), dia handeha amin'ny latabatra ilay fonosana tena ary hitady lalana mety any

Olana amin'ny teny

RouterOS dia manana olana amin'ny teny sasany.
Rehefa miasa miaraka amin'ny fitsipika ao [IP]->[Routes] ny latabatra routing dia aseho, na dia voasoratra fa ny marika:
Ny fototry ny Routing Static amin'ny Mikrotik RouterOS

Π’ [IP]->[Routes]->[Rule] marina daholo ny zava-drehetra, amin'ny toe-javatra misy etikety ao amin'ny hetsika latabatra:
Ny fototry ny Routing Static amin'ny Mikrotik RouterOS

Ahoana ny fandefasana fonosana iray amin'ny latabatra fitetezana manokana

RouterOS dia manome fitaovana maromaro:

  • Fitsipika ao amin'ny [IP]->[Routes]->[Rules]
  • Famantarana lalana (action=mark-routing) amin'ny [IP]->[Firewall]->[Mangle]
  • VRF

fitsipika [IP]->[Route]->[Rules]
Ny fitsipika dia karakaraina araka ny filaharany, raha mifanaraka amin'ny fepetran'ny fitsipika ny fonosana, dia tsy mandroso izany.

Ny fitsipiky ny lalana dia ahafahanao manitatra ny fahafahan'ny zotra, tsy miankina amin'ny adiresin'ny mpandray ihany, fa koa amin'ny adiresy loharano sy ny interface izay noraisin'ny fonosana.

Ny fototry ny Routing Static amin'ny Mikrotik RouterOS

Ny fitsipika dia misy fepetra sy hetsika:

  • Fepetra. Avereno matetika ny lisitry ny famantarana izay manamarina ny fonosana ao amin'ny FIB, ToS ihany no tsy hita.
  • ДСйствия
    • fitadiavana - mandefa fonosana amina latabatra
    • Jereo fotsiny amin'ny latabatra - hidio ny fonosana ao anaty latabatra, raha tsy hita ny lalana dia tsy handeha amin'ny latabatra lehibe ny fonosana
    • mitete - mandatsaka fonosana
    • tsy azo tratrarina - ario ny fonosana misy fampandrenesana mpandefa

Ao amin'ny FIB, ny fifamoivoizana mankany amin'ny dingana eo an-toerana dia karakaraina amin'ny alΓ lan'ny fitsipika [IP]->[Route]->[Rules]:
Ny fototry ny Routing Static amin'ny Mikrotik RouterOS

nanamarika [IP]->[Firewall]->[Mangle]
Ny etikety zotra dia ahafahanao mametraka ny vavahady ho an'ny fonosana iray amin'ny fampiasana saika fepetra Firewall:
Ny fototry ny Routing Static amin'ny Mikrotik RouterOS

Amin'ny ankapobeny, satria tsy izy rehetra no mitombina, ary ny sasany mety miasa tsy milamina.

Ny fototry ny Routing Static amin'ny Mikrotik RouterOS

Misy fomba roa hametahana fonosana:

  • Apetraho avy hatrany marika routing
  • Ataovy aloha fifandraisana-marika, dia mifototra amin'ny fifandraisana-marika mametraka marika routing

Ao amin'ny lahatsoratra iray momba ny firewall, nanoratra aho fa ny safidy faharoa dia aleo kokoa. mampihena ny enta-mavesatra eo amin'ny cpu, amin'ny tranga manamarika ny lalana - tsy marina izany. Tsy mitovy foana ireo fomba fanaovana marika ireo ary matetika ampiasaina hamahana olana isan-karazany.

Ohatra amin'ny fampiasana

Andeha isika hiroso amin'ny ohatra amin'ny fampiasana Policy Base Routing, mora kokoa ny mampiseho ny antony ilana izany rehetra izany.

MultiWAN sy fiverenana mivoaka (Output) fifamoivoizana
Olana mahazatra amin'ny fanamafisana MultiWAN: Mikrotik dia tsy misy afa-tsy amin'ny Internet amin'ny alΓ lan'ny mpamatsy "mavitrika".
Ny fototry ny Routing Static amin'ny Mikrotik RouterOS

Ny router dia tsy miraharaha izay ip tonga amin'ny fangatahana, rehefa mamorona valiny, dia hitady lalana ao amin'ny tabilao routing izay miasa ny lalana amin'ny isp1. Ankoatra izany, ny fonosana toy izany dia azo inoana fa ho voasivana eny an-dalana mankany amin'ny mpandray.

Hevitra iray hafa mahaliana. Raha misy loharano nat "tsotra" napetraka ao amin'ny interface ether1: /ip fi nat add out-interface=ether1 action=masquerade ny fonosana dia handeha an-tserasera miaraka amin'ny src. adiresy=10.10.10.100, izay vao mainka ratsy kokoa.

Misy fomba maromaro hamahana ny olana, fa ny iray amin'izy ireo dia mitaky tabilao fandrindrana fanampiny:
Ny fototry ny Routing Static amin'ny Mikrotik RouterOS

/ip route
add dst-address=0.0.0.0/0 gateway=10.10.10.1 check-gateway=ping distance=1
add dst-address=0.0.0.0/0 gateway=10.20.20.1 check-gateway=ping distance=2
add dst-address=0.0.0.0/0 gateway=10.10.10.1 routing-mark=over-isp1
add dst-address=0.0.0.0/0 gateway=10.20.20.1 routing-mark=over-isp2

ny fampiasana ny [IP]->[Route]->[Rules]
Lazao ny tabilao fandrindrana izay hampiasaina amin'ny fonosana misy ny IP Loharano voatondro.
Ny fototry ny Routing Static amin'ny Mikrotik RouterOS

/ip route rule
add src-address=10.10.10.100/32 action=lookup-only-in-table table=over-isp1
add src-address=10.20.20.200/32 action=lookup-only-in-table table=over-isp2

Azo ampiasaina action=lookup, fa ho an'ny fifamoivoizana mivoaka eo an-toerana, ity safidy ity dia manilika tanteraka ny fifandraisana amin'ny interface diso.

  • Ny rafitra dia mamorona fonosana valiny miaraka amin'ny Src. Adiresy: 10.20.20.200
  • Ny fanapahan-kevitra momba ny lalana (2) dia manamarina [IP]->[Routes]->[Rules] ary ny fonosana dia alefa any amin'ny latabatra routing over-isp2
  • Araka ny tabilao routing, ny fonosana dia tsy maintsy alefa any amin'ny vavahady 10.20.20.1 amin'ny alΓ lan'ny interface ether2

Ny fototry ny Routing Static amin'ny Mikrotik RouterOS

Ity fomba ity dia tsy mitaky Tracker Connection miasa, tsy toy ny fampiasana ny latabatra Mangle.

ny fampiasana ny [IP]->[Firewall]->[Mangle]
Ny fifandraisana dia manomboka amin'ny fonosana miditra, ka mariho izany (action=mark-connection), ho an'ny fonosana mivoaka avy amin'ny fifandraisana voamarika, apetraho ny mari-pamantarana zotra (action=mark-routing).
Ny fototry ny Routing Static amin'ny Mikrotik RouterOS

/ip firewall mangle
#ΠœΠ°Ρ€ΠΊΠΈΡ€ΠΎΠ²ΠΊΠ° входящих соСдинСний
add chain=input in-interface=ether1 connection-state=new action=mark-connection new-connection-mark=from-isp1
add chain=input in-interface=ether2 connection-state=new action=mark-connection new-connection-mark=from-isp2
#ΠœΠ°Ρ€ΠΊΠΈΡ€ΠΎΠ²ΠΊΠ° исходящих ΠΏΠ°ΠΊΠ΅Ρ‚ΠΎΠ² Π½Π° основС соСдинСний
add chain=output connection-mark=from-isp1 action=mark-routing new-routing-mark=over-isp1 passthrough=no
add chain=output connection-mark=from-isp2 action=mark-routing new-routing-mark=over-isp2 passthrough=no

Raha ips maromaro no namboarina amin'ny interface iray dia azonao ampiana ilay fepetra dst-address azo antoka.

  • Ny fonosana dia manokatra ny fifandraisana amin'ny interface ether2. Ny fonosana dia miditra ao [INPUT|Mangle] izay milaza ny hanamarika ny fonosana rehetra avy amin'ny fifandraisana ho avy-isp2
  • Ny rafitra dia mamorona fonosana valiny miaraka amin'ny Src. Adiresy: 10.20.20.200
  • Ao amin'ny dingana Fanapahan-dΓ lana (2), ny packet, mifanaraka amin'ny tabilao routing, dia alefa any amin'ny vavahady 10.20.20.1 amin'ny alΓ lan'ny interface ether1. Azonao atao ny manamarina izany amin'ny fampidirana ireo fonosana [OUTPUT|Filter]
  • Eo amin'ny sehatra [OUTPUT|Mangle] voamarina ny mari-pamantarana fifandraisana avy-isp2 ary ny fonosana dia mahazo mari-pamantarana lalana over-isp2
  • Ny dingana Fanitsiana lalana(3) dia manamarina ny fisian'ny mari-pamantarana zotra ary mandefa izany any amin'ny latabatra fampitaovana mety.
  • Araka ny tabilao routing, ny fonosana dia tsy maintsy alefa any amin'ny vavahady 10.20.20.1 amin'ny alΓ lan'ny interface ether2

Ny fototry ny Routing Static amin'ny Mikrotik RouterOS

MultiWAN ary mamerina ny fifamoivoizana dst-nat

Ny ohatra iray dia sarotra kokoa, inona no tokony hatao raha misy mpizara (ohatra, tranonkala) ao ambadiky ny router amin'ny subnet manokana ary mila manome fidirana amin'izany ianao amin'ny alΓ lan'ny mpamatsy rehetra.

/ip firewall nat
add chain=dstnat proto=tcp dst-port=80,443 in-interface=ether1 action=dst-nat to-address=192.168.100.100
add chain=dstnat proto=tcp dst-port=80,443 in-interface=ether2 action=dst-nat to-address=192.168.100.100

Ny fototry ny olana dia hitovy, ny vahaolana dia mitovy amin'ny safidy Firewall Mangle, rojo hafa ihany no ampiasaina:
Ny fototry ny Routing Static amin'ny Mikrotik RouterOS

/ip firewall mangle
add chain=prerouting connection-state=new in-interface=ether1 protocol=tcp dst-port=80,443 action=mark-connection new-connection-mark=web-input-isp1
add chain=prerouting connection-state=new in-interface=ether2 protocol=tcp dst-port=80,443 action=mark-connection new-connection-mark=web-input-isp2
add chain=prerouting connection-mark=web-input-isp1 in-interface=ether3 action=mark-routing new-routing-mark=over-isp1 passthrough=no
add chain=prerouting connection-mark=web-input-isp2 in-interface=ether3 action=mark-routing new-routing-mark=over-isp2 passthrough=no

Ny fototry ny Routing Static amin'ny Mikrotik RouterOS
Ny diagram dia tsy mampiseho NAT, fa heveriko fa mazava ny zava-drehetra.

MultiWAN sy fifandraisana ivelany

Azonao atao ny mampiasa ny fahaizan'ny PBR hamoronana fifandraisana vpn (SSTP amin'ny ohatra) avy amin'ny fifandraisan'ny router samihafa.

Ny fototry ny Routing Static amin'ny Mikrotik RouterOS

Tabilao zotra fanampiny:

/ip route
add dst-address=0.0.0.0/0 gateway=192.168.100.1 routing-mark=over-isp1
add dst-address=0.0.0.0/0 gateway=192.168.200.1 routing-mark=over-isp2
add dst-address=0.0.0.0/0 gateway=192.168.0.1 routing-mark=over-isp3

add dst-address=0.0.0.0/0 gateway=192.168.100.1 distance=1
add dst-address=0.0.0.0/0 gateway=192.168.200.1 distance=2
add dst-address=0.0.0.0/0 gateway=192.168.0.1 distance=3

marika fonosana:

/ip firewall mangle
add chain=output dst-address=10.10.10.100 proto=tcp dst-port=443 action=mark-routing new-routing-mark=over-isp1 passtrough=no
add chain=output dst-address=10.10.10.101 proto=tcp dst-port=443 action=mark-routing new-routing-mark=over-isp2 passtrough=no
add chain=output dst-address=10.10.10.102 proto=tcp dst-port=443 action=mark-routing new-routing-mark=over-isp3 passtrough=no

Fitsipika NAT tsotra, raha tsy izany dia handao ny interface miaraka amin'ny Src diso ny fonosana. adiresy:

/ip firewall nat
add chain=srcnat out-interface=ether1 action=masquerade
add chain=srcnat out-interface=ether2 action=masquerade
add chain=srcnat out-interface=ether3 action=masquerade

Parsing:

  • Ny router dia mamorona dingana SSTP telo
  • Amin'ny dingan'ny Fanapahan-dΓ lana (2) dia misy lalana nofantenana ho an'ireo dingana ireo mifototra amin'ny tabilao fampitaovana lehibe. Avy amin'ny lalana iray ihany, ny fonosana dia mahazo Src. Adiresy mifamatotra amin'ny interface ether1
  • Π’ [Output|Mangle] Ny fonosana avy amin'ny fifandraisana samihafa dia mahazo marika samihafa
  • Ny fonosana dia miditra amin'ny latabatra mifanandrify amin'ny etikety amin'ny dingana Fanitsiana lalana ary mahazo lalana vaovao handefasana fonosana
  • Saingy mbola misy Src ny fonosana. Adiresy avy amin'ny ether1, eny an-tsehatra [Nat|Srcnat] ny adiresy dia soloina araka ny interface tsara

Mahaliana fa amin'ny router dia ho hitanao ity tabilao fifandraisana manaraka ity:
Ny fototry ny Routing Static amin'ny Mikrotik RouterOS

Ny Connection Tracker dia mandeha aloha [Mangle] ΠΈ [Srcnat], noho izany ny fifandraisana rehetra dia avy amin'ny adiresy iray ihany, raha mijery amin'ny antsipiriany bebe kokoa ianao, dia ao Replay Dst. Address hisy adiresy aorian'ny NAT:
Ny fototry ny Routing Static amin'ny Mikrotik RouterOS

Ao amin'ny mpizara VPN (manana iray eo amin'ny dabilio fitsapana aho), hitanao fa avy amin'ny adiresy marina ny fifandraisana rehetra:
Ny fototry ny Routing Static amin'ny Mikrotik RouterOS

Miandrasa fomba
Misy fomba mora kokoa, azonao atao ny mamaritra vavahady manokana ho an'ny adiresy tsirairay:

/ip route
add dst-address=10.10.10.100 gateway=192.168.100.1
add dst-address=10.10.10.101 gateway=192.168.200.1
add dst-address=10.10.10.102 gateway=192.168.0.1

Tsy ny fivoahana ihany anefa no hisy fiantraikany amin’ny zotra toy izany fa ny fifamoivoizana koa. Fanampin'izay, raha tsy mila fifamoivoizana mankany amin'ny mpizara vpn ianao handehanana amin'ny fantsom-pifandraisana tsy mendrika, dia tsy maintsy ampiana fitsipika 6 fanampiny ianao. [IP]->[Routes]с type=blackhole. Ao amin'ny dikan-teny teo aloha - 3 fitsipika in [IP]->[Route]->[Rules].

Fizarana ny fifandraisan'ny mpampiasa amin'ny alΓ lan'ny fantsom-pifandraisana

Tsotra, asa andavanandro. Averina indray, mila tabilao zotra fanampiny:

/ip route
add dst-address=0.0.0.0/0 gateway=10.10.10.1 dist=1 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=10.20.20.1 dist=2 check-gateway=ping

add dst-address=0.0.0.0/0 gateway=10.10.10.1 dist=1 routing-mark=over-isp1
add dst-address=0.0.0.0/0 gateway=10.20.20.1 dist=1 routing-mark=over-isp2

mampiasa [IP]->[Route]->[Rules]
Ny fototry ny Routing Static amin'ny Mikrotik RouterOS

/ip route rules
add src-address=192.168.100.0/25 action=lookup-only-in-table table=over-isp1
add src-address=192.168.100.128/25 action=lookup-only-in-table table=over-isp2

Raha mampiasa ianao action=lookup, dia rehefa kilemaina ny iray amin'ireo fantsona, dia handeha amin'ny latabatra lehibe ny fifamoivoizana ary handeha amin'ny fantsona miasa. Na ilaina izany na tsia dia miankina amin'ny asa.

Mampiasa ny marika amin'ny [IP]->[Firewall]->[Mangle]
Ohatra tsotra misy lisitry ny adiresy ip. Amin'ny ankapobeny, saika ny fepetra rehetra dia azo ampiasaina. Ny hany fampitandremana amin'ny layer7, na dia ampiarahina amin'ny marika fifandraisana aza, dia mety ho toa mandeha tsara ny zava-drehetra, fa ny sasany amin'ny fifamoivoizana dia mbola handeha amin'ny lalana diso.
Ny fototry ny Routing Static amin'ny Mikrotik RouterOS

/ip firewall mangle
add chain=prerouting src-address-list=users-over-isp1 dst-address-type=!local action=mark-routing new-routing-mark=over-isp1
add chain=prerouting src-address-list=users-over-isp2 dst-address-type=!local action=mark-routing new-routing-mark=over-isp2

Azonao atao ny "hihidy" ny mpampiasa amin'ny latabatra fandalovana iray [IP]->[Route]->[Rules]:

/ip route rules
add routing-mark=over-isp1 action=lookup-only-in-table table=over-isp1
add routing-mark=over-isp2 action=lookup-only-in-table table=over-isp2

Na amin'ny alalan'ny [IP]->[Firewall]->[Filter]:

/ip firewall filter
add chain=forward routing-mark=over-isp1 out-interface=!ether1 action=reject
add chain=forward routing-mark=over-isp2 out-interface=!ether2 action=reject

Retreat pro dst-address-type=!local
Fepetra fanampiny dst-address-type=!local ilaina ny fifamoivoizana avy amin'ny mpampiasa mankany amin'ny dingana eo an-toerana amin'ny router (dns, winbox, ssh, ...). Raha misy subnets eo an-toerana mifandray amin'ny router, dia ilaina ny miantoka fa ny fifamoivoizana eo anelanelan'izy ireo dia tsy mandeha amin'ny Internet, ohatra, mampiasa dst-address-table.

Ao amin'ny ohatra mampiasa [IP]->[Route]->[Rules] tsy misy maningana toy izany, fa tonga any an-toerana ny fifamoivoizana. Ny zava-misy dia ny fidirana ao amin'ny fonosana FIB voamarika [PREROUTING|Mangle] dia manana mari-pamantarana lalana ary miditra amin'ny tabilao zotra ankoatry ny main, izay tsy misy interface tsara eo an-toerana. Amin'ny trangan'ny Fitsipika Fandrosoana, dia jerena aloha raha natao ho an'ny dingana eo an-toerana ny fonosana ary eo amin'ny sehatry ny User PBR ihany no mandeha any amin'ny latabatra fitetezana voatondro.

mampiasa [IP]->[Firewall]->[Mangle action=route]
Ity hetsika ity ihany no miasa ao [Prerouting|Mangle] ary mamela anao hitantana ny fifamoivoizana mankany amin'ny vavahady voatondro nefa tsy mampiasa latabatra fitetezana fanampiny, amin'ny famaritana mivantana ny adiresy vavahady:

/ip firewall mangle
add chain=prerouting src-address=192.168.100.0/25 action=route gateway=10.10.10.1
add chain=prerouting src-address=192.168.128.0/25 action=route gateway=10.20.20.1

vokatry route manana laharam-pahamehana ambany kokoa noho ny fitsipika zotra ([IP]->[Route]->[Rules]). Raha ny marika lalana, ny zava-drehetra dia miankina amin'ny toerana misy ny fitsipika, raha ny fitsipika miaraka action=route sarobidy noho action=mark-route, dia hampiasaina izany (na inona na inona saina passtrough), raha tsy izany dia manamarika ny lalana.
Tsy dia misy fampahalalana firy ao amin'ny wiki momba ity hetsika ity ary ny fehin-kevitra rehetra dia azo andrana, na izany na tsy izany, tsy nahita safidy aho rehefa mampiasa ity safidy ity dia manome tombony amin'ny hafa.

PPC mifototra amin'ny fifandanjana dinamika

Per Connection Classifier - dia analogue mora kokoa amin'ny ECMP. Tsy toy ny ECMP, mizara ny fifamoivoizana amin'ny fifandraisana amin'ny fomba hentitra kokoa (ECMP dia tsy mahalala na inona na inona momba ny fifandraisana, fa rehefa ampiarahina amin'ny Routing Cache dia misy zavatra mitovitovy amin'izany).

PCC mandray saha voafaritra avy amin'ny lohatenin'ny ip, mamadika azy ireo ho sanda 32-bit, ary mizara amin'ny mpamaritra anarana. Ny ambiny amin'ny fizarana dia ampitahaina amin'ny voafaritra sisa ary raha mifanaraka izy ireo dia ampiharina ny hetsika voafaritra. More. Toa adala, fa miasa.
Ny fototry ny Routing Static amin'ny Mikrotik RouterOS

Ohatra misy adiresy telo:

192.168.100.10: 192+168+100+10 = 470 % 3 = 2
192.168.100.11: 192+168+100+11 = 471 % 3 = 0
192.168.100.12: 192+168+100+12 = 472 % 3 = 1

Ohatra iray amin'ny fizarana mavitrika ny fifamoivoizana amin'ny src.address eo anelanelan'ny fantsona telo:
Ny fototry ny Routing Static amin'ny Mikrotik RouterOS

#Π’Π°Π±Π»ΠΈΡ†Π° ΠΌΠ°Ρ€ΡˆΡ€ΡƒΡ‚ΠΈΠ·Π°Ρ†ΠΈΠΈ
/ip route
add dst-address=0.0.0.0/0 gateway=10.10.10.1 dist=1 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=10.20.20.1 dist=2 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=10.30.30.1 dist=3 check-gateway=ping

add dst-address=0.0.0.0/0 gateway=10.10.10.1 dist=1 routing-mark=over-isp1
add dst-address=0.0.0.0/0 gateway=10.20.20.1 dist=1 routing-mark=over-isp2
add dst-address=0.0.0.0/0 gateway=10.30.30.1 dist=1 routing-mark=over-isp3

#ΠœΠ°Ρ€ΠΊΠΈΡ€ΠΎΠ²ΠΊΠ° соСдинСний ΠΈ ΠΌΠ°Ρ€ΡˆΡ€ΡƒΡ‚ΠΎΠ²
/ip firewall mangle
add chain=prerouting in-interface=br-lan dst-address-type=!local connection-state=new per-connection-classifier=src-address:3/0 action=mark-connection new-connection-mark=conn-over-isp1
add chain=prerouting in-interface=br-lan dst-address-type=!local connection-state=new per-connection-classifier=src-address:3/1 action=mark-connection new-connection-mark=conn-over-isp2
add chain=prerouting in-interface=br-lan dst-address-type=!local connection-state=new per-connection-classifier=src-address:3/2 action=mark-connection new-connection-mark=conn-over-isp3

add chain=prerouting in-interface=br-lan connection-mark=conn-over-isp1 action=mark-routing new-routing-mark=over-isp1
add chain=prerouting in-interface=br-lan connection-mark=conn-over-isp2 action=mark-routing new-routing-mark=over-isp2
add chain=prerouting in-interface=br-lan connection-mark=conn-over-isp3 action=mark-routing new-routing-mark=over-isp3

Misy fepetra fanampiny rehefa manamarika ny lalana: in-interface=br-lan, tsy misy azy eo ambany action=mark-routing Ny fifamoivoizana valiny avy amin'ny Internet dia hahazo ary, mifanaraka amin'ny tabilao fampitaovana, dia hiverina any amin'ny mpamatsy.

Famadihana fantsona fifandraisana

Ny Check ping dia fitaovana tsara, saingy manamarina fotsiny ny fifandraisana amin'ny IP peer akaiky indrindra, ny tambajotra mpamatsy matetika dia misy router marobe ary mety hitranga ivelan'ny peer akaiky indrindra ny fahatapahan'ny fifandraisana, ary avy eo dia misy mpandraharaha telecom backbone izay mety koa. manana olana, amin'ny ankapobeny, ny ping fanamarinana dia tsy mampiseho ny vaovao farany momba ny fidirana amin'ny tambajotra manerantany.
Raha manana ny BGP dynamic routing protocol ny mpamatsy sy ny orinasa lehibe, dia ny mpampiasa an-trano sy ny birao dia tsy maintsy mandinika manokana ny fomba hanamarinana ny fidirana amin'ny Internet amin'ny alΓ lan'ny fantsom-pifandraisana manokana.

Amin'ny ankapobeny, ny script dia ampiasaina izay, amin'ny alΓ lan'ny fantsom-pifandraisana iray, manamarina ny fisian'ny adiresy ip amin'ny Internet, rehefa misafidy zavatra azo itokisana, ohatra, google dns: 8.8.8.8. 8.8.4.4. Saingy ao amin'ny vondrom-piarahamonina Mikrotik, fitaovana mahaliana kokoa no namboarina ho an'izany.

Teny vitsivitsy momba ny lalana miverimberina
Recursive routing dia ilaina rehefa manangana Multihop BGP peering ary niditra tao amin'ny lahatsoratra momba ny fototry ny static routing ihany noho ny fetsy mpampiasa MikroTik izay nihevitra ny fomba fampiasana ny recursive lalana miaraka amin'ny check gateway mba hanova ny fifandraisana tsy misy script fanampiny.

Fotoana izao ahafantarana ireo safidy velarana / tanjona amin'ny teny ankapobeny sy ny fomba ifandraisan'ny lalana amin'ny interface:
Ny fototry ny Routing Static amin'ny Mikrotik RouterOS

  1. Ny lalana dia mikaroka interface iray handefasana ny fonosana mifototra amin'ny sandan'ny sehatra misy azy sy ny fidirana rehetra ao amin'ny tabilao lehibe miaraka amin'ny sandan'ny sehatra kendrena latsaka na mitovy.
  2. Avy amin'ireo interface tsara hita, dia voafantina ilay iray ahafahanao mandefa fonosana mankany amin'ny vavahady voafaritra
  3. Ny interface amin'ny fidirana mifandray hita dia voafantina handefasana ny fonosana ho any amin'ny vavahady

Eo anatrehan'ny lalana miverimberina dia mitovy daholo ny zava-drehetra, fa amin'ny dingana roa:
Ny fototry ny Routing Static amin'ny Mikrotik RouterOS

  • 1-3 Lalana iray fanampiny no ampiana amin'ireo zotra mifandray, izay ahafahan'ny vavahady voafaritra
  • 4-6 Fitadiavana ny lalana mifandray amin'ny vavahady "intermediate".

Ny fanodinkodinana rehetra miaraka amin'ny fikarohana miverimberina dia mitranga ao amin'ny RIB, ary ny vokatra farany ihany no afindra any amin'ny FIB: 0.0.0.0/0 via 10.10.10.1 on ether1.

Ohatra iray amin'ny fampiasana routing recursive hanovana lalana
Ny fototry ny Routing Static amin'ny Mikrotik RouterOS

Fanamboarana:
Ny fototry ny Routing Static amin'ny Mikrotik RouterOS

/ip route
add dst-address=0.0.0.0/0 gateway=8.8.8.8 check-gateway=ping distance=1 target-scope=10
add dst-address=8.8.8.8 gateway=10.10.10.1 scope=10
add dst-address=0.0.0.0/0 gateway=10.20.20.1 distance=2

Azonao atao ny manamarina fa halefa any amin'ny 10.10.10.1 ny fonosana:
Ny fototry ny Routing Static amin'ny Mikrotik RouterOS

Check gateway dia tsy mahalala na inona na inona momba ny routing recursive ary mandefa pings fotsiny amin'ny 8.8.8.8, izay (mifototra amin'ny latabatra lehibe) dia azo idirana amin'ny vavahady 10.10.10.1.

Raha toa ka very ny fifandraisana eo amin'ny 10.10.10.1 sy 8.8.8.8, dia tapaka ny lalana, fa ny fonosana (anisan'izany ny ping fitsapana) mankany amin'ny 8.8.8.8 dia manohy ny 10.10.10.1:
Ny fototry ny Routing Static amin'ny Mikrotik RouterOS

Raha very ny rohy mankany amin'ny ether1, dia misy toe-javatra tsy mahafinaritra mitranga rehefa mandalo amin'ny mpamatsy faharoa ny fonosana alohan'ny 8.8.8.8:
Ny fototry ny Routing Static amin'ny Mikrotik RouterOS

Olana izany raha mampiasa NetWatch ianao hampandehanana script rehefa tsy misy ny 8.8.8.8. Raha tapaka ny rohy, ny NetWatch dia hiasa amin'ny alΓ lan'ny fantsom-pifandraisana backup ary hihevitra fa tsara ny zava-drehetra. Voavaha tamin'ny fampidirana lalana sivana fanampiny:

/ip route
add dst-address=8.8.8.8 gateway=10.20.20.1 distance=100 type=blackhole

Ny fototry ny Routing Static amin'ny Mikrotik RouterOS

Misy amin'ny habrΓ© lahatsoratra, izay hijerena amin'ny antsipiriany bebe kokoa ny toe-javatra misy ny NetWatch.

Ary eny, rehefa mampiasa famandrihana toy izany, ny adiresy 8.8.8.8 dia hosokajiana mafy amin'ny iray amin'ireo mpamatsy, noho izany dia tsy hevitra tsara ny fisafidianana azy ho loharano dns.

Teny vitsivitsy momba ny Virtual Routing and Forwarding (VRF)

Ny teknolojia VRF dia natao hamoronana router virtoaly maromaro ao anatin'ny vatana iray, ity teknolojia ity dia ampiasain'ny mpandraharaha telecom (matetika miaraka amin'ny MPLS) mba hanomezana tolotra L3VPN ho an'ny mpanjifa miaraka amin'ny adiresy subnet mifanindry:
Ny fototry ny Routing Static amin'ny Mikrotik RouterOS

Fa ny VRF ao amin'ny Mikrotik dia voalamina amin'ny alΓ lan'ny tabilao routing ary misy fatiantoka maromaro, ohatra, ny adiresy IP an'ny router dia azo alaina amin'ny VRF rehetra, afaka mamaky bebe kokoa ianao. rohy.

ohatra config vrf:
Ny fototry ny Routing Static amin'ny Mikrotik RouterOS

/ip route vrf
add interfaces=ether1 routing-mark=vrf1
add interfaces=ether2 routing-mark=vrf2

/ip address
add address=192.168.100.1/24 interface=ether1 network=192.168.100.0
add address=192.168.200.1/24 interface=ether2 network=192.168.200.0

Avy amin'ny fitaovana mifandray amin'ny ether2 dia hitantsika fa mankany amin'ny adiresy router avy amin'ny vrf hafa ny ping (ary olana izany), raha tsy mandeha amin'ny Internet ny ping:
Ny fototry ny Routing Static amin'ny Mikrotik RouterOS

Raha te hiditra amin'ny Internet ianao dia mila misoratra anarana lalana fanampiny izay miditra amin'ny latabatra lehibe (amin'ny teny vrf, antsoina hoe route leaking):
Ny fototry ny Routing Static amin'ny Mikrotik RouterOS

/ip route
add distance=1 gateway=172.17.0.1@main routing-mark=vrf1
add distance=1 gateway=172.17.0.1%wlan1 routing-mark=vrf2

Ireto misy fomba roa ahafahana mitete ny lalana: amin'ny fampiasana ny tabilao fampitaovana: 172.17.0.1@main ary mampiasa anarana interface: 172.17.0.1%wlan1.

Ary amboary ny marika ho an'ny fifamoivoizana miverina [PREROUTING|Mangle]:
Ny fototry ny Routing Static amin'ny Mikrotik RouterOS

/ip firewall mangle
add chain=prerouting in-interface=ether1 action=mark-connection new-connection-mark=from-vrf1 passthrough=no
add chain=prerouting connection-mark=from-vrf1 routing-mark=!vrf1 action=mark-routing new-routing-mark=vrf1 passthrough=no 
add chain=prerouting in-interface=ether2 action=mark-connection new-connection-mark=from-vrf2 passthrough=no
add chain=prerouting connection-mark=from-vrf2 routing-mark=!vrf1 action=mark-routing new-routing-mark=vrf2 passthrough=no

Ny fototry ny Routing Static amin'ny Mikrotik RouterOS

Subnets mitovy adiresy
Fandaminana ny fidirana amin'ny subnet miaraka amin'ny adiresy mitovy amin'ny router iray ihany amin'ny fampiasana VRF sy netmap:
Ny fototry ny Routing Static amin'ny Mikrotik RouterOS

Fanofanana fototra:

/ip route vrf
add interfaces=ether1 routing-mark=vrf1
add interfaces=ether2 routing-mark=vrf2

/ip address
add address=192.168.100.1/24 interface=ether1 network=192.168.100.0
add address=192.168.100.1/24 interface=ether2 network=192.168.100.0
add address=192.168.0.1/24 interface=ether3 network=192.168.0.0

fitsipika firewall:

#ΠœΠ°Ρ€ΠΊΠΈΡ€ΡƒΠ΅ΠΌ ΠΏΠ°ΠΊΠ΅Ρ‚Ρ‹ для ΠΎΡ‚ΠΏΡ€Π°Π²ΠΊΠΈ Π² ΠΏΡ€Π°Π²ΠΈΠ»ΡŒΠ½ΡƒΡŽ Ρ‚Π°Π±Π»ΠΈΡ†Ρƒ ΠΌΠ°Ρ€ΡˆΡ€ΡƒΡ‚ΠΈΠ·Π°Ρ†ΠΈΠΈ
/ip firewall mangle
add chain=prerouting dst-address=192.168.101.0/24 in-interface=ether3 action=mark-routing new-routing-mark=vrf1 passthrough=no
add chain=prerouting dst-address=192.168.102.0/24 in-interface=ether3 action=mark-routing new-routing-mark=vrf2 passthrough=no

#БрСдствами netmap замСняСм адрСса "эфимСрных" подсСтСй Π½Π° Ρ€Π΅Π°Π»ΡŒΠ½Ρ‹Π΅ подсСти
/ip firewall nat
add chain=dstnat dst-address=192.168.101.0/24 in-interface=ether3 action=netmap to-addresses=192.168.100.0/24
add chain=dstnat dst-address=192.168.102.0/24 in-interface=ether3 action=netmap to-addresses=192.168.100.0/24

Fitsipika momba ny fifamoivoizana miverina:

#Π£ΠΊΠ°Π·Π°Π½ΠΈΠ΅ ΠΈΠΌΠ΅Π½ΠΈ интСрфСйса Ρ‚ΠΎΠΆΠ΅ ΠΌΠΎΠΆΠ΅Ρ‚ ΡΡ‡ΠΈΡ‚Π°Ρ‚ΡŒΡΡ route leaking, Π½ΠΎ ΠΏΠΎ сути Ρ‚ΡƒΡ‚ создаСтся Π°Π½Π°Π»ΠΎΠ³ connected ΠΌΠ°Ρ€ΡˆΡ€ΡƒΡ‚Π°
/ip route
add distance=1 dst-address=192.168.0.0/24 gateway=ether3 routing-mark=vrf1
add distance=1 dst-address=192.168.0.0/24 gateway=ether3 routing-mark=vrf2

Manampy ny lalana azo amin'ny alalan'ny dhcp amin'ny tabilao zotra nomena
Mety hahaliana ny VRF raha mila manampy lalana mavitrika ianao (ohatra, avy amin'ny mpanjifa dhcp) mankany amin'ny latabatra fitetezana manokana.

Manampy interface amin'ny vrf:

/ip route vrf
add interface=ether1 routing-mark=over-isp1

Fitsipika momba ny fandefasana fifamoivoizana (mivoaka sy mivezivezy) amin'ny alΓ lan'ny latabatra over-isp1:

/ip firewall mangle
add chain=output out-interface=!br-lan action=mark-routing new-routing-mark=over-isp1 passthrough=no
add chain=prerouting in-interface=br-lan dst-address-type=!local action=mark-routing new-routing-mark=over-isp1 passthrough=no

Lalana sandoka fanampiny ho an'ny zotra mivoaka mankany am-piasana:

/interface bridge
add name=bare

/ip route
add dst-address=0.0.0.0/0 gateway=bare

Ity lalana ity dia ilaina fotsiny mba hahafahan'ireo fonosana mivoaka eo an-toerana mandalo amin'ny fanapahan-kevitry ny Routing (2) teo aloha [OUTPUT|Mangle] ary alao ny mari-pamantarana routing, raha misy lalana mavitrika hafa ao amin'ny router alohan'ny 0.0.0.0/0 ao amin'ny latabatra lehibe dia tsy ilaina izany.
Ny fototry ny Routing Static amin'ny Mikrotik RouterOS

gadra connected-in ΠΈ dynamic-in Π² [Routing] -> [Filters]

Ny sivana lalana (inbound sy outbound) dia fitaovana ampiasaina matetika miaraka amin'ny protocols dynamic routing (ary noho izany dia tsy misy afa-tsy aorian'ny fametrahana ny fonosana. tambazotra), fa misy rojo roa mahaliana ao amin'ireo sivana ho avy:

  • Connected-in β€” sivana lalana mifandray
  • dynamic-in - fanivanana lalana mavitrika azon'ny PPP sy DCHP

Ny sivana dia mamela anao tsy hanilika lalana fotsiny, fa hanova safidy maromaro ihany koa: halavirana, marika zotra, fanehoan-kevitra, velarana, velarana kendrena, ...

Ity dia fitaovana tena marina ary raha afaka manao zavatra tsy misy Routing Filters ianao (fa tsy script), dia aza mampiasa Routing Filters, aza afangaro ny tenanao sy ireo izay hanamboatra ny router manaraka anao. Eo amin'ny tontolon'ny fandalovana mavitrika dia hampiasaina matetika kokoa sy mamokatra kokoa ny Routing Filters.

Fametrahana ny marika zotra ho an'ny zotra mavitrika
Ohatra avy amin'ny router an-trano. Manana fifandraisana VPN roa aho ary ny fifamoivoizana ao aminy dia tokony hofonosina mifanaraka amin'ny tabilao zotra. Amin'izay fotoana izay ihany koa, tiako ny hamorona ho azy ireo lalana rehefa alefa ny interface:

#ΠŸΡ€ΠΈ создании vpn ΠΏΠΎΠ΄ΠΊΠ»ΡŽΡ‡Π΅Π½ΠΈΠΉ ΡƒΠΊΠ°Π·Ρ‹Π²Π°Π΅ΠΌ созданиС default route ΠΈ Π·Π°Π΄Π°Π΅ΠΌ Π΄ΠΈΡΡ‚Π°Π½Ρ†ΠΈΡŽ
/interface pptp-client
add connect-to=X.X.X.X add-default-route=yes default-route-distance=101 ...
add connect-to=Y.Y.Y.Y  add-default-route=yes default-route-distance=100 ...

#Π€ΠΈΠ»ΡŒΡ‚Ρ€Π°ΠΌΠΈ отправляСм ΠΌΠ°Ρ€ΡˆΡ€ΡƒΡ‚Ρ‹ Π² ΠΎΠΏΡ€Π΅Π΄Π΅Π»Π΅Π½Π½Ρ‹Π΅ Ρ‚Π°Π±Π»ΠΈΡ†Ρ‹ ΠΌΠ°Ρ€ΡˆΡ€ΡƒΡ‚ΠΈΠ·Π°Ρ†ΠΈΠΈ Π½Π° основС подсСти назначСния ΠΈ дистанции
/routing filter
add chain=dynamic-in distance=100 prefix=0.0.0.0/0 action=passthrough set-routing-mark=over-vpn1
add chain=dynamic-in distance=101 prefix=0.0.0.0/0 action=passthrough set-routing-mark=over-vpn2

Tsy fantatro ny antony, mety ho bug, fa raha mamorona vrf ho an'ny interface ppp ianao, dia mbola hiditra ao amin'ny latabatra lehibe ny lalana mankany amin'ny 0.0.0.0/0. Raha tsy izany dia ho mora kokoa ny zava-drehetra.

Esory ny lalana mifandray
Indraindray dia ilaina izany:

/route filter
add chain=connected-in prefix=192.168.100.0/24 action=reject

Debugging Tools

RouterOS dia manome fitaovana maromaro ho an'ny debugging routing:

  • [Tool]->[Tourch] - ahafahanao mijery fonosana amin'ny interface
  • /ip route check - mamela anao hahita izay vavahady handefasana ny fonosana, tsy mandeha amin'ny tabilao routing
  • /ping routing-table=<name> ΠΈ /tool traceroute routing-table=<name> - ping sy trace amin'ny alΓ lan'ny tabilao zotra voatondro
  • action=log Π² [IP]->[Firewall] - fitaovana tena tsara ahafahanao manara-maso ny lalan'ny fonosana iray manaraka ny fikorianan'ny fonosana, ity hetsika ity dia misy amin'ny rojo sy latabatra rehetra

Source: www.habr.com

Add a comment