Mikrotik RouterOS ۾ جامد روٽنگ جا بنيادي

روٽنگ TCP/IP نيٽ ورڪن تي پيڪيٽس جي منتقلي لاءِ بهترين رستو ڳولڻ جو عمل آهي. IPv4 نيٽ ورڪ سان ڳنڍيل ڪنهن به ڊوائيس ۾ هڪ پروسيس ۽ روٽنگ ٽيبل شامل آهن.

هي آرٽيڪل هڪ HOWTO نه آهي، اهو RouterOS ۾ جامد رستن کي مثالن سان بيان ڪري ٿو، مون ڄاڻي واڻي باقي سيٽنگون ختم ڪيون آهن (مثال طور، انٽرنيٽ تائين رسائي لاءِ srcnat)، تنهنڪري مواد کي سمجهڻ لاءِ نيٽ ورڪ ۽ RouterOS جي هڪ خاص سطح جي ڄاڻ جي ضرورت آهي.

سوئچنگ ۽ روٽنگ

سوئچنگ ھڪڙو پرت 2 ڀاڱي (ايٿرنيٽ، پي پي پي، ...) اندر پيڪيٽس جي تبادلي جو عمل آھي. جيڪڏهن ڊوائيس ڏسي ٿو ته پئڪيٽ جو وصول ڪندڙ ان سان گڏ هڪ ئي ايٿرنيٽ سب نيٽ تي آهي، اهو آر پي پروٽوڪول استعمال ڪندي ميڪ ايڊريس سکي ٿو ۽ سڌو سنئون پيڪٽ کي منتقل ڪري ٿو، روٽر کي پاس ڪندي. هڪ پي پي پي (پوائنٽ کان پوائنٽ) ڪنيڪشن صرف ٻه شرڪت ڪري سگھن ٿا ۽ پيڪٽ هميشه هڪ پتي تي موڪليو ويندو آهي 0xff.

روٽنگ Layer2 حصن جي وچ ۾ پيڪيٽس جي منتقلي جو عمل آهي. جيڪڏهن ڪو ڊوائيس هڪ پيڪٽ موڪلڻ چاهي ٿو جنهن جو وصول ڪندڙ ايٿرنيٽ جي حصي کان ٻاهر آهي، اهو ان جي روٽنگ ٽيبل ۾ ڏسي ٿو ۽ پيڪٽ کي گيٽ وي ڏانهن منتقل ڪري ٿو، جيڪو ڄاڻي ٿو ته پيڪٽ کي اڳتي ڪٿي موڪلڻو آهي (يا شايد ڄاڻ نه هجي، پيڪٽ جو اصل موڪليندڙ ان جي خبر ناهي).

روٽر جي باري ۾ سوچڻ جو آسان طريقو اهو آهي ته هڪ ڊوائيس ٻن يا وڌيڪ Layer2 حصن سان ڳنڍيل آهي ۽ انهن جي وچ ۾ پيڪيٽس کي پاس ڪرڻ جي قابل آهي روٽنگ ٽيبل مان بهترين رستو طئي ڪندي.

جيڪڏھن توھان سڀ ڪجھ سمجھو ٿا، يا توھان اڳ ۾ ئي ڄاڻو ٿا، پوء پڙھو. باقي لاء، مان ڏاڍي صلاح ڏيان ٿو ته توهان پنهنجو پاڻ کي ننڍڙي، پر تمام گهڻي گنجائش سان واقف ڪيو مضمون.

RouterOS ۽ PacketFlow ۾ روٽنگ

جامد روٽنگ سان لاڳاپيل تقريبن سڀ ڪارڪردگي پيڪيج ۾ آهي نظام. پلاسٽڪ جي ٿيلھي هلڻ متحرڪ روٽنگ الگورٿمز (RIP، OSPF، BGP، MME)، روٽنگ فلٽر ۽ BFD لاءِ سپورٽ شامل ڪري ٿو.

مين مينيو ترتيب ڏيڻ لاءِ: [IP]->[Route]. ڪمپليڪس اسڪيمن جي ضرورت ٿي سگھي ٿي ته پيڪن کي اڳي ليبل ٿيل ڪيو وڃي ان ۾ روٽنگ نشان سان: [IP]->[Firewall]->[Mangle] (زنجيرن PREROUTING и OUTPUT).

PacketFlow تي ٽي جڳھون آھن جتي IP پيٽ جي رستي جا فيصلا ڪيا ويا آھن:

1. روٽر طرفان مليل روٽنگ پيڪيٽ. هن مرحلي تي، اهو فيصلو ڪيو ويو آهي ته ڇا پيڪٽ مقامي عمل ڏانهن ويندا يا نيٽ ورڪ ڏانهن وڌيڪ موڪليو ويندو. ٽرانسپورٽ پيڪيجز وصول ڪن ٿا ٻاھران جو انٽرنيٽ
2. مقامي نڪرندڙ پيڪن کي روٽ ڪرڻ. ٻاهر نڪرندڙ پيڪٽ وصول ڪن ٿا ٻاھران جو انٽرنيٽ
3. ٻاهر نڪرڻ واري پيڪيٽ لاء اضافي روٽنگ قدم، توهان کي رستي جي فيصلي کي تبديل ڪرڻ جي اجازت ڏئي ٿي [Output|Mangle]

• بلاڪ 1، 2 ۾ پيڪٽ جو رستو ضابطن تي منحصر آهي [IP]->[Route]
• پوائنٽس 1، 2 ۽ 3 ۾ پيڪٽ جو رستو ضابطن تي منحصر آهي [IP]->[Route]->[Rules]
• بلاڪ 1، 3 ۾ پيڪيج جو رستو استعمال ڪندي متاثر ٿي سگھي ٿو [IP]->[Firewall]->[Mangle]

RIB، FIB، روٽنگ ڪيش

رستي جي معلومات جو بنياد
بنياد جنهن ۾ رستا گڏ ڪيا ويا آهن متحرڪ روٽنگ پروٽوڪول، پي پي پي ۽ ڊي ايڇ سي پي کان رستا، جامد ۽ ڳنڍيل رستا. ھن ڊيٽابيس ۾ سڀ رستا شامل آھن، سواءِ انھن جي جيڪي منتظم طرفان فلٽر ڪيا ويا آھن.

مشروط طور، اسان اهو فرض ڪري سگهون ٿا [IP]->[Route] RIB ڏيکاري ٿو.

فارورڊنگ انفارميشن بيس

بنياد جنهن ۾ RIB کان بهترين رستا گڏ ڪيا ويا آهن. FIB ۾ سڀئي رستا فعال آهن ۽ پيڪيٽ کي اڳتي وڌائڻ لاءِ استعمال ٿيندا آهن. جيڪڏهن رستو غير فعال ٿي وڃي ٿو (منتظم طرفان بند ٿيل (سسٽم)، يا انٽرفيس جنهن ذريعي پيڪٽ موڪلڻ گهرجي فعال نه آهي)، رستو FIB کان هٽايو ويو آهي.

رستي جو فيصلو ڪرڻ لاءِ، ايف آءِ بي ٽيبل هيٺ ڏنل معلومات استعمال ڪري ٿو IP پيٽ بابت:

• ذريعو پتو
• منزلن جي پتو
• ذريعو انٽرفيس
• رستي جو نشان
• ToS (DSCP)

FIB پيڪيج ۾ حاصل ڪرڻ هيٺين مرحلن مان گذري ٿو:

• ڇا پيڪيج جو مقصد مقامي روٽر جي عمل لاءِ آهي؟
• ڇا پيڪٽ سسٽم يا صارف PBR ضابطن جي تابع آهي؟
  • جيڪڏهن ها، ته پوءِ پيڪٽ مخصوص روٽنگ ٽيبل ڏانهن موڪليو ويندو
• پيڪٽ مکيه ٽيبل ڏانهن موڪليو ويو آهي

مشروط طور، اسان اهو فرض ڪري سگهون ٿا [IP]->[Route Active=yes] FIB ڏيکاري ٿو.

روٽنگ ڪيش
رستو ڪيشنگ ميڪانيزم. روٽر ياد ڪري ٿو جتي پيڪيٽ موڪليا ويا هئا ۽ جيڪڏهن اتي هڪجهڙا آهن (شايد ساڳئي ڪنيڪشن مان) اهو انهن کي FIB ۾ چيڪ ڪرڻ کان سواءِ، ساڳئي رستي سان وڃڻ جي اجازت ڏئي ٿو. رستو ڪيش وقتي طور تي صاف ڪيو ويندو آهي.

RouterOS منتظمين لاءِ، انهن روٽنگ ڪيش کي ڏسڻ ۽ منظم ڪرڻ لاءِ اوزار نه ٺاهيا، پر جڏهن ان کي غير فعال ڪري سگهجي ٿو [IP]->[Settings].

هي ميکانيزم لينڪس 3.6 ڪنيل مان هٽايو ويو، پر RouterOS اڃا تائين kernel 3.3.5 استعمال ڪري ٿو، شايد Routing cahce هڪ سبب آهي.

روٽ ڊائلاگ شامل ڪريو

[IP]->[Route]->[+]

1. Subnet جنهن لاءِ توهان رستو ٺاهڻ چاهيو ٿا (ڊفالٽ: 0.0.0.0/0)
2. گيٽ وي IP يا انٽرفيس جنهن ڏانهن پيڪٽ موڪليو ويندو (ڪيترائي ٿي سگهي ٿي، هيٺ ECMP ڏسو)
3. گيٽ وي جي دستيابي چيڪ ڪريو
4. رڪارڊ جو قسم
5. رستي لاءِ فاصلو (ميٽرڪ).
6. روٽنگ ٽيبل
7. IP هن رستي ذريعي مقامي نڪرڻ واري پيڪيٽ لاءِ
8. اسڪوپ ۽ ٽارگيٽ اسڪوپ جو مقصد مضمون جي آخر ۾ لکيو ويو آهي.

رستي جو جھنڊو

• ايڪس - رستو منتظم طرفان بند ڪيو ويو آهي (disabled=yes)
• الف - رستو پيڪٽ موڪلڻ لاءِ استعمال ٿيندو آهي
• D - رستو متحرڪ طور شامل ڪيو ويو (BGP، OSPF، RIP، MME، PPP، DHCP، ڳنڍيل)
• ج - سب نيٽ سڌو روٽر سان ڳنڍيل آهي
• S - جامد رستو
• r,b,o,m - هڪ متحرڪ روٽنگ پروٽوڪول طرفان شامل ڪيل رستو
• بي، يو، پي - فلٽرنگ جو رستو (پيڪٽن کي منتقل ڪرڻ جي بدران)

گيٽ وي ۾ ڇا بيان ڪجي: ip-address يا interface؟

سسٽم توهان کي ٻنهي جي وضاحت ڪرڻ جي اجازت ڏئي ٿو، جڏهن ته اهو قسم نه کڻندو آهي ۽ اشارو نه ڏيندو آهي جيڪڏهن توهان ڪجهه غلط ڪيو آهي.

IP پتي
گيٽ وي ايڊريس لازمي طور تي Layer2 تي پهچندي. Ethernet لاءِ، هن جو مطلب اهو آهي ته روٽر وٽ هڪ ئي سب نيٽ مان هڪ ايڊريس هجڻ لازمي آهي فعال ip انٽرفيس مان هڪ تي، پي پي پي لاءِ، ته گيٽ وي ايڊريس بيان ڪيل آهي فعال انٽرفيس مان هڪ تي سب نيٽ ايڊريس جي طور تي.
جيڪڏهن Layer2 لاءِ پهچ جي شرط پوري نه ڪئي وئي آهي، ته رستو غير فعال سمجهيو ويندو آهي ۽ FIB ۾ نٿو اچي.

انٽرفيس
سڀڪنھن شيء کي وڌيڪ پيچيده آهي ۽ روٽر جو رويو انٽرفيس جي قسم تي دارومدار.

• PPP (Async, PPTP, L2TP, SSTP, PPPoE, OpenVPN *) ڪنيڪشن صرف ٻن شرڪت ڪندڙن کي فرض ڪري ٿو ۽ پيڪٽ هميشه گيٽ وي ڏانهن موڪليو ويندو ٽرانسميشن لاءِ، جيڪڏهن گيٽ وي کي پتو پوي ٿو ته وصول ڪندڙ پاڻ آهي، پوءِ اهو پيڪٽ کي منتقل ڪندو ان جي مقامي عمل.
  
• Ethernet ڪيترن ئي شرڪت ڪندڙن جي موجودگي کي فرض ڪري ٿو ۽ پيڪٽ جي وصول ڪندڙ جي ايڊريس سان آر پي انٽرفيس ڏانهن درخواستون موڪليندو، اهو توقع آهي ۽ ڳنڍيل رستن لاء ڪافي معمولي رويي.
  پر جڏھن توھان انٽرفيس کي ريموٽ سب نيٽ لاءِ روٽ طور استعمال ڪرڻ جي ڪوشش ڪندا، توھان کي ھيٺين صورتحال ملندي: رستو چالو آھي، گيٽ وي ڏانھن پنگ ٿئي ٿو، پر مخصوص ذيلي نيٽ مان وصول ڪندڙ تائين پھچي نٿو. جيڪڏهن توهان انٽرفيس کي سنيفر ذريعي ڏسو ٿا، ته توهان ڏسندا آر پي درخواستن سان گڏ ريموٽ سب نيٽ مان ايڊريس.
  

ڪوشش ڪريو IP پتي کي گيٽ وي جي طور تي بيان ڪرڻ جي جڏهن به ممڪن هجي. استثنا ڳنڍيل رستا آھن (خودڪار بڻيل) ۽ PPP (Async، PPTP، L2TP، SSTP، PPPoE، OpenVPN*) انٽرفيس.

OpenVPN ۾ PPP هيڊر شامل ناهي، پر توهان رستو ٺاهڻ لاءِ OpenVPN انٽرفيس جو نالو استعمال ڪري سگهو ٿا.

وڌيڪ مخصوص رستو

بنيادي رستي جو ضابطو. اهو رستو جيڪو بيان ڪري ٿو نن subnet (سڀ کان وڏي سبٽ ماسڪ سان) پيڪٽ جي رستي واري فيصلي ۾ اوليت رکي ٿو. روٽنگ ٽيبل ۾ داخلا جي پوزيشن پسند سان لاڳاپيل ناهي - بنيادي اصول وڌيڪ مخصوص آهي.

بيان ڪيل اسڪيم مان سڀئي رستا فعال آهن (FIB ۾ واقع). مختلف subnets ڏانهن اشارو ڪريو ۽ هڪ ٻئي سان تڪرار نه ڪريو.

جيڪڏهن گيٽ ويز مان هڪ به دستياب ناهي، لاڳاپيل رستو غير فعال سمجهيو ويندو (FIB مان هٽايو ويو) ۽ باقي رستن مان پيڪيٽ ڳوليا ويندا.

Subnet 0.0.0.0/0 واري رستي کي ڪڏهن ڪڏهن خاص معنيٰ ڏني ويندي آهي ۽ ان کي ”ڊفالٽ روٽ“ يا ”گيٽ وي آف آخري ريسٽ“ چئبو آهي. حقيقت ۾، ان ۾ ڪجھ به جادوگر نه آھي ۽ ان ۾ صرف سڀ ممڪن IPv4 ايڊريس شامل آھن، پر اھي نالا ھن جي ڪم کي چڱيءَ طرح بيان ڪن ٿا - اھو گيٽ وي کي اشارو ڪري ٿو جتي پيڪٽس کي اڳتي وڌايو وڃي جنھن لاءِ ڪو ٻيو، وڌيڪ صحيح رستا نه آھن.

IPv4 لاءِ وڌ ۾ وڌ ممڪن سب نيٽ ماسڪ /32 آهي، هي رستو هڪ مخصوص ميزبان ڏانهن اشارو ڪري ٿو ۽ روٽنگ ٽيبل ۾ استعمال ڪري سگهجي ٿو.

ڪنهن به TCP/IP ڊيوائس لاءِ وڌيڪ مخصوص روٽ کي سمجهڻ بنيادي آهي.

مفاصلو

فاصلن (يا ميٽرڪس) جي ضرورت هوندي آهي انتظامي فلٽرنگ لاءِ رستن جي هڪ واحد سب نيٽ تائين رسائي جي ڪيترن ئي گيٽ ويز ذريعي. ھڪڙو رستو ھڪڙي گھٽ ميٽرڪ سان ھڪڙي ترجيح سمجھي ويندي آھي ۽ FIB ۾ شامل ڪيو ويندو. جيڪڏهن هڪ گهٽ ميٽرڪ وارو رستو چالو ٿيڻ بند ٿي وڃي ٿو، ته پوءِ ان کي FIB ۾ اعلي ميٽرڪ واري رستي سان تبديل ڪيو ويندو.

جيڪڏهن ساڳي ميٽرڪ سان گڏ هڪ ئي سب نيٽ جا ڪيترائي رستا آهن، روٽر انهن مان صرف هڪ کي FIB ٽيبل ۾ شامل ڪندو، ان جي اندروني منطق جي رهنمائي ڪندي.

ميٽرڪ 0 کان 255 تائين قدر وٺي سگھي ٿو:

• 0 - ڳنڍيل رستن لاء ميٽرڪ. فاصلو 0 منتظم طرفان مقرر نه ٿو ڪري سگھجي
• 1-254 - رستا ٺاھڻ لاءِ منتظم وٽ ميٽرڪس موجود آھن. گھٽ قيمت سان ميٽرڪ کي اعلي ترجيح آھي
• 255 - ميٽرڪ رستا ترتيب ڏيڻ لاءِ منتظم وٽ دستياب آهي. 1-254 جي برعڪس، 255 جي ميٽرڪ سان هڪ رستو هميشه غير فعال رهي ٿو ۽ FIB ۾ نٿو اچي
• مخصوص ماپ. متحرڪ روٽنگ پروٽوڪول مان نڪتل رستا معياري ميٽرڪ قدر آهن

گيٽ وي چيڪ ڪريو

چيڪ گيٽ وي هڪ MikroTik RoutesOS ايڪسٽينشن آهي گيٽ وي جي دستيابي کي چيڪ ڪرڻ لاءِ icmp يا arp ذريعي. هر 10 سيڪنڊن ۾ هڪ ڀيرو (تبديل نه ٿو ڪري سگھجي)، هڪ درخواست گيٽ وي ڏانهن موڪلي وئي آهي، جيڪڏهن جواب ٻه ڀيرا نه ملي، ته رستو غير دستياب سمجهيو ويندو آهي ۽ FIB کان هٽايو ويندو آهي. جيڪڏهن چيڪ گيٽ وي کي غير فعال ڪيو ويو آهي چيڪ رستو جاري آهي ۽ رستو هڪ ڪامياب چيڪ کان پوء ٻيهر فعال ٿي ويندو.

چيڪ گيٽ وي ان داخلا کي غير فعال ڪري ٿو جنهن ۾ ان کي ترتيب ڏنو ويو آهي ۽ ٻيون سڀئي داخلون (سڀني روٽنگ جدولن ۽ ecmp رستن ۾) مخصوص گيٽ وي سان.

عام طور تي، چيڪ ڪريو گيٽ وي ٺيڪ ڪم ڪري ٿو جيستائين گيٽ وي کي پيڪٽ جي نقصان سان ڪو مسئلو ناهي. چيڪ گيٽ وي کي خبر ناهي ته چيڪ ٿيل گيٽ وي کان ٻاهر ڪميونيڪيشن سان ڇا ٿئي ٿو، ان لاءِ اضافي اوزارن جي ضرورت آهي: اسڪرپٽس، ريڪرسيو روٽنگ، ڊئنيمڪ روٽنگ پروٽوڪول.

گھڻا وي پي اين ۽ سرنگ پروٽوڪول ڪنيڪشن جي سرگرمي کي جانچڻ لاءِ بلٽ ان ٽولز تي مشتمل آھن، انھن لاءِ چيڪ گيٽ وي کي فعال ڪرڻ نيٽ ورڪ ۽ ڊوائيس جي ڪارڪردگي تي اضافي (پر تمام ننڍو) لوڊ آھي.

ECMP رستا

برابر قيمت ملٽي-پاٿ - راؤنڊ رابن الورورٿم استعمال ڪندي ڪيترن ئي گيٽ ويز استعمال ڪندي وصول ڪندڙ کي پيڪيٽ موڪلڻ.

ECMP روٽ ايڊمنسٽريٽر طرفان هڪ ئي سب نيٽ لاءِ گھڻن گيٽ ويز جي وضاحت ڪندي ٺاهي وئي آهي (يا خودڪار طور تي، جيڪڏهن ٻه برابر OSPF رستا آهن).

ECMP ٻن چينلن جي وچ ۾ لوڊ توازن لاء استعمال ڪيو ويندو آهي، نظرياتي طور تي، جيڪڏهن ecmp رستي ۾ ٻه چينل آهن، پوء هر پيٽ لاء ٻاهر نڪرڻ واري چينل مختلف هجڻ گهرجي. پر روٽنگ ڪيش ميڪانيزم ڪنيڪشن مان پيڪيٽ موڪلي ٿو رستي سان جيڪو پهريون پيڪٽ ورتو، نتيجي طور، اسان کي ڪنيڪشن جي بنياد تي هڪ قسم جي بيلنس حاصل ٿئي ٿي (في ڪنيڪشن لوڊنگ بيلنسنگ).

جيڪڏهن توهان روٽنگ ڪيش کي بند ڪريو ٿا، ته پوءِ ECMP روٽ ۾ پيڪيٽس صحيح طرح سان شيئر ڪيا ويندا، پر NAT سان مسئلو آهي. NAT قاعدو ڪنيڪشن مان صرف پهرين پيڪٽ تي عمل ڪري ٿو (باقي خودڪار طريقي سان عمل ڪيو ويندو آهي)، ۽ اهو ظاهر ٿئي ٿو ته ساڳي ماخذ ايڊريس سان پيڪٽ مختلف انٽرفيس ڇڏيندا آهن.

چيڪ ڪريو گيٽ وي ECMP رستن ۾ ڪم نٿو ڪري (RouterOS بگ). پر توھان حاصل ڪري سگھوٿا ھن حد جي چوڌاري اضافي تصديق جا رستا ٺاھڻ جيڪي ECMP ۾ داخلائن کي غير فعال ڪندا.

رستي جي ذريعي فلٽرنگ

قسم جو اختيار طئي ڪري ٿو ته پيڪيج سان ڇا ڪجي:

• unicast - مخصوص گيٽ وي ڏانھن موڪليو (انٽرفيس)
• بليڪ هول - هڪ پيڪٽ رد ڪريو
• ممنوع، ناقابل رسائي - پيڪٽ کي رد ڪريو ۽ موڪليندڙ کي icmp پيغام موڪليو

فلٽرنگ عام طور تي استعمال ڪيو ويندو آهي جڏهن اهو ضروري آهي ته پيڪيٽس جي موڪل کي محفوظ ڪرڻ لاءِ غلط رستي سان، يقينا، توهان هن کي فائر وال ذريعي فلٽر ڪري سگهو ٿا.

مثال جا ٻه

روٽنگ بابت بنيادي شين کي مضبوط ڪرڻ لاء.

عام گهر روٽر

/ip route
add dst-address=0.0.0.0/0 gateway=10.10.10.1

1. جامد رستو 0.0.0.0/0 تائين (ڊفالٽ رستو)
2. مهيا ڪندڙ سان انٽرفيس تي ڳنڍيل رستو
3. LAN انٽرفيس تي ڳنڍيل رستو

PPPoE سان عام گهر روٽر

1. جامد رستو ڊفالٽ رستي ڏانهن، خودڪار طريقي سان شامل ڪيو ويو. اهو ڪنيڪشن جي ملڪيت ۾ بيان ڪيو ويو آهي
2. PPP ڪنيڪشن لاءِ ڳنڍيل رستو
3. LAN انٽرفيس تي ڳنڍيل رستو

عام گهر روٽر ٻن مهيا ڪندڙن ۽ بيڪار سان

/ip route
add dst-address=0.0.0.0/0 gateway=10.10.10.1 distance=1 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=10.20.20.1 distance=2

1. جامد رستو ڊفالٽ رستي تائين پھرين مهيا ڪندڙ ذريعي ميٽرڪ 1 ۽ گيٽ وي جي دستيابي چيڪ سان
2. ميٽرڪ 2 سان سيڪنڊ فراهم ڪندڙ ذريعي ڊفالٽ رستي ڏانهن جامد رستو
3. ڳنڍيل رستا

0.0.0.0/0 ڏانهن ٽريفڪ 10.10.10.1 ذريعي وڃي ٿي جڏهن ته هي گيٽ وي موجود آهي، ٻي صورت ۾ اهو 10.20.20.1 ڏانهن تبديل ٿي ويندو آهي

اهڙي منصوبي کي هڪ چينل رزرويشن سمجهي سگهجي ٿو، پر ان جي نقصان کان سواء نه آهي. جيڪڏهن ڪو وقفو مهيا ڪندڙ جي گيٽ وي کان ٻاهر ٿئي ٿو (مثال طور، آپريٽر جي نيٽ ورڪ جي اندر)، توهان جي روٽر کي ان جي باري ۾ خبر نه هوندي ۽ اهو روٽ کي فعال طور تي غور ڪرڻ جاري رکندو.

عام گهر روٽر ٻن مهيا ڪندڙن سان، بيڪار ۽ ECMP

/ip route
add dst-address=0.0.0.0/0 gateway=10.10.10.1 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=10.20.20.1 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=10.10.10.1,10.20.20.1 distance=1

1. چيڪ گيٽ وي جي چڪاس لاءِ جامد رستا
2. ECMP رستو
3. ڳنڍيل رستا

چيڪ ڪرڻ جا رستا نيري آهن (غير فعال رستن جو رنگ)، پر اهو چيڪ گيٽ وي سان مداخلت نٿو ڪري. RoS جو موجوده نسخو (6.44) ECMP روٽ کي خودڪار ترجيح ڏئي ٿو، پر اھو بھتر آھي ته ٽيسٽ رستن کي ٻين روٽنگ جدولن ۾ شامل ڪيو وڃي (اختيار routing-mark)

Speedtest ۽ ٻين ساڳين سائيٽن تي، رفتار ۾ ڪو به واڌارو نه ٿيندو (ECMP ٽرئفڪ کي ڪنيڪشن ذريعي ورهائي ٿو، نه پيڪٽ ذريعي)، پر p2p ايپليڪيشنن کي تيزيءَ سان ڊائونلوڊ ڪرڻ گهرجي.

روٽنگ ذريعي فلٽرنگ

/ip route
add dst-address=0.0.0.0/0 gateway=10.10.10.1
add dst-address=192.168.200.0/24 gateway=10.30.30.1 distance=1
add dst-address=192.168.200.0/24 gateway=10.10.10.1 distance=2 type=blackhole

1. مستحڪم رستو ڊفالٽ رستي ڏانهن
2. جامد رستو 192.168.200.0/24 تائين ipip سرنگ مٿان
3. ISP روٽر ذريعي 192.168.200.0/24 تائين جامد رستو منع ڪرڻ

هڪ فلٽرنگ اختيار جنهن ۾ سرنگ ٽرئفڪ فراهم ڪندڙ جي روٽر ڏانهن نه ويندي جڏهن ipip انٽرفيس غير فعال آهي. اهڙيون اسڪيمون تمام گهٽ گهربل آهن، ڇاڪاڻ ته. توهان فائر وال ذريعي بلاڪنگ لاڳو ڪري سگهو ٿا.

رستي وارو لوپ
روٽنگ لوپ - هڪ صورتحال جڏهن هڪ پيڪٽ ttl ختم ٿيڻ کان اڳ روٽرن جي وچ ۾ هلندو آهي. عام طور تي اهو هڪ ترتيب جي غلطي جو نتيجو آهي، وڏي نيٽ ورڪن ۾ اهو علاج ڪيو ويندو آهي متحرڪ روٽنگ پروٽوڪول جي عمل درآمد سان، ننڍن ۾ - احتياط سان.

اهو ڪجهه هن طرح نظر اچي ٿو:

ھڪڙو مثال (سڀ کان سادو) ھڪڙو ساڳيو نتيجو ڪيئن حاصل ڪجي:

روٽنگ لوپ جو مثال ڪو به عملي استعمال نه آهي، پر اهو ڏيکاري ٿو ته روٽرن کي پنهنجي پاڙيسري جي روٽنگ ٽيبل بابت ڪا ڄاڻ ناهي.

پاليسي بيس روٽنگ ۽ اضافي روٽنگ ٽيبل

جڏهن هڪ رستو چونڊيو، روٽر صرف هڪ فيلڊ استعمال ڪري ٿو پيڪٽ هيڊر (Dst. ايڊريس) - هي بنيادي رستو آهي. ٻين شرطن تي ٻڌل روٽنگ، جهڙوڪ ذريعو پتو، ٽرئفڪ جو قسم (ToS)، ECMP کان سواءِ توازن، پاليسي بيس روٽنگ (PBR) سان تعلق رکي ٿو ۽ اضافي روٽنگ ٽيبل استعمال ڪري ٿو.

وڌيڪ مخصوص رستو روٽنگ ٽيبل ۾ مکيه رستي جي چونڊ ضابطو آهي.

ڊفالٽ طور، سڀ روٽنگ ضابطا مکيه جدول ۾ شامل ڪيا ويا آهن. ايڊمنسٽريٽر انھن لاءِ اضافي روٽنگ جدولن ۽ روٽ پيڪٽن جو ھڪ خودمختيار تعداد ٺاھي سگھي ٿو. مختلف جدولن ۾ ضابطا هڪ ٻئي سان تڪرار نه ڪندا آھن. جيڪڏهن پيڪيج مخصوص ٽيبل ۾ مناسب قاعدو نه ڳولي، اهو مکيه ٽيبل ڏانهن ويندو.

فائر وال ذريعي تقسيم سان مثال:

• 192.168.100.10 -> 8.8.8.8
  1. 192.168.100.10 کان ٽريفڪ ليبل ٿيل آهي ذريعي-isp1 в [Prerouting|Mangle]
  2. ٽيبل ۾ روٽنگ اسٽيج تي ذريعي-isp1 8.8.8.8 ڏانهن رستو ڳولي ٿو
  3. رستو مليو، ٽريفڪ گيٽ وي 10.10.10.1 ڏانهن موڪليو ويو
• 192.168.200.20 -> 8.8.8.8
  1. 192.168.200.20 کان ٽريفڪ ليبل ٿيل آهي ذريعي-isp2 в [Prerouting|Mangle]
  2. ٽيبل ۾ روٽنگ اسٽيج تي ذريعي-isp2 8.8.8.8 ڏانهن رستو ڳولي ٿو
  3. رستو مليو، ٽريفڪ گيٽ وي 10.20.20.1 ڏانهن موڪليو ويو
• جيڪڏهن گيٽ ويز مان هڪ (10.10.10.1 يا 10.20.20.1) دستياب نه ٿي وڃي ته پوءِ پيڪٽ ٽيبل تي ويندو مکيه ۽ اتي مناسب رستو ڳوليندا

اصطلاحي مسئلا

RouterOS ڪجهه اصطلاحن جا مسئلا آهن.
جڏهن ضابطن سان ڪم ڪرڻ ۾ [IP]->[Routes] رستي واري ٽيبل کي اشارو ڪيو ويو آهي، جيتوڻيڪ اهو لکيل آهي ته ليبل:

В [IP]->[Routes]->[Rule] هر شي صحيح آهي، ٽيبل جي عمل ۾ ليبل حالت ۾:

هڪ مخصوص روٽنگ ٽيبل تي پيڪٽ ڪيئن موڪليو

RouterOS ڪيترن ئي اوزار مهيا ڪري ٿو:

• ۾ ضابطا [IP]->[Routes]->[Rules]
• رستي جا نشان (action=mark-routing) ۾ [IP]->[Firewall]->[Mangle]
• وي آر ايف

ضابطا [IP]->[Route]->[Rules]
ضابطا ترتيب سان عمل ڪيا ويندا آهن، جيڪڏهن پيڪٽ ضابطن جي شرطن سان ملندو آهي، اهو اڳتي نه ٿو نڪري.

روٽنگ جا ضابطا توهان کي رستي جي امڪانن کي وڌائڻ جي اجازت ڏين ٿا، نه رڳو وصول ڪندڙ ايڊريس تي، پر ان جو ذريعو پتو ۽ انٽرفيس تي پڻ جنهن تي پيڪٽ وصول ڪيو ويو آهي.

ضابطا شرطن ۽ عمل تي مشتمل آهن:

• حالتون. عملي طور تي نشانين جي لسٽ کي ورجايو جنهن جي ذريعي پيڪيج چيڪ ڪيو ويو آهي FIB ۾، صرف ToS غائب آهي.
• عمل
  • ڳوليو - ٽيبل تي ھڪڙو پيڪٽ موڪليو
  • صرف ٽيبل ۾ ڏسو - ٽيبل ۾ پيڪيج کي بند ڪريو، جيڪڏهن رستو نه مليو، پيڪيج مکيه ميز تي نه ويندو
  • ڦٽو ڪرڻ- هڪ پيڪٽ ڇڏڻ
  • ناقابل رسائي - موڪليندڙ نوٽيفڪيشن سان پيڪيٽ کي رد ڪريو

FIB ۾، مقامي عملن ڏانهن ٽرئفڪ ضابطن جي ذريعي عمل ڪيو ويندو آهي [IP]->[Route]->[Rules]:

نشان لڳل [IP]->[Firewall]->[Mangle]
روٽنگ ليبلز توهان کي اجازت ڏيڻ جي اجازت ڏين ٿا گيٽ وي کي سيٽ ڪرڻ لاءِ پيڪٽ لاءِ تقريبن ڪنهن به فائر وال حالتون استعمال ڪندي:

عملي طور تي، ڇاڪاڻ ته اهي سڀ ڪجهه سمجهه ۾ نه ٿا اچن، ۽ ڪجهه شايد غير مستحڪم ڪم ڪري سگهن ٿيون.

پيڪيج کي ليبل ڪرڻ جا ٻه طريقا آهن:

• فوري طور تي لڳايو رستي جو نشان
• پهرين رکو ڪنيڪشن جو نشان، پوء بنياد تي ڪنيڪشن جو نشان رکڻ رستي جو نشان

فائر والز جي باري ۾ هڪ مضمون ۾، مون لکيو ته ٻيو اختيار ترجيح آهي. سي پي يو تي لوڊ گھٽائي ٿو، نشانن جي رستن جي صورت ۾ - اهو مڪمل طور تي درست ناهي. اهي نشان لڳائڻ وارا طريقا هميشه برابر نه هوندا آهن ۽ عام طور تي مختلف مسئلن کي حل ڪرڻ لاءِ استعمال ٿيندا آهن.

استعمال جون مثالون

اچو ته پاليسي بيس روٽنگ استعمال ڪرڻ جي مثالن ڏانهن وڃو، اهي ڏيکارڻ تمام آسان آهن ته هي سڀ ڇو ضروري آهي.

MultiWAN ۽ واپسي نڪرڻ واري (آئوٽ پٽ) ٽرئفڪ
ملٽي وان جي ٺاھ جوڙ سان ھڪڙو عام مسئلو: Mikrotik صرف انٽرنيٽ تان "فعال" مهيا ڪندڙ جي ذريعي دستياب آھي.

روٽر کي پرواه ناهي ته درخواست ڪهڙي ip کان آئي آهي، جڏهن هڪ جواب پيدا ڪندي، اهو روٽنگ ٽيبل ۾ رستو ڳوليندو جتي isp1 ذريعي رستو فعال آهي. وڌيڪ، اهڙي پيڪٽ گهڻو ڪري وصول ڪندڙ جي رستي ۾ فلٽر ڪيو ويندو.

هڪ ٻيو دلچسپ نقطو. جيڪڏهن هڪ "سادو" ذريعو نيٽ ترتيب ڏنل آهي ether1 انٽرفيس تي: /ip fi nat add out-interface=ether1 action=masquerade پيڪيج src سان آن لائن ٿيندو. پتو = 10.10.10.100، جيڪو شيون وڌيڪ خراب ڪري ٿو.

مسئلو حل ڪرڻ جا ڪيترائي طريقا آھن، پر انھن مان ڪنھن کي به اضافي روٽنگ جدولن جي ضرورت پوندي:

/ip route
add dst-address=0.0.0.0/0 gateway=10.10.10.1 check-gateway=ping distance=1
add dst-address=0.0.0.0/0 gateway=10.20.20.1 check-gateway=ping distance=2
add dst-address=0.0.0.0/0 gateway=10.10.10.1 routing-mark=over-isp1
add dst-address=0.0.0.0/0 gateway=10.20.20.1 routing-mark=over-isp2

استعمال ڪريو [IP]->[Route]->[Rules]
روٽنگ ٽيبل جي وضاحت ڪريو جيڪا مخصوص ماخذ IP سان پيڪيٽ لاءِ استعمال ڪئي ويندي.

/ip route rule
add src-address=10.10.10.100/32 action=lookup-only-in-table table=over-isp1
add src-address=10.20.20.200/32 action=lookup-only-in-table table=over-isp2

استعمال ڪري سگهجن ٿا action=lookup, پر مقامي نڪرڻ واري ٽرئفڪ لاء، هي اختيار مڪمل طور تي غلط انٽرفيس کان ڪنيڪشن کي خارج ڪري ٿو.

• سسٽم Src سان هڪ جوابي پيڪيٽ ٺاهي ٿو. ائڊريس: 10.20.20.200
• رستي جو فيصلو (2) قدم چيڪ [IP]->[Routes]->[Rules] ۽ پيڪٽ روٽنگ ٽيبل ڏانهن موڪليو ويو آهي over-isp2
• روٽنگ ٽيبل جي مطابق، پيڪٽ گيٽ وي 10.20.20.1 ڏانهن ether2 انٽرفيس ذريعي موڪليو وڃي

هن طريقي کي ڪم ڪندڙ ڪنيڪشن ٽريڪٽر جي ضرورت ناهي، برعڪس منگل ٽيبل استعمال ڪرڻ جي.

استعمال ڪريو [IP]->[Firewall]->[Mangle]
ڪنيڪشن هڪ ايندڙ پيڪٽ سان شروع ٿئي ٿو، تنهنڪري اسان ان کي نشان لڳايو (action=mark-connection)، نشان لڳل ڪنيڪشن مان نڪرندڙ پيڪٽس لاءِ، مقرر ڪريو روٽنگ ليبل (action=mark-routing).

/ip firewall mangle
#Маркировка входящих соединений
add chain=input in-interface=ether1 connection-state=new action=mark-connection new-connection-mark=from-isp1
add chain=input in-interface=ether2 connection-state=new action=mark-connection new-connection-mark=from-isp2
#Маркировка исходящих пакетов на основе соединений
add chain=output connection-mark=from-isp1 action=mark-routing new-routing-mark=over-isp1 passthrough=no
add chain=output connection-mark=from-isp2 action=mark-routing new-routing-mark=over-isp2 passthrough=no

جيڪڏهن ڪيترائي ips هڪ انٽرفيس تي ترتيب ڏنل آهن، توهان شرط ۾ شامل ڪري سگهو ٿا dst-address پڪ ٿيڻ.

• ھڪڙو پيڪٽ ether2 انٽرفيس تي ڪنيڪشن کوليندو آھي. پيڪيج اندر وڃي ٿو [INPUT|Mangle] جيڪو چوي ٿو ته ڪنيڪشن مان سڀني پيڪن کي نشان لڳايو جيئن کان-isp2
• سسٽم Src سان هڪ جوابي پيڪيٽ ٺاهي ٿو. ائڊريس: 10.20.20.200
• روٽنگ فيصلي (2) اسٽيج تي، پيڪٽ، روٽنگ ٽيبل جي مطابق، گيٽ وي 10.20.20.1 ڏانهن ether1 انٽرفيس ذريعي موڪليو ويو آهي. توھان ان جي تصديق ڪري سگھوٿا پيڪيجز کي لاگ ان ڪندي [OUTPUT|Filter]
• اسٽيج تي [OUTPUT|Mangle] ڪنيڪشن ليبل چيڪ ڪيو ويو آهي کان-isp2 ۽ پيڪٽ هڪ رستا ليبل وصول ڪري ٿو over-isp2
• روٽنگ ايڊجسٽمينٽ (3) قدم روٽنگ ليبل جي موجودگي جي جانچ ڪري ٿو ۽ ان کي مناسب روٽنگ ٽيبل ڏانهن موڪلي ٿو
• روٽنگ ٽيبل جي مطابق، پيڪٽ گيٽ وي 10.20.20.1 ڏانهن ether2 انٽرفيس ذريعي موڪليو وڃي

MultiWAN ۽ واپسي dst-nat ٽرئفڪ

هڪ مثال وڌيڪ پيچيده آهي، ڇا ڪجي جيڪڏهن ڪو سرور آهي (مثال طور، ويب) روٽر جي پويان هڪ خانگي سب نيٽ تي ۽ توهان کي ڪنهن به مهيا ڪندڙن جي ذريعي ان تائين رسائي فراهم ڪرڻ جي ضرورت آهي.

/ip firewall nat
add chain=dstnat proto=tcp dst-port=80,443 in-interface=ether1 action=dst-nat to-address=192.168.100.100
add chain=dstnat proto=tcp dst-port=80,443 in-interface=ether2 action=dst-nat to-address=192.168.100.100

مسئلو جو بنياد ساڳيو هوندو، حل فائر وال منگل جي اختيار سان ملندڙ جلندڙ آهي، صرف ٻيون زنجير استعمال ڪيا ويندا:

/ip firewall mangle
add chain=prerouting connection-state=new in-interface=ether1 protocol=tcp dst-port=80,443 action=mark-connection new-connection-mark=web-input-isp1
add chain=prerouting connection-state=new in-interface=ether2 protocol=tcp dst-port=80,443 action=mark-connection new-connection-mark=web-input-isp2
add chain=prerouting connection-mark=web-input-isp1 in-interface=ether3 action=mark-routing new-routing-mark=over-isp1 passthrough=no
add chain=prerouting connection-mark=web-input-isp2 in-interface=ether3 action=mark-routing new-routing-mark=over-isp2 passthrough=no

ڊراگرام NAT نٿو ڏيکاري، پر مان سمجهان ٿو ته سڀ ڪجهه واضح آهي.

MultiWAN ۽ ٻاهرين ڪنيڪشن

توھان استعمال ڪري سگھو ٿا PBR صلاحيتن کي ٺاھيو گھڻن وي پي اين (مثال ۾ SSTP) مختلف روٽر انٽرفيس مان ڪنيڪشن.

اضافي روٽنگ جدول:

/ip route
add dst-address=0.0.0.0/0 gateway=192.168.100.1 routing-mark=over-isp1
add dst-address=0.0.0.0/0 gateway=192.168.200.1 routing-mark=over-isp2
add dst-address=0.0.0.0/0 gateway=192.168.0.1 routing-mark=over-isp3

add dst-address=0.0.0.0/0 gateway=192.168.100.1 distance=1
add dst-address=0.0.0.0/0 gateway=192.168.200.1 distance=2
add dst-address=0.0.0.0/0 gateway=192.168.0.1 distance=3

پيڪيج جا نشان:

/ip firewall mangle
add chain=output dst-address=10.10.10.100 proto=tcp dst-port=443 action=mark-routing new-routing-mark=over-isp1 passtrough=no
add chain=output dst-address=10.10.10.101 proto=tcp dst-port=443 action=mark-routing new-routing-mark=over-isp2 passtrough=no
add chain=output dst-address=10.10.10.102 proto=tcp dst-port=443 action=mark-routing new-routing-mark=over-isp3 passtrough=no

سادو NAT ضابطا، ٻي صورت ۾ پيڪٽ انٽرفيس کي غلط Src سان ڇڏي ڏيندو. پتو:

/ip firewall nat
add chain=srcnat out-interface=ether1 action=masquerade
add chain=srcnat out-interface=ether2 action=masquerade
add chain=srcnat out-interface=ether3 action=masquerade

پڇي:

• روٽر ٽي SSTP پروسيس ٺاهي ٿو
• رستي جي فيصلي (2) اسٽيج تي، هڪ رستو چونڊيو ويو آهي انهن عملن لاءِ مکيه روٽنگ ٽيبل جي بنياد تي. ساڳئي رستي کان، پيڪٽ حاصل ڪري ٿو Src. پتو ether1 انٽرفيس تي پابند
• В [Output|Mangle] مختلف ڪنيڪشن مان پيڪيٽ مختلف ليبل وصول ڪن ٿا
• پيڪٽس روٽنگ ايڊجسٽمينٽ اسٽيج تي ليبل سان لاڳاپيل جدولن ۾ داخل ٿين ٿا ۽ پيڪٽ موڪلڻ لاءِ نئون رستو وصول ڪن ٿا
• پر پيڪيجز اڃا تائين Src. اسٽيج تي، ether1 کان پتو [Nat|Srcnat] ايڊريس انٽرفيس جي مطابق متبادل آهي

دلچسپ ڳالهه اها آهي ته روٽر تي توهان هيٺ ڏنل ڪنيڪشن ٽيبل ڏسندا:

ڪنيڪشن ٽريڪٽر اڳ ۾ ڪم ڪري ٿو [Mangle] и [Srcnat]، تنهنڪري سڀئي ڪنيڪشن هڪ ئي ايڊريس مان ايندا آهن، جيڪڏهن توهان وڌيڪ تفصيل سان ڏسندا، پوءِ اندر Replay Dst. Address NAT کان پوءِ پتو ھوندو:

وي پي اين سرور تي (مون وٽ ٽيسٽ بينچ تي هڪ آهي)، توهان ڏسي سگهو ٿا ته سڀئي ڪنيڪشن صحيح پتي مان ايندا آهن:

هڪ طريقو انتظار ڪريو
اتي ھڪڙو آسان طريقو آھي، توھان آسانيءَ سان بيان ڪري سگھوٿا ھر ھڪ پتي لاءِ مخصوص گيٽ وي:

/ip route
add dst-address=10.10.10.100 gateway=192.168.100.1
add dst-address=10.10.10.101 gateway=192.168.200.1
add dst-address=10.10.10.102 gateway=192.168.0.1

پر اهڙا رستا نه رڳو ٻاهر نڪرڻ وارن کي متاثر ڪندا پر ٽرانزٽ ٽريفڪ کي به. ان سان گڏ، جيڪڏهن توهان کي وي پي اين سرور ڏانهن ٽرئفڪ جي ضرورت نه آهي نامناسب ڪميونيڪيشن چينلز ذريعي وڃڻ لاءِ، ته پوءِ توهان کي 6 وڌيڪ ضابطا شامل ڪرڻا پوندا. [IP]->[Routes]с type=blackhole. پوئين ورزن ۾ - 3 ضابطن ۾ [IP]->[Route]->[Rules].

ڪميونيڪيشن چينلز ذريعي صارف ڪنيڪشن جي ورڇ

سادو، روزانو ڪم. ٻيهر، اضافي روٽنگ جدولن جي ضرورت پوندي:

/ip route
add dst-address=0.0.0.0/0 gateway=10.10.10.1 dist=1 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=10.20.20.1 dist=2 check-gateway=ping

add dst-address=0.0.0.0/0 gateway=10.10.10.1 dist=1 routing-mark=over-isp1
add dst-address=0.0.0.0/0 gateway=10.20.20.1 dist=1 routing-mark=over-isp2

استعمال ڪندي [IP]->[Route]->[Rules]

/ip route rules
add src-address=192.168.100.0/25 action=lookup-only-in-table table=over-isp1
add src-address=192.168.100.128/25 action=lookup-only-in-table table=over-isp2

جيڪڏهن توهان استعمال ڪيو action=lookup، پوءِ جڏهن چينلن مان هڪ کي غير فعال ڪيو ويندو، ٽريفڪ مکيه ٽيبل ڏانهن ويندي ۽ ڪم ڪندڙ چينل ذريعي ويندي. ڇا اهو ضروري آهي يا نه اهو ڪم تي منحصر آهي.

نشانن ۾ استعمال ڪندي [IP]->[Firewall]->[Mangle]
ip پتي جي فهرستن سان هڪ سادي مثال. اصول ۾، لڳ ڀڳ ڪنهن به حالتون استعمال ڪري سگهجي ٿو. پرت 7 جو واحد انتباہ، جيتوڻيڪ جڏهن ڪنيڪشن ليبل سان جوڙيو ويو آهي، اهو لڳي سگهي ٿو ته هر شي صحيح ڪم ڪري رهي آهي، پر ڪجهه ٽرئفڪ اڃا به غلط طريقي سان ويندا.

/ip firewall mangle
add chain=prerouting src-address-list=users-over-isp1 dst-address-type=!local action=mark-routing new-routing-mark=over-isp1
add chain=prerouting src-address-list=users-over-isp2 dst-address-type=!local action=mark-routing new-routing-mark=over-isp2

توھان ڪري سگھو ٿا ”لاڪ“ استعمال ڪندڙن کي ھڪڙي رستي واري ٽيبل ۾ [IP]->[Route]->[Rules]:

/ip route rules
add routing-mark=over-isp1 action=lookup-only-in-table table=over-isp1
add routing-mark=over-isp2 action=lookup-only-in-table table=over-isp2

يا ذريعي [IP]->[Firewall]->[Filter]:

/ip firewall filter
add chain=forward routing-mark=over-isp1 out-interface=!ether1 action=reject
add chain=forward routing-mark=over-isp2 out-interface=!ether2 action=reject

ريٽريٽ پرو dst-address-type=!local
اضافي حالت dst-address-type=!local اهو ضروري آهي ته صارفين کان ٽرئفڪ روٽر جي مقامي عملن تائين پهچي وڃي (dns، winbox، ssh، ...). جيڪڏهن ڪيترائي مقامي ذيلي نيٽ ورڪ روٽر سان ڳنڍيل آهن، اهو ضروري آهي ته انهن جي وچ ۾ ٽرئفڪ انٽرنيٽ ڏانهن نه وڃي، مثال طور، استعمال ڪندي. dst-address-table.

مثال طور استعمال ڪندي [IP]->[Route]->[Rules] اهڙا ڪي به استثنا نه آهن، پر ٽرئفڪ مقامي عملن تائين پهچندي آهي. حقيقت اها آهي ته FIB پيڪيج ۾ داخل ٿيڻ جو نشان لڳايو ويو آهي [PREROUTING|Mangle] هڪ روٽ ليبل آهي ۽ مکيه کان سواء هڪ روٽنگ ٽيبل ۾ وڃي ٿو، جتي ڪوبه مقامي انٽرفيس ناهي. روٽنگ جي ضابطن جي صورت ۾، پهريان اهو چيڪ ڪيو وڃي ٿو ته ڇا پيڪٽ مقامي عمل لاءِ آهي ۽ صرف يوزر پي بي آر اسٽيج تي اهو مخصوص روٽنگ ٽيبل تي وڃي ٿو.

استعمال ڪندي [IP]->[Firewall]->[Mangle action=route]
اهو عمل صرف ان ۾ ڪم ڪري ٿو [Prerouting|Mangle] ۽ توهان کي اجازت ڏئي ٿو ته ٽريفڪ کي مخصوص گيٽ وي ڏانهن سڌو رستو ڏيڻ جي اضافي روٽنگ ٽيبل استعمال ڪرڻ کان سواءِ، سڌو گيٽ وي ايڊريس کي بيان ڪندي:

/ip firewall mangle
add chain=prerouting src-address=192.168.100.0/25 action=route gateway=10.10.10.1
add chain=prerouting src-address=192.168.128.0/25 action=route gateway=10.20.20.1

اثر route رستي جي ضابطن کان گھٽ ترجيح آھي ([IP]->[Route]->[Rules]). رستي جي نشانين جي صورت ۾، هر شيء تي ضابطن جي پوزيشن تي منحصر آهي، جيڪڏهن قاعدي سان action=route کان وڌيڪ قيمتي action=mark-route، پوءِ اهو استعمال ڪيو ويندو (پرچم کان سواءِ passtrough)، ٻي صورت ۾ رستي جي نشاندهي ڪندي.
وڪي تي هن عمل جي باري ۾ تمام گهٽ معلومات آهي ۽ سڀ نتيجا تجرباتي طور تي حاصل ڪيا ويا آهن، ڪنهن به صورت ۾، مون کي اختيار نه مليا آهن جڏهن ته هي اختيار استعمال ڪندي ٻين جي ڀيٽ ۾ فائدو ڏئي ٿو.

پي پي سي جي بنياد تي متحرڪ توازن

في ڪنيڪشن Classifier - ECMP جو وڌيڪ لچڪدار اينالاگ آهي. ECMP جي برعڪس، اهو ٽرئفڪ کي وڌيڪ سختي سان ڪنيڪشن ذريعي ورهائي ٿو (ECMP ڪنيڪشن بابت ڪجھ به نه ڄاڻي ٿو، پر جڏهن روٽنگ ڪيش سان جوڙيو ويو آهي، ڪجهه ساڳيو حاصل ڪيو ويندو آهي).

پي سي سي وٺندو آهي مخصوص ميدان ip هيڊر کان، انهن کي 32-bit قدر ۾ تبديل ڪري ٿو، ۽ ورهائي ٿو مالڪي. تقسيم جو باقي حصو بيان ڪيل سان مقابلو ڪيو ويو آهي باقي ۽ جيڪڏھن اھي ملن ٿا، پوء مخصوص عمل لاڳو ڪيو ويندو. وڌيڪ. چريو لڳي ٿو، پر اهو ڪم ڪري ٿو.

مثال ٽن پتي سان:

192.168.100.10: 192+168+100+10 = 470 % 3 = 2
192.168.100.11: 192+168+100+11 = 471 % 3 = 0
192.168.100.12: 192+168+100+12 = 472 % 3 = 1

ٽن چئنلن جي وچ ۾ src.address ذريعي ٽرئفڪ جي متحرڪ ورڇ جو هڪ مثال:

#Таблица маршрутизации
/ip route
add dst-address=0.0.0.0/0 gateway=10.10.10.1 dist=1 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=10.20.20.1 dist=2 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=10.30.30.1 dist=3 check-gateway=ping

add dst-address=0.0.0.0/0 gateway=10.10.10.1 dist=1 routing-mark=over-isp1
add dst-address=0.0.0.0/0 gateway=10.20.20.1 dist=1 routing-mark=over-isp2
add dst-address=0.0.0.0/0 gateway=10.30.30.1 dist=1 routing-mark=over-isp3

#Маркировка соединений и маршрутов
/ip firewall mangle
add chain=prerouting in-interface=br-lan dst-address-type=!local connection-state=new per-connection-classifier=src-address:3/0 action=mark-connection new-connection-mark=conn-over-isp1
add chain=prerouting in-interface=br-lan dst-address-type=!local connection-state=new per-connection-classifier=src-address:3/1 action=mark-connection new-connection-mark=conn-over-isp2
add chain=prerouting in-interface=br-lan dst-address-type=!local connection-state=new per-connection-classifier=src-address:3/2 action=mark-connection new-connection-mark=conn-over-isp3

add chain=prerouting in-interface=br-lan connection-mark=conn-over-isp1 action=mark-routing new-routing-mark=over-isp1
add chain=prerouting in-interface=br-lan connection-mark=conn-over-isp2 action=mark-routing new-routing-mark=over-isp2
add chain=prerouting in-interface=br-lan connection-mark=conn-over-isp3 action=mark-routing new-routing-mark=over-isp3

جڏهن رستن کي نشان لڳايو، اتي هڪ اضافي شرط آهي: in-interface=br-lan، بغير ان جي هيٺان action=mark-routing انٽرنيٽ تان جوابي ٽريفڪ ملندي ۽، روٽنگ جدولن جي مطابق، فراهم ڪندڙ ڏانهن واپس ويندي.

مواصلاتي چينلز کي تبديل ڪرڻ

چيڪ پنگ هڪ سٺو اوزار آهي، پر اهو صرف ويجھي IP پير صاحب سان ڪنيڪشن کي چيڪ ڪري ٿو، مهيا ڪندڙ نيٽ ورڪ اڪثر ڪري راؤٽرن جي هڪ وڏي تعداد تي مشتمل هوندا آهن ۽ ڪنيڪشن جي ڀڃڪڙي ويجھي پير جي ٻاهران ٿي سگهي ٿي، ۽ پوءِ اتي موجود آهن بيڪ بون ٽيلي ڪام آپريٽر جيڪي پڻ. مسئلا آهن، عام طور تي چيڪ پنگ هميشه عالمي نيٽ ورڪ تائين رسائي بابت تازه ترين معلومات نه ڏيکاريندو آهي.
جيڪڏهن مهيا ڪندڙن ۽ وڏين ڪارپوريشنن وٽ BGP متحرڪ روٽنگ پروٽوڪول آهي، ته پوءِ گهر ۽ آفيس جي استعمال ڪندڙن کي آزاديءَ سان اهو معلوم ڪرڻو پوندو ته هڪ مخصوص ڪميونيڪيشن چينل ذريعي انٽرنيٽ جي رسائي کي ڪيئن چيڪ ڪجي.

عام طور تي، اسڪرپٽ استعمال ڪيا ويا آهن، هڪ خاص ڪميونيڪيشن چينل ذريعي، انٽرنيٽ تي هڪ ip پتي جي دستيابي کي چيڪ ڪريو، جڏهن ته ڪجهه قابل اعتماد چونڊيو، مثال طور، google dns: 8.8.8.8. 8.8.4.4. پر Mikrotik ڪميونٽي ۾، هن لاء هڪ وڌيڪ دلچسپ اوزار ٺاهيل آهي.

recursive رستي جي باري ۾ چند لفظ
ريٽرسيو روٽنگ ضروري آهي جڏهن ملٽي هاپ BGP پيئرنگ ٺاهي ۽ جامد روٽنگ جي بنيادي ڳالهين جي باري ۾ آرٽيڪل ۾ داخل ٿيو صرف چالاڪ MikroTik استعمال ڪندڙن جي ڪري جن اهو معلوم ڪيو ته بار بار رستا ڪيئن استعمال ڪيا وڃن چيڪ گيٽ وي سان جوڙيل ڪميونيڪيشن چينلز کي تبديل ڪرڻ لاءِ اضافي اسڪرپٽ کانسواءِ.

اھو وقت آھي سمجھڻ جو دائرو / ھدف جي دائري اختيارن کي عام اصطلاحن ۾ ۽ ڪيئن رستو انٽرفيس تي پابند آھي:

1. رستو ان جي دائري جي قيمت جي بنياد تي پيڪٽ موڪلڻ لاءِ هڪ انٽرفيس ڳولي ٿو ۽ مکيه جدول ۾ سڀني داخلائن کي گهٽ يا برابر ٽارگيٽ اسڪوپ ويلن سان.
2. مليل انٽرفيس مان، هڪ جنهن جي ذريعي توهان مخصوص گيٽ وي ڏانهن هڪ پيڪٽ موڪلي سگهو ٿا چونڊيو ويو آهي
3. مليل ڳنڍيل داخلا جو انٽرفيس چونڊيو ويو آهي پيڪٽ کي گيٽ وي ڏانهن موڪلڻ لاءِ

بار بار واري رستي جي موجودگي ۾، سڀ ڪجھ ساڳيو ٿئي ٿو، پر ٻن مرحلن ۾:

• 1-3 ڳنڍيل رستن ۾ ھڪڙو وڌيڪ رستو شامل ڪيو ويو آھي، جنھن ذريعي مخصوص گيٽ وي تائين پھچي سگھجي ٿو
• 4-6 "انٽرميڊيٽ" گيٽ وي لاءِ جڙيل رستا ڳولهڻ

ٻيهر ورجائيندڙ ڳولها سان سڀئي هٿرادو RIB ۾ ٿين ٿا، ۽ صرف حتمي نتيجو FIB ڏانهن منتقل ڪيو ويو آهي: 0.0.0.0/0 via 10.10.10.1 on ether1.

رستن کي مٽائڻ لاءِ ريسرسي روٽنگ استعمال ڪرڻ جو ھڪڙو مثال

ٺاھ جوڙ:

/ip route
add dst-address=0.0.0.0/0 gateway=8.8.8.8 check-gateway=ping distance=1 target-scope=10
add dst-address=8.8.8.8 gateway=10.10.10.1 scope=10
add dst-address=0.0.0.0/0 gateway=10.20.20.1 distance=2

توهان چيڪ ڪري سگهو ٿا ته پيڪيٽ موڪليا ويندا 10.10.10.1:

چيڪ ڪريو گيٽ وي ريٽرسيو روٽنگ جي باري ۾ ڪجھ به نه ٿو ڄاڻي ۽ صرف پنگ موڪلي ٿو 8.8.8.8 ايڊريس تي، جيڪو (مکيه ٽيبل تي ٻڌل) گيٽ وي 10.10.10.1 ذريعي پهچي سگهجي ٿو.

جيڪڏهن 10.10.10.1 ۽ 8.8.8.8 جي وچ ۾ ڪميونيڪيشن جو نقصان ٿئي ٿو، ته پوءِ رستو منقطع ٿي وڃي ٿو، پر 8.8.8.8 تائين پيڪٽس (جنهن ۾ ٽيسٽ پنگ شامل آهن) 10.10.10.1 ذريعي وڃڻ جاري آهي:

جيڪڏهن ether1 جو لنڪ گم ٿي ويو آهي، ته پوءِ اڻ وڻندڙ ​​صورتحال پيدا ٿئي ٿي جڏهن 8.8.8.8 کان اڳ پيڪيٽ ٻئي فراهم ڪندڙ جي ذريعي وڃو:

اهو هڪ مسئلو آهي جيڪڏهن توهان اسڪرپٽ هلائڻ لاءِ نيٽ واچ استعمال ڪري رهيا آهيو جڏهن 8.8.8.8 دستياب ناهي. جيڪڏهن لنڪ ٽٽي وئي آهي، NetWatch صرف بيڪ اپ ڪميونيڪيشن چينل ذريعي ڪم ڪندو ۽ فرض ڪندو ته سڀ ڪجھ ٺيڪ آهي. اضافي فلٽر رستو شامل ڪندي حل ڪيو ويو:

/ip route
add dst-address=8.8.8.8 gateway=10.20.20.1 distance=100 type=blackhole

اتي حبري تي آهي هڪ مضمون، جتي NetWatch سان صورتحال وڌيڪ تفصيل سان غور ڪيو وڃي ٿو.

۽ ها، جڏهن اهڙي رزرويشن استعمال ڪندي، ايڊريس 8.8.8.8 مهيا ڪندڙن مان هڪ لاءِ سخت ٿي ويندي، تنهن ڪري ان کي dns ماخذ طور چونڊڻ سٺو خيال نه آهي.

ورچوئل روٽنگ ۽ فارورڊنگ (VRF) بابت ڪجھ لفظ

VRF ٽيڪنالاجي ٺهيل آهي ڪيترن ئي ورچوئل راؤٽرز ٺاهڻ لاءِ هڪ فزيڪل هڪ اندر، هي ٽيڪنالاجي وڏي پيماني تي استعمال ڪئي وئي آهي ٽيليڪ آپريٽرز (عام طور تي ايم پي ايل ايس سان گڏ) گراهڪن کي L3VPN خدمتون مهيا ڪرڻ لاءِ اوورليپنگ سب نيٽ ايڊريس سان:

پر Mikrotik ۾ VRF روٽنگ ٽيبل جي بنياد تي منظم ڪئي وئي آهي ۽ ان ۾ ڪيترائي نقصان آهن، مثال طور، روٽر جا مقامي ip ايڊريس سڀني VRFs مان موجود آهن، توهان وڌيڪ پڙهي سگهو ٿا. لنڪ.

vrf ٺاھ جوڙ مثال:

/ip route vrf
add interfaces=ether1 routing-mark=vrf1
add interfaces=ether2 routing-mark=vrf2

/ip address
add address=192.168.100.1/24 interface=ether1 network=192.168.100.0
add address=192.168.200.1/24 interface=ether2 network=192.168.200.0

Ether2 سان ڳنڍيل ڊوائيس تان، اسان ڏسون ٿا ته پنگ ٻئي وي آر ايف کان روٽر ايڊريس ڏانهن وڃي ٿي (۽ اهو هڪ مسئلو آهي)، جڏهن ته پنگ انٽرنيٽ ڏانهن نه ٿو وڃي.

انٽرنيٽ تائين رسائي حاصل ڪرڻ لاء، توهان کي هڪ اضافي رستو رجسٽر ڪرڻ جي ضرورت آهي جيڪا مکيه ٽيبل تائين رسائي ڪري ٿي (vrf اصطلاح ۾، هن کي رستا leaking سڏيو ويندو آهي):

/ip route
add distance=1 gateway=172.17.0.1@main routing-mark=vrf1
add distance=1 gateway=172.17.0.1%wlan1 routing-mark=vrf2

هتي رستا ليڪ ڪرڻ جا ٻه طريقا آهن: روٽنگ ٽيبل استعمال ڪندي: 172.17.0.1@main ۽ انٽرفيس جو نالو استعمال ڪندي: 172.17.0.1%wlan1.

۽ واپسي جي ٽرئفڪ لاءِ مارڪنگ قائم ڪريو [PREROUTING|Mangle]:

/ip firewall mangle
add chain=prerouting in-interface=ether1 action=mark-connection new-connection-mark=from-vrf1 passthrough=no
add chain=prerouting connection-mark=from-vrf1 routing-mark=!vrf1 action=mark-routing new-routing-mark=vrf1 passthrough=no 
add chain=prerouting in-interface=ether2 action=mark-connection new-connection-mark=from-vrf2 passthrough=no
add chain=prerouting connection-mark=from-vrf2 routing-mark=!vrf1 action=mark-routing new-routing-mark=vrf2 passthrough=no 

ساڳي ايڊريس سان Subnets
VRF ۽ netmap استعمال ڪندي ساڳئي روٽر تي ساڳئي ايڊريس سان سب نيٽ تائين رسائي جي تنظيم:

بنيادي جوڙجڪ:

/ip route vrf
add interfaces=ether1 routing-mark=vrf1
add interfaces=ether2 routing-mark=vrf2

/ip address
add address=192.168.100.1/24 interface=ether1 network=192.168.100.0
add address=192.168.100.1/24 interface=ether2 network=192.168.100.0
add address=192.168.0.1/24 interface=ether3 network=192.168.0.0

فائر وال ضابطا:

#Маркируем пакеты для отправки в правильную таблицу маршрутизации
/ip firewall mangle
add chain=prerouting dst-address=192.168.101.0/24 in-interface=ether3 action=mark-routing new-routing-mark=vrf1 passthrough=no
add chain=prerouting dst-address=192.168.102.0/24 in-interface=ether3 action=mark-routing new-routing-mark=vrf2 passthrough=no

#Средствами netmap заменяем адреса "эфимерных" подсетей на реальные подсети
/ip firewall nat
add chain=dstnat dst-address=192.168.101.0/24 in-interface=ether3 action=netmap to-addresses=192.168.100.0/24
add chain=dstnat dst-address=192.168.102.0/24 in-interface=ether3 action=netmap to-addresses=192.168.100.0/24

ريٽرننگ ٽريفڪ لاءِ ضابطا:

#Указание имени интерфейса тоже может считаться route leaking, но по сути тут создается аналог connected маршрута
/ip route
add distance=1 dst-address=192.168.0.0/24 gateway=ether3 routing-mark=vrf1
add distance=1 dst-address=192.168.0.0/24 gateway=ether3 routing-mark=vrf2

dhcp ذريعي مليل رستا شامل ڪرڻ ڏنل روٽنگ ٽيبل تي
VRF دلچسپ ٿي سگهي ٿو جيڪڏهن توهان کي خودڪار طريقي سان هڪ متحرڪ رستو شامل ڪرڻ جي ضرورت آهي (مثال طور، هڪ dhcp ڪلائنٽ کان) هڪ مخصوص روٽنگ ٽيبل تي.

vrf ۾ انٽرفيس شامل ڪرڻ:

/ip route vrf
add interface=ether1 routing-mark=over-isp1

ٽريفڪ موڪلڻ جا ضابطا (ٻاهر وڃڻ ۽ ٽرانزٽ) ٽيبل ذريعي over-isp1:

/ip firewall mangle
add chain=output out-interface=!br-lan action=mark-routing new-routing-mark=over-isp1 passthrough=no
add chain=prerouting in-interface=br-lan dst-address-type=!local action=mark-routing new-routing-mark=over-isp1 passthrough=no

اضافي، جعلي رستو ٻاهر نڪرڻ واري رستي لاء ڪم ڪرڻ لاء:

/interface bridge
add name=bare

/ip route
add dst-address=0.0.0.0/0 gateway=bare

هن رستي جي ضرورت صرف ان ڪري آهي ته جيئن مقامي ٻاهر نڪرڻ وارا پيڪيجز روٽنگ جي فيصلي (2) کان اڳ گذري سگهن [OUTPUT|Mangle] ۽ روٽنگ ليبل حاصل ڪريو، جيڪڏهن روٽر تي مکيه ٽيبل ۾ 0.0.0.0/0 تائين ٻيا فعال رستا آهن، اهو گهربل ناهي.

سلسلو connected-in и dynamic-in в [Routing] -> [Filters]

روٽ فلٽرنگ (ان بائونڊ ۽ آئوٽ بائونڊ) ھڪڙو اوزار آھي جيڪو عام طور تي متحرڪ روٽنگ پروٽوڪول سان گڏ استعمال ڪيو ويندو آھي (۽ تنھنڪري صرف پيڪيج کي نصب ڪرڻ کان پوء دستياب آھي. هلڻ)، پر ايندڙ فلٽرن ۾ ٻه دلچسپ زنجير آهن:

• connected-in — فلٽر ڪرڻ سان ڳنڍيل رستا
• dynamic-in - PPP ۽ DCHP پاران حاصل ڪيل متحرڪ رستن کي فلٽر ڪرڻ

فلٽرنگ توهان کي نه رڳو رستن کي رد ڪرڻ جي اجازت ڏئي ٿي، پر ڪيترن ئي اختيارن کي تبديل ڪرڻ جي اجازت ڏئي ٿي: فاصلو، رستو نشان، تبصرو، دائرو، حدف جو دائرو، ...

هي هڪ بلڪل صحيح اوزار آهي ۽ جيڪڏهن توهان روئٽنگ فلٽر (پر اسڪرپٽ نه) کان سواءِ ڪجهه ڪري سگهو ٿا، ته پوءِ روئٽنگ فلٽر استعمال نه ڪريو، پاڻ کي ۽ انهن کي پريشان نه ڪريو جيڪي توهان کان پوءِ روٽر کي ترتيب ڏيندا. متحرڪ روٽنگ جي حوالي سان، روٽنگ فلٽر گهڻو ڪري استعمال ڪيا ويندا ۽ وڌيڪ پيداواري طور تي.

متحرڪ رستن لاء روٽنگ مارڪ سيٽ ڪرڻ
گھر جي روٽر مان ھڪڙو مثال. مون وٽ ٻه وي پي اين ڪنيڪشن ترتيب ڏنل آهن ۽ انهن ۾ ٽريفڪ کي روئٽنگ ٽيبل جي مطابق ويپ ڪيو وڃي. ساڳئي وقت، مان چاهيان ٿو ته رستا پاڻمرادو ٺاهيا وڃن جڏهن انٽرفيس چالو ٿئي:

#При создании vpn подключений указываем создание default route и задаем дистанцию
/interface pptp-client
add connect-to=X.X.X.X add-default-route=yes default-route-distance=101 ...
add connect-to=Y.Y.Y.Y  add-default-route=yes default-route-distance=100 ...

#Фильтрами отправляем маршруты в определенные таблицы маршрутизации на основе подсети назначения и дистанции
/routing filter
add chain=dynamic-in distance=100 prefix=0.0.0.0/0 action=passthrough set-routing-mark=over-vpn1
add chain=dynamic-in distance=101 prefix=0.0.0.0/0 action=passthrough set-routing-mark=over-vpn2

مون کي خبر ناهي ڇو، شايد هڪ بگ، پر جيڪڏهن توهان پي پي پي انٽرفيس لاء هڪ وي آر ايف ٺاهي، پوء 0.0.0.0 / 0 ڏانهن رستو اڃا به مکيه ٽيبل ۾ حاصل ٿيندو. ٻي صورت ۾، سڀڪنھن شيء کي به آسان ٿي ويندي.

ڳنڍيل رستن کي بند ڪرڻ
ڪڏهن ڪڏهن هي گهربل آهي:

/route filter
add chain=connected-in prefix=192.168.100.0/24 action=reject

ڊيبگنگ جا اوزار

RouterOS ڊيبگنگ روٽنگ لاءِ ڪيترائي اوزار مهيا ڪري ٿو:

• [Tool]->[Tourch] - توهان کي انٽرنيٽ تي پيڪيٽس ڏسڻ جي اجازت ڏئي ٿي
• /ip route check - توهان کي ڏسڻ جي اجازت ڏئي ٿي ته ڪهڙي گيٽ وي ڏانهن پيڪٽ موڪليو ويندو، روٽنگ ٽيبل سان ڪم نٿو ڪري
• /ping routing-table=<name> и /tool traceroute routing-table=<name> - مخصوص روٽنگ ٽيبل استعمال ڪندي پنگ ۽ ٽريس
• action=log в [IP]->[Firewall] - هڪ بهترين اوزار جيڪو توهان کي پيٽ جي وهڪري سان گڏ پيٽ جي رستي کي ڳولڻ جي اجازت ڏئي ٿو، اهو عمل سڀني زنجيرن ۽ جدولن ۾ موجود آهي

جو ذريعو: www.habr.com