🥇 Mikrotik RouterOS मधील स्टॅटिक रूटिंग मूलभूत गोष्टी

राउटिंग ही TCP/IP नेटवर्कवर पॅकेट प्रसारित करण्यासाठी सर्वोत्तम मार्ग शोधण्याची प्रक्रिया आहे. IPv4 नेटवर्कशी कनेक्ट केलेल्या कोणत्याही डिव्हाइसमध्ये प्रक्रिया आणि राउटिंग टेबल असतात.

हा लेख HOWTO नाही, तो RouterOS मधील स्टॅटिक रूटिंगचे उदाहरणांसह वर्णन करतो, मी जाणूनबुजून उर्वरित सेटिंग्ज वगळल्या आहेत (उदाहरणार्थ, इंटरनेट ऍक्सेस करण्यासाठी srcnat), त्यामुळे सामग्री समजून घेण्यासाठी नेटवर्क आणि RouterOS चे विशिष्ट स्तराचे ज्ञान आवश्यक आहे.

स्विचिंग आणि रूटिंग

स्विचिंग ही एका लेयर2 विभागातील पॅकेट्सची देवाणघेवाण करण्याची प्रक्रिया आहे (इथरनेट, पीपीपी, ...). पॅकेटचा प्राप्तकर्ता त्याच्यासह त्याच इथरनेट सबनेटवर असल्याचे डिव्हाइसला दिसल्यास, ते एआरपी प्रोटोकॉल वापरून मॅक पत्ता शिकते आणि राउटरला बायपास करून पॅकेट थेट प्रसारित करते. पीपीपी (पॉइंट-टू-पॉइंट) कनेक्शनमध्ये फक्त दोन सहभागी असू शकतात आणि पॅकेट नेहमी एका पत्त्यावर 0xff पाठवले जाते.

राउटिंग ही Layer2 विभागांमधील पॅकेट हस्तांतरित करण्याची प्रक्रिया आहे. जर एखाद्या उपकरणाला एखादे पॅकेट पाठवायचे असेल ज्याचा प्राप्तकर्ता इथरनेट विभागाच्या बाहेर असेल, तर ते त्याच्या राउटिंग टेबलमध्ये पाहते आणि पॅकेट पुढे कुठे पाठवायचे हे माहित असलेल्या गेटवेकडे जाते (किंवा कदाचित माहित नसेल, पॅकेटचा मूळ प्रेषक आहे. याची जाणीव नाही).

राउटरचा विचार करण्याचा सर्वात सोपा मार्ग म्हणजे दोन किंवा अधिक Layer2 विभागांशी जोडलेले आणि राउटिंग टेबलमधून सर्वोत्तम मार्ग ठरवून त्यांच्या दरम्यान पॅकेट्स पास करण्यास सक्षम असलेले उपकरण.

जर तुम्हाला सर्व काही समजले असेल किंवा तुम्हाला ते आधीच माहित असेल तर वाचा. उर्वरित साठी, मी जोरदार शिफारस करतो की आपण स्वत: ला एका लहान, परंतु खूप क्षमता असलेल्यासह परिचित करा लेख.

RouterOS आणि PacketFlow मध्ये राउटिंग

स्टॅटिक रूटिंगशी संबंधित जवळजवळ सर्व कार्यक्षमता पॅकेजमध्ये आहे प्रणाली. प्लास्टिकची पिशवी मार्ग डायनॅमिक राउटिंग अल्गोरिदम (RIP, OSPF, BGP, MME), राउटिंग फिल्टर आणि BFD साठी समर्थन जोडते.

राउटिंग सेट करण्यासाठी मुख्य मेनू: [IP]->[Route]. जटिल योजनांसाठी पॅकेट्समध्ये राउटिंग चिन्हासह पूर्व-लेबल केलेले असणे आवश्यक आहे: [IP]->[Firewall]->[Mangle] (साखळी PREROUTING и OUTPUT).

पॅकेटफ्लोवर तीन ठिकाणे आहेत जिथे आयपी पॅकेट राउटिंग निर्णय घेतले जातात:

राउटरद्वारे प्राप्त राउटिंग पॅकेट्स. या टप्प्यावर, पॅकेट स्थानिक प्रक्रियेत जाईल की पुढे नेटवर्कवर पाठवले जाईल हे निश्चित केले जाते. ट्रान्झिट पॅकेजेस प्राप्त होतात आउटपुट इंटरफेस
स्थानिक आउटगोइंग पॅकेट राउटिंग. आउटगोइंग पॅकेट्स प्राप्त होतात आउटपुट इंटरफेस
आउटगोइंग पॅकेटसाठी अतिरिक्त राउटिंग पायरी, तुम्हाला मध्ये राउटिंग निर्णय बदलण्याची परवानगी देते [Output|Mangle]

ब्लॉक 1, 2 मधील पॅकेट पथ मधील नियमांवर अवलंबून आहे [IP]->[Route]
पॉइंट 1, 2 आणि 3 मधील पॅकेट पथ मधील नियमांवर अवलंबून आहे [IP]->[Route]->[Rules]
ब्लॉक 1, 3 मधील पॅकेज पथ वापरून प्रभावित केले जाऊ शकते [IP]->[Firewall]->[Mangle]

RIB, FIB, राउटिंग कॅशे

राउटिंग माहिती बेस
डायनॅमिक राउटिंग प्रोटोकॉल, ppp आणि dhcp मधील मार्ग, स्थिर आणि कनेक्ट केलेले मार्ग ज्यामध्ये रूट्स गोळा केले जातात. या डेटाबेसमध्ये प्रशासकाद्वारे फिल्टर केलेले मार्ग वगळता सर्व मार्ग आहेत.

सशर्त, आपण असे गृहीत धरू शकतो [IP]->[Route] RIB दाखवतो.

फॉरवर्डिंग माहिती बेस

RIB कडील सर्वोत्तम मार्ग ज्या बेसमध्ये गोळा केले जातात. FIB मधील सर्व मार्ग सक्रिय आहेत आणि पॅकेट्स फॉरवर्ड करण्यासाठी वापरले जातात. जर मार्ग निष्क्रिय झाला (प्रशासकाने (प्रणालीने अक्षम केला), किंवा ज्या इंटरफेसद्वारे पॅकेट पाठवले जावे ते सक्रिय नसेल), मार्ग FIB मधून काढून टाकला जाईल.

राउटिंग निर्णय घेण्यासाठी, FIB टेबल आयपी पॅकेटबद्दल खालील माहिती वापरते:

स्त्रोत पत्ता
गंतव्य पत्ता
स्रोत इंटरफेस
राउटिंग मार्क
ToS (DSCP)

FIB पॅकेजमध्ये प्रवेश करणे खालील चरणांमधून जाते:

पॅकेज स्थानिक राउटर प्रक्रियेसाठी आहे का?
पॅकेट सिस्टम किंवा वापरकर्ता PBR नियमांच्या अधीन आहे का?
- जर होय, तर पॅकेट निर्दिष्ट राउटिंग टेबलवर पाठवले जाते
पॅकेट मुख्य टेबलवर पाठवले जाते

सशर्त, आपण असे गृहीत धरू शकतो [IP]->[Route Active=yes] FIB दाखवते.

राउटिंग कॅशे
मार्ग कॅशिंग यंत्रणा. राउटर लक्षात ठेवतो की पॅकेट कुठे पाठवले होते आणि जर सारखे असतील (शक्यतो त्याच कनेक्शनवरून) ते त्यांना FIB मध्ये तपासल्याशिवाय त्याच मार्गाने जाऊ देते. मार्ग कॅशे वेळोवेळी साफ केला जातो.

RouterOS प्रशासकांसाठी, त्यांनी राउटिंग कॅशे पाहण्यासाठी आणि व्यवस्थापित करण्यासाठी साधने बनवली नाहीत, परंतु जेव्हा ते अक्षम केले जाऊ शकते [IP]->[Settings].

ही यंत्रणा लिनक्स 3.6 कर्नलमधून काढून टाकण्यात आली होती, परंतु RouterOS अजूनही कर्नल 3.3.5 वापरते, कदाचित राउटिंग cahce हे एक कारण आहे.

मार्ग संवाद जोडा

[IP]->[Route]->[+]

सबनेट ज्यासाठी तुम्ही मार्ग तयार करू इच्छिता (डीफॉल्ट: 0.0.0.0/0)
गेटवे आयपी किंवा इंटरफेस ज्यावर पॅकेट पाठवले जाईल (अनेक असू शकतात, खाली ईसीएमपी पहा)
गेटवे उपलब्धता तपासा
रेकॉर्ड प्रकार
मार्गासाठी अंतर (मेट्रिक).
राउटिंग टेबल
या मार्गाने स्थानिक आउटगोइंग पॅकेटसाठी आय.पी
स्कोप आणि टार्गेट स्कोपचा उद्देश लेखाच्या शेवटी लिहिलेला आहे.

मार्ग झेंडे

X - प्रशासकाद्वारे मार्ग अक्षम केला आहे (disabled=yes)
A - पॅकेट पाठवण्यासाठी मार्ग वापरला जातो
D - मार्ग गतिमानपणे जोडला (BGP, OSPF, RIP, MME, PPP, DHCP, कनेक्टेड)
सी - सबनेट थेट राउटरशी जोडलेले आहे
एस - स्थिर मार्ग
r,b,o,m - डायनॅमिक रूटिंग प्रोटोकॉलपैकी एकाद्वारे जोडलेला मार्ग
B,U,P - फिल्टरिंग मार्ग (प्रसारण करण्याऐवजी पॅकेट ड्रॉप करा)

गेटवेमध्ये काय निर्दिष्ट करावे: आयपी-पत्ता किंवा इंटरफेस?

सिस्टम आपल्याला दोन्ही निर्दिष्ट करण्याची परवानगी देते, परंतु ती शपथ घेत नाही आणि आपण काहीतरी चुकीचे केले असल्यास इशारे देत नाही.

आयपी पत्ता
गेटवे पत्ता Layer2 वर प्रवेश करण्यायोग्य असणे आवश्यक आहे. इथरनेटसाठी, याचा अर्थ असा की राउटरकडे सक्रिय ip इंटरफेसपैकी एकावर समान सबनेटवरून पत्ता असणे आवश्यक आहे, ppp साठी, गेटवे पत्ता सबनेट पत्ता म्हणून सक्रिय इंटरफेसपैकी एकावर निर्दिष्ट केला आहे.
Layer2 साठी प्रवेशयोग्यता अट पूर्ण न केल्यास, मार्ग निष्क्रिय मानला जातो आणि तो FIB मध्ये येत नाही.

संवाद
सर्व काही अधिक क्लिष्ट आहे आणि राउटरचे वर्तन इंटरफेसच्या प्रकारावर अवलंबून असते:

PPP (Async, PPTP, L2TP, SSTP, PPPoE, OpenVPN *) कनेक्शन फक्त दोन सहभागी गृहीत धरते आणि पॅकेट नेहमी गेटवेला ट्रान्समिशनसाठी पाठवले जाईल, जर गेटवेला आढळले की प्राप्तकर्ता स्वतः आहे, तर ते पॅकेट येथे हस्तांतरित करेल त्याची स्थानिक प्रक्रिया.
इथरनेट एकाधिक सहभागींची उपस्थिती गृहीत धरते आणि पॅकेट प्राप्तकर्त्याच्या पत्त्यासह arp इंटरफेसवर विनंत्या पाठवेल, कनेक्ट केलेल्या मार्गांसाठी हे अपेक्षित आणि अगदी सामान्य वर्तन आहे.
परंतु जेव्हा तुम्ही रिमोट सबनेटसाठी इंटरफेसचा मार्ग म्हणून वापर करण्याचा प्रयत्न करता, तेव्हा तुम्हाला खालील परिस्थिती मिळेल: मार्ग सक्रिय आहे, गेटवेला पिंग जातो, परंतु निर्दिष्ट सबनेटवरून प्राप्तकर्त्यापर्यंत पोहोचत नाही. तुम्ही स्निफरद्वारे इंटरफेस पाहिल्यास, तुम्हाला रिमोट सबनेटवरून पत्त्यांसह arp विनंत्या दिसतील.

जेव्हा शक्य असेल तेव्हा गेटवे म्हणून IP पत्ता निर्दिष्ट करण्याचा प्रयत्न करा. अपवाद जोडलेले मार्ग (स्वयंचलितपणे तयार केलेले) आणि PPP (Async, PPTP, L2TP, SSTP, PPPoE, OpenVPN*) इंटरफेस आहेत.

OpenVPN मध्ये PPP शीर्षलेख नाही, परंतु मार्ग तयार करण्यासाठी तुम्ही OpenVPN इंटरफेस नाव वापरू शकता.

अधिक विशिष्ट मार्ग

मूलभूत राउटिंग नियम. लहान सबनेटचे वर्णन करणारा मार्ग (सर्वात मोठ्या सबनेट मास्कसह) पॅकेटच्या राउटिंग निर्णयामध्ये अग्रक्रम घेतो. राउटिंग टेबलमधील नोंदींची स्थिती निवडीशी संबंधित नाही - मुख्य नियम अधिक विशिष्ट आहे.

निर्दिष्ट योजनेतील सर्व मार्ग सक्रिय आहेत (FIB मध्ये स्थित). वेगवेगळ्या सबनेटकडे निर्देश करा आणि एकमेकांशी विरोध करू नका.

गेटवेपैकी एक अनुपलब्ध झाल्यास, संबंधित मार्ग निष्क्रिय मानला जाईल (FIB मधून काढलेला) आणि उर्वरित मार्गांवरून पॅकेट शोधले जातील.

सबनेट 0.0.0.0/0 सह मार्गाला काहीवेळा विशेष अर्थ दिला जातो आणि त्याला "डीफॉल्ट मार्ग" किंवा "अंतिम उपायांचे प्रवेशद्वार" असे म्हणतात. खरं तर, यात काही जादुई नाही आणि त्यात फक्त सर्व संभाव्य IPv4 पत्त्यांचा समावेश आहे, परंतु ही नावे त्याचे कार्य चांगल्या प्रकारे वर्णन करतात - ते पॅकेट्स कोठे अग्रेषित करायचे हे गेटवे सूचित करते ज्यासाठी इतर कोणतेही, अधिक अचूक मार्ग नाहीत.

IPv4 साठी जास्तीत जास्त संभाव्य सबनेट मास्क /32 आहे, हा मार्ग विशिष्ट होस्टकडे निर्देशित करतो आणि रूटिंग टेबलमध्ये वापरला जाऊ शकतो.

कोणत्याही TCP/IP उपकरणासाठी अधिक विशिष्ट मार्ग समजून घेणे मूलभूत आहे.

अंतर

एकाधिक गेटवेद्वारे प्रवेश करण्यायोग्य एकाच सबनेटवर मार्गांच्या प्रशासकीय फिल्टरिंगसाठी अंतर (किंवा मेट्रिक्स) आवश्यक आहेत. कमी मेट्रिक असलेला मार्ग प्राधान्य मानला जातो आणि FIB मध्ये समाविष्ट केला जाईल. जर कमी मेट्रिक असलेला मार्ग सक्रिय होणे बंद केले, तर तो FIB मधील उच्च मेट्रिक असलेल्या मार्गाने बदलला जाईल.

समान मेट्रिकसह एकाच सबनेटचे अनेक मार्ग असल्यास, राउटर त्याच्या अंतर्गत तर्कानुसार, FIB टेबलमध्ये त्यापैकी फक्त एक जोडेल.

मेट्रिक 0 ते 255 पर्यंत मूल्य घेऊ शकते:

0 - जोडलेल्या मार्गांसाठी मेट्रिक. अंतर 0 प्रशासकाद्वारे सेट केले जाऊ शकत नाही
1-254 - मार्ग सेट करण्यासाठी प्रशासकाकडे मेट्रिक्स उपलब्ध आहेत. कमी मूल्य असलेल्या मेट्रिक्सना उच्च प्राधान्य असते
255 - मार्ग सेट करण्यासाठी प्रशासकाकडे मेट्रिक उपलब्ध आहे. 1-254 च्या विपरीत, 255 मेट्रिक असलेला मार्ग नेहमी निष्क्रिय राहतो आणि FIB मध्ये येत नाही
विशिष्ट मेट्रिक्स. डायनॅमिक राउटिंग प्रोटोकॉलमधून मिळवलेल्या मार्गांना मानक मेट्रिक मूल्ये असतात

गेटवे तपासा

चेक गेटवे हे icmp किंवा arp द्वारे गेटवेची उपलब्धता तपासण्यासाठी MikroTik RoutesOS विस्तार आहे. दर 10 सेकंदांनी एकदा (बदलता येत नाही), गेटवेला विनंती पाठवली जाते, दोनदा प्रतिसाद न मिळाल्यास, मार्ग अनुपलब्ध मानला जातो आणि FIB मधून काढून टाकला जातो. जर चेक गेटवे अक्षम केला असेल तर चेक मार्ग चालू राहील आणि एका यशस्वी तपासणीनंतर मार्ग पुन्हा सक्रिय होईल.

चेक गेटवे ज्या एंट्रीमध्ये कॉन्फिगर केले आहे ती आणि इतर सर्व नोंदी (सर्व राउटिंग टेबल्स आणि ecmp रूट्समध्ये) निर्दिष्ट गेटवेसह अक्षम करते.

सर्वसाधारणपणे, जोपर्यंत गेटवेला पॅकेट गमावण्याची समस्या येत नाही तोपर्यंत चेक गेटवे चांगले कार्य करते. चेक गेटवे तपासलेल्या गेटवेच्या बाहेर संप्रेषणासह काय होत आहे हे माहित नाही, यासाठी अतिरिक्त साधने आवश्यक आहेत: स्क्रिप्ट्स, रिकर्सिव रूटिंग, डायनॅमिक रूटिंग प्रोटोकॉल.

बहुतेक VPN आणि टनेल प्रोटोकॉलमध्ये कनेक्शन क्रियाकलाप तपासण्यासाठी अंगभूत साधने असतात, त्यांच्यासाठी चेक गेटवे सक्षम करणे हे नेटवर्क आणि डिव्हाइस कार्यप्रदर्शनावरील अतिरिक्त (परंतु खूप लहान) लोड आहे.

ECMP मार्ग

समान-किंमत मल्टी-पाथ - राऊंड रॉबिन अल्गोरिदम वापरून एकाच वेळी अनेक गेटवे वापरून प्राप्तकर्त्याला पॅकेट पाठवणे.

एका सबनेटसाठी (किंवा स्वयंचलितपणे, दोन समतुल्य OSPF मार्ग असल्यास) अनेक गेटवे निर्दिष्ट करून प्रशासकाद्वारे ECMP मार्ग तयार केला जातो.

ECMP दोन चॅनेलमधील लोड बॅलन्सिंगसाठी वापरला जातो, सिद्धांतानुसार, ecmp मार्गामध्ये दोन चॅनेल असल्यास, प्रत्येक पॅकेटसाठी आउटगोइंग चॅनेल वेगळे असावे. परंतु राउटिंग कॅशे मेकॅनिझम पहिल्या पॅकेटने घेतलेल्या मार्गावरील कनेक्शनमधून पॅकेट पाठवते, परिणामी, आम्हाला कनेक्शनवर आधारित एक प्रकारचे संतुलन मिळते (प्रति-कनेक्शन लोडिंग बॅलेंसिंग).

तुम्ही राउटिंग कॅशे अक्षम केल्यास, ECMP मार्गातील पॅकेट योग्यरित्या सामायिक केले जातील, परंतु NAT मध्ये समस्या आहे. NAT नियम कनेक्शनमधून फक्त पहिल्या पॅकेटवर प्रक्रिया करतो (बाकीची स्वयंचलितपणे प्रक्रिया केली जाते), आणि असे दिसून येते की समान स्त्रोत पत्त्यासह पॅकेट भिन्न इंटरफेस सोडतात.

तपासा गेटवे ECMP मार्गांमध्ये काम करत नाही (RouterOS बग). परंतु तुम्ही अतिरिक्त प्रमाणीकरण मार्ग तयार करून ही मर्यादा पार करू शकता ज्यामुळे ECMP मधील नोंदी अक्षम होतील.

रूटिंगद्वारे फिल्टरिंग

पॅकेजचे काय करायचे ते प्रकार पर्याय ठरवतो:

unicast - निर्दिष्ट गेटवे (इंटरफेस) वर पाठवा
ब्लॅकहोल - एक पॅकेट टाकून द्या
प्रतिबंधित, अगम्य - पॅकेट टाकून द्या आणि प्रेषकाला एक icmp संदेश पाठवा

जेव्हा चुकीच्या मार्गावर पॅकेट पाठवणे सुरक्षित करणे आवश्यक असते तेव्हा फिल्टरिंगचा वापर केला जातो, अर्थातच, आपण हे फायरवॉलद्वारे फिल्टर करू शकता.

उदाहरणे दोन

रूटिंगबद्दल मूलभूत गोष्टी एकत्रित करण्यासाठी.

ठराविक होम राउटर

/ip route
add dst-address=0.0.0.0/0 gateway=10.10.10.1

०.०.०.०/० पर्यंत स्थिर मार्ग (डिफॉल्ट मार्ग)
प्रदात्यासह इंटरफेसवर कनेक्ट केलेला मार्ग
LAN इंटरफेसवर कनेक्ट केलेला मार्ग

PPPoE सह ठराविक होम राउटर

डीफॉल्ट मार्गावर स्थिर मार्ग, स्वयंचलितपणे जोडले. हे कनेक्शन गुणधर्मांमध्ये निर्दिष्ट केले आहे
पीपीपी कनेक्शनसाठी जोडलेला मार्ग
LAN इंटरफेसवर कनेक्ट केलेला मार्ग

दोन प्रदाते आणि रिडंडंसीसह ठराविक होम राउटर

/ip route
add dst-address=0.0.0.0/0 gateway=10.10.10.1 distance=1 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=10.20.20.1 distance=2

मेट्रिक 1 आणि गेटवे उपलब्धता तपासणीसह पहिल्या प्रदात्याद्वारे डीफॉल्ट मार्गावर स्थिर मार्ग
मेट्रिक 2 सह दुसऱ्या प्रदात्याद्वारे डीफॉल्ट मार्गावर स्थिर मार्ग
जोडलेले मार्ग

हा गेटवे उपलब्ध असताना 0.0.0.0/0 पर्यंतची रहदारी 10.10.10.1 वरून जाते, अन्यथा ते 10.20.20.1 वर स्विच होते

अशी योजना चॅनेल आरक्षण मानली जाऊ शकते, परंतु ती कमतरतांशिवाय नाही. प्रदात्याच्या गेटवेच्या बाहेर (उदाहरणार्थ, ऑपरेटरच्या नेटवर्कमध्ये) ब्रेक आढळल्यास, तुमच्या राउटरला त्याबद्दल माहिती नसेल आणि तो मार्ग सक्रिय मानत राहील.

दोन प्रदाते, रिडंडंसी आणि ECMP सह ठराविक होम राउटर

/ip route
add dst-address=0.0.0.0/0 gateway=10.10.10.1 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=10.20.20.1 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=10.10.10.1,10.20.20.1 distance=1

चॅक गेटवे तपासण्यासाठी स्थिर मार्ग
ECMP मार्ग
जोडलेले मार्ग

तपासण्याचे मार्ग निळे आहेत (निष्क्रिय मार्गांचा रंग), परंतु हे चेक गेटवेमध्ये व्यत्यय आणत नाही. RoS ची वर्तमान आवृत्ती (6.44) ECMP मार्गाला स्वयंचलित प्राधान्य देते, परंतु इतर राउटिंग टेबलमध्ये चाचणी मार्ग जोडणे चांगले आहे (पर्याय routing-mark)

स्पीडटेस्ट आणि इतर तत्सम साइट्सवर, वेगात कोणतीही वाढ होणार नाही (ECMP ट्रॅफिकला कनेक्शनद्वारे विभाजित करते, पॅकेटद्वारे नाही), परंतु p2p अनुप्रयोग अधिक जलद डाउनलोड केले पाहिजेत.

रूटिंगद्वारे फिल्टरिंग

/ip route
add dst-address=0.0.0.0/0 gateway=10.10.10.1
add dst-address=192.168.200.0/24 gateway=10.30.30.1 distance=1
add dst-address=192.168.200.0/24 gateway=10.10.10.1 distance=2 type=blackhole

डिफॉल्ट मार्गावर स्थिर मार्ग
ipip बोगद्यावर 192.168.200.0/24 पर्यंत स्थिर मार्ग
ISP राउटरद्वारे 192.168.200.0/24 ला स्थिर मार्ग प्रतिबंधित करणे

एक फिल्टरिंग पर्याय ज्यामध्ये ipip इंटरफेस अक्षम असताना बोगदा रहदारी प्रदात्याच्या राउटरवर जाणार नाही. अशा योजना क्वचितच आवश्यक आहेत, कारण तुम्ही फायरवॉलद्वारे ब्लॉकिंग लागू करू शकता.

राउटिंग लूप
राउटिंग लूप - अशी परिस्थिती जेव्हा पॅकेट ttl कालबाह्य होण्यापूर्वी राउटर दरम्यान चालते. सहसा हे कॉन्फिगरेशन त्रुटीचे परिणाम असते, मोठ्या नेटवर्कमध्ये डायनॅमिक रूटिंग प्रोटोकॉलच्या अंमलबजावणीद्वारे हाताळले जाते, लहानांमध्ये - काळजीपूर्वक.

हे असे काहीतरी दिसते:

समान परिणाम कसे मिळवायचे याचे उदाहरण (सर्वात सोपे)

राउटिंग लूपच्या उदाहरणाचा व्यावहारिक उपयोग होत नाही, परंतु हे दर्शविते की राउटरना त्यांच्या शेजाऱ्याच्या राउटिंग टेबलबद्दल काहीच माहिती नाही.

पॉलिसी बेस रूटिंग आणि अतिरिक्त रूटिंग टेबल्स

मार्ग निवडताना, राउटर पॅकेट शीर्षलेख (Dst. पत्ता) मधून फक्त एक फील्ड वापरतो - हे मूलभूत राउटिंग आहे. स्त्रोत पत्ता, रहदारीचा प्रकार (ToS), ECMP शिवाय संतुलन, पॉलिसी बेस रूटिंग (PBR) च्या मालकीचे आहे आणि अतिरिक्त राउटिंग टेबल्स वापरते यासारख्या इतर परिस्थितींवर आधारित रूटिंग.

अधिक विशिष्ट मार्ग रूटिंग टेबलमधील मुख्य मार्ग निवड नियम आहे.

डीफॉल्टनुसार, सर्व रूटिंग नियम मुख्य सारणीमध्ये जोडले जातात. प्रशासक अनियंत्रित संख्येने अतिरिक्त राउटिंग टेबल आणि त्यांना मार्ग पॅकेट तयार करू शकतो. वेगवेगळ्या टेबलमधील नियम एकमेकांशी विरोधाभास करत नाहीत. जर पॅकेजला निर्दिष्ट टेबलमध्ये योग्य नियम सापडला नाही, तर ते मुख्य टेबलवर जाईल.

फायरवॉलद्वारे वितरणाचे उदाहरण:

192.168.100.10 -> 8.8.8.8
1. 192.168.100.10 पासूनची रहदारी लेबल केली जाते द्वारे-isp1 в [Prerouting|Mangle]
2. टेबलमधील रूटिंग टप्प्यावर द्वारे-isp1 8.8.8.8 साठी मार्ग शोधते
3. मार्ग सापडला, रहदारी गेटवे 10.10.10.1 वर पाठवली आहे
192.168.200.20 -> 8.8.8.8
1. 192.168.200.20 पासूनची रहदारी लेबल केली जाते द्वारे-isp2 в [Prerouting|Mangle]
2. टेबलमधील रूटिंग टप्प्यावर द्वारे-isp2 8.8.8.8 साठी मार्ग शोधते
3. मार्ग सापडला, रहदारी गेटवे 10.20.20.1 वर पाठवली आहे
गेटवेपैकी एक (10.10.10.1 किंवा 10.20.20.1) अनुपलब्ध असल्यास, पॅकेट टेबलवर जाईल मुख्य आणि तेथे योग्य मार्ग शोधेल

शब्दावली समस्या

RouterOS मध्ये काही विशिष्ट शब्दावली समस्या आहेत.
मध्ये नियमांसह काम करताना [IP]->[Routes] राउटिंग टेबल सूचित केले आहे, जरी असे लिहिले आहे की लेबल:

В [IP]->[Routes]->[Rule] सारणी क्रियेतील लेबल स्थितीत सर्व काही बरोबर आहे:

विशिष्ट राउटिंग टेबलवर पॅकेट कसे पाठवायचे

RouterOS अनेक साधने प्रदान करते:

मध्ये नियम [IP]->[Routes]->[Rules]
मार्ग चिन्हक (action=mark-routing) मध्ये [IP]->[Firewall]->[Mangle]
व्हीआरएफ

नियम [IP]->[Route]->[Rules]
नियमांची क्रमवार प्रक्रिया केली जाते, जर पॅकेट नियमाच्या अटींशी जुळत असेल तर ते पुढे जात नाही.

राउटिंग नियम तुम्हाला राउटिंगची शक्यता वाढवण्याची परवानगी देतात, केवळ प्राप्तकर्त्याच्या पत्त्यावरच नव्हे तर पॅकेट प्राप्त झालेल्या स्त्रोताच्या पत्त्यावर आणि इंटरफेसवर देखील अवलंबून असतात.

नियमांमध्ये अटी आणि कृती असतात:

परिस्थिती. FIB मध्‍ये पॅकेज तपासण्‍यात आलेल्‍या चिन्हांची यादी प्रॅक्टिकली रिपीट करा, फक्त ToS गहाळ आहे.
क्रिया
- लुकअप - टेबलवर एक पॅकेट पाठवा
- फक्त टेबलमध्ये पहा - टेबलमध्ये पॅकेज लॉक करा, जर मार्ग सापडला नाही तर पॅकेज मुख्य टेबलवर जाणार नाही
- ड्रॉप - एक पॅकेट ड्रॉप करा
- पोहोचण्यायोग्य नाही - प्रेषक सूचना असलेले पॅकेट टाकून द्या

FIB मध्ये, स्थानिक प्रक्रियांकडे जाणारी वाहतूक नियमांना बगल देऊन प्रक्रिया केली जाते [IP]->[Route]->[Rules]:

चिन्हांकित करत आहे [IP]->[Firewall]->[Mangle]
रूटिंग लेबल्स तुम्हाला जवळपास कोणत्याही फायरवॉल अटी वापरून पॅकेटसाठी गेटवे सेट करण्याची परवानगी देतात:

व्यावहारिकदृष्ट्या, कारण त्या सर्वांना अर्थ नाही आणि काही अस्थिरपणे कार्य करू शकतात.

पॅकेज लेबल करण्याचे दोन मार्ग आहेत:

ताबडतोब ठेवले मार्ग चिन्ह
प्रथम ठेवा कनेक्शन चिन्ह, नंतर आधारित कनेक्शन चिन्ह ठेवणे मार्ग चिन्ह

फायरवॉल बद्दलच्या लेखात, मी लिहिले की दुसरा पर्याय श्रेयस्कर आहे. सीपीयूवरील भार कमी करते, मार्ग चिन्हांकित करण्याच्या बाबतीत - हे पूर्णपणे सत्य नाही. या चिन्हांकित पद्धती नेहमी समतुल्य नसतात आणि सामान्यतः विविध समस्या सोडवण्यासाठी वापरल्या जातात.

वापरण्याची उदाहरणे

पॉलिसी बेस राउटिंग वापरण्याच्या उदाहरणांकडे वळू या, हे सर्व का आवश्यक आहे हे दाखवण्यासाठी ते खूप सोपे आहेत.

MultiWAN आणि रिटर्न आउटगोइंग (आउटपुट) रहदारी
मल्टीवॉन कॉन्फिगरेशनची एक सामान्य समस्या: Mikrotik फक्त "सक्रिय" प्रदात्याद्वारे इंटरनेटवरून उपलब्ध आहे.

रिक्वेस्ट कोणत्या ip वर आली आहे याची राउटरला पर्वा नसते, रिस्पॉन्स व्युत्पन्न करताना, तो राउटिंग टेबलमध्‍ये मार्ग शोधेल जेथे isp1 द्वारे मार्ग सक्रिय आहे. पुढे, असे पॅकेट बहुधा प्राप्तकर्त्याच्या मार्गावर फिल्टर केले जाईल.

आणखी एक मनोरंजक मुद्दा. ईथर1 इंटरफेसवर "साधा" स्त्रोत nat कॉन्फिगर केले असल्यास: /ip fi nat add out-interface=ether1 action=masquerade पॅकेज src सह ऑनलाइन जाईल. address=10.10.10.100, ज्यामुळे गोष्टी आणखी वाईट होतात.

समस्येचे निराकरण करण्याचे अनेक मार्ग आहेत, परंतु त्यापैकी कोणत्याहीसाठी अतिरिक्त राउटिंग सारण्यांची आवश्यकता असेल:

/ip route
add dst-address=0.0.0.0/0 gateway=10.10.10.1 check-gateway=ping distance=1
add dst-address=0.0.0.0/0 gateway=10.20.20.1 check-gateway=ping distance=2
add dst-address=0.0.0.0/0 gateway=10.10.10.1 routing-mark=over-isp1
add dst-address=0.0.0.0/0 gateway=10.20.20.1 routing-mark=over-isp2

वापरा [IP]->[Route]->[Rules]
निर्दिष्ट स्त्रोत IP सह पॅकेटसाठी वापरले जाणारे रूटिंग टेबल निर्दिष्ट करा.

/ip route rule
add src-address=10.10.10.100/32 action=lookup-only-in-table table=over-isp1
add src-address=10.20.20.200/32 action=lookup-only-in-table table=over-isp2

वापरले जाऊ शकते action=lookup, परंतु स्थानिक आउटगोइंग रहदारीसाठी, हा पर्याय चुकीच्या इंटरफेसमधील कनेक्शन पूर्णपणे वगळतो.

प्रणाली Src सह प्रतिसाद पॅकेट व्युत्पन्न करते. पत्ता: 10.20.20.200
रूटिंग निर्णय(2) चरण तपासते [IP]->[Routes]->[Rules] आणि पॅकेट राउटिंग टेबलवर पाठवले जाते over-isp2
रूटिंग टेबलनुसार, पॅकेट गेटवे 10.20.20.1 वर ether2 इंटरफेसद्वारे पाठवले जाणे आवश्यक आहे

मॅंगल टेबल वापरण्यापेक्षा या पद्धतीला कार्यरत कनेक्शन ट्रॅकरची आवश्यकता नाही.

वापरा [IP]->[Firewall]->[Mangle]
कनेक्शन इनकमिंग पॅकेटसह सुरू होते, म्हणून आम्ही ते चिन्हांकित करतो (action=mark-connection), चिन्हांकित कनेक्शनमधून आउटगोइंग पॅकेटसाठी, राउटिंग लेबल सेट करा (action=mark-routing).

/ip firewall mangle
#Маркировка входящих соединений
add chain=input in-interface=ether1 connection-state=new action=mark-connection new-connection-mark=from-isp1
add chain=input in-interface=ether2 connection-state=new action=mark-connection new-connection-mark=from-isp2
#Маркировка исходящих пакетов на основе соединений
add chain=output connection-mark=from-isp1 action=mark-routing new-routing-mark=over-isp1 passthrough=no
add chain=output connection-mark=from-isp2 action=mark-routing new-routing-mark=over-isp2 passthrough=no

एका इंटरफेसवर अनेक ips कॉन्फिगर केले असल्यास, तुम्ही स्थितीत जोडू शकता dst-address खातरजमा करण्यासाठी.

एक पॅकेट ether2 इंटरफेसवरील कनेक्शन उघडते. पॅकेज आत जाते [INPUT|Mangle] जे कनेक्शनमधील सर्व पॅकेट्स म्हणून चिन्हांकित करा कडून-isp2
प्रणाली Src सह प्रतिसाद पॅकेट व्युत्पन्न करते. पत्ता: 10.20.20.200
रूटिंग निर्णय(2) टप्प्यावर, पॅकेट, राउटिंग टेबलनुसार, इथर10.20.20.1 इंटरफेसद्वारे गेटवे 1 वर पाठवले जाते. तुम्ही पॅकेजेसमध्ये लॉग इन करून याची पडताळणी करू शकता [OUTPUT|Filter]
टप्प्यावर [OUTPUT|Mangle] कनेक्शन लेबल तपासले आहे कडून-isp2 आणि पॅकेटला रूट लेबल प्राप्त होते over-isp2
राउटिंग समायोजन(३) पायरी राउटिंग लेबलची उपस्थिती तपासते आणि योग्य राउटिंग टेबलवर पाठवते.
रूटिंग टेबलनुसार, पॅकेट गेटवे 10.20.20.1 वर ether2 इंटरफेसद्वारे पाठवले जाणे आवश्यक आहे

MultiWAN आणि रिटर्न dst-nat रहदारी

एक उदाहरण अधिक क्लिष्ट आहे, खाजगी सबनेटवर राउटरच्या मागे सर्व्हर (उदाहरणार्थ, वेब) असल्यास काय करावे आणि आपल्याला कोणत्याही प्रदात्याद्वारे त्यात प्रवेश प्रदान करणे आवश्यक आहे.

/ip firewall nat
add chain=dstnat proto=tcp dst-port=80,443 in-interface=ether1 action=dst-nat to-address=192.168.100.100
add chain=dstnat proto=tcp dst-port=80,443 in-interface=ether2 action=dst-nat to-address=192.168.100.100

समस्येचे सार समान असेल, निराकरण फायरवॉल मॅंगल पर्यायासारखेच आहे, फक्त इतर साखळ्या वापरल्या जातील:

/ip firewall mangle
add chain=prerouting connection-state=new in-interface=ether1 protocol=tcp dst-port=80,443 action=mark-connection new-connection-mark=web-input-isp1
add chain=prerouting connection-state=new in-interface=ether2 protocol=tcp dst-port=80,443 action=mark-connection new-connection-mark=web-input-isp2
add chain=prerouting connection-mark=web-input-isp1 in-interface=ether3 action=mark-routing new-routing-mark=over-isp1 passthrough=no
add chain=prerouting connection-mark=web-input-isp2 in-interface=ether3 action=mark-routing new-routing-mark=over-isp2 passthrough=no

आकृती NAT दर्शवत नाही, परंतु मला वाटते की सर्वकाही स्पष्ट आहे.

MultiWAN आणि आउटबाउंड कनेक्शन

वेगवेगळ्या राउटर इंटरफेसमधून एकाधिक vpn (उदाहरणार्थ SSTP) कनेक्शन तयार करण्यासाठी तुम्ही PBR क्षमता वापरू शकता.

अतिरिक्त राउटिंग सारण्या:

/ip route
add dst-address=0.0.0.0/0 gateway=192.168.100.1 routing-mark=over-isp1
add dst-address=0.0.0.0/0 gateway=192.168.200.1 routing-mark=over-isp2
add dst-address=0.0.0.0/0 gateway=192.168.0.1 routing-mark=over-isp3

add dst-address=0.0.0.0/0 gateway=192.168.100.1 distance=1
add dst-address=0.0.0.0/0 gateway=192.168.200.1 distance=2
add dst-address=0.0.0.0/0 gateway=192.168.0.1 distance=3

पॅकेज खुणा:

/ip firewall mangle
add chain=output dst-address=10.10.10.100 proto=tcp dst-port=443 action=mark-routing new-routing-mark=over-isp1 passtrough=no
add chain=output dst-address=10.10.10.101 proto=tcp dst-port=443 action=mark-routing new-routing-mark=over-isp2 passtrough=no
add chain=output dst-address=10.10.10.102 proto=tcp dst-port=443 action=mark-routing new-routing-mark=over-isp3 passtrough=no

साधे NAT नियम, अन्यथा पॅकेट चुकीच्या Src सह इंटरफेस सोडेल. पत्ता:

/ip firewall nat
add chain=srcnat out-interface=ether1 action=masquerade
add chain=srcnat out-interface=ether2 action=masquerade
add chain=srcnat out-interface=ether3 action=masquerade

विश्लेषण करणे:

राउटर तीन SSTP प्रक्रिया तयार करतो
रूटिंग निर्णय (2) टप्प्यावर, मुख्य रूटिंग टेबलवर आधारित या प्रक्रियेसाठी एक मार्ग निवडला जातो. त्याच मार्गावरून, पॅकेटला एस.आर.सी. पत्ता ether1 इंटरफेसशी बांधील आहे
В [Output|Mangle] वेगवेगळ्या कनेक्शनमधील पॅकेट्सला वेगवेगळी लेबले मिळतात
पॅकेट्स राउटिंग ऍडजस्टमेंट स्टेजवर लेबल्सशी संबंधित टेबलमध्ये प्रवेश करतात आणि पॅकेट्स पाठवण्यासाठी नवीन मार्ग प्राप्त करतात
पण पॅकेजेसमध्ये अजूनही Src आहे. स्टेजवर, इथर1 वरून पत्ता [Nat|Srcnat] पत्ता इंटरफेस नुसार बदलला आहे

विशेष म्हणजे, राउटरवर तुम्हाला खालील कनेक्शन टेबल दिसेल:

कनेक्शन ट्रॅकर आधी काम करतो [Mangle] и [Srcnat], म्हणून सर्व कनेक्शन एकाच पत्त्यावरून येतात, जर तुम्ही अधिक तपशीलवार पाहिले तर, मध्ये Replay Dst. Address NAT नंतर पत्ते असतील:

व्हीपीएन सर्व्हरवर (माझ्याकडे चाचणी बेंचवर एक आहे), तुम्ही पाहू शकता की सर्व कनेक्शन योग्य पत्त्यांमधून आले आहेत:

मार्ग धरा
एक सोपा मार्ग आहे, तुम्ही प्रत्येक पत्त्यासाठी विशिष्ट गेटवे निर्दिष्ट करू शकता:

/ip route
add dst-address=10.10.10.100 gateway=192.168.100.1
add dst-address=10.10.10.101 gateway=192.168.200.1
add dst-address=10.10.10.102 gateway=192.168.0.1

परंतु अशा मार्गांमुळे केवळ जाणाऱ्याच नव्हे तर वाहतूक वाहतुकीवरही परिणाम होईल. तसेच, जर तुम्हाला अयोग्य संप्रेषण चॅनेलमधून जाण्यासाठी व्हीपीएन सर्व्हरवर रहदारीची आवश्यकता नसेल, तर तुम्हाला आणखी 6 नियम जोडावे लागतील. [IP]->[Routes]с type=blackhole. मागील आवृत्तीमध्ये - मध्ये 3 नियम [IP]->[Route]->[Rules].

संप्रेषण चॅनेलद्वारे वापरकर्ता कनेक्शनचे वितरण

साधी, रोजची कामे. पुन्हा, अतिरिक्त राउटिंग सारण्यांची आवश्यकता असेल:

/ip route
add dst-address=0.0.0.0/0 gateway=10.10.10.1 dist=1 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=10.20.20.1 dist=2 check-gateway=ping

add dst-address=0.0.0.0/0 gateway=10.10.10.1 dist=1 routing-mark=over-isp1
add dst-address=0.0.0.0/0 gateway=10.20.20.1 dist=1 routing-mark=over-isp2

वापरत आहे [IP]->[Route]->[Rules]

/ip route rules
add src-address=192.168.100.0/25 action=lookup-only-in-table table=over-isp1
add src-address=192.168.100.128/25 action=lookup-only-in-table table=over-isp2

आपण वापरल्यास action=lookup, नंतर जेव्हा चॅनेलपैकी एक अक्षम असेल, तेव्हा रहदारी मुख्य टेबलवर जाईल आणि कार्यरत चॅनेलमधून जाईल. हे आवश्यक आहे की नाही हे कार्यावर अवलंबून आहे.

मध्ये खुणा वापरणे [IP]->[Firewall]->[Mangle]
आयपी पत्त्यांच्या सूचीसह एक साधे उदाहरण. तत्त्वानुसार, जवळजवळ कोणत्याही परिस्थितीचा वापर केला जाऊ शकतो. लेयर7 ची एकमेव चेतावणी, कनेक्शन लेबलसह जोडलेले असतानाही, असे दिसते की सर्वकाही योग्यरित्या कार्य करत आहे, परंतु तरीही काही रहदारी चुकीच्या मार्गाने जाईल.

/ip firewall mangle
add chain=prerouting src-address-list=users-over-isp1 dst-address-type=!local action=mark-routing new-routing-mark=over-isp1
add chain=prerouting src-address-list=users-over-isp2 dst-address-type=!local action=mark-routing new-routing-mark=over-isp2

तुम्ही वापरकर्त्यांना एका रूटिंग टेबलमध्ये “लॉक” करू शकता [IP]->[Route]->[Rules]:

/ip route rules
add routing-mark=over-isp1 action=lookup-only-in-table table=over-isp1
add routing-mark=over-isp2 action=lookup-only-in-table table=over-isp2

एकतर माध्यमातून [IP]->[Firewall]->[Filter]:

/ip firewall filter
add chain=forward routing-mark=over-isp1 out-interface=!ether1 action=reject
add chain=forward routing-mark=over-isp2 out-interface=!ether2 action=reject

रिट्रीट प्रो dst-address-type=!local
अतिरिक्त स्थिती dst-address-type=!local वापरकर्त्यांकडील रहदारी राउटरच्या स्थानिक प्रक्रियेपर्यंत पोहोचणे आवश्यक आहे (dns, winbox, ssh, ...). जर अनेक स्थानिक सबनेट राउटरशी कनेक्ट केलेले असतील तर, त्यांच्यामधील रहदारी इंटरनेटवर जाणार नाही याची खात्री करणे आवश्यक आहे, उदाहरणार्थ, वापरणे dst-address-table.

वापरून उदाहरणात [IP]->[Route]->[Rules] असे कोणतेही अपवाद नाहीत, परंतु रहदारी स्थानिक प्रक्रियेपर्यंत पोहोचते. वस्तुस्थिती अशी आहे की FIB पॅकेजमध्ये चिन्हांकित केले आहे [PREROUTING|Mangle] रूट लेबल आहे आणि मुख्य व्यतिरिक्त रूटिंग टेबलमध्ये जाते, जेथे स्थानिक इंटरफेस नाही. राउटिंग नियमांच्या बाबतीत, प्रथम पॅकेट स्थानिक प्रक्रियेसाठी आहे की नाही हे तपासले जाते आणि केवळ वापरकर्ता PBR टप्प्यावर ते निर्दिष्ट राउटिंग टेबलवर जाते.

वापरत आहे [IP]->[Firewall]->[Mangle action=route]
ही क्रिया फक्त मध्ये कार्य करते [Prerouting|Mangle] आणि गेटवे पत्ता थेट निर्दिष्ट करून, अतिरिक्त राउटिंग टेबल्स न वापरता तुम्हाला निर्दिष्ट गेटवेवर रहदारी निर्देशित करण्याची परवानगी देते:

/ip firewall mangle
add chain=prerouting src-address=192.168.100.0/25 action=route gateway=10.10.10.1
add chain=prerouting src-address=192.168.128.0/25 action=route gateway=10.20.20.1

परिणाम route रूटिंग नियमांपेक्षा कमी प्राधान्य आहे ([IP]->[Route]->[Rules]). मार्ग चिन्हांच्या बाबतीत, सर्व काही नियमांच्या स्थितीवर अवलंबून असते, जर नियम सह action=route पेक्षा जास्त किमतीचे action=mark-route, नंतर ते वापरले जाईल (ध्वजाची पर्वा न करता passtrough), अन्यथा मार्ग चिन्हांकित करणे.
या कृतीबद्दल विकीवर फारच कमी माहिती आहे आणि सर्व निष्कर्ष प्रायोगिकरित्या प्राप्त केले जातात, कोणत्याही परिस्थितीत, हा पर्याय वापरल्याने इतरांपेक्षा फायदे मिळतात तेव्हा मला पर्याय सापडले नाहीत.

PPC आधारित डायनॅमिक बॅलन्सिंग

प्रति कनेक्शन क्लासिफायर - ECMP चे अधिक लवचिक अॅनालॉग आहे. ईसीएमपीच्या विपरीत, ते कनेक्शनद्वारे रहदारी अधिक काटेकोरपणे विभाजित करते (ईसीएमपीला कनेक्शनबद्दल काहीही माहिती नाही, परंतु जेव्हा राउटिंग कॅशेसह जोडले जाते तेव्हा काहीतरी समान मिळते).

पीसीसी घेते निर्दिष्ट फील्ड ip शीर्षलेख वरून, त्यांना 32-बिट मूल्यामध्ये रूपांतरित करते, आणि विभाजित करते भाजक. विभागाच्या उर्वरित भागाची तुलना निर्दिष्ट केलेल्याशी केली जाते उर्वरित आणि जर ते जुळले तर निर्दिष्ट क्रिया लागू केली जाते. अधिक वाचा. वेडा वाटतो, पण ते कार्य करते.

तीन पत्त्यांसह उदाहरण:

192.168.100.10: 192+168+100+10 = 470 % 3 = 2
192.168.100.11: 192+168+100+11 = 471 % 3 = 0
192.168.100.12: 192+168+100+12 = 472 % 3 = 1

तीन चॅनेल दरम्यान src.address द्वारे रहदारीच्या डायनॅमिक वितरणाचे उदाहरण:

#Таблица маршрутизации
/ip route
add dst-address=0.0.0.0/0 gateway=10.10.10.1 dist=1 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=10.20.20.1 dist=2 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=10.30.30.1 dist=3 check-gateway=ping

add dst-address=0.0.0.0/0 gateway=10.10.10.1 dist=1 routing-mark=over-isp1
add dst-address=0.0.0.0/0 gateway=10.20.20.1 dist=1 routing-mark=over-isp2
add dst-address=0.0.0.0/0 gateway=10.30.30.1 dist=1 routing-mark=over-isp3

#Маркировка соединений и маршрутов
/ip firewall mangle
add chain=prerouting in-interface=br-lan dst-address-type=!local connection-state=new per-connection-classifier=src-address:3/0 action=mark-connection new-connection-mark=conn-over-isp1
add chain=prerouting in-interface=br-lan dst-address-type=!local connection-state=new per-connection-classifier=src-address:3/1 action=mark-connection new-connection-mark=conn-over-isp2
add chain=prerouting in-interface=br-lan dst-address-type=!local connection-state=new per-connection-classifier=src-address:3/2 action=mark-connection new-connection-mark=conn-over-isp3

add chain=prerouting in-interface=br-lan connection-mark=conn-over-isp1 action=mark-routing new-routing-mark=over-isp1
add chain=prerouting in-interface=br-lan connection-mark=conn-over-isp2 action=mark-routing new-routing-mark=over-isp2
add chain=prerouting in-interface=br-lan connection-mark=conn-over-isp3 action=mark-routing new-routing-mark=over-isp3

मार्ग चिन्हांकित करताना, एक अतिरिक्त अट आहे: in-interface=br-lan, त्याशिवाय action=mark-routing इंटरनेटवरून प्रतिसाद ट्रॅफिक मिळेल आणि, राउटिंग सारण्यांनुसार, प्रदात्याकडे परत जाईल.

संप्रेषण चॅनेल स्विच करणे

चेक पिंग हे एक चांगले साधन आहे, परंतु ते फक्त जवळच्या आयपी पीअरचे कनेक्शन तपासते, प्रदाता नेटवर्कमध्ये सहसा मोठ्या संख्येने राउटर असतात आणि जवळच्या पीअरच्या बाहेर कनेक्शन खंडित होऊ शकते, आणि नंतर बॅकबोन टेलिकॉम ऑपरेटर आहेत जे देखील करू शकतात. समस्या आहेत, सर्वसाधारणपणे चेक पिंग नेहमी जागतिक नेटवर्कमध्ये प्रवेश करण्याबद्दल अद्ययावत माहिती दर्शवत नाही.
जर प्रदाते आणि मोठ्या कॉर्पोरेशनकडे BGP डायनॅमिक राउटिंग प्रोटोकॉल असेल, तर घर आणि ऑफिस वापरकर्त्यांना विशिष्ट संप्रेषण चॅनेलद्वारे इंटरनेट प्रवेश कसा तपासायचा हे स्वतंत्रपणे शोधून काढावे लागेल.

सामान्यतः, स्क्रिप्ट वापरल्या जातात ज्या, विशिष्ट संप्रेषण चॅनेलद्वारे, विश्वसनीय काहीतरी निवडताना, इंटरनेटवर ip पत्त्याची उपलब्धता तपासतात, उदाहरणार्थ, google dns: 8.8.8.8. ८.८.४.४. परंतु मिक्रोटिक समुदायामध्ये, यासाठी एक अधिक मनोरंजक साधन स्वीकारले गेले आहे.

रिकर्सिव रूटिंगबद्दल काही शब्द
मल्टीहॉप BGP पीअरिंग तयार करताना रिकर्सिव्ह रूटिंग आवश्यक आहे आणि अतिरिक्त स्क्रिप्टशिवाय कम्युनिकेशन चॅनेल स्विच करण्यासाठी चेक गेटवेसह जोडलेले रिकर्सिव्ह मार्ग कसे वापरायचे हे शोधून काढलेल्या धूर्त MikroTik वापरकर्त्यांमुळेच स्थिर राउटिंगच्या मूलभूत गोष्टींबद्दल लेखात आले.

सामान्य शब्दात स्कोप/लक्ष्य स्कोप पर्याय समजून घेण्याची वेळ आली आहे आणि मार्ग इंटरफेसला कसा बांधील आहे:

मार्ग त्याच्या व्याप्ती मूल्यावर आधारित पॅकेट पाठविण्यासाठी इंटरफेस शोधतो आणि मुख्य सारणीमधील सर्व नोंदी यापेक्षा कमी किंवा समान लक्ष्य स्कोप मूल्यांसह
सापडलेल्या इंटरफेसमधून, ज्याद्वारे तुम्ही निर्दिष्ट गेटवेवर पॅकेट पाठवू शकता ते निवडले आहे
पॅकेट गेटवेवर पाठवण्यासाठी सापडलेल्या कनेक्ट केलेल्या एंट्रीचा इंटरफेस निवडला जातो

पुनरावर्ती मार्गाच्या उपस्थितीत, सर्वकाही सारखेच होते, परंतु दोन टप्प्यात:

1-3 जोडलेल्या मार्गांमध्ये आणखी एक मार्ग जोडला गेला आहे, ज्याद्वारे निर्दिष्ट गेटवेपर्यंत पोहोचता येईल
4-6 "इंटरमीडिएट" गेटवेसाठी कनेक्ट केलेला मार्ग शोधत आहे

रिकर्सिव्ह सर्चसह सर्व फेरफार आरआयबीमध्ये होतात आणि फक्त अंतिम निकाल FIB कडे हस्तांतरित केला जातो: 0.0.0.0/0 via 10.10.10.1 on ether1.

मार्ग स्विच करण्यासाठी रिकर्सिव रूटिंग वापरण्याचे उदाहरण

कॉन्फिगरेशन:

/ip route
add dst-address=0.0.0.0/0 gateway=8.8.8.8 check-gateway=ping distance=1 target-scope=10
add dst-address=8.8.8.8 gateway=10.10.10.1 scope=10
add dst-address=0.0.0.0/0 gateway=10.20.20.1 distance=2

तुम्ही हे तपासू शकता की पॅकेट 10.10.10.1 वर पाठवले जातील:

चेक गेटवेला रिकर्सिव्ह राउटिंगबद्दल काहीही माहिती नाही आणि ते फक्त 8.8.8.8 वर पिंग्स पाठवते, जे (मुख्य टेबलवर आधारित) गेटवे 10.10.10.1 द्वारे प्रवेशयोग्य आहे.

10.10.10.1 आणि 8.8.8.8 दरम्यान संप्रेषणाचे नुकसान झाल्यास, मार्ग डिस्कनेक्ट केला जातो, परंतु पॅकेट (चाचणी पिंग्ससह) ते 8.8.8.8 10.10.10.1 मधून जात राहते:

जर इथर1 ची लिंक हरवली असेल, तर 8.8.8.8 पूर्वीची पॅकेट दुसऱ्या प्रदात्याद्वारे जाते तेव्हा एक अप्रिय परिस्थिती उद्भवते:

8.8.8.8 उपलब्ध नसताना स्क्रिप्ट चालवण्यासाठी तुम्ही NetWatch वापरत असल्यास ही समस्या आहे. लिंक तुटल्यास, नेटवॉच फक्त बॅकअप कम्युनिकेशन चॅनेलद्वारे कार्य करेल आणि सर्वकाही ठीक आहे असे गृहीत धरेल. अतिरिक्त फिल्टर मार्ग जोडून निराकरण केले:

/ip route
add dst-address=8.8.8.8 gateway=10.20.20.1 distance=100 type=blackhole

habré वर आहे लेख, जेथे नेटवॉचची परिस्थिती अधिक तपशीलवार विचारात घेतली जाते.

आणि हो, असे आरक्षण वापरताना, 8.8.8.8 हा पत्ता प्रदात्यांपैकी एकाला हार्डवायर केला जाईल, म्हणून तो dns स्त्रोत म्हणून निवडणे चांगली कल्पना नाही.

व्हर्च्युअल राउटिंग आणि फॉरवर्डिंग (VRF) बद्दल काही शब्द

VRF तंत्रज्ञान एका भौतिकामध्ये अनेक व्हर्च्युअल राउटर तयार करण्यासाठी डिझाइन केलेले आहे, हे तंत्रज्ञान दूरसंचार ऑपरेटरद्वारे (सामान्यत: MPLS सह एकत्रितपणे) ओव्हरलॅपिंग सबनेट पत्ते असलेल्या ग्राहकांना L3VPN सेवा प्रदान करण्यासाठी मोठ्या प्रमाणावर वापरले जाते:

परंतु Mikrotik मधील VRF राउटिंग टेबलच्या आधारे आयोजित केले जाते आणि त्याचे अनेक तोटे आहेत, उदाहरणार्थ, राउटरचे स्थानिक आयपी पत्ते सर्व VRF वरून उपलब्ध आहेत, आपण अधिक वाचू शकता दुवा.

vrf कॉन्फिगरेशन उदाहरण:

/ip route vrf
add interfaces=ether1 routing-mark=vrf1
add interfaces=ether2 routing-mark=vrf2

/ip address
add address=192.168.100.1/24 interface=ether1 network=192.168.100.0
add address=192.168.200.1/24 interface=ether2 network=192.168.200.0

ether2 शी कनेक्ट केलेल्या उपकरणावरून, आम्ही पाहतो की पिंग दुसर्या vrf वरून राउटर पत्त्यावर जाते (आणि ही एक समस्या आहे), तर पिंग इंटरनेटवर जात नाही:

इंटरनेट ऍक्सेस करण्यासाठी, तुम्हाला मुख्य टेबलमध्ये प्रवेश करणार्‍या अतिरिक्त मार्गाची नोंदणी करणे आवश्यक आहे (vrf परिभाषेत, याला रूट लीकिंग म्हणतात):

/ip route
add distance=1 gateway=172.17.0.1@main routing-mark=vrf1
add distance=1 gateway=172.17.0.1%wlan1 routing-mark=vrf2

मार्ग गळतीचे येथे दोन मार्ग आहेत: रूटिंग टेबल वापरून: 172.17.0.1@main आणि इंटरफेस नाव वापरून: 172.17.0.1%wlan1.

आणि परतीच्या रहदारीसाठी मार्किंग सेट करा [PREROUTING|Mangle]:

/ip firewall mangle
add chain=prerouting in-interface=ether1 action=mark-connection new-connection-mark=from-vrf1 passthrough=no
add chain=prerouting connection-mark=from-vrf1 routing-mark=!vrf1 action=mark-routing new-routing-mark=vrf1 passthrough=no 
add chain=prerouting in-interface=ether2 action=mark-connection new-connection-mark=from-vrf2 passthrough=no
add chain=prerouting connection-mark=from-vrf2 routing-mark=!vrf1 action=mark-routing new-routing-mark=vrf2 passthrough=no

समान पत्त्यासह सबनेट
VRF आणि नेटमॅप वापरून समान राउटरवर समान पत्त्यासह सबनेटमध्ये प्रवेश करण्याची संस्था:

मूलभूत कॉन्फिगरेशन:

/ip route vrf
add interfaces=ether1 routing-mark=vrf1
add interfaces=ether2 routing-mark=vrf2

/ip address
add address=192.168.100.1/24 interface=ether1 network=192.168.100.0
add address=192.168.100.1/24 interface=ether2 network=192.168.100.0
add address=192.168.0.1/24 interface=ether3 network=192.168.0.0

फायरवॉल नियम:

#Маркируем пакеты для отправки в правильную таблицу маршрутизации
/ip firewall mangle
add chain=prerouting dst-address=192.168.101.0/24 in-interface=ether3 action=mark-routing new-routing-mark=vrf1 passthrough=no
add chain=prerouting dst-address=192.168.102.0/24 in-interface=ether3 action=mark-routing new-routing-mark=vrf2 passthrough=no

#Средствами netmap заменяем адреса "эфимерных" подсетей на реальные подсети
/ip firewall nat
add chain=dstnat dst-address=192.168.101.0/24 in-interface=ether3 action=netmap to-addresses=192.168.100.0/24
add chain=dstnat dst-address=192.168.102.0/24 in-interface=ether3 action=netmap to-addresses=192.168.100.0/24

परतीच्या रहदारीसाठी मार्गाचे नियम:

#Указание имени интерфейса тоже может считаться route leaking, но по сути тут создается аналог connected маршрута
/ip route
add distance=1 dst-address=192.168.0.0/24 gateway=ether3 routing-mark=vrf1
add distance=1 dst-address=192.168.0.0/24 gateway=ether3 routing-mark=vrf2

दिलेल्या राउटिंग टेबलमध्ये dhcp द्वारे प्राप्त मार्ग जोडणे
तुम्हाला विशिष्ट रूटिंग टेबलमध्ये डायनॅमिक मार्ग (उदाहरणार्थ, dhcp क्लायंटकडून) स्वयंचलितपणे जोडण्याची आवश्यकता असल्यास VRF मनोरंजक असू शकते.

vrf मध्ये इंटरफेस जोडत आहे:

/ip route vrf
add interface=ether1 routing-mark=over-isp1

टेबलद्वारे रहदारी (बाहेर जाणारे आणि संक्रमण) पाठविण्याचे नियम over-isp1:

/ip firewall mangle
add chain=output out-interface=!br-lan action=mark-routing new-routing-mark=over-isp1 passthrough=no
add chain=prerouting in-interface=br-lan dst-address-type=!local action=mark-routing new-routing-mark=over-isp1 passthrough=no

आउटबाउंड राउटिंगसाठी अतिरिक्त, बनावट मार्ग:

/interface bridge
add name=bare

/ip route
add dst-address=0.0.0.0/0 gateway=bare

हा मार्ग फक्त आवश्यक आहे जेणेकरून स्थानिक आउटगोइंग पॅकेट्स आधी रूटिंग निर्णय (2) मधून जाऊ शकतील [OUTPUT|Mangle] आणि रूटिंग लेबल मिळवा, जर मुख्य टेबलमध्ये 0.0.0.0/0 पूर्वी राउटरवर इतर सक्रिय मार्ग असतील तर ते आवश्यक नाही.

साखळी `connected-in` и `dynamic-in` в `[Routing] -> [Filters]`

रूट फिल्टरिंग (इनबाउंड आणि आउटबाउंड) हे एक साधन आहे जे सामान्यत: डायनॅमिक रूटिंग प्रोटोकॉलच्या संयोगाने वापरले जाते (आणि म्हणूनच केवळ पॅकेज स्थापित केल्यानंतर उपलब्ध आहे. मार्ग), परंतु येणार्‍या फिल्टरमध्ये दोन मनोरंजक साखळी आहेत:

कनेक्टेड-इन — कनेक्ट केलेले मार्ग फिल्टर करणे
डायनॅमिक-इन - PPP आणि DCHP द्वारे प्राप्त डायनॅमिक मार्ग फिल्टर करणे

फिल्टरिंग तुम्हाला फक्त मार्ग टाकून देऊ शकत नाही, तर अनेक पर्याय बदलू देते: अंतर, राउटिंग-मार्क, टिप्पणी, व्याप्ती, लक्ष्य व्याप्ती, ...

हे एक अतिशय अचूक साधन आहे आणि जर तुम्ही राउटिंग फिल्टरशिवाय (परंतु स्क्रिप्ट नाही) काहीतरी करू शकत असाल, तर राउटिंग फिल्टर वापरू नका, स्वतःला आणि तुमच्या नंतर राउटर कॉन्फिगर करणार्‍यांना गोंधळात टाकू नका. डायनॅमिक रूटिंगच्या संदर्भात, राउटिंग फिल्टर्स अधिक वारंवार आणि अधिक उत्पादनक्षमपणे वापरले जातील.

डायनॅमिक मार्गांसाठी राउटिंग मार्क सेट करणे
होम राउटरचे उदाहरण. माझ्याकडे दोन VPN कनेक्शन कॉन्फिगर केले आहेत आणि त्यातील रहदारी राउटिंग टेबल्सनुसार गुंडाळलेली असावी. त्याच वेळी, इंटरफेस सक्रिय झाल्यावर मार्ग स्वयंचलितपणे तयार केले जावेत अशी माझी इच्छा आहे:

#При создании vpn подключений указываем создание default route и задаем дистанцию
/interface pptp-client
add connect-to=X.X.X.X add-default-route=yes default-route-distance=101 ...
add connect-to=Y.Y.Y.Y  add-default-route=yes default-route-distance=100 ...

#Фильтрами отправляем маршруты в определенные таблицы маршрутизации на основе подсети назначения и дистанции
/routing filter
add chain=dynamic-in distance=100 prefix=0.0.0.0/0 action=passthrough set-routing-mark=over-vpn1
add chain=dynamic-in distance=101 prefix=0.0.0.0/0 action=passthrough set-routing-mark=over-vpn2

मला माहित नाही का, कदाचित एक बग आहे, परंतु जर तुम्ही ppp इंटरफेससाठी vrf तयार केले, तर 0.0.0.0/0 चा मार्ग अजूनही मुख्य टेबलमध्ये येईल. अन्यथा, सर्वकाही अगदी सोपे होईल.

कनेक्ट केलेले मार्ग अक्षम करत आहे
कधीकधी हे आवश्यक असते:

/route filter
add chain=connected-in prefix=192.168.100.0/24 action=reject

डीबगिंग साधने

रूटरओएस डीबगिंग रूटिंगसाठी अनेक साधने प्रदान करते:

[Tool]->[Tourch] - तुम्हाला इंटरफेसवर पॅकेट पाहण्याची परवानगी देते
/ip route check - पॅकेट कोणत्या गेटवेवर पाठवले जाईल हे पाहण्याची परवानगी देते, राउटिंग टेबलसह कार्य करत नाही
/ping routing-table=<name> и /tool traceroute routing-table=<name> - निर्दिष्ट राउटिंग टेबल वापरून पिंग आणि ट्रेस
action=log в [IP]->[Firewall] - एक उत्कृष्ट साधन जे आपल्याला पॅकेटच्या प्रवाहासह पॅकेटचा मार्ग शोधू देते, ही क्रिया सर्व साखळी आणि टेबलांमध्ये उपलब्ध आहे

स्त्रोत: www.habr.com

Mikrotik RouterOS मध्ये स्टॅटिक राउटिंगची मूलभूत माहिती

स्विचिंग आणि रूटिंग

RouterOS आणि PacketFlow मध्ये राउटिंग

RIB, FIB, राउटिंग कॅशे

मार्ग संवाद जोडा

गेटवेमध्ये काय निर्दिष्ट करावे: आयपी-पत्ता किंवा इंटरफेस?

अधिक विशिष्ट मार्ग

अंतर

गेटवे तपासा

ECMP मार्ग

रूटिंगद्वारे फिल्टरिंग

उदाहरणे दोन

पॉलिसी बेस रूटिंग आणि अतिरिक्त रूटिंग टेबल्स

शब्दावली समस्या

विशिष्ट राउटिंग टेबलवर पॅकेट कसे पाठवायचे

वापरण्याची उदाहरणे

MultiWAN आणि रिटर्न dst-nat रहदारी

MultiWAN आणि आउटबाउंड कनेक्शन

संप्रेषण चॅनेलद्वारे वापरकर्ता कनेक्शनचे वितरण

PPC आधारित डायनॅमिक बॅलन्सिंग

संप्रेषण चॅनेल स्विच करणे

व्हर्च्युअल राउटिंग आणि फॉरवर्डिंग (VRF) बद्दल काही शब्द

साखळी `connected-in` и `dynamic-in` в `[Routing] -> [Filters]`

डीबगिंग साधने

एक टिप्पणी जोडा Отменить ответ

Mikrotik RouterOS मध्ये स्टॅटिक राउटिंगची मूलभूत माहिती

स्विचिंग आणि रूटिंग

RouterOS आणि PacketFlow मध्ये राउटिंग

RIB, FIB, राउटिंग कॅशे

मार्ग संवाद जोडा

गेटवेमध्ये काय निर्दिष्ट करावे: आयपी-पत्ता किंवा इंटरफेस?

अधिक विशिष्ट मार्ग

अंतर

गेटवे तपासा

ECMP मार्ग

रूटिंगद्वारे फिल्टरिंग

उदाहरणे दोन

पॉलिसी बेस रूटिंग आणि अतिरिक्त रूटिंग टेबल्स

शब्दावली समस्या

विशिष्ट राउटिंग टेबलवर पॅकेट कसे पाठवायचे

वापरण्याची उदाहरणे

MultiWAN आणि रिटर्न dst-nat रहदारी

MultiWAN आणि आउटबाउंड कनेक्शन

संप्रेषण चॅनेलद्वारे वापरकर्ता कनेक्शनचे वितरण

PPC आधारित डायनॅमिक बॅलन्सिंग

संप्रेषण चॅनेल स्विच करणे

व्हर्च्युअल राउटिंग आणि फॉरवर्डिंग (VRF) बद्दल काही शब्द

साखळी connected-in и dynamic-in в [Routing] -> [Filters]

डीबगिंग साधने

एक टिप्पणी जोडा Отменить ответ

साखळी `connected-in` и `dynamic-in` в `[Routing] -> [Filters]`