🥇 Mikrotik RouterOS मा स्थिर राउटिंग आधारभूत

रूटिङ TCP/IP नेटवर्कहरूमा प्याकेटहरू प्रसारण गर्नको लागि उत्तम मार्ग खोज्ने प्रक्रिया हो। IPv4 नेटवर्कमा जडान भएको कुनै पनि यन्त्रमा प्रक्रिया र रूटिङ तालिकाहरू हुन्छन्।

यो लेख HOWTO होइन, यसले RouterOS मा स्थैतिक राउटिङलाई उदाहरणहरूको साथ वर्णन गर्दछ, मैले जानाजानी बाँकी सेटिङहरू छोडेको छु (उदाहरणका लागि, इन्टरनेट पहुँचको लागि srcnat), त्यसैले सामग्री बुझ्न नेटवर्कहरू र RouterOS को निश्चित स्तरको ज्ञान चाहिन्छ।

स्विच र रूटिङ

स्विच भनेको एउटा तह २ खण्ड (इथरनेट, पीपीपी, ...) भित्र प्याकेटहरू आदानप्रदान गर्ने प्रक्रिया हो। यदि यन्त्रले प्याकेटको प्राप्तकर्तासँग उही इथरनेट सबनेटमा रहेको देख्छ भने, यसले एआरपी प्रोटोकल प्रयोग गरेर म्याक ठेगाना सिक्छ र राउटरलाई बाइपास गरेर प्याकेटलाई सीधै प्रसारण गर्दछ। एक ppp (पोइन्ट-टु-पोइन्ट) जडानमा दुई जना मात्र सहभागी हुन सक्छन् र प्याकेट सधैं एउटा ठेगाना 2xff मा पठाइन्छ।

राउटिंग लेयर2 खण्डहरू बीच प्याकेटहरू स्थानान्तरण गर्ने प्रक्रिया हो। यदि कुनै उपकरणले प्याकेट पठाउन चाहन्छ जसको प्रापक इथरनेट खण्ड बाहिर छ भने, यसले यसको राउटिङ तालिकामा हेर्छ र प्याकेटलाई गेटवेमा पास गर्छ, जसले प्याकेटलाई अर्को कहाँ पठाउने भनेर थाहा छ (वा थाहा नहुन सक्छ, प्याकेटको मूल प्रेषकलाई। यो कुरा थाहा छैन)।

राउटरको बारेमा सोच्ने सबैभन्दा सजिलो तरिका भनेको दुई वा बढी Layer2 खण्डहरूमा जडान गरिएको यन्त्र हो र राउटिङ तालिकाबाट उत्तम मार्ग निर्धारण गरेर तिनीहरूको बीचमा प्याकेटहरू पार गर्न सक्षम हुन्छ।

यदि तपाइँ सबै कुरा बुझ्नुहुन्छ, वा तपाइँलाई पहिले नै थाहा थियो, त्यसपछि पढ्नुहोस्। बाँकीको लागि, म दृढताका साथ सिफारिस गर्दछु कि तपाइँ आफैलाई सानो, तर धेरै क्षमता संग परिचित हुनुहोस् लेख.

RouterOS र PacketFlow मा रूटिङ

स्थिर राउटिङसँग सम्बन्धित लगभग सबै कार्यक्षमता प्याकेजमा छ सिस्टम। प्लास्टिक झोला मार्ग गतिशील मार्ग एल्गोरिदम (RIP, OSPF, BGP, MME), रूटिङ फिल्टर र BFD को लागि समर्थन थप्छ।

रूटिङ सेटअप गर्नको लागि मुख्य मेनु: [IP]->[Route]। जटिल योजनाहरूले प्याकेटहरूलाई रूटिङ चिन्हको साथ पूर्व-लेबल गर्न आवश्यक पर्दछ: [IP]->[Firewall]->[Mangle] (चेन PREROUTING и OUTPUT).

त्यहाँ प्याकेटफ्लोमा तीन ठाउँहरू छन् जहाँ आईपी प्याकेट मार्ग निर्णयहरू गरिन्छ:

राउटर द्वारा प्राप्त राउटिंग प्याकेटहरू। यस चरणमा, प्याकेट स्थानीय प्रक्रियामा जाने वा नेटवर्कमा थप पठाइने निर्णय गरिन्छ। ट्रान्जिट प्याकेजहरू प्राप्त आउटपुट इन्टरफेस
स्थानीय बाहिर जाने प्याकेटहरू रूट गर्दै। बाहिर जाने प्याकेटहरू प्राप्त आउटपुट इन्टरफेस
बाहिर जाने प्याकेटहरूको लागि अतिरिक्त राउटिंग चरणले तपाईंलाई राउटिंग निर्णय परिवर्तन गर्न अनुमति दिन्छ [Output|Mangle]

ब्लक 1, 2 मा प्याकेट मार्ग मा नियमहरूमा निर्भर गर्दछ [IP]->[Route]
बिन्दु 1, 2 र 3 मा प्याकेट मार्ग मा नियमहरूमा निर्भर गर्दछ [IP]->[Route]->[Rules]
ब्लक 1, 3 मा प्याकेज मार्ग प्रयोग गरेर प्रभाव पार्न सकिन्छ [IP]->[Firewall]->[Mangle]

RIB, FIB, राउटिंग क्यास

राउटिंग सूचना आधार
डायनामिक रूटिङ प्रोटोकलहरू, ppp र dhcp बाट रुटहरू, स्थिर र जडान गरिएका मार्गहरूबाट सङ्कलन गरिएको आधार। यो डाटाबेसले प्रशासकद्वारा फिल्टर गरिएका बाहेक सबै मार्गहरू समावेश गर्दछ।

सशर्त, हामी अनुमान गर्न सक्छौं [IP]->[Route] RIB देखाउँछ।

फर्वार्डिङ जानकारी आधार

आधार जसमा RIB बाट उत्कृष्ट मार्गहरू सङ्कलन गरिन्छ। FIB मा सबै मार्गहरू सक्रिय छन् र प्याकेटहरू फर्वार्ड गर्न प्रयोग गरिन्छ। यदि मार्ग निष्क्रिय हुन्छ (प्रशासक (प्रणाली द्वारा असक्षम गरिएको), वा प्याकेट पठाउनु पर्ने इन्टरफेस सक्रिय छैन), मार्ग FIB बाट हटाइन्छ।

राउटिंग निर्णय गर्न, FIB तालिकाले IP प्याकेटको बारेमा निम्न जानकारी प्रयोग गर्दछ:

स्रोत ठेगाना
गन्तव्य ठेगाना
स्रोत इन्टरफेस
मार्ग चिन्ह
ToS (DSCP)

FIB प्याकेजमा पुग्ने निम्न चरणहरू मार्फत जान्छ:

के प्याकेज स्थानीय राउटर प्रक्रियाको लागि हो?
के प्याकेट प्रणाली वा प्रयोगकर्ता PBR नियमहरूको अधीनमा छ?
- यदि हो भने, त्यसपछि प्याकेट निर्दिष्ट रूटिङ तालिकामा पठाइन्छ
प्याकेट मुख्य टेबलमा पठाइन्छ

सशर्त, हामी अनुमान गर्न सक्छौं [IP]->[Route Active=yes] FIB देखाउँछ।

राउटिङ क्यास
मार्ग क्यासिङ संयन्त्र। राउटरले प्याकेटहरू कहाँ पठाइयो भन्ने कुरा सम्झन्छ र यदि त्यहाँ समानहरू छन् (सम्भवतः एउटै जडानबाट) यसले तिनीहरूलाई FIB मा जाँच नगरिकन एउटै मार्गमा जान दिन्छ। मार्ग क्यास आवधिक रूपमा खाली गरिन्छ।

RouterOS प्रशासकहरूका लागि, तिनीहरूले राउटिङ क्यास हेर्न र व्यवस्थापन गर्नका लागि उपकरणहरू बनाएका छैनन्, तर जब यसलाई असक्षम गर्न सकिन्छ [IP]->[Settings].

यो संयन्त्र लिनक्स 3.6 कर्नेलबाट हटाइयो, तर RouterOS ले अझै पनि कर्नेल 3.3.5 प्रयोग गर्दछ, हुनसक्छ रूटिङ cahce एउटा कारण हो।

मार्ग संवाद थप्नुहोस्

[IP]->[Route]->[+]

सबनेट जसको लागि तपाईं मार्ग सिर्जना गर्न चाहनुहुन्छ (पूर्वनिर्धारित: 0.0.0.0/0)
गेटवे आईपी वा इन्टरफेस जसमा प्याकेट पठाइनेछ (त्यहाँ धेरै हुन सक्छ, तल ECMP हेर्नुहोस्)
गेटवे उपलब्धता जाँच
रेकर्ड प्रकार
मार्गको लागि दूरी (मेट्रिक)
रूटिङ तालिका
यस मार्ग मार्फत स्थानीय बाहिर जाने प्याकेटहरूको लागि IP
स्कोप र लक्ष्य स्कोपको उद्देश्य लेखको अन्त्यमा लेखिएको छ।

मार्ग झण्डा

X - मार्ग प्रशासक द्वारा अक्षम गरिएको छ (disabled=yes)
A - मार्ग प्याकेट पठाउन प्रयोग गरिन्छ
D - मार्ग गतिशील रूपमा थपियो (BGP, OSPF, RIP, MME, PPP, DHCP, जोडिएको)
C - सबनेट सिधै राउटरमा जोडिएको छ
S - स्थिर मार्ग
r,b,o,m - एक गतिशील रूटिङ प्रोटोकल द्वारा थपिएको मार्ग
B,U,P - फिल्टर गर्ने मार्ग (प्रसारको सट्टा प्याकेटहरू छोड्नुहोस्)

गेटवेमा के निर्दिष्ट गर्ने: आईपी-ठेगाना वा इन्टरफेस?

प्रणालीले तपाइँलाई दुबै निर्दिष्ट गर्न अनुमति दिन्छ, जबकि यसले कसम खाँदैन र यदि तपाइँ केहि गलत गर्नुभयो भने संकेत दिदैन।

आईपी ठेगाना
गेटवे ठेगाना Layer2 मा पहुँचयोग्य हुनुपर्छ। इथरनेटको लागि, यसको मतलब यो हो कि राउटरसँग सक्रिय ip इन्टरफेसहरू मध्ये एकमा एउटै सबनेटबाट ठेगाना हुनुपर्छ, ppp को लागि, गेटवे ठेगाना सबनेट ठेगानाको रूपमा सक्रिय इन्टरफेसहरू मध्ये एकमा निर्दिष्ट गरिएको छ।
यदि Layer2 को पहुँच सर्त पूरा भएन भने, मार्गलाई निष्क्रिय मानिन्छ र FIB मा पर्दैन।

इन्टरफेस
सबै कुरा अधिक जटिल छ र राउटर को व्यवहार इन्टरफेस को प्रकार मा निर्भर गर्दछ:

PPP (Async, PPTP, L2TP, SSTP, PPPoE, OpenVPN *) जडानले केवल दुई सहभागीहरू मान्दछ र प्याकेट सधैं प्रसारणको लागि गेटवेमा पठाइनेछ, यदि गेटवेले प्राप्तकर्ता आफैं हो भनेर पत्ता लगायो भने, त्यसपछि यसले प्याकेटलाई स्थानान्तरण गर्नेछ। यसको स्थानीय प्रक्रिया।
इथरनेटले धेरै सहभागीहरूको उपस्थितिलाई मान्दछ र प्याकेटको प्राप्तकर्ताको ठेगानाको साथ arp इन्टरफेसमा अनुरोधहरू पठाउनेछ, यो अपेक्षित र जडान मार्गहरूको लागि एकदम सामान्य व्यवहार हो।
तर जब तपाइँ रिमोट सबनेटको लागि मार्गको रूपमा इन्टरफेस प्रयोग गर्ने प्रयास गर्नुहुन्छ, तपाइँ निम्न अवस्था प्राप्त गर्नुहुनेछ: मार्ग सक्रिय छ, गेटवेमा पिंग हुन्छ, तर निर्दिष्ट सबनेटबाट प्राप्तकर्तामा पुग्दैन। यदि तपाइँ स्निफर मार्फत इन्टरफेस हेर्नुहुन्छ भने, तपाइँ रिमोट सबनेटबाट ठेगानाहरू सहित arp अनुरोधहरू देख्नुहुनेछ।

सम्भव भएसम्म आईपी ठेगानालाई गेटवेको रूपमा निर्दिष्ट गर्ने प्रयास गर्नुहोस्। अपवाद जडित मार्गहरू (स्वचालित रूपमा सिर्जना गरिएको) र PPP (Async, PPTP, L2TP, SSTP, PPPoE, OpenVPN*) इन्टरफेसहरू हुन्।

OpenVPN ले PPP हेडर समावेश गर्दैन, तर तपाईंले रुट सिर्जना गर्न OpenVPN इन्टरफेस नाम प्रयोग गर्न सक्नुहुन्छ।

थप विशिष्ट मार्ग

आधारभूत मार्ग नियम। सानो सबनेट (सबैभन्दा ठूलो सबनेट मास्कको साथ) वर्णन गर्ने मार्गले प्याकेटको मार्ग निर्णयमा प्राथमिकता लिन्छ। रूटिङ तालिकामा प्रविष्टिहरूको स्थिति छनोटसँग सान्दर्भिक छैन - मुख्य नियम अधिक विशिष्ट छ।

निर्दिष्ट योजनाबाट सबै मार्गहरू सक्रिय छन् (FIB मा अवस्थित)। बिभिन्न सबनेटहरूमा पोइन्ट गर्नुहोस् र एक अर्कासँग विवाद नगर्नुहोस्।

यदि एउटा गेटवे अनुपलब्ध भयो भने, सम्बन्धित मार्गलाई निष्क्रिय मानिनेछ (FIB बाट हटाइयो) र बाँकी मार्गहरूबाट प्याकेटहरू खोजिनेछ।

सबनेट ०.०.०.०/० भएको मार्गलाई कहिलेकाहीँ विशेष अर्थ दिइन्छ र यसलाई "पूर्वनिर्धारित मार्ग" वा "अन्तिम उपायको गेटवे" भनिन्छ। वास्तवमा, त्यहाँ यसको बारेमा जादुई केहि छैन र यसले केवल सबै सम्भावित IPv0.0.0.0 ठेगानाहरू समावेश गर्दछ, तर यी नामहरूले यसको कार्यलाई राम्रोसँग वर्णन गर्दछ - यसले गेटवेलाई संकेत गर्दछ जहाँ प्याकेटहरू फर्वार्ड गर्ने जसको लागि त्यहाँ कुनै अन्य, अधिक सटीक मार्गहरू छैनन्।

IPv4 को लागि अधिकतम सम्भावित सबनेट मास्क /32 हो, यो मार्गले एक विशिष्ट होस्टलाई पोइन्ट गर्छ र रूटिङ तालिकामा प्रयोग गर्न सकिन्छ।

कुनै पनि TCP/IP यन्त्रको लागि थप विशिष्ट मार्ग बुझ्ने आधारभूत कुरा हो।

दूरी

धेरै गेटवेहरू मार्फत पहुँचयोग्य एकल सबनेटमा मार्गहरूको प्रशासनिक फिल्टरिङको लागि दूरी (वा मेट्रिक्स) आवश्यक छ। कम मेट्रिक भएको मार्गलाई प्राथमिकता मानिन्छ र FIB मा समावेश गरिनेछ। यदि कम मेट्रिक भएको रुट सक्रिय हुन छाड्छ भने, त्यसलाई FIB मा उच्च मेट्रिक भएको रुटले प्रतिस्थापन गर्ने छ।

यदि एउटै मेट्रिकको साथ एउटै सबनेटमा धेरै मार्गहरू छन् भने, राउटरले तिनीहरूमध्ये एउटा मात्र FIB तालिकामा थप्नेछ, यसको आन्तरिक तर्कद्वारा निर्देशित।

मेट्रिकले ० देखि २५५ सम्म मान लिन सक्छ:

० - जोडिएका मार्गहरूको लागि मेट्रिक। दूरी 0 प्रशासक द्वारा सेट गर्न सकिँदैन
1-254 - मार्गहरू सेट गर्नका लागि प्रशासकलाई उपलब्ध मेट्रिक्स। कम मान भएका मेट्रिक्सको उच्च प्राथमिकता हुन्छ
255 - मार्गहरू सेट गर्नका लागि प्रशासकलाई उपलब्ध मेट्रिक। 1-254 को विपरीत, 255 को मेट्रिक भएको मार्ग सधैं निष्क्रिय रहन्छ र FIB मा पर्दैन।
विशिष्ट मेट्रिक्स। डायनामिक रूटिङ प्रोटोकलबाट व्युत्पन्न मार्गहरूमा मानक मेट्रिक मानहरू छन्

गेटवे जाँच गर्नुहोस्

चेक गेटवे icmp वा arp मार्फत गेटवेको उपलब्धता जाँच गर्न MikroTik RoutesOS विस्तार हो। प्रत्येक 10 सेकेन्डमा एक पटक (परिवर्तन गर्न सकिँदैन), गेटवेमा अनुरोध पठाइन्छ, यदि प्रतिक्रिया दुई पटक प्राप्त भएन भने, मार्ग अनुपलब्ध मानिन्छ र FIB बाट हटाइन्छ। यदि चेक गेटवे असक्षम पारिएको छ भने चेक रुट जारी रहन्छ र एक सफल जाँच पछि रुट फेरि सक्रिय हुनेछ।

चेक गेटवेले प्रविष्टिलाई असक्षम पार्छ जसमा यो कन्फिगर गरिएको छ र निर्दिष्ट गेटवेसँग अन्य सबै प्रविष्टिहरू (सबै रूटिङ तालिकाहरू र ecmp मार्गहरूमा)।

सामान्यतया, गेटवेमा प्याकेट हराउने समस्या नभएसम्म गेटवे जाँच गर्नुहोस्। गेटवे जाँच गर्नुहोस् कि जाँच गरिएको गेटवे बाहिर संचार संग के भइरहेको छ थाहा छैन, यसका लागि अतिरिक्त उपकरणहरू आवश्यक छ: स्क्रिप्टहरू, पुनरावृत्ति रूटिङ, गतिशील रूटिङ प्रोटोकलहरू।

धेरै जसो VPN र टनेल प्रोटोकलहरूले जडान गतिविधि जाँच गर्नका लागि निर्मित उपकरणहरू समावेश गर्दछ, तिनीहरूका लागि चेक गेटवे सक्षम पार्नु नेटवर्क र उपकरण प्रदर्शनमा अतिरिक्त (तर धेरै सानो) लोड हो।

ECMP मार्गहरू

समान लागत बहु-पथ - राउन्ड रोबिन एल्गोरिदम प्रयोग गरेर धेरै गेटवेहरू प्रयोग गरेर प्राप्तकर्तालाई प्याकेटहरू पठाउँदै।

एक ECMP मार्ग प्रशासक द्वारा एक सबनेट (वा स्वचालित रूपमा, यदि त्यहाँ दुई बराबर OSPF मार्गहरू छन्) को लागि धेरै गेटवे निर्दिष्ट गरेर सिर्जना गरिन्छ।

ECMP दुई च्यानलहरू बीच लोड सन्तुलनको लागि प्रयोग गरिन्छ, सिद्धान्तमा, यदि ecmp मार्गमा दुई च्यानलहरू छन् भने, प्रत्येक प्याकेटको लागि बाहिर जाने च्यानल फरक हुनुपर्छ। तर रूटिङ क्यास मेकानिजमले जडानबाट प्याकेटहरू पठाउँछ जुन पहिलो प्याकेटले लिएको थियो, नतिजाको रूपमा, हामीले जडानहरूमा आधारित एक प्रकारको सन्तुलन पाउँछौं (प्रति-जडान लोडिङ ब्यालेन्सिङ)।

यदि तपाईंले राउटिङ क्यास असक्षम गर्नुभयो भने, त्यसपछि ECMP मार्गमा प्याकेटहरू सही रूपमा साझेदारी गरिनेछ, तर NAT मा समस्या छ। NAT नियमले जडानबाट पहिलो प्याकेट मात्र प्रशोधन गर्छ (बाँकी स्वचालित रूपमा प्रशोधन गरिन्छ), र यो उही स्रोत ठेगाना भएका प्याकेटहरूले फरक इन्टरफेसहरू छोड्छ भनेर बाहिर निस्कन्छ।

गेटवे जाँच गर्नुहोस् ECMP मार्गहरूमा काम गर्दैन (RouterOS बग)। तर तपाईले ECMP मा प्रविष्टिहरू असक्षम पार्ने अतिरिक्त प्रमाणीकरण मार्गहरू सिर्जना गरेर यस सीमाको वरिपरि प्राप्त गर्न सक्नुहुन्छ।

रूटिङ को माध्यम द्वारा फिल्टर

प्रकार विकल्पले प्याकेजसँग के गर्ने भनेर निर्धारण गर्दछ:

unicast - निर्दिष्ट गेटवेमा पठाउनुहोस् (इन्टरफेस)
ब्ल्याकहोल - प्याकेट खारेज गर्नुहोस्
निषेधित, पहुँचयोग्य - प्याकेट खारेज गर्नुहोस् र प्रेषकलाई icmp सन्देश पठाउनुहोस्

फिल्टरिङ सामान्यतया प्रयोग गरिन्छ जब यो गलत मार्गमा प्याकेटहरू पठाउन सुरक्षित गर्न आवश्यक हुन्छ, अवश्य पनि, तपाइँ यसलाई फायरवाल मार्फत फिल्टर गर्न सक्नुहुन्छ।

एक दुई उदाहरण

राउटिङको बारेमा आधारभूत कुराहरू समेकित गर्न।

सामान्य घर राउटर

/ip route
add dst-address=0.0.0.0/0 gateway=10.10.10.1

०.०.०.०/० मा स्थिर मार्ग (पूर्वनिर्धारित मार्ग)
प्रदायकसँग इन्टरफेसमा जोडिएको मार्ग
LAN इन्टरफेसमा जोडिएको मार्ग

PPPoE को साथ सामान्य घर राउटर

पूर्वनिर्धारित मार्गमा स्थिर मार्ग, स्वचालित रूपमा थपियो। यो जडान गुण मा निर्दिष्ट गरिएको छ
PPP जडानको लागि जोडिएको मार्ग
LAN इन्टरफेसमा जोडिएको मार्ग

दुई प्रदायक र रिडन्डन्सीको साथ सामान्य गृह राउटर

/ip route
add dst-address=0.0.0.0/0 gateway=10.10.10.1 distance=1 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=10.20.20.1 distance=2

मेट्रिक 1 र गेटवे उपलब्धता जाँचको साथ पहिलो प्रदायक मार्फत पूर्वनिर्धारित मार्गमा स्थिर मार्ग
मेट्रिक २ को साथ दोस्रो प्रदायक मार्फत पूर्वनिर्धारित मार्गमा स्थिर मार्ग
जोडिएका मार्गहरू

0.0.0.0/0 मा ट्राफिक 10.10.10.1 मार्फत जान्छ जबकि यो गेटवे उपलब्ध छ, अन्यथा यो 10.20.20.1 मा स्विच हुन्छ।

यस्तो योजना एक च्यानल आरक्षण मान्न सकिन्छ, तर यो कमजोरी बिना छैन। यदि प्रदायकको गेटवे बाहिर ब्रेक भयो (उदाहरणका लागि, अपरेटरको नेटवर्क भित्र), तपाईंको राउटरले यसको बारेमा थाहा पाउनेछैन र मार्गलाई सक्रिय रूपमा विचार गर्न जारी राख्नेछ।

दुई प्रदायकहरू, रिडन्डन्सी र ECMP भएको सामान्य गृह राउटर

/ip route
add dst-address=0.0.0.0/0 gateway=10.10.10.1 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=10.20.20.1 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=10.10.10.1,10.20.20.1 distance=1

चक गेटवे जाँचको लागि स्थिर मार्गहरू
ECMP मार्ग
जोडिएका मार्गहरू

जाँच गर्नका लागि मार्गहरू नीलो छन् (निष्क्रिय मार्गहरूको रंग), तर यसले चेक गेटवेमा हस्तक्षेप गर्दैन। RoS को हालको संस्करण (6.44) ले ECMP मार्गलाई स्वचालित प्राथमिकता दिन्छ, तर अन्य रूटिङ तालिकाहरूमा परीक्षण मार्गहरू थप्नु राम्रो हुन्छ (विकल्प routing-mark)

Speedtest र अन्य समान साइटहरूमा, गतिमा कुनै बृद्धि हुने छैन (ECMP ले ट्राफिकलाई जडानहरूद्वारा विभाजन गर्दछ, प्याकेटहरूद्वारा होइन), तर p2p अनुप्रयोगहरू छिटो डाउनलोड गर्नुपर्छ।

रूटिङ मार्फत फिल्टर गर्दै

/ip route
add dst-address=0.0.0.0/0 gateway=10.10.10.1
add dst-address=192.168.200.0/24 gateway=10.30.30.1 distance=1
add dst-address=192.168.200.0/24 gateway=10.10.10.1 distance=2 type=blackhole

पूर्वनिर्धारित मार्गमा स्थिर मार्ग
ipip सुरुङ माथि 192.168.200.0/24 सम्मको स्थिर मार्ग
ISP राउटर मार्फत 192.168.200.0/24 मा स्थिर मार्ग निषेध गर्दै

एउटा फिल्टरिङ विकल्प जसमा ipip इन्टरफेस असक्षम हुँदा सुरुङ ट्राफिक प्रदायकको राउटरमा जानेछैन। त्यस्ता योजनाहरू विरलै आवश्यक हुन्छन्, किनभने तपाईं फायरवाल मार्फत अवरोध लागू गर्न सक्नुहुन्छ।

राउटिंग लूप
राउटिङ लूप - ttl म्याद सकिनु अघि राउटरहरू बीच प्याकेट चल्ने अवस्था। सामान्यतया यो कन्फिगरेसन त्रुटिको परिणाम हो, ठूला नेटवर्कहरूमा यसलाई डायनामिक राउटिंग प्रोटोकलहरूको कार्यान्वयनद्वारा व्यवहार गरिन्छ, सानाहरूमा - सावधानीपूर्वक।

यो यस्तो देखिन्छ:

उस्तै नतिजा कसरी प्राप्त गर्ने भन्ने उदाहरण (सरल):

राउटिङ लूप उदाहरण कुनै व्यावहारिक प्रयोगको छैन, तर यसले देखाउँछ कि राउटरहरूलाई आफ्नो छिमेकीको रूटिङ तालिकाको बारेमा कुनै जानकारी छैन।

नीति आधार रूटिङ र अतिरिक्त रूटिङ तालिकाहरू

रुट छनोट गर्दा, राउटरले प्याकेट हेडर (Dst. ठेगाना) बाट एउटा मात्र फिल्ड प्रयोग गर्दछ - यो आधारभूत राउटिङ हो। स्रोत ठेगाना, ट्राफिकको प्रकार (ToS), ECMP बिना सन्तुलन, नीति आधार राउटिङ (PBR) सँग सम्बन्धित र थप रूटिङ तालिकाहरू प्रयोग गर्ने जस्ता अन्य अवस्थाहरूमा आधारित रूटिङ।

थप विशिष्ट मार्ग रूटिङ तालिका भित्र मुख्य मार्ग चयन नियम हो।

पूर्वनिर्धारित रूपमा, सबै रूटिङ नियमहरू मुख्य तालिकामा थपिएका छन्। प्रशासकले अतिरिक्त रूटिङ तालिकाहरू र तिनीहरूलाई मार्ग प्याकेटहरूको मनमानी संख्या सिर्जना गर्न सक्छ। विभिन्न तालिकाहरूमा नियमहरू एकअर्कासँग विवाद गर्दैनन्। यदि प्याकेजले निर्दिष्ट तालिकामा उपयुक्त नियम फेला पारेन भने, यो मुख्य तालिकामा जान्छ।

फायरवाल मार्फत वितरणको उदाहरण:

192.168.100.10.१8.8.8.8१XNUMX XNUMX २ -> XNUMX.१XNUMX
1. 192.168.100.10 बाट ट्राफिक लेबल हुन्छ मार्फत-isp1 в [Prerouting|Mangle]
2. तालिकामा राउटिंग चरणमा मार्फत-isp1 8.8.8.8 मा मार्ग खोज्छ
3. मार्ग फेला पर्यो, गेटवे १०.१०.१०.१ मा ट्राफिक पठाइएको छ
192.168.200.20.१8.8.8.8१XNUMX XNUMX २ -> XNUMX.१XNUMX
1. 192.168.200.20 बाट ट्राफिक लेबल हुन्छ मार्फत-isp2 в [Prerouting|Mangle]
2. तालिकामा राउटिंग चरणमा मार्फत-isp2 8.8.8.8 मा मार्ग खोज्छ
3. मार्ग फेला पर्यो, गेटवे १०.१०.१०.१ मा ट्राफिक पठाइएको छ
यदि एउटा गेटवे (10.10.10.1 वा 10.20.20.1) अनुपलब्ध भयो भने, त्यसपछि प्याकेट टेबलमा जान्छ। मुख्य र त्यहाँ उपयुक्त मार्ग खोज्नेछ

शब्दावली मुद्दाहरू

RouterOS को केहि शब्दावली समस्याहरू छन्।
मा नियम संग काम गर्दा [IP]->[Routes] राउटिंग तालिका संकेत गरिएको छ, यद्यपि यो लेबल लेखिएको छ:

В [IP]->[Routes]->[Rule] सबै कुरा सही छ, तालिका कार्यमा लेबल अवस्थामा:

एक विशिष्ट रूटिङ तालिकामा प्याकेट कसरी पठाउने

RouterOS ले धेरै उपकरणहरू प्रदान गर्दछ:

मा नियमहरू [IP]->[Routes]->[Rules]
रुट मार्कर (action=mark-routing) मा [IP]->[Firewall]->[Mangle]
VRF

नियमहरू [IP]->[Route]->[Rules]
नियमहरू क्रमिक रूपमा प्रशोधन गरिन्छ, यदि प्याकेट नियमका सर्तहरूसँग मेल खान्छ भने, यो अगाडि पास हुँदैन।

रूटिङ नियमहरूले तपाईंलाई प्राप्तकर्ताको ठेगानामा मात्र नभई प्याकेट प्राप्त भएको स्रोत ठेगाना र इन्टरफेसमा पनि भर परेर राउटिङका सम्भावनाहरू विस्तार गर्न अनुमति दिन्छ।

नियमहरू सर्तहरू र कार्यहरू समावेश छन्:

सर्तहरू। व्यावहारिक रूपमा FIB मा प्याकेज जाँच गरिएको संकेतहरूको सूची दोहोर्याउनुहोस्, केवल ToS हराइरहेको छ।
Действия
- लुकअप - टेबलमा प्याकेट पठाउनुहोस्
- तालिकामा मात्र खोज्नुहोस् - प्याकेजलाई तालिकामा लक गर्नुहोस्, यदि मार्ग फेला परेन भने, प्याकेज मुख्य तालिकामा जानेछैन।
- ड्रप - एक प्याकेट छोड्नुहोस्
- पहुँचयोग्य - प्रेषक सूचनाको साथ प्याकेट खारेज गर्नुहोस्

FIB मा, स्थानीय प्रक्रियाहरूमा ट्राफिक नियमहरू बाइपास गरेर प्रक्रिया गरिन्छ [IP]->[Route]->[Rules]:

चिन्ह लगाउँदै [IP]->[Firewall]->[Mangle]
रूटिङ लेबलहरूले तपाईंलाई लगभग कुनै पनि फायरवाल सर्तहरू प्रयोग गरेर प्याकेटको लागि गेटवे सेट गर्न अनुमति दिन्छ:

व्यावहारिक रूपमा, किनकि ती सबैले अर्थ राख्दैनन्, र केहीले अस्थिर रूपमा काम गर्न सक्छन्।

प्याकेज लेबल गर्न दुई तरिकाहरू छन्:

तुरुन्तै हाल्नुहोस् मार्ग चिन्ह
पहिले राख्नुहोस् जडान चिन्ह, त्यसपछि आधारित जडान चिन्ह राख्नु मार्ग चिन्ह

फायरवालहरूको बारेमा लेखमा, मैले लेखे कि दोस्रो विकल्प उपयुक्त छ। सीपीयूमा भार कम गर्दछ, मार्गहरू चिन्ह लगाउने अवस्थामा - यो पूर्ण रूपमा सत्य होइन। यी मार्किङ विधिहरू सधैं बराबर हुँदैनन् र सामान्यतया विभिन्न समस्याहरू समाधान गर्न प्रयोग गरिन्छ।

प्रयोगका उदाहरणहरू

नीति आधार राउटिङ प्रयोग गर्ने उदाहरणहरूमा जाऔं, तिनीहरू किन यो सबै आवश्यक छ भनेर देखाउन धेरै सजिलो छन्।

MultiWAN र फिर्ता बहिर्गमन (आउटपुट) ट्राफिक
MultiWAN कन्फिगरेसनको साथ एक सामान्य समस्या: Mikrotik इन्टरनेटबाट मात्र "सक्रिय" प्रदायक मार्फत उपलब्ध छ।

राउटरले कुन आईपीमा अनुरोध आयो भन्ने वास्ता गर्दैन, प्रतिक्रिया उत्पन्न गर्दा, यसले रुटिङ तालिकामा मार्ग खोज्नेछ जहाँ isp1 मार्फत मार्ग सक्रिय छ। यसबाहेक, यस्तो प्याकेट प्रायः प्राप्तकर्ताको बाटोमा फिल्टर गरिनेछ।

अर्को रोचक बिन्दु। यदि "सरल" स्रोत नेट ether1 इन्टरफेसमा कन्फिगर गरिएको छ भने: /ip fi nat add out-interface=ether1 action=masquerade प्याकेज src मार्फत अनलाइन हुनेछ। ठेगाना=10.10.10.100, जसले चीजहरूलाई अझ खराब बनाउँछ।

त्यहाँ समस्या समाधान गर्न धेरै तरिकाहरू छन्, तर ती मध्ये कुनै पनि थप रूटिङ तालिकाहरू आवश्यक हुनेछ:

/ip route
add dst-address=0.0.0.0/0 gateway=10.10.10.1 check-gateway=ping distance=1
add dst-address=0.0.0.0/0 gateway=10.20.20.1 check-gateway=ping distance=2
add dst-address=0.0.0.0/0 gateway=10.10.10.1 routing-mark=over-isp1
add dst-address=0.0.0.0/0 gateway=10.20.20.1 routing-mark=over-isp2

प्रयोग गर्नुहोस् [IP]->[Route]->[Rules]
निर्दिष्ट स्रोत आईपीसँग प्याकेटहरूको लागि प्रयोग गरिने राउटिङ तालिका निर्दिष्ट गर्नुहोस्।

/ip route rule
add src-address=10.10.10.100/32 action=lookup-only-in-table table=over-isp1
add src-address=10.20.20.200/32 action=lookup-only-in-table table=over-isp2

तपाईं प्रयोग गर्न सक्नुहुनेछ action=lookup, तर स्थानीय बहिर्गमन ट्राफिकको लागि, यो विकल्पले गलत इन्टरफेसबाट जडानहरू पूर्ण रूपमा बहिष्कार गर्दछ।

प्रणालीले Src सँग प्रतिक्रिया प्याकेट उत्पन्न गर्दछ। ठेगाना: 10.20.20.200
रूटिङ निर्णय (2) चरण जाँच [IP]->[Routes]->[Rules] र प्याकेट रूटिङ टेबलमा पठाइन्छ over-isp2
रूटिङ तालिका अनुसार, प्याकेट ether10.20.20.1 इन्टरफेस मार्फत गेटवे 2 मा पठाउनु पर्छ।

यो विधिलाई काम गर्ने जडान ट्रयाकरको आवश्यकता पर्दैन, मङ्गल तालिका प्रयोग नगरी।

प्रयोग गर्नुहोस् [IP]->[Firewall]->[Mangle]
जडान आगमन प्याकेटबाट सुरु हुन्छ, त्यसैले हामी यसलाई चिन्ह लगाउँछौं (action=mark-connection), चिन्ह लगाइएको जडानबाट बाहिर जाने प्याकेटहरूको लागि, राउटिङ लेबल सेट गर्नुहोस् (action=mark-routing).

/ip firewall mangle
#Маркировка входящих соединений
add chain=input in-interface=ether1 connection-state=new action=mark-connection new-connection-mark=from-isp1
add chain=input in-interface=ether2 connection-state=new action=mark-connection new-connection-mark=from-isp2
#Маркировка исходящих пакетов на основе соединений
add chain=output connection-mark=from-isp1 action=mark-routing new-routing-mark=over-isp1 passthrough=no
add chain=output connection-mark=from-isp2 action=mark-routing new-routing-mark=over-isp2 passthrough=no

यदि एक इन्टरफेसमा धेरै ips कन्फिगर गरिएको छ भने, तपाइँ सर्तमा थप्न सक्नुहुन्छ dst-address पक्का हुन।

एउटा प्याकेटले ether2 इन्टरफेसमा जडान खोल्छ। प्याकेज भित्र जान्छ [INPUT|Mangle] जसले जडानबाट सबै प्याकेटहरूलाई चिन्ह लगाउन भन्छ बाट-isp2
प्रणालीले Src सँग प्रतिक्रिया प्याकेट उत्पन्न गर्दछ। ठेगाना: 10.20.20.200
रूटिङ निर्णय (२) चरणमा, प्याकेट, राउटिङ तालिका अनुसार, गेटवे १०.२०.२०.१ मा ether2 इन्टरफेस मार्फत पठाइन्छ। तपाईंले प्याकेजहरू लग इन गरेर यसलाई प्रमाणित गर्न सक्नुहुन्छ [OUTPUT|Filter]
चरणमा [OUTPUT|Mangle] जडान लेबल जाँच गरिएको छ बाट-isp2 र प्याकेटले रूट लेबल प्राप्त गर्दछ over-isp2
रूटिङ समायोजन (3) चरणले राउटिङ लेबलको उपस्थितिको लागि जाँच गर्छ र उपयुक्त रूटिङ तालिकामा पठाउँछ।
रूटिङ तालिका अनुसार, प्याकेट ether10.20.20.1 इन्टरफेस मार्फत गेटवे 2 मा पठाउनु पर्छ।

MultiWAN र फिर्ता dst-nat ट्राफिक

एउटा उदाहरण अझ जटिल छ, यदि निजी सबनेटमा राउटरको पछाडि सर्भर (उदाहरणका लागि, वेब) छ भने के गर्ने र तपाईंले कुनै पनि प्रदायकहरू मार्फत पहुँच प्रदान गर्न आवश्यक छ।

/ip firewall nat
add chain=dstnat proto=tcp dst-port=80,443 in-interface=ether1 action=dst-nat to-address=192.168.100.100
add chain=dstnat proto=tcp dst-port=80,443 in-interface=ether2 action=dst-nat to-address=192.168.100.100

समस्याको सार एउटै हुनेछ, समाधान फायरवाल Mangle विकल्प जस्तै छ, केवल अन्य चेनहरू प्रयोग गरिनेछ:

/ip firewall mangle
add chain=prerouting connection-state=new in-interface=ether1 protocol=tcp dst-port=80,443 action=mark-connection new-connection-mark=web-input-isp1
add chain=prerouting connection-state=new in-interface=ether2 protocol=tcp dst-port=80,443 action=mark-connection new-connection-mark=web-input-isp2
add chain=prerouting connection-mark=web-input-isp1 in-interface=ether3 action=mark-routing new-routing-mark=over-isp1 passthrough=no
add chain=prerouting connection-mark=web-input-isp2 in-interface=ether3 action=mark-routing new-routing-mark=over-isp2 passthrough=no

रेखाचित्रले NAT देखाउँदैन, तर मलाई लाग्छ कि सबै कुरा स्पष्ट छ।

MultiWAN र आउटबाउन्ड जडानहरू

तपाईले विभिन्न राउटर इन्टरफेसहरूबाट धेरै vpn (उदाहरणमा SSTP) जडानहरू सिर्जना गर्न PBR क्षमताहरू प्रयोग गर्न सक्नुहुन्छ।

अतिरिक्त रूटिङ तालिकाहरू:

/ip route
add dst-address=0.0.0.0/0 gateway=192.168.100.1 routing-mark=over-isp1
add dst-address=0.0.0.0/0 gateway=192.168.200.1 routing-mark=over-isp2
add dst-address=0.0.0.0/0 gateway=192.168.0.1 routing-mark=over-isp3

add dst-address=0.0.0.0/0 gateway=192.168.100.1 distance=1
add dst-address=0.0.0.0/0 gateway=192.168.200.1 distance=2
add dst-address=0.0.0.0/0 gateway=192.168.0.1 distance=3

प्याकेज चिन्हहरू:

/ip firewall mangle
add chain=output dst-address=10.10.10.100 proto=tcp dst-port=443 action=mark-routing new-routing-mark=over-isp1 passtrough=no
add chain=output dst-address=10.10.10.101 proto=tcp dst-port=443 action=mark-routing new-routing-mark=over-isp2 passtrough=no
add chain=output dst-address=10.10.10.102 proto=tcp dst-port=443 action=mark-routing new-routing-mark=over-isp3 passtrough=no

सरल NAT नियमहरू, अन्यथा प्याकेटले गलत Src सँग इन्टरफेस छोड्नेछ। ठेगाना:

/ip firewall nat
add chain=srcnat out-interface=ether1 action=masquerade
add chain=srcnat out-interface=ether2 action=masquerade
add chain=srcnat out-interface=ether3 action=masquerade

पार्सि::

राउटरले तीन SSTP प्रक्रियाहरू सिर्जना गर्दछ
रूटिङ निर्णय (२) चरणमा, मुख्य रूटिङ तालिकामा आधारित यी प्रक्रियाहरूका लागि मार्ग चयन गरिएको छ। सोही मार्गबाट, प्याकेटले Src प्राप्त गर्दछ। ठेगाना ether2 इन्टरफेसमा बाध्य छ
В [Output|Mangle] विभिन्न जडानहरूबाट प्याकेटहरूले विभिन्न लेबलहरू प्राप्त गर्छन्
प्याकेटहरू राउटिंग समायोजन चरणमा लेबलहरूसँग सम्बन्धित तालिकाहरूमा प्रवेश गर्छन् र प्याकेटहरू पठाउनको लागि नयाँ मार्ग प्राप्त गर्छन्।
तर प्याकेजहरूमा अझै Src छ। ether1 बाट ठेगाना, स्टेजमा [Nat|Srcnat] ठेगाना इन्टरफेस अनुसार प्रतिस्थापित छ

चाखलाग्दो कुरा के छ भने, राउटरमा तपाईंले निम्न जडान तालिका देख्नुहुनेछ:

जडान ट्रयाकर पहिले काम गर्छ [Mangle] и [Srcnat], त्यसैले सबै जडानहरू एउटै ठेगानाबाट आउँछन्, यदि तपाईंले थप विवरणमा हेर्नुभयो भने, त्यसपछि भित्र Replay Dst. Address NAT पछि ठेगानाहरू हुनेछन्:

VPN सर्भरमा (मसँग परीक्षण बेन्चमा एउटा छ), तपाईंले देख्न सक्नुहुन्छ कि सबै जडानहरू सही ठेगानाहरूबाट आउँछन्:

बाटो होल्ड गर्नुहोस्
त्यहाँ एक सजिलो तरिका छ, तपाइँ केवल प्रत्येक ठेगाना को लागी एक विशिष्ट गेटवे निर्दिष्ट गर्न सक्नुहुन्छ:

/ip route
add dst-address=10.10.10.100 gateway=192.168.100.1
add dst-address=10.10.10.101 gateway=192.168.200.1
add dst-address=10.10.10.102 gateway=192.168.0.1

तर त्यस्ता रुटले बाहिर जाने मात्रै नभई ट्रान्जिट ट्राफिकमा पनि असर गर्छ । साथै, यदि तपाईंलाई अनुपयुक्त संचार च्यानलहरू मार्फत जान vpn सर्भरमा ट्राफिक आवश्यक पर्दैन भने, तपाईंले 6 थप नियमहरू थप्नुपर्नेछ। [IP]->[Routes]с type=blackhole। अघिल्लो संस्करणमा - 3 नियमहरू [IP]->[Route]->[Rules].

सञ्चार च्यानलहरूद्वारा प्रयोगकर्ता जडानहरूको वितरण

सरल, दैनिक कार्यहरू। फेरि, अतिरिक्त रूटिङ तालिकाहरू आवश्यक हुनेछ:

/ip route
add dst-address=0.0.0.0/0 gateway=10.10.10.1 dist=1 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=10.20.20.1 dist=2 check-gateway=ping

add dst-address=0.0.0.0/0 gateway=10.10.10.1 dist=1 routing-mark=over-isp1
add dst-address=0.0.0.0/0 gateway=10.20.20.1 dist=1 routing-mark=over-isp2

प्रयोग गर्दै [IP]->[Route]->[Rules]

/ip route rules
add src-address=192.168.100.0/25 action=lookup-only-in-table table=over-isp1
add src-address=192.168.100.128/25 action=lookup-only-in-table table=over-isp2

यदि प्रयोग गर्नुहोस् action=lookup, त्यसपछि जब एक च्यानल असक्षम हुन्छ, ट्राफिक मुख्य तालिकामा जान्छ र काम गर्ने च्यानल मार्फत जान्छ। यो आवश्यक छ वा छैन यो कार्य मा निर्भर गर्दछ।

मा चिन्हहरू प्रयोग गर्दै [IP]->[Firewall]->[Mangle]
आईपी ठेगानाहरूको सूचीको साथ एक सरल उदाहरण। सिद्धान्त मा, लगभग कुनै पनि अवस्था प्रयोग गर्न सकिन्छ। लेयर7 को एक मात्र चेतावनी, जडान लेबलहरूसँग जोड्दा पनि, सबै कुरा सही रूपमा काम गरिरहेको जस्तो लाग्न सक्छ, तर केही ट्राफिक अझै पनि गलत बाटोमा जानेछन्।

/ip firewall mangle
add chain=prerouting src-address-list=users-over-isp1 dst-address-type=!local action=mark-routing new-routing-mark=over-isp1
add chain=prerouting src-address-list=users-over-isp2 dst-address-type=!local action=mark-routing new-routing-mark=over-isp2

तपाइँ प्रयोगकर्ताहरूलाई एक रूटिङ तालिकामा "लक" गर्न सक्नुहुन्छ [IP]->[Route]->[Rules]:

/ip route rules
add routing-mark=over-isp1 action=lookup-only-in-table table=over-isp1
add routing-mark=over-isp2 action=lookup-only-in-table table=over-isp2

या त मार्फत [IP]->[Firewall]->[Filter]:

/ip firewall filter
add chain=forward routing-mark=over-isp1 out-interface=!ether1 action=reject
add chain=forward routing-mark=over-isp2 out-interface=!ether2 action=reject

रिट्रीट प्रो dst-address-type=!local
अतिरिक्त अवस्था dst-address-type=!local यो आवश्यक छ कि प्रयोगकर्ताहरूबाट ट्राफिक राउटरको स्थानीय प्रक्रियाहरूमा पुग्छ (dns, winbox, ssh, ...)। यदि धेरै स्थानीय सबनेटहरू राउटरमा जडित छन् भने, यो सुनिश्चित गर्न आवश्यक छ कि तिनीहरू बीचको ट्राफिक इन्टरनेटमा जाँदैन, उदाहरणका लागि, प्रयोग गरेर dst-address-table.

प्रयोग गर्ने उदाहरणमा [IP]->[Route]->[Rules] त्यहाँ त्यस्ता अपवादहरू छैनन्, तर यातायात स्थानीय प्रक्रियाहरूमा पुग्छ। तथ्य यो हो कि FIB प्याकेजमा चिन्ह लगाइएको छ [PREROUTING|Mangle] रूट लेबल छ र मुख्य बाहेक अन्य रूटिङ तालिकामा जान्छ, जहाँ कुनै स्थानीय इन्टरफेस छैन। राउटिङ नियमहरूको मामलामा, पहिले यो प्याकेट स्थानीय प्रक्रियाको लागि हो कि होइन भनेर जाँच गरिन्छ र प्रयोगकर्ता PBR चरणमा मात्र यो निर्दिष्ट रूटिङ तालिकामा जान्छ।

प्रयोग गर्दै [IP]->[Firewall]->[Mangle action=route]
यो कार्य मा मात्र काम गर्दछ [Prerouting|Mangle] र तपाइँलाई गेटवे ठेगाना सिधै निर्दिष्ट गरेर अतिरिक्त रूटिङ तालिकाहरू प्रयोग नगरी निर्दिष्ट गेटवेमा ट्राफिक निर्देशित गर्न अनुमति दिन्छ:

/ip firewall mangle
add chain=prerouting src-address=192.168.100.0/25 action=route gateway=10.10.10.1
add chain=prerouting src-address=192.168.128.0/25 action=route gateway=10.20.20.1

प्रभाव route रूटिङ नियमहरू भन्दा कम प्राथमिकता छ ([IP]->[Route]->[Rules])। मार्ग चिन्ह को मामला मा, सबै कुरा नियम को स्थिति मा निर्भर गर्दछ, यदि नियम संग action=route भन्दा बढी मूल्यवान छ action=mark-route, त्यसपछि यो प्रयोग गरिनेछ (झण्डा को बावजूद passtrough), अन्यथा मार्ग चिन्ह लगाउँदै।
यस कार्यको बारेमा विकिमा धेरै थोरै जानकारी छ र सबै निष्कर्षहरू प्रयोगात्मक रूपमा प्राप्त गरिन्छ, कुनै पनि अवस्थामा, मैले विकल्पहरू फेला पारेन जब यो विकल्प प्रयोग गर्दा अरूलाई फाइदा दिन्छ।

PPC आधारित गतिशील सन्तुलन

प्रति जडान वर्गीकरणकर्ता - ECMP को अधिक लचिलो एनालग हो। ECMP को विपरीत, यसले ट्राफिकलाई जडानहरूद्वारा अझ कडा रूपमा विभाजन गर्दछ (ECMP लाई जडानहरूको बारेमा केही थाहा छैन, तर जब राउटिङ क्याससँग जोडिएको छ, त्यस्तै केहि प्राप्त हुन्छ)।

पीसीसी लिन्छ निर्दिष्ट क्षेत्रहरू आईपी हेडरबाट, तिनीहरूलाई 32-बिट मानमा रूपान्तरण गर्दछ, र विभाजन गर्दछ भाजक। विभाजनको बाँकी निर्दिष्टसँग तुलना गरिएको छ बाँकी र यदि तिनीहरू मेल खान्छ भने, निर्दिष्ट कार्य लागू हुन्छ। थप पढ्नुहोस्। पागल सुनिन्छ, तर यो काम गर्दछ।

तीन ठेगानाहरु संग उदाहरण:

192.168.100.10: 192+168+100+10 = 470 % 3 = 2
192.168.100.11: 192+168+100+11 = 471 % 3 = 0
192.168.100.12: 192+168+100+12 = 472 % 3 = 1

तीन च्यानलहरू बीच src.address द्वारा ट्राफिकको गतिशील वितरणको उदाहरण:

#Таблица маршрутизации
/ip route
add dst-address=0.0.0.0/0 gateway=10.10.10.1 dist=1 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=10.20.20.1 dist=2 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=10.30.30.1 dist=3 check-gateway=ping

add dst-address=0.0.0.0/0 gateway=10.10.10.1 dist=1 routing-mark=over-isp1
add dst-address=0.0.0.0/0 gateway=10.20.20.1 dist=1 routing-mark=over-isp2
add dst-address=0.0.0.0/0 gateway=10.30.30.1 dist=1 routing-mark=over-isp3

#Маркировка соединений и маршрутов
/ip firewall mangle
add chain=prerouting in-interface=br-lan dst-address-type=!local connection-state=new per-connection-classifier=src-address:3/0 action=mark-connection new-connection-mark=conn-over-isp1
add chain=prerouting in-interface=br-lan dst-address-type=!local connection-state=new per-connection-classifier=src-address:3/1 action=mark-connection new-connection-mark=conn-over-isp2
add chain=prerouting in-interface=br-lan dst-address-type=!local connection-state=new per-connection-classifier=src-address:3/2 action=mark-connection new-connection-mark=conn-over-isp3

add chain=prerouting in-interface=br-lan connection-mark=conn-over-isp1 action=mark-routing new-routing-mark=over-isp1
add chain=prerouting in-interface=br-lan connection-mark=conn-over-isp2 action=mark-routing new-routing-mark=over-isp2
add chain=prerouting in-interface=br-lan connection-mark=conn-over-isp3 action=mark-routing new-routing-mark=over-isp3

मार्गहरू चिन्ह लगाउँदा, त्यहाँ एक अतिरिक्त अवस्था छ: in-interface=br-lan, यो अन्तर्गत बिना action=mark-routing इन्टरनेटबाट प्रतिक्रिया ट्राफिक प्राप्त हुनेछ र, रूटिङ तालिका अनुसार, प्रदायकमा फिर्ता जानेछ।

सञ्चार च्यानलहरू स्विच गर्दै

चेक पिङ एक राम्रो उपकरण हो, तर यसले निकटतम आईपी पियरसँग मात्र जडान जाँच गर्दछ, प्रदायक नेटवर्कहरू प्राय: धेरै राउटरहरू समावेश गर्दछ र जडान ब्रेक नजिकैको साथी बाहिर हुन सक्छ, र त्यसपछि त्यहाँ ब्याकबोन टेलिकम अपरेटरहरू छन् जसले पनि हुन सक्छ। समस्याहरू छन्, सामान्यतया चेक पिङले सधैं ग्लोबल नेटवर्कमा पहुँचको बारेमा अप-टु-डेट जानकारी देखाउँदैन।
यदि प्रदायकहरू र ठूला निगमहरूसँग BGP डायनामिक राउटिंग प्रोटोकल छ भने, घर र कार्यालय प्रयोगकर्ताहरूले स्वतन्त्र रूपमा एक विशिष्ट संचार च्यानल मार्फत इन्टरनेट पहुँच कसरी जाँच गर्ने भनेर पत्ता लगाउनु पर्छ।

सामान्यतया, स्क्रिप्टहरू प्रयोग गरिन्छ कि, निश्चित संचार च्यानल मार्फत, इन्टरनेटमा आईपी ठेगानाको उपलब्धता जाँच गर्नुहोस्, भरपर्दो केहि छनौट गर्दा, उदाहरणका लागि, google dns: 8.8.8.8। ८.८.४.४। तर Mikrotik समुदाय मा, एक थप रोचक उपकरण यसको लागि अनुकूलित गरिएको छ।

पुनरावर्ती रूटिङ बारे केही शब्दहरू
Multihop BGP पियरिङ निर्माण गर्दा पुनरावर्ती रुटिङ आवश्यक हुन्छ र अतिरिक्त स्क्रिप्ट बिना संचार च्यानलहरू स्विच गर्न चेक गेटवेसँग जोडिएको पुनरावर्ती मार्गहरू कसरी प्रयोग गर्ने भनेर धूर्त MikroTik प्रयोगकर्ताहरूको कारणले मात्र स्थिर राउटिङको आधारभूत बारेमा लेखमा पुग्यो।

यो सामान्य सर्तहरूमा स्कोप / लक्ष्य स्कोप विकल्पहरू बुझ्ने समय हो र कसरी मार्ग इन्टरफेसमा बाध्य छ:

रुटले यसको स्कोप मान र मुख्य तालिकामा भएका सबै प्रविष्टिहरू कम वा बराबर लक्ष्य स्कोप मानहरूको आधारमा प्याकेट पठाउनको लागि इन्टरफेस खोज्छ।
फेला परेका इन्टरफेसहरूबाट, तपाईंले निर्दिष्ट गेटवेमा प्याकेट पठाउन सक्ने एउटा चयन गरिएको छ।
गेटवेमा प्याकेट पठाउन फेला परेको जडान प्रविष्टिको इन्टरफेस चयन गरिएको छ

पुनरावर्ती मार्गको उपस्थितिमा, सबै कुरा उस्तै हुन्छ, तर दुई चरणहरूमा:

1-3 जोडिएको मार्गहरूमा थप एउटा मार्ग थपिएको छ, जसबाट निर्दिष्ट गेटवेमा पुग्न सकिन्छ
4-6 "मध्यवर्ती" गेटवेको लागि जोडिएको मार्ग खोज्दै

पुनरावर्ती खोजको साथ सबै हेरफेरहरू RIB मा हुन्छन्, र केवल अन्तिम परिणाम FIB मा हस्तान्तरण गरिन्छ: 0.0.0.0/0 via 10.10.10.1 on ether1.

रुटहरू स्विच गर्न पुनरावर्ती रूटिङ प्रयोग गर्ने एउटा उदाहरण

कन्फिगरेसन:

/ip route
add dst-address=0.0.0.0/0 gateway=8.8.8.8 check-gateway=ping distance=1 target-scope=10
add dst-address=8.8.8.8 gateway=10.10.10.1 scope=10
add dst-address=0.0.0.0/0 gateway=10.20.20.1 distance=2

तपाईले जाँच गर्न सक्नुहुन्छ कि प्याकेटहरू 10.10.10.1 मा पठाइनेछ:

चेक गेटवेलाई पुनरावर्ती राउटिङको बारेमा केही थाहा छैन र केवल 8.8.8.8 मा पिंगहरू पठाउँदछ, जुन (मुख्य तालिकामा आधारित) गेटवे 10.10.10.1 मार्फत पहुँचयोग्य छ।

यदि 10.10.10.1 र 8.8.8.8 बीचको संचार हानि भयो भने, त्यसपछि मार्ग विच्छेद गरिएको छ, तर प्याकेटहरू (परीक्षण पिंगहरू सहित) 8.8.8.8 सम्म 10.10.10.1 मार्फत जान्छ:

यदि ether1 को लिङ्क हराएको छ भने, त्यसपछि एक अप्रिय स्थिति हुन्छ जब 8.8.8.8 भन्दा पहिले प्याकेट दोस्रो प्रदायक मार्फत जान्छ:

यदि तपाईंले 8.8.8.8 उपलब्ध नभएको बेला स्क्रिप्टहरू चलाउन नेटवाच प्रयोग गरिरहनुभएको छ भने यो समस्या हो। यदि लिङ्क टुटेको छ भने, NetWatch ले ब्याकअप संचार च्यानल मार्फत मात्र काम गर्नेछ र सबै कुरा ठीक छ भनी मान्नेछ। थप फिल्टर मार्ग थपेर समाधान:

/ip route
add dst-address=8.8.8.8 gateway=10.20.20.1 distance=100 type=blackhole

habré मा छ लेख, जहाँ नेटवाचको अवस्थालाई थप विवरणमा विचार गरिन्छ।

र हो, यस्तो रिजर्भेसन प्रयोग गर्दा, ठेगाना 8.8.8.8 प्रदायकहरू मध्ये एकलाई हार्डवाइर गरिनेछ, त्यसैले यसलाई dns स्रोतको रूपमा छनौट गर्नु राम्रो विचार होइन।

भर्चुअल रूटिङ र फर्वार्डिङ (VRF) को बारेमा केही शब्दहरू

VRF टेक्नोलोजी एक भौतिक एक भित्र धेरै भर्चुअल राउटरहरू सिर्जना गर्न डिजाइन गरिएको छ, यो प्रविधि टेलिकम अपरेटरहरू द्वारा व्यापक रूपमा प्रयोग गरिन्छ (सामान्यतया MPLS सँग संयोजनमा) ग्राहकहरूलाई ओभरल्यापिंग सबनेट ठेगानाहरूसँग L3VPN सेवाहरू प्रदान गर्न:

तर Mikrotik मा VRF रूटिङ तालिकाहरूको आधारमा व्यवस्थित गरिएको छ र धेरै बेफाइदाहरू छन्, उदाहरणका लागि, राउटरको स्थानीय आईपी ठेगानाहरू सबै VRF बाट उपलब्ध छन्, तपाईं थप पढ्न सक्नुहुन्छ। लिङ्क.

vrf कन्फिगरेसन उदाहरण:

/ip route vrf
add interfaces=ether1 routing-mark=vrf1
add interfaces=ether2 routing-mark=vrf2

/ip address
add address=192.168.100.1/24 interface=ether1 network=192.168.100.0
add address=192.168.200.1/24 interface=ether2 network=192.168.200.0

ether2 मा जडान गरिएको यन्त्रबाट, हामी देख्छौं कि पिंग अर्को vrf बाट राउटर ठेगानामा जान्छ (र यो समस्या हो), जबकि पिंग इन्टरनेटमा जाँदैन:

इन्टरनेट पहुँच गर्न, तपाईंले मुख्य तालिकामा पहुँच गर्ने अतिरिक्त मार्ग दर्ता गर्न आवश्यक छ (vrf शब्दावलीमा, यसलाई मार्ग चुहावट भनिन्छ):

/ip route
add distance=1 gateway=172.17.0.1@main routing-mark=vrf1
add distance=1 gateway=172.17.0.1%wlan1 routing-mark=vrf2

यहाँ मार्ग लीक गर्ने दुई तरिकाहरू छन्: रूटिङ तालिका प्रयोग गरेर: 172.17.0.1@main र इन्टरफेस नाम प्रयोग गर्दै: 172.17.0.1%wlan1.

र फिर्ता ट्राफिकको लागि मार्किङ सेट अप गर्नुहोस् [PREROUTING|Mangle]:

/ip firewall mangle
add chain=prerouting in-interface=ether1 action=mark-connection new-connection-mark=from-vrf1 passthrough=no
add chain=prerouting connection-mark=from-vrf1 routing-mark=!vrf1 action=mark-routing new-routing-mark=vrf1 passthrough=no 
add chain=prerouting in-interface=ether2 action=mark-connection new-connection-mark=from-vrf2 passthrough=no
add chain=prerouting connection-mark=from-vrf2 routing-mark=!vrf1 action=mark-routing new-routing-mark=vrf2 passthrough=no

एउटै ठेगाना भएका सबनेटहरू
VRF र नेटम्याप प्रयोग गरी एउटै राउटरमा एउटै ठेगानाको साथ सबनेटहरूमा पहुँचको संगठन:

आधारभूत कन्फिगरेसन:

/ip route vrf
add interfaces=ether1 routing-mark=vrf1
add interfaces=ether2 routing-mark=vrf2

/ip address
add address=192.168.100.1/24 interface=ether1 network=192.168.100.0
add address=192.168.100.1/24 interface=ether2 network=192.168.100.0
add address=192.168.0.1/24 interface=ether3 network=192.168.0.0

फायरवाल नियम:

#Маркируем пакеты для отправки в правильную таблицу маршрутизации
/ip firewall mangle
add chain=prerouting dst-address=192.168.101.0/24 in-interface=ether3 action=mark-routing new-routing-mark=vrf1 passthrough=no
add chain=prerouting dst-address=192.168.102.0/24 in-interface=ether3 action=mark-routing new-routing-mark=vrf2 passthrough=no

#Средствами netmap заменяем адреса "эфимерных" подсетей на реальные подсети
/ip firewall nat
add chain=dstnat dst-address=192.168.101.0/24 in-interface=ether3 action=netmap to-addresses=192.168.100.0/24
add chain=dstnat dst-address=192.168.102.0/24 in-interface=ether3 action=netmap to-addresses=192.168.100.0/24

फिर्ता ट्राफिकको लागि मार्ग नियमहरू:

#Указание имени интерфейса тоже может считаться route leaking, но по сути тут создается аналог connected маршрута
/ip route
add distance=1 dst-address=192.168.0.0/24 gateway=ether3 routing-mark=vrf1
add distance=1 dst-address=192.168.0.0/24 gateway=ether3 routing-mark=vrf2

दिइएको रूटिङ तालिकामा dhcp मार्फत प्राप्त मार्गहरू थप्दै
VRF चाखलाग्दो हुन सक्छ यदि तपाइँ स्वचालित रूपमा गतिशील मार्ग (उदाहरणका लागि, एक dhcp ग्राहकबाट) एक विशिष्ट रूटिङ तालिकामा थप्न आवश्यक छ।

vrf मा इन्टरफेस थप्दै:

/ip route vrf
add interface=ether1 routing-mark=over-isp1

तालिका मार्फत ट्राफिक (बाहिर जाने र ट्रान्जिट) पठाउने नियम over-isp1:

/ip firewall mangle
add chain=output out-interface=!br-lan action=mark-routing new-routing-mark=over-isp1 passthrough=no
add chain=prerouting in-interface=br-lan dst-address-type=!local action=mark-routing new-routing-mark=over-isp1 passthrough=no

कामको लागि आउटबाउन्ड रूटिङको लागि अतिरिक्त, नक्कली मार्ग:

/interface bridge
add name=bare

/ip route
add dst-address=0.0.0.0/0 gateway=bare

यो मार्ग मात्र आवश्यक छ ताकि स्थानीय बहिर्गमन प्याकेटहरू रूटिङ निर्णय (2) अघि पास गर्न सकून् [OUTPUT|Mangle] र रूटिङ लेबल प्राप्त गर्नुहोस्, यदि मुख्य तालिकामा ०.०.०.०/० भन्दा पहिले राउटरमा अन्य सक्रिय मार्गहरू छन् भने, यो आवश्यक छैन।

चेनहरू `connected-in` и `dynamic-in` в `[Routing] -> [Filters]`

रूट फिल्टरिङ (इनबाउन्ड र आउटबाउन्ड) एक उपकरण हो जुन सामान्यतया गतिशील रूटिङ प्रोटोकलहरूसँग संयोजनमा प्रयोग गरिन्छ (र त्यसैले प्याकेज स्थापना गरेपछि मात्र उपलब्ध छ। मार्ग), तर आगमन फिल्टरहरूमा दुई रोचक चेनहरू छन्:

जडित-इन — जोडिएका मार्गहरू फिल्टर गर्दै
डायनामिक-इन - PPP र DCHP द्वारा प्राप्त गतिशील मार्गहरू फिल्टर गर्दै

फिल्टरिङले तपाईंलाई मार्गहरू खारेज गर्न मात्र होइन, धेरै विकल्पहरू परिवर्तन गर्न पनि अनुमति दिन्छ: दूरी, मार्ग-चिन्ह, टिप्पणी, दायरा, लक्ष्य दायरा, ...

यो एक धेरै सटीक उपकरण हो र यदि तपाइँ राउटिङ फिल्टरहरू बिना केहि गर्न सक्नुहुन्छ (तर स्क्रिप्टहरू होइन), त्यसपछि राउटिङ फिल्टरहरू प्रयोग नगर्नुहोस्, आफैलाई र तपाइँ पछि राउटर कन्फिगर गर्नेहरूलाई भ्रमित नगर्नुहोस्। गतिशील मार्गको सन्दर्भमा, रूटिङ फिल्टरहरू धेरै पटक र अधिक उत्पादक रूपमा प्रयोग गरिनेछ।

गतिशील मार्गहरूको लागि मार्ग चिन्ह सेट गर्दै
गृह राउटरबाट एउटा उदाहरण। मसँग दुईवटा VPN जडानहरू कन्फिगर गरिएका छन् र तिनीहरूमा भएको ट्राफिकलाई राउटिङ तालिकाहरू अनुसार र्‍याप गरिनुपर्छ। एकै समयमा, म इन्टरफेस सक्रिय हुँदा मार्गहरू स्वचालित रूपमा सिर्जना गर्न चाहन्छु:

#При создании vpn подключений указываем создание default route и задаем дистанцию
/interface pptp-client
add connect-to=X.X.X.X add-default-route=yes default-route-distance=101 ...
add connect-to=Y.Y.Y.Y  add-default-route=yes default-route-distance=100 ...

#Фильтрами отправляем маршруты в определенные таблицы маршрутизации на основе подсети назначения и дистанции
/routing filter
add chain=dynamic-in distance=100 prefix=0.0.0.0/0 action=passthrough set-routing-mark=over-vpn1
add chain=dynamic-in distance=101 prefix=0.0.0.0/0 action=passthrough set-routing-mark=over-vpn2

मलाई थाहा छैन किन, सायद बग, तर यदि तपाईंले ppp इन्टरफेसको लागि vrf सिर्जना गर्नुभयो भने, त्यसपछि 0.0.0.0/0 को मार्ग अझै पनि मुख्य तालिकामा आउनेछ। अन्यथा, सबै कुरा अझ सजिलो हुनेछ।

जडान गरिएका मार्गहरू असक्षम गर्दै
कहिलेकाहीँ यो आवश्यक छ:

/route filter
add chain=connected-in prefix=192.168.100.0/24 action=reject

डिबगिङ उपकरणहरू

RouterOS ले डिबग राउटिङका लागि धेरै उपकरणहरू प्रदान गर्दछ:

[Tool]->[Tourch] - तपाईंलाई इन्टरफेसमा प्याकेटहरू हेर्न अनुमति दिन्छ
/ip route check - तपाईंलाई प्याकेट कुन गेटवेमा पठाइनेछ भनेर हेर्न अनुमति दिन्छ, राउटिंग तालिकाहरूसँग काम गर्दैन।
/ping routing-table=<name> и /tool traceroute routing-table=<name> - निर्दिष्ट रूटिङ तालिका प्रयोग गरेर पिंग र ट्रेस
action=log в [IP]->[Firewall] - एक उत्कृष्ट उपकरण जसले तपाईंलाई प्याकेट प्रवाहको साथ प्याकेटको मार्ग ट्रेस गर्न अनुमति दिन्छ, यो कार्य सबै चेन र तालिकाहरूमा उपलब्ध छ।

स्रोत: www.habr.com

Mikrotik RouterOS मा स्थिर राउटिङ को आधारभूत

स्विच र रूटिङ

RouterOS र PacketFlow मा रूटिङ

RIB, FIB, राउटिंग क्यास

मार्ग संवाद थप्नुहोस्

गेटवेमा के निर्दिष्ट गर्ने: आईपी-ठेगाना वा इन्टरफेस?

थप विशिष्ट मार्ग

दूरी

गेटवे जाँच गर्नुहोस्

ECMP मार्गहरू

रूटिङ को माध्यम द्वारा फिल्टर

एक दुई उदाहरण

नीति आधार रूटिङ र अतिरिक्त रूटिङ तालिकाहरू

शब्दावली मुद्दाहरू

एक विशिष्ट रूटिङ तालिकामा प्याकेट कसरी पठाउने

प्रयोगका उदाहरणहरू

MultiWAN र फिर्ता dst-nat ट्राफिक

MultiWAN र आउटबाउन्ड जडानहरू

सञ्चार च्यानलहरूद्वारा प्रयोगकर्ता जडानहरूको वितरण

PPC आधारित गतिशील सन्तुलन

सञ्चार च्यानलहरू स्विच गर्दै

भर्चुअल रूटिङ र फर्वार्डिङ (VRF) को बारेमा केही शब्दहरू

चेनहरू `connected-in` и `dynamic-in` в `[Routing] -> [Filters]`

डिबगिङ उपकरणहरू

एक टिप्पणी थप्न Отменить ответ

Mikrotik RouterOS मा स्थिर राउटिङ को आधारभूत

स्विच र रूटिङ

RouterOS र PacketFlow मा रूटिङ

RIB, FIB, राउटिंग क्यास

मार्ग संवाद थप्नुहोस्

गेटवेमा के निर्दिष्ट गर्ने: आईपी-ठेगाना वा इन्टरफेस?

थप विशिष्ट मार्ग

दूरी

गेटवे जाँच गर्नुहोस्

ECMP मार्गहरू

रूटिङ को माध्यम द्वारा फिल्टर

एक दुई उदाहरण

नीति आधार रूटिङ र अतिरिक्त रूटिङ तालिकाहरू

शब्दावली मुद्दाहरू

एक विशिष्ट रूटिङ तालिकामा प्याकेट कसरी पठाउने

प्रयोगका उदाहरणहरू

MultiWAN र फिर्ता dst-nat ट्राफिक

MultiWAN र आउटबाउन्ड जडानहरू

सञ्चार च्यानलहरूद्वारा प्रयोगकर्ता जडानहरूको वितरण

PPC आधारित गतिशील सन्तुलन

सञ्चार च्यानलहरू स्विच गर्दै

भर्चुअल रूटिङ र फर्वार्डिङ (VRF) को बारेमा केही शब्दहरू

चेनहरू connected-in и dynamic-in в [Routing] -> [Filters]

डिबगिङ उपकरणहरू

एक टिप्पणी थप्न Отменить ответ

चेनहरू `connected-in` и `dynamic-in` в `[Routing] -> [Filters]`