මාර්ගගත කිරීම යනු TCP/IP ජාල හරහා පැකට් සම්ප්රේෂණය කිරීම සඳහා හොඳම මාර්ගය සෙවීමේ ක්රියාවලියයි. IPv4 ජාලයකට සම්බන්ධ ඕනෑම උපාංගයක ක්රියාවලියක් සහ මාර්ගගත කිරීමේ වගු අඩංගු වේ.
මෙම ලිපිය HOWTO එකක් නොවේ, එය RouterOS හි ස්ථිතික මාර්ගගත කිරීම උදාහරණ සමඟ විස්තර කරයි, මම හිතාමතාම ඉතිරි සැකසුම් මඟ හැරියෙමි (උදාහරණයක් ලෙස, අන්තර්ජාලයට පිවිසීම සඳහා srcnat), එබැවින් ද්රව්යය අවබෝධ කර ගැනීම සඳහා ජාල සහ RouterOS පිළිබඳ යම් මට්ටමක දැනුමක් අවශ්ය වේ.
මාරු කිරීම සහ මාර්ගගත කිරීම
Switching යනු එක් Layer2 කොටසක (Ethernet, ppp, ...) පැකට් හුවමාරු කිරීමේ ක්රියාවලියයි. පැකට්ටුව ලබන්නා එය සමඟ එකම ඊතර්නෙට් උපජාලයේ සිටින බව උපාංගය දුටුවහොත්, එය ආර්ප් ප්රොටෝකෝලය භාවිතයෙන් මැක් ලිපිනය ඉගෙන ගෙන රවුටරය මඟ හරිමින් පැකට්ටුව කෙලින්ම සම්ප්රේෂණය කරයි. ppp (point-to-point) සම්බන්ධතාවයකට සහභාගිවන්නන් දෙදෙනෙකු පමණක් සිටිය හැකි අතර පැකට්ටුව සෑම විටම 0xff එක් ලිපිනයකට යවනු ලැබේ.
Routing යනු Layer2 කොටස් අතර පැකට් මාරු කිරීමේ ක්රියාවලියයි. උපාංගයකට ඊතර්නෙට් අංශයෙන් පිටත ලබන්නා පැකට්ටුවක් යැවීමට අවශ්ය නම්, එය එහි මාර්ගගත වගුව දෙස බලා පැකට්ටුව ගේට්වේ වෙත යවයි, එය පැකට්ටුව ඊළඟට යැවිය යුත්තේ කොතැනටද යන්න දන්නා (නැතහොත් පැකට්ටුවේ මුල් යවන්නා නොදැන සිටිය හැකිය. මේ ගැන දන්නේ නැහැ).
රවුටරයක් ගැන සිතීමට ඇති පහසුම ක්රමය වන්නේ Layer2 කොටස් දෙකකට හෝ වැඩි ගණනකට සම්බන්ධ වූ උපාංගයක් වන අතර රවුටින් වගුවේ ඇති හොඳම මාර්ගය තීරණය කිරීමෙන් ඒවා අතර පැකට් පසුකර යාමට හැකියාව ඇත.
ඔබට සියල්ල තේරෙනවා නම් හෝ ඔබ දැනටමත් එය දැන සිටියේ නම්, කියවන්න. ඉතිරිය සඳහා, කුඩා, නමුත් ඉතා ධාරිතාවයකින් ඔබ හුරුපුරුදු වන ලෙස මම තරයේ නිර්දේශ කරමි
RouterOS සහ PacketFlow හි මාර්ගගත කිරීම
ස්ථිතික මාර්ගගත කිරීම සම්බන්ධ සියලුම ක්රියාකාරීත්වය පාහේ පැකේජයේ ඇත පද්ධති. ප්ලාස්ටික් බෑගය මාර්ගගත කිරීම ගතික රවුටින් ඇල්ගොරිතම (RIP, OSPF, BGP, MME), Routing Filters සහ BFD සඳහා සහය එක් කරයි.
මාර්ගගත කිරීම සැකසීම සඳහා ප්රධාන මෙනුව: [IP]->[Route]
. සංකීර්ණ යෝජනා ක්රම සඳහා පැකට් රවුටින් සලකුණක් සමඟ පූර්ව ලේබල් කිරීම අවශ්ය විය හැකිය: [IP]->[Firewall]->[Mangle]
(දම්වැල් PREROUTING
и OUTPUT
).
IP පැකට් රවුටින් තීරණ ගන්නා PacketFlow හි ස්ථාන තුනක් ඇත:
- රවුටරයට ලැබුණු මාර්ගගත පැකට්. මෙම අදියරේදී, පැකට්ටුව දේශීය ක්රියාවලියට යනවාද නැතහොත් ජාලයට තවදුරටත් යවනු ලැබේද යන්න තීරණය වේ. සංක්රමණ පැකේජ ලැබේ නිමැවුම් අතුරුමුහුණත
- දේශීය පිටතට යන පැකට් මාර්ගගත කිරීම. පිටතට යන පැකට් ලැබේ නිමැවුම් අතුරුමුහුණත
- පිටතට යන පැකට් සඳහා අතිරේක මාර්ගගත කිරීමේ පියවර, ඔබට මාර්ගගත කිරීමේ තීරණය වෙනස් කිරීමට ඉඩ සලසයි
[Output|Mangle]
- බ්ලොක් 1, 2 හි පැකට් මාර්ගය රඳා පවතින්නේ නීති මත ය
[IP]->[Route]
- ලකුණු 1, 2 සහ 3 හි පැකට් මාර්ගය රඳා පවතින්නේ එහි ඇති නීති මත ය
[IP]->[Route]->[Rules]
- බ්ලොක් 1, 3 හි පැකේජ මාර්ගය භාවිතයෙන් බලපෑම් කළ හැකිය
[IP]->[Firewall]->[Mangle]
RIB, FIB, Routing Cache
මාර්ගගත තොරතුරු පදනම
ගතික රවුටින් ප්රොටෝකෝල, ppp සහ dhcp වෙතින් මාර්ග, ස්ථිතික සහ සම්බන්ධිත මාර්ග වලින් මාර්ග එකතු කරන පදනම. මෙම දත්ත සමුදායේ පරිපාලක විසින් පෙරන ලද ඒවා හැර අනෙකුත් සියලුම මාර්ග අඩංගු වේ.
කොන්දේසි සහිතයි, අපට එය උපකල්පනය කළ හැකිය [IP]->[Route]
RIB පෙන්වයි.
තොරතුරු පදනම යොමු කිරීම
RIB වෙතින් හොඳම මාර්ග එකතු කරන පදනම. FIB හි සියලුම මාර්ග සක්රීය වන අතර පැකට් ඉදිරියට යැවීමට භාවිතා කරයි. මාර්ගය අක්රිය වුවහොත් (පරිපාලක (පද්ධතිය) විසින් අක්රිය කර ඇත්නම් හෝ පැකට්ටුව යැවිය යුතු අතුරු මුහුණත සක්රිය නොවේ නම්), මාර්ගය FIB වෙතින් ඉවත් කරනු ලැබේ.
මාර්ගගත තීරණයක් ගැනීමට, FIB වගුව IP පැකට්ටුවක් පිළිබඳ පහත තොරතුරු භාවිතා කරයි:
- මූලාශ්ර ලිපිනය
- ගමනාන්තය ලිපිනය
- මූලාශ්ර අතුරුමුහුණත
- මාර්ග සලකුණ
- ToS (DSCP)
FIB පැකේජයට ඇතුල් වීම පහත අදියර හරහා ගමන් කරයි:
- පැකේජය දේශීය රවුටර ක්රියාවලියක් සඳහා අදහස් කරන්නේද?
- පැකට්ටුව පද්ධතියට හෝ පරිශීලක PBR නීතිවලට යටත්ද?
- එසේ නම්, පැකට්ටුව නිශ්චිත මාර්ගගත වගුව වෙත යවනු ලැබේ
- පැකට්ටුව ප්රධාන මේසය වෙත යවනු ලැබේ
කොන්දේසි සහිතයි, අපට එය උපකල්පනය කළ හැකිය [IP]->[Route Active=yes]
FIB පෙන්වයි.
මාර්ගගත හැඹිලිය
මාර්ග හැඹිලි යාන්ත්රණය. රවුටරය පැකට් යැවූ ස්ථානය මතක තබා ගන්නා අතර සමාන ඒවා තිබේ නම් (අනුමාන වශයෙන් එකම සම්බන්ධතාවයකින්) එය FIB පරීක්ෂා නොකර එකම මාර්ගය ඔස්සේ යාමට ඉඩ සලසයි. මාර්ග හැඹිලිය වරින් වර ඉවත් කරනු ලැබේ.
RouterOS පරිපාලකයින් සඳහා, ඔවුන් Routing Cache බැලීම සහ කළමනාකරණය කිරීම සඳහා මෙවලම් සෑදුවේ නැත, නමුත් එය අක්රිය කළ හැකි විට [IP]->[Settings]
.
මෙම යාන්ත්රණය linux 3.6 කර්නලයෙන් ඉවත් කර ඇත, නමුත් RouterOS තවමත් කර්නලය 3.3.5 භාවිතා කරයි, සමහරවිට Routing cahce එක හේතුවක් විය හැක.
මාර්ග සංවාදය එක් කරන්න
[IP]->[Route]->[+]
- ඔබට මාර්ගයක් නිර්මාණය කිරීමට අවශ්ය උපජාලය (පෙරනිමිය: 0.0.0.0/0)
- ගේට්වේ IP හෝ පැකට්ටුව යවනු ලබන අතුරුමුහුණත ( කිහිපයක් තිබිය හැක, පහත ECMP බලන්න)
- ද්වාර ලබා ගැනීමේ පරීක්ෂාව
- වාර්තා වර්ගය
- මාර්ගයක් සඳහා දුර (මෙට්රික්).
- මාර්ගගත කිරීමේ වගුව
- මෙම මාර්ගය හරහා දේශීය පිටතට යන පැකට් සඳහා IP
- Scope සහ Target Scope හි අරමුණ ලිපියේ අවසානයේ ලියා ඇත.
මාර්ග කොඩි
- X - පරිපාලක විසින් මාර්ගය අබල කර ඇත (
disabled=yes
) - A - පැකට් යැවීමට මාර්ගය භාවිතා කරයි
- D - මාර්ගය ගතිකව එකතු කරන ලදී (BGP, OSPF, RIP, MME, PPP, DHCP, සම්බන්ධිත)
- C - උපජාලය සෘජුවම රවුටරයට සම්බන්ධ වේ
- S - ස්ථිතික මාර්ගය
- r,b,o,m - ගතික රවුටින් ප්රොටෝකෝල වලින් එකකින් එකතු කරන ලද මාර්ගය
- B,U,P - පෙරීමේ මාර්ගය (සම්ප්රේෂණය වෙනුවට පැකට් පහත හෙළයි)
ද්වාරයෙහි සඳහන් කළ යුත්තේ කුමක්ද: ip-ලිපිනය හෝ අතුරු මුහුණත?
පද්ධතිය ඔබට දෙකම නියම කිරීමට ඉඩ සලසයි, එය දිවුරන්නේ නැති අතර ඔබ යම් වැරැද්දක් කළේ නම් ඉඟි ලබා නොදේ.
IP ලිපිනය
ද්වාර ලිපිනයට Layer2 හරහා ප්රවේශ විය යුතුය. ඊතර්නෙට් සඳහා, මෙයින් අදහස් කරන්නේ රවුටරයට සක්රීය ip අතුරුමුහුණත් එකක එකම උපජාලයකින් ලිපිනයක් තිබිය යුතු බවයි, ppp සඳහා, ගේට්වේ ලිපිනය සක්රීය අතුරුමුහුණත් එකක උපජාල ලිපිනය ලෙස දක්වා ඇත.
Layer2 සඳහා ප්රවේශ්යතා කොන්දේසිය සපුරා නොමැති නම්, මාර්ගය අක්රිය ලෙස සලකනු ලබන අතර FIB වෙත වැටෙන්නේ නැත.
අතුරු මුහුණත
සෑම දෙයක්ම වඩාත් සංකීර්ණ වන අතර රවුටරයේ හැසිරීම අතුරු මුහුණතේ වර්ගය මත රඳා පවතී:
- PPP (Async, PPTP, L2TP, SSTP, PPPoE, OpenVPN *) සම්බන්ධතාවය උපකල්පනය කරන්නේ සහභාගිවන්නන් දෙදෙනෙකු පමණක් වන අතර පැකට්ටුව සෑම විටම සම්ප්රේෂණය සඳහා ද්වාරය වෙත යවනු ලැබේ, ගේට්වේ ලබන්නා තමා බව හඳුනා ගන්නේ නම්, එය පැකට්ටුව වෙත මාරු කරනු ලැබේ. එහි දේශීය ක්රියාවලිය.
- Ethernet බොහෝ සහභාගිවන්නන් සිටින බව උපකල්පනය කරන අතර පැකට්ටුවේ ලබන්නාගේ ලිපිනය සමඟ arp අතුරුමුහුණත වෙත ඉල්ලීම් යවනු ඇත, මෙය අපේක්ෂිත සහ සම්බන්ධිත මාර්ග සඳහා තරමක් සාමාන්ය හැසිරීමකි.
නමුත් ඔබ දුරස්ථ උපජාලයක් සඳහා මාර්ගයක් ලෙස අතුරු මුහුණත භාවිතා කිරීමට උත්සාහ කරන විට, ඔබට පහත තත්වය ලැබෙනු ඇත: මාර්ගය සක්රීයයි, ගේට්වේ වෙත ping කිරීම සමත් වේ, නමුත් නිශ්චිත උපජාලයෙන් ලබන්නා වෙත ළඟා නොවේ. ඔබ sniffer හරහා අතුරු මුහුණත දෙස බැලුවහොත්, ඔබට දුරස්ථ උපජාලයකින් ලිපින සහිත arp ඉල්ලීම් පෙනෙනු ඇත.
හැකි සෑම විටම ද්වාරය ලෙස ip ලිපිනය සඳහන් කිරීමට උත්සාහ කරන්න. ව්යතිරේකය යනු සම්බන්ධිත මාර්ග (ස්වයංක්රීයව සාදනු ලැබේ) සහ PPP (Async, PPTP, L2TP, SSTP, PPPoE, OpenVPN*) අතුරුමුහුණත් වේ.
OpenVPN හි PPP ශීර්ෂයක් අඩංගු නොවේ, නමුත් ඔබට මාර්ගයක් නිර්මාණය කිරීමට OpenVPN අතුරුමුහුණත නම භාවිතා කළ හැක.
වඩාත් නිශ්චිත මාර්ගය
මූලික මාර්ග රීතිය. කුඩා උපජාලය විස්තර කරන මාර්ගය (විශාලතම උපජාල ආවරණය සහිත) පැකට්ටුවේ මාර්ගගත කිරීමේ තීරණයෙහි ප්රමුඛත්වය ගනී. මාර්ගගත කිරීමේ වගුවේ ඇතුළත් කිරීම් වල පිහිටීම තේරීමට අදාළ නොවේ - ප්රධාන රීතිය වඩාත් විශේෂිත වේ.
නිශ්චිත යෝජනා ක්රමයේ සියලුම මාර්ග සක්රීයයි (FIB හි පිහිටා ඇත). විවිධ උපජාල වෙත යොමු කර එකිනෙකා සමඟ ගැටෙන්න එපා.
ද්වාර වලින් එකක් නොමැති නම්, ආශ්රිත මාර්ගය අක්රිය ලෙස සලකනු ලැබේ (FIB වෙතින් ඉවත් කර ඇත) සහ පැකට් ඉතිරි මාර්ග වලින් සොයනු ලැබේ.
උපජාල 0.0.0.0/0 සහිත මාර්ගයට සමහර විට විශේෂ අර්ථයක් ලබා දී ඇති අතර එය "පෙරනිමි මාර්ගය" හෝ "අවසාන විසඳුමේ දොරටුව" ලෙස හැඳින්වේ. ඇත්ත වශයෙන්ම, ඒ ගැන ඉන්ද්රජාලික කිසිවක් නොමැති අතර එයට හැකි සියලුම IPv4 ලිපින ඇතුළත් වේ, නමුත් මෙම නම් එහි කාර්යය හොඳින් විස්තර කරයි - එය වෙනත්, වඩාත් නිවැරදි මාර්ග නොමැති පැකට් ඉදිරියට ගෙන යා යුතු ද්වාරය පෙන්නුම් කරයි.
IPv4 සඳහා විය හැකි උපරිම උපජාල මාස්ක් එක /32 වේ, මෙම මාර්ගය නිශ්චිත ධාරකයකට යොමු වන අතර මාර්ගගත කිරීමේ වගුවේ භාවිතා කළ හැක.
වඩාත් නිශ්චිත මාර්ගය අවබෝධ කර ගැනීම ඕනෑම TCP/IP උපාංගයකට මූලික වේ.
දුර
බහු ද්වාර හරහා ප්රවේශ විය හැකි තනි උපජාලයකට මාර්ග පරිපාලනමය වශයෙන් පෙරීම සඳහා දුර (හෝ මෙට්රික්) අවශ්ය වේ. අඩු මෙට්රික් එකක් සහිත මාර්ගයක් ප්රමුඛතාවයක් ලෙස සලකනු ලබන අතර එය FIB හි ඇතුළත් කරනු ලැබේ. අඩු මෙට්රික් එකක් සහිත මාර්ගයක් සක්රිය වීම නැවැත්වුවහොත්, එය FIB හි ඉහළ මෙට්රික් එකක් සහිත මාර්ගයකින් ප්රතිස්ථාපනය වේ.
එකම මෙට්රික් සහිත එකම අනුජාලයට මාර්ග කිහිපයක් තිබේ නම්, රවුටරය එහි අභ්යන්තර තර්කනය මගින් මෙහෙයවනු ලබන FIB වගුවට ඒවායින් එකක් පමණක් එක් කරයි.
මෙට්රික් 0 සිට 255 දක්වා අගයක් ගත හැක:
- 0 - සම්බන්ධිත මාර්ග සඳහා මෙට්රික්. දුර 0 පරිපාලක විසින් සැකසිය නොහැක
- 1-254 - මාර්ග සැකසීම සඳහා පරිපාලක වෙත ප්රමිතික තිබේ. අඩු අගයක් සහිත මෙට්රික් වලට වැඩි ප්රමුඛතාවයක් ඇත
- 255 - මාර්ග සැකසීම සඳහා පරිපාලක වෙත මෙට්රික් ලබා ගත හැකිය. 1-254 මෙන් නොව, 255 මෙට්රික් සහිත මාර්ගයක් සෑම විටම අක්රියව පවතින අතර FIB වෙත වැටෙන්නේ නැත.
- නිශ්චිත මිතික. ගතික රවුටින් ප්රොටෝකෝල වලින් ලබාගත් මාර්ග වලට සම්මත මෙට්රික් අගයන් ඇත
දොරටුව පරීක්ෂා කරන්න
Check gateway යනු icmp හෝ arp හරහා ද්වාරය තිබේදැයි පරීක්ෂා කිරීම සඳහා MikroTik RoutesOS දිගුවකි. සෑම තත්පර 10 කට වරක් (වෙනස් කළ නොහැක), ගේට්වේ වෙත ඉල්ලීමක් යවනු ලැබේ, ප්රතිචාරය දෙවරක් නොලැබුනේ නම්, මාර්ගය නොපවතින ලෙස සලකනු ලබන අතර FIB වෙතින් ඉවත් කරනු ලැබේ. චෙක්පත් දොරටුව අක්රිය කර ඇත්නම්, චෙක්පත් මාර්ගය දිගටම පවතින අතර එක් සාර්ථක පරීක්ෂාවකින් පසු මාර්ගය නැවත සක්රිය වනු ඇත.
Check gateway එය වින්යාස කර ඇති ප්රවේශය සහ අනෙකුත් සියලුම ප්රවේශයන් (සියලු මාර්ගගත කිරීමේ වගු සහ ecmp මාර්ග වල) නියමිත ද්වාරය සමඟ අක්රීය කරයි.
පොදුවේ ගත් කල, ගේට්වේ වෙත පැකට් නැතිවීම සම්බන්ධ ගැටළු නොමැති තාක් කල් චෙක් ගේට්වේ හොඳින් ක්රියා කරයි. පරීක්ෂා කරන ලද ද්වාරයෙන් පිටත සන්නිවේදනයේ සිදුවන්නේ කුමක්දැයි පරීක්ෂා කිරීමේ දොරටුව නොදනී, මේ සඳහා අමතර මෙවලම් අවශ්ය වේ: ස්ක්රිප්ට්, පුනරාවර්තන මාර්ගගත කිරීම, ගතික රවුටින් ප්රොටෝකෝල.
බොහෝ VPN සහ උමං ප්රොටෝකෝලවල සම්බන්ධතා ක්රියාකාරකම් පරීක්ෂා කිරීම සඳහා ගොඩනඟන ලද මෙවලම් අඩංගු වේ, ඒවා සඳහා චෙක්පත් ද්වාරය සක්රීය කිරීම ජාලයේ සහ උපාංග ක්රියාකාරිත්වයේ අමතර (නමුත් ඉතා කුඩා) බරකි.
ECMP මාර්ග
Equal-Cost Multi-Path - රවුන්ඩ් රොබින් ඇල්ගොරිතම භාවිතයෙන් එකවර ද්වාර කිහිපයක් භාවිතා කරමින් ලබන්නා වෙත පැකට් යැවීම.
එක් උපජාලයක් සඳහා බහු ද්වාර නියම කිරීමෙන් පරිපාලක විසින් ECMP මාර්ගයක් නිර්මාණය කරයි (හෝ ස්වයංක්රීයව, සමාන OSPF මාර්ග දෙකක් තිබේ නම්).
ECMP නාලිකා දෙකක් අතර බර තුලනය කිරීම සඳහා භාවිතා කරයි, න්යායාත්මකව, ecmp මාර්ගයේ නාලිකා දෙකක් තිබේ නම්, එක් එක් පැකට්ටුව සඳහා පිටතට යන නාලිකාව වෙනස් විය යුතුය. නමුත් Routing cache යාන්ත්රණය මඟින් සම්බන්ධතාවයෙන් පැකට් යවන්නේ පළමු පැකට්ටුව ගත් මාර්ගය දිගේ, ප්රතිඵලයක් ලෙස, සම්බන්ධතා මත පදනම්ව අපට යම් ආකාරයක සමතුලිතතාවයක් ලැබේ (per-connection loading balancing).
ඔබ Routing Cache අක්රිය කළහොත්, ECMP මාර්ගයේ ඇති පැකට් නිවැරදිව බෙදා හරිනු ඇත, නමුත් NAT සමඟ ගැටළුවක් ඇත. NAT රීතිය මඟින් සම්බන්ධතාවයෙන් පළමු පැකට්ටුව පමණක් සකසයි (ඉතිරි ඒවා ස්වයංක්රීයව සකසනු ලැබේ), සහ එකම මූලාශ්ර ලිපිනය සහිත පැකට් විවිධ අතුරුමුහුණත් වලින් පිටවන බව පෙනේ.
ECMP මාර්ගවල (RouterOS bug) ද්වාරය ක්රියා නොකරයිදැයි පරීක්ෂා කරන්න. නමුත් ECMP හි ඇතුළත් කිරීම් අක්රිය කරන අමතර වලංගුකරණ මාර්ග සෑදීමෙන් ඔබට මෙම සීමාව මඟ හැරිය හැක.
Routing මගින් පෙරීම
පැකේජය සමඟ කළ යුතු දේ වර්ගය විකල්පය තීරණය කරයි:
- unicast - නිශ්චිත ද්වාරය වෙත යවන්න (අතුරු මුහුණත)
- කළු කුහරය - පැකට්ටුවක් ඉවතලන්න
- තහනම්, ළඟා විය නොහැක - පැකට්ටුව ඉවතලන්න සහ යවන්නාට icmp පණිවිඩයක් යවන්න
පෙරීම සාමාන්යයෙන් භාවිතා කරනුයේ වැරදි මාර්ගයේ පැකට් යැවීම සුරක්ෂිත කිරීමට අවශ්ය වූ විට, ඇත්ත වශයෙන්ම, ඔබට මෙය ෆයර්වෝලය හරහා පෙරීමට හැකිය.
උදාහරණ කිහිපයක්
මාර්ගගත කිරීම පිළිබඳ මූලික කරුණු ඒකාබද්ධ කිරීමට.
සාමාන්ය ගෙදර රවුටරය
/ip route
add dst-address=0.0.0.0/0 gateway=10.10.10.1
- ස්ථිතික මාර්ගය 0.0.0.0/0 වෙත (පෙරනිමි මාර්ගය)
- සැපයුම්කරු සමඟ අතුරු මුහුණතෙහි සම්බන්ධිත මාර්ගය
- LAN අතුරුමුහුණත මත සම්බන්ධිත මාර්ගය
PPPoE සමඟ සාමාන්ය ගෘහ රවුටරය
- පෙරනිමි මාර්ගයට ස්ථිතික මාර්ගය, ස්වයංක්රීයව එකතු වේ. එය සම්බන්ධතා ගුණාංගවල දක්වා ඇත
- PPP සම්බන්ධතාවය සඳහා සම්බන්ධිත මාර්ගය
- LAN අතුරුමුහුණත මත සම්බන්ධිත මාර්ගය
සපයන්නන් දෙදෙනෙකු සහ අතිරික්තය සහිත සාමාන්ය නිවාස රවුටරය
/ip route
add dst-address=0.0.0.0/0 gateway=10.10.10.1 distance=1 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=10.20.20.1 distance=2
- මෙට්රික් 1 සහ ද්වාර ලබා ගැනීමේ පරීක්ෂාව සමඟ පළමු සැපයුම්කරු හරහා පෙරනිමි මාර්ගයට ස්ථිතික මාර්ගය
- මෙට්රික් 2 සමඟ දෙවන සැපයුම්කරු හරහා පෙරනිමි මාර්ගයට ස්ථිතික මාර්ගය
- සම්බන්ධිත මාර්ග
මෙම ද්වාරය පවතින අතරතුර 0.0.0.0/0 වෙත ගමනාගමනය 10.10.10.1 හරහා යයි, එසේ නොමැතිනම් එය 10.20.20.1 වෙත මාරු වේ.
එවැනි යෝජනා ක්රමයක් නාලිකා වෙන් කිරීමක් ලෙස සැලකිය හැකිය, නමුත් එය අඩුපාඩු නොමැතිව නොවේ. සැපයුම්කරුගේ ද්වාරයෙන් පිටත බිඳීමක් සිදුවුවහොත් (උදාහරණයක් ලෙස, ක්රියාකරුගේ ජාලය තුළ), ඔබේ රවුටරය ඒ ගැන නොදකින අතර මාර්ගය සක්රිය ලෙස දිගටම සලකනු ඇත.
සැපයුම්කරුවන් දෙදෙනෙකු සහිත සාමාන්ය නිවාස රවුටරය, අතිරික්තය සහ ECMP
/ip route
add dst-address=0.0.0.0/0 gateway=10.10.10.1 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=10.20.20.1 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=10.10.10.1,10.20.20.1 distance=1
- චැක් ගේට්වේ පරීක්ෂා කිරීම සඳහා ස්ථිතික මාර්ග
- ECMP මාර්ගය
- සම්බන්ධිත මාර්ග
පරීක්ෂා කිරීමට මාර්ග නිල් (අක්රිය මාර්ගවල වර්ණය), නමුත් මෙය චෙක්පත් දොරටුවට බාධා නොකරයි. RoS හි වත්මන් අනුවාදය (6.44) ECMP මාර්ගයට ස්වයංක්රීය ප්රමුඛතාවයක් ලබා දෙයි, නමුත් වෙනත් මාර්ගගත වගු වෙත පරීක්ෂණ මාර්ග එක් කිරීම වඩා හොඳය (විකල්පය routing-mark
)
Speedtest සහ අනෙකුත් සමාන අඩවි වල, වේගයේ වැඩි වීමක් සිදු නොවනු ඇත (ECMP ගමනාගමනය සම්බන්ධතා මගින් බෙදයි, පැකට් වලින් නොවේ), නමුත් p2p යෙදුම් වේගයෙන් බාගත කළ යුතුය.
Routing හරහා පෙරීම
/ip route
add dst-address=0.0.0.0/0 gateway=10.10.10.1
add dst-address=192.168.200.0/24 gateway=10.30.30.1 distance=1
add dst-address=192.168.200.0/24 gateway=10.10.10.1 distance=2 type=blackhole
- පෙරනිමි මාර්ගයට ස්ථිතික මාර්ගය
- ipip උමග හරහා 192.168.200.0/24 වෙත ස්ථිතික මාර්ගය
- ISP රවුටරය හරහා 192.168.200.0/24 වෙත ස්ථිතික මාර්ගය තහනම් කිරීම
ipip අතුරුමුහුණත අක්රිය වූ විට උමං මාර්ග තදබදය සැපයුම්කරුගේ රවුටරය වෙත නොයන පෙරහන විකල්පයකි. එවැනි යෝජනා ක්රම කලාතුරකින් අවශ්ය වේ, මන්ද ඔබට ෆයර්වෝල් හරහා අවහිර කිරීම ක්රියාත්මක කළ හැකිය.
රවුටින් ලූප්
Routing loop - ttl කල් ඉකුත් වීමට පෙර පැකට්ටුවක් රවුටර අතර ධාවනය වන තත්වයක්. සාමාන්යයෙන් එය වින්යාස දෝෂයක ප්රතිඵලයකි, විශාල ජාල වල එය ගතික රවුටින් ප්රොටෝකෝල ක්රියාත්මක කිරීම මගින් සලකනු ලැබේ, කුඩා ඒවා - ප්රවේශමෙන්.
එය මේ වගේ දෙයක් පෙනේ:
සමාන ප්රතිඵලයක් ලබා ගන්නේ කෙසේද යන්න පිළිබඳ උදාහරණයක් (සරලම):
Routing loop උදාහරණය ප්රායෝගික ප්රයෝජනයක් නැත, නමුත් එයින් පෙන්නුම් කරන්නේ රවුටර වලට තම අසල්වැසියාගේ මාර්ග වගුව ගැන කිසිදු අවබෝධයක් නොමැති බවයි.
ප්රතිපත්ති පාදක මාර්ගගත කිරීම සහ අතිරේක මාර්ගගත කිරීමේ වගු
මාර්ගයක් තෝරාගැනීමේදී, රවුටරය පැකට් ශීර්ෂයෙන් (Dst. ලිපිනය) එක් ක්ෂේත්රයක් පමණක් භාවිතා කරයි - මෙය මූලික මාර්ගගත කිරීමකි. මූලාශ්ර ලිපිනය, ගමනාගමන වර්ගය (ToS), ECMP නොමැතිව සමතුලිත කිරීම වැනි වෙනත් කොන්දේසි මත පදනම් වූ මාර්ගගත කිරීම ප්රතිපත්ති පාදක මාර්ගකරණයට (PBR) අයත් වන අතර අමතර මාර්ගගත කිරීමේ වගු භාවිතා කරයි.
වඩාත් නිශ්චිත මාර්ගය මාර්ගගත කිරීමේ වගුවේ ඇති ප්රධාන මාර්ග තේරීමේ රීතියයි.
පෙරනිමියෙන්, සියලුම මාර්ගගත කිරීමේ නීති ප්රධාන වගුවට එකතු වේ. පරිපාලකයාට අත්තනෝමතික ලෙස අමතර මාර්ගගත කිරීමේ වගු සහ මාර්ග පැකට් සෑදිය හැක. විවිධ වගු වල නීති එකිනෙකට පටහැනි නොවේ. පැකේජය නිශ්චිත වගුවේ සුදුසු රීතියක් සොයා නොගන්නේ නම්, එය ප්රධාන වගුව වෙත යයි.
ෆයර්වෝල් හරහා බෙදා හැරීමේ උදාහරණය:
- 192.168.100.10 -> 8.8.8.8
- 192.168.100.10 සිට ගමනාගමනය ලේබල් කර ඇත හරහා-isp1 в
[Prerouting|Mangle]
- වගුවේ මාර්ගගත කිරීමේ අදියරේදී හරහා-isp1 8.8.8.8 වෙත මාර්ගයක් සොයයි
- මාර්ගය සොයා ගන්නා ලදී, ගමනාගමනය ද්වාරය 10.10.10.1 වෙත යවනු ලැබේ
- 192.168.100.10 සිට ගමනාගමනය ලේබල් කර ඇත හරහා-isp1 в
- 192.168.200.20 -> 8.8.8.8
- 192.168.200.20 සිට ගමනාගමනය ලේබල් කර ඇත හරහා-isp2 в
[Prerouting|Mangle]
- වගුවේ මාර්ගගත කිරීමේ අදියරේදී හරහා-isp2 8.8.8.8 වෙත මාර්ගයක් සොයයි
- මාර්ගය සොයා ගන්නා ලදී, ගමනාගමනය ද්වාරය 10.20.20.1 වෙත යවනු ලැබේ
- 192.168.200.20 සිට ගමනාගමනය ලේබල් කර ඇත හරහා-isp2 в
- ගේට්වේ වලින් එකක් (10.10.10.1 හෝ 10.20.20.1) නොමැති නම්, පැකට්ටුව මේසය වෙත යයි ප්රධාන සහ එහි සුදුසු මාර්ගයක් සොයනු ඇත
පාරිභාෂිත ගැටළු
RouterOS හි ඇතැම් පාරිභාෂිත ගැටළු ඇත.
නීති රීති සමඟ වැඩ කරන විට [IP]->[Routes]
ලේබලය ලෙස ලියා ඇතත්, මාර්ගගත වගුව දක්වා ඇත:
В [IP]->[Routes]->[Rule]
වගුවේ ක්රියාවෙහි ලේබල් තත්ත්වය තුළ සියල්ල නිවැරදියි:
නිශ්චිත මාර්ගගත වගුවකට පැකට්ටුවක් යවන්නේ කෙසේද
RouterOS මෙවලම් කිහිපයක් සපයයි:
- තුළ රීති
[IP]->[Routes]->[Rules]
- මාර්ග සලකුණු (
action=mark-routing
) තුළ[IP]->[Firewall]->[Mangle]
- වී.ආර්.එෆ්
රීති [IP]->[Route]->[Rules]
රීති අනුපිළිවෙලින් සකසනු ලැබේ, පැකට්ටුව රීතියේ කොන්දේසි වලට ගැලපේ නම්, එය තවදුරටත් සම්මත නොවේ.
මාර්ගගත කිරීමේ රීති ඔබට ලබන්නාගේ ලිපිනය මත පමණක් නොව, පැකට්ටුව ලැබුණු මූලාශ්ර ලිපිනය සහ අතුරු මුහුණත මතද රඳා පවතින මාර්ගගත කිරීමේ හැකියාවන් පුළුල් කිරීමට ඉඩ සලසයි.
රීති කොන්දේසි සහ ක්රියාවකින් සමන්විත වේ:
- කොන්දේසි. FIB හි පැකේජය පරීක්ෂා කර ඇති සලකුණු ලැයිස්තුව ප්රායෝගිකව නැවත කරන්න, ToS පමණක් අස්ථානගත වේ.
- ක්රියා
- බලන්න - පැකට්ටුවක් මේසයකට යවන්න
- වගුවේ පමණක් බලන්න - පැකේජය මේසය තුළ අගුළු දමන්න, මාර්ගය සොයාගත නොහැකි නම්, පැකේජය ප්රධාන වගුවට නොයනු ඇත
- drop - පැකට්ටුවක් අතහරින්න
- ළඟා විය නොහැක - යවන්නාගේ දැනුම්දීම සමඟ පැකට්ටුව ඉවතලන්න
FIB හි, දේශීය ක්රියාවලීන් වෙත ගමනාගමනය නීති රීති මග හරිමින් සකසනු ලැබේ [IP]->[Route]->[Rules]
:
සලකුණු කිරීම [IP]->[Firewall]->[Mangle]
ඕනෑම ෆයර්වෝල් කොන්දේසියක් භාවිතා කරමින් පැකට්ටුවක් සඳහා ද්වාරය සැකසීමට මාර්ගගත ලේබල ඔබට ඉඩ සලසයි:
ප්රායෝගිකව, ඒවා සියල්ලම තේරුමක් නැති නිසා සහ සමහරක් අස්ථායීව වැඩ කළ හැකිය.
පැකේජයක් ලේබල් කිරීමට ක්රම දෙකක් තිබේ:
- වහාම දැම්මා මාර්ග සලකුණ
- මුලින්ම දාන්න සම්බන්ධතා ලකුණ, පසුව පදනම් සම්බන්ධතා ලකුණ දැමීමට මාර්ග සලකුණ
ෆයර්වෝල් පිළිබඳ ලිපියක, මම දෙවන විකල්පය වඩාත් සුදුසු බව ලිවීය. මාර්ග සලකුණු කිරීමේදී cpu මත බර අඩු කරයි - මෙය සම්පූර්ණයෙන්ම සත්ය නොවේ. මෙම සලකුණු කිරීමේ ක්රම සෑම විටම සමාන නොවන අතර සාමාන්යයෙන් විවිධ ගැටළු විසඳීම සඳහා භාවිතා වේ.
භාවිත උදාහරණ
ප්රතිපත්ති පදනම් රවුටින් භාවිතා කිරීමේ උදාහරණ වෙත අපි යමු, මේ සියල්ල අවශ්ය වන්නේ මන්දැයි පෙන්වීමට ඒවා වඩාත් පහසු ය.
MultiWAN සහ ආපසු පිටතට යන (ප්රතිදාන) ගමනාගමනය
MultiWAN වින්යාසය සමඟ පොදු ගැටළුවක්: Mikrotik අන්තර්ජාලයෙන් ලබා ගත හැක්කේ "ක්රියාකාරී" සැපයුම්කරුවෙකු හරහා පමණි.
රික්වෙස්ට් එක ආවෙ මොන ip එකටද කියන එක රවුටරය ගණන් ගන්නේ නැහැ, ප්රතිචාරයක් ජනනය කරනකොට, isp1 හරහා route එක සක්රීයව තියෙන routing table එකේ route එකක් හොයනවා. තවද, එවැනි පැකට්ටුවක් ලබන්නා වෙත යන මාර්ගය ඔස්සේ බොහෝ විට පෙරීමට ඉඩ ඇත.
තවත් සිත්ගන්නා කරුණක්. ether1 අතුරුමුහුණත මත "සරල" මූලාශ්රයක් nat වින්යාස කර ඇත්නම්: /ip fi nat add out-interface=ether1 action=masquerade
පැකේජය src සමඟ සබැඳි වනු ඇත. ලිපිනය=10.10.10.100, එය තත්වය වඩාත් නරක අතට හැරේ.
ගැටළුව විසඳීමට ක්රම කිහිපයක් තිබේ, නමුත් ඒවායින් ඕනෑම එකක් අමතර මාර්ගගත කිරීමේ වගු අවශ්ය වේ:
/ip route
add dst-address=0.0.0.0/0 gateway=10.10.10.1 check-gateway=ping distance=1
add dst-address=0.0.0.0/0 gateway=10.20.20.1 check-gateway=ping distance=2
add dst-address=0.0.0.0/0 gateway=10.10.10.1 routing-mark=over-isp1
add dst-address=0.0.0.0/0 gateway=10.20.20.1 routing-mark=over-isp2
භාවිතා කරන්න [IP]->[Route]->[Rules]
නිශ්චිත මූලාශ්ර IP සමඟ පැකට් සඳහා භාවිතා කරන මාර්ගගත වගුව සඳහන් කරන්න.
/ip route rule
add src-address=10.10.10.100/32 action=lookup-only-in-table table=over-isp1
add src-address=10.20.20.200/32 action=lookup-only-in-table table=over-isp2
භාවිතා කළ හැකිය action=lookup
, නමුත් දේශීය පිටතට යන ගමනාගමනය සඳහා, මෙම විකල්පය වැරදි අතුරු මුහුණතෙන් සම්බන්ධතා සම්පූර්ණයෙන්ම බැහැර කරයි.
- පද්ධතිය Src සමඟ ප්රතිචාර පැකට්ටුවක් ජනනය කරයි. ලිපිනය: 10.20.20.200
- මාර්ගගත කිරීමේ තීරණය (2) පියවර පරීක්ෂා කරයි
[IP]->[Routes]->[Rules]
සහ පැකට් එක රවුටින් ටේබල් එකට යවනවා over-isp2 - රවුටින් වගුවට අනුව, පැකට්ටුව ඊතර්10.20.20.1 අතුරුමුහුණත හරහා 2 ද්වාරය වෙත යැවිය යුතුය.
මෙම ක්රමයට Mangle වගුව භාවිතා කරනවා මෙන් නොව, ක්රියාකාරී සම්බන්ධතා ට්රැකර් අවශ්ය නොවේ.
භාවිතා කරන්න [IP]->[Firewall]->[Mangle]
සම්බන්ධතාවය ආරම්භ වන්නේ එන පැකට්ටුවකින්, එබැවින් අපි එය සලකුණු කරමු (action=mark-connection
), සලකුණු කළ සම්බන්ධතාවයකින් පිටතට යන පැකට් සඳහා, මාර්ගගත ලේබලය සකසන්න (action=mark-routing
).
/ip firewall mangle
#Маркировка входящих соединений
add chain=input in-interface=ether1 connection-state=new action=mark-connection new-connection-mark=from-isp1
add chain=input in-interface=ether2 connection-state=new action=mark-connection new-connection-mark=from-isp2
#Маркировка исходящих пакетов на основе соединений
add chain=output connection-mark=from-isp1 action=mark-routing new-routing-mark=over-isp1 passthrough=no
add chain=output connection-mark=from-isp2 action=mark-routing new-routing-mark=over-isp2 passthrough=no
එක් අතුරු මුහුණතක් මත ips කිහිපයක් වින්යාස කර ඇත්නම්, ඔබට කොන්දේසියට එක් කළ හැකිය dst-address
සහතික විය යුතුයි.
- පැකට්ටුවක් ether2 අතුරුමුහුණත මත සම්බන්ධතාවය විවෘත කරයි. පැකේජය ඇතුල් වේ
[INPUT|Mangle]
සම්බන්ධතාවයේ සිට සියලුම පැකට් ලෙස සලකුණු කරන්න සිට-isp2 - පද්ධතිය Src සමඟ ප්රතිචාර පැකට්ටුවක් ජනනය කරයි. ලිපිනය: 10.20.20.200
- Routing Decision(2) අදියරේදී, මාර්ගගත වගුවට අනුකූලව, පැකට්ටුව ether10.20.20.1 අතුරුමුහුණත හරහා 1 ද්වාරය වෙත යවනු ලැබේ. පැකේජ ලොග් වීමෙන් ඔබට මෙය සත්යාපනය කළ හැක
[OUTPUT|Filter]
- වේදිකාවේදී
[OUTPUT|Mangle]
සම්බන්ධතා ලේබලය පරීක්ෂා කර ඇත සිට-isp2 සහ පැකට්ටුවට මාර්ග ලේබලයක් ලැබේ over-isp2 - Routing Adjusment(3) පියවර මඟින් මාර්ගගත කිරීමේ ලේබලයක් තිබේදැයි පරීක්ෂා කර එය සුදුසු මාර්ගගත කිරීමේ වගුව වෙත යවයි.
- රවුටින් වගුවට අනුව, පැකට්ටුව ඊතර්10.20.20.1 අතුරුමුහුණත හරහා 2 ද්වාරය වෙත යැවිය යුතුය.
MultiWAN සහ ආපසු dst-nat ගමනාගමනය
උදාහරණයක් වඩාත් සංකීර්ණ වේ, පුද්ගලික උපජාලයක රවුටරය පිටුපස සේවාදායකයක් (උදාහරණයක් ලෙස, වෙබ්) තිබේ නම් කුමක් කළ යුතුද යන්න සහ ඔබට ඕනෑම සැපයුම්කරුවෙකු හරහා එයට ප්රවේශය ලබා දිය යුතුය.
/ip firewall nat
add chain=dstnat proto=tcp dst-port=80,443 in-interface=ether1 action=dst-nat to-address=192.168.100.100
add chain=dstnat proto=tcp dst-port=80,443 in-interface=ether2 action=dst-nat to-address=192.168.100.100
ගැටලුවේ සාරය සමාන වනු ඇත, විසඳුම Firewall Mangle විකල්පයට සමාන වේ, වෙනත් දාම පමණක් භාවිතා කරනු ලැබේ:
/ip firewall mangle
add chain=prerouting connection-state=new in-interface=ether1 protocol=tcp dst-port=80,443 action=mark-connection new-connection-mark=web-input-isp1
add chain=prerouting connection-state=new in-interface=ether2 protocol=tcp dst-port=80,443 action=mark-connection new-connection-mark=web-input-isp2
add chain=prerouting connection-mark=web-input-isp1 in-interface=ether3 action=mark-routing new-routing-mark=over-isp1 passthrough=no
add chain=prerouting connection-mark=web-input-isp2 in-interface=ether3 action=mark-routing new-routing-mark=over-isp2 passthrough=no
රූප සටහන NAT පෙන්වන්නේ නැත, නමුත් මම හිතන්නේ සියල්ල පැහැදිලිය.
MultiWAN සහ පිටතට යන සම්බන්ධතා
විවිධ රවුටර අතුරුමුහුණත් වලින් බහු vpn (උදාහරණයේ SSTP) සම්බන්ධතා සෑදීමට ඔබට PBR හැකියාවන් භාවිතා කළ හැක.
අතිරේක මාර්ගගත කිරීමේ වගු:
/ip route
add dst-address=0.0.0.0/0 gateway=192.168.100.1 routing-mark=over-isp1
add dst-address=0.0.0.0/0 gateway=192.168.200.1 routing-mark=over-isp2
add dst-address=0.0.0.0/0 gateway=192.168.0.1 routing-mark=over-isp3
add dst-address=0.0.0.0/0 gateway=192.168.100.1 distance=1
add dst-address=0.0.0.0/0 gateway=192.168.200.1 distance=2
add dst-address=0.0.0.0/0 gateway=192.168.0.1 distance=3
පැකේජ සලකුණු:
/ip firewall mangle
add chain=output dst-address=10.10.10.100 proto=tcp dst-port=443 action=mark-routing new-routing-mark=over-isp1 passtrough=no
add chain=output dst-address=10.10.10.101 proto=tcp dst-port=443 action=mark-routing new-routing-mark=over-isp2 passtrough=no
add chain=output dst-address=10.10.10.102 proto=tcp dst-port=443 action=mark-routing new-routing-mark=over-isp3 passtrough=no
සරල NAT නීති, එසේ නොමැතිනම් පැකට්ටුව වැරදි Src සමඟ අතුරු මුහුණත අත්හරිනු ඇත. ලිපිනය:
/ip firewall nat
add chain=srcnat out-interface=ether1 action=masquerade
add chain=srcnat out-interface=ether2 action=masquerade
add chain=srcnat out-interface=ether3 action=masquerade
විග්රහ කිරීම:
- රවුටරය SSTP ක්රියාවලි තුනක් නිර්මාණය කරයි
- Routing Decision (2) අදියරේදී, ප්රධාන රවුටින් වගුව මත පදනම්ව මෙම ක්රියාවලි සඳහා මාර්ගයක් තෝරා ගනු ලැබේ. එම මාර්ගයේම පැකට්ටුවට Src ලැබේ. ලිපිනය ether1 අතුරු මුහුණතට බැඳී ඇත
- В
[Output|Mangle]
විවිධ සම්බන්ධතා වලින් පැකට් විවිධ ලේබල් ලබා ගනී - මාර්ගගත ගැලපුම් අදියරේදී පැකට් ලේබලවලට අනුරූප වගු ඇතුළු කර පැකට් යැවීම සඳහා නව මාර්ගයක් ලබා ගනී.
- නමුත් පැකේජ වල තවමත් Src ඇත. වේදිකාව මත ether1 වෙතින් ලිපිනය
[Nat|Srcnat]
ලිපිනය අතුරු මුහුණත අනුව ආදේශ කර ඇත
සිත්ගන්නා කරුණ නම්, රවුටරයේ ඔබට පහත සම්බන්ධතා වගුව පෙනෙනු ඇත:
සම්බන්ධතා ට්රැකර් කලින් වැඩ කරයි [Mangle]
и [Srcnat]
, එබැවින් සියලුම සම්බන්ධතා එකම ලිපිනයකින් පැමිණේ, ඔබ වඩාත් විස්තරාත්මකව බැලුවහොත්, ඉන්පසුව Replay Dst. Address
NAT වලින් පසු ලිපින ඇත:
VPN සේවාදායකයේ (පරීක්ෂණ බංකුවේ මට එකක් තිබේ), සියලුම සම්බන්ධතා නිවැරදි ලිපින වලින් පැමිණෙන බව ඔබට පෙනෙනු ඇත:
මග ඉන්න
පහසු ක්රමයක් ඇත, ඔබට එක් එක් ලිපින සඳහා නිශ්චිත ද්වාරයක් නියම කළ හැක:
/ip route
add dst-address=10.10.10.100 gateway=192.168.100.1
add dst-address=10.10.10.101 gateway=192.168.200.1
add dst-address=10.10.10.102 gateway=192.168.0.1
නමුත් එවැනි මාර්ග පිටතට යාමට පමණක් නොව සංක්රමණ ගමනාගමනයට ද බලපානු ඇත. තවද, ඔබට නුසුදුසු සන්නිවේදන මාර්ග හරහා යාමට vpn සේවාදායකයට ගමනාගමනය අවශ්ය නොවේ නම්, ඔබට තවත් නීති 6ක් එකතු කිරීමට සිදුවේ. [IP]->[Routes]
с type=blackhole
. පෙර අනුවාදයේ - නීති 3 ක් ඇත [IP]->[Route]->[Rules]
.
සන්නිවේදන නාලිකා මගින් පරිශීලක සම්බන්ධතා බෙදා හැරීම
සරල, එදිනෙදා කාර්යයන්. නැවතත්, අතිරේක මාර්ගගත වගු අවශ්ය වනු ඇත:
/ip route
add dst-address=0.0.0.0/0 gateway=10.10.10.1 dist=1 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=10.20.20.1 dist=2 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=10.10.10.1 dist=1 routing-mark=over-isp1
add dst-address=0.0.0.0/0 gateway=10.20.20.1 dist=1 routing-mark=over-isp2
භාවිතා කිරීම [IP]->[Route]->[Rules]
/ip route rules
add src-address=192.168.100.0/25 action=lookup-only-in-table table=over-isp1
add src-address=192.168.100.128/25 action=lookup-only-in-table table=over-isp2
ඔබ භාවිතා කරන්නේ නම් action=lookup
, එවිට එක් නාලිකාවක් අක්රිය වූ විට, ගමනාගමනය ප්රධාන මේසයට ගොස් වැඩ කරන නාලිකාව හරහා යයි. මෙය අවශ්යද නැද්ද යන්න කාර්යය මත රඳා පවතී.
තුළ ඇති සලකුණු භාවිතා කිරීම [IP]->[Firewall]->[Mangle]
ip ලිපින ලැයිස්තුවක් සහිත සරල උදාහරණයක්. ප්රතිපත්තිමය වශයෙන්, ඕනෑම කොන්දේසියක් පාහේ භාවිතා කළ හැකිය. Layer7 හි එකම අවවාදය, සම්බන්ධතා ලේබල සමඟ යුගල කළ විට පවා, සියල්ල නිවැරදිව ක්රියා කරන බව පෙනෙන්නට ඇත, නමුත් සමහර මාර්ග තදබදය තවමත් වැරදි මාර්ගයට යයි.
/ip firewall mangle
add chain=prerouting src-address-list=users-over-isp1 dst-address-type=!local action=mark-routing new-routing-mark=over-isp1
add chain=prerouting src-address-list=users-over-isp2 dst-address-type=!local action=mark-routing new-routing-mark=over-isp2
ඔබට එක් මාර්ගගත වගුවක පරිශීලකයන් "අගුළු" කළ හැක [IP]->[Route]->[Rules]
:
/ip route rules
add routing-mark=over-isp1 action=lookup-only-in-table table=over-isp1
add routing-mark=over-isp2 action=lookup-only-in-table table=over-isp2
එක්කෝ හරහා [IP]->[Firewall]->[Filter]
:
/ip firewall filter
add chain=forward routing-mark=over-isp1 out-interface=!ether1 action=reject
add chain=forward routing-mark=over-isp2 out-interface=!ether2 action=reject
Retreat pro dst-address-type=!local
අතිරේක කොන්දේසිය dst-address-type=!local
පරිශීලකයින්ගෙන් ගමනාගමනය රවුටරයේ දේශීය ක්රියාවලීන් වෙත ළඟා වීම අවශ්ය වේ (dns, winbox, ssh, ...). දේශීය උපජාල කිහිපයක් රවුටරයට සම්බන්ධ වී ඇත්නම්, ඒවා අතර ගමනාගමනය අන්තර්ජාලයට නොයන බව සහතික කිරීම අවශ්ය වේ, උදාහරණයක් ලෙස, භාවිතා කිරීම dst-address-table
.
භාවිතා කරන උදාහරණයේ [IP]->[Route]->[Rules]
එවැනි ව්යතිරේක නොමැත, නමුත් ගමනාගමනය දේශීය ක්රියාවලීන් වෙත ළඟා වේ. කාරණය නම් FIB පැකේජයට ඇතුල් වීම සලකුණු කර ඇති බවයි [PREROUTING|Mangle]
මාර්ග ලේබලයක් ඇති අතර දේශීය අතුරු මුහුණතක් නොමැති ප්රධාන හැර වෙනත් මාර්ගගත වගුවකට යයි. Routing Rules වලදී, පැකට්ටුව දේශීය ක්රියාවලියක් සඳහා අදහස් කරන්නේද යන්න පළමුව පරීක්ෂා කරනු ලබන අතර පරිශීලක PBR අදියරේදී පමණක් එය නිශ්චිත රවුටින් වගුව වෙත යයි.
භාවිතා කිරීම [IP]->[Firewall]->[Mangle action=route]
මෙම ක්රියාව පමණක් ක්රියාත්මක වේ [Prerouting|Mangle]
අමතර මාර්ගගත කිරීමේ වගු භාවිතා නොකර, ගේට්වේ ලිපිනය කෙලින්ම සඳහන් කරමින් නිශ්චිත ද්වාරය වෙත ගමනාගමනය යොමු කිරීමට ඔබට ඉඩ සලසයි:
/ip firewall mangle
add chain=prerouting src-address=192.168.100.0/25 action=route gateway=10.10.10.1
add chain=prerouting src-address=192.168.128.0/25 action=route gateway=10.20.20.1
ක්රියාත්මක route
මාර්ග නීති වලට වඩා අඩු ප්රමුඛතාවයක් ඇත ([IP]->[Route]->[Rules]
) මාර්ග සලකුණු සම්බන්ධයෙන්, රීතිය සමඟ නම්, සෑම දෙයක්ම රීතිවල පිහිටීම මත රඳා පවතී action=route
වඩා වටිනවා action=mark-route
, පසුව එය භාවිතා කරනු ඇත (කොඩිය කුමක් වුවත් passtrough
), එසේ නොමැතිනම් මාර්ගය සලකුණු කිරීම.
මෙම ක්රියාව පිළිබඳ විකියෙහි ඉතා කුඩා තොරතුරු ඇති අතර සියලුම නිගමන පර්යේෂණාත්මකව ලබා ගන්නා ලදී, ඕනෑම අවස්ථාවක, මෙම විකල්පය භාවිතා කරන විට අනෙක් අයට වඩා වාසි ලබා දෙන විට මම විකල්ප සොයා ගත්තේ නැත.
PPC මත පදනම් වූ ගතික තුලනය
Per Connection Classifier - ECMP හි වඩාත් නම්යශීලී ප්රතිසමයකි. ECMP මෙන් නොව, එය වඩාත් දැඩි ලෙස සම්බන්ධතා මගින් ගමනාගමනය බෙදයි (ECMP සම්බන්ධතා ගැන කිසිවක් දන්නේ නැත, නමුත් Routing Cache සමඟ යුගල කළ විට, සමාන දෙයක් ලැබේ).
PCC ගනී නිශ්චිත ක්ෂේත්ර ip ශීර්ෂයෙන්, ඒවා 32-bit අගයකට පරිවර්තනය කර, බෙදනු ලැබේ හරය. කොට්ඨාශයේ ඉතිරි කොටස නිශ්චිතව දක්වා ඇත ඉතිරිය සහ ඒවා ගැලපෙන්නේ නම්, නිශ්චිත ක්රියාව යොදනු ලැබේ.
ලිපින තුනක් සහිත උදාහරණය:
192.168.100.10: 192+168+100+10 = 470 % 3 = 2
192.168.100.11: 192+168+100+11 = 471 % 3 = 0
192.168.100.12: 192+168+100+12 = 472 % 3 = 1
නාලිකා තුනක් අතර src.address මගින් ගමනාගමනය ගතික බෙදාහැරීමේ උදාහරණයක්:
#Таблица маршрутизации
/ip route
add dst-address=0.0.0.0/0 gateway=10.10.10.1 dist=1 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=10.20.20.1 dist=2 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=10.30.30.1 dist=3 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=10.10.10.1 dist=1 routing-mark=over-isp1
add dst-address=0.0.0.0/0 gateway=10.20.20.1 dist=1 routing-mark=over-isp2
add dst-address=0.0.0.0/0 gateway=10.30.30.1 dist=1 routing-mark=over-isp3
#Маркировка соединений и маршрутов
/ip firewall mangle
add chain=prerouting in-interface=br-lan dst-address-type=!local connection-state=new per-connection-classifier=src-address:3/0 action=mark-connection new-connection-mark=conn-over-isp1
add chain=prerouting in-interface=br-lan dst-address-type=!local connection-state=new per-connection-classifier=src-address:3/1 action=mark-connection new-connection-mark=conn-over-isp2
add chain=prerouting in-interface=br-lan dst-address-type=!local connection-state=new per-connection-classifier=src-address:3/2 action=mark-connection new-connection-mark=conn-over-isp3
add chain=prerouting in-interface=br-lan connection-mark=conn-over-isp1 action=mark-routing new-routing-mark=over-isp1
add chain=prerouting in-interface=br-lan connection-mark=conn-over-isp2 action=mark-routing new-routing-mark=over-isp2
add chain=prerouting in-interface=br-lan connection-mark=conn-over-isp3 action=mark-routing new-routing-mark=over-isp3
මාර්ග සලකුණු කිරීමේදී අමතර කොන්දේසියක් ඇත: in-interface=br-lan
, එය යටතේ තොරව action=mark-routing
අන්තර්ජාලයෙන් ප්රතිචාර ගමනාගමනය ලැබෙනු ඇති අතර, මාර්ගගත වගු වලට අනුකූලව, සැපයුම්කරු වෙත ආපසු යනු ඇත.
සන්නිවේදන නාලිකා මාරු කිරීම
Check ping හොඳ මෙවලමක් වේ, නමුත් එය ළඟම ඇති IP peer සමඟ සම්බන්ධතාව පමණක් පරීක්ෂා කරයි, සපයන්නන්ගේ ජාල සාමාන්යයෙන් රවුටර විශාල සංඛ්යාවකින් සමන්විත වන අතර සමීපතම මිතුරෙකුගෙන් පිටත සම්බන්ධතා බිඳීමක් සිදුවිය හැක, පසුව කොන්දොස්තර ටෙලිකොම් ක්රියාකරුවන් ද සිටී. ගැටළු තිබේ, සාමාන්යයෙන් චෙක් පිං ගෝලීය ජාලයට ප්රවේශය පිළිබඳ යාවත්කාලීන තොරතුරු සැමවිටම නොපෙන්වයි.
සැපයුම්කරුවන්ට සහ විශාල සමාගම්වලට BGP ගතික රවුටින් ප්රොටෝකෝලය තිබේ නම්, නිවසේ සහ කාර්යාල පරිශීලකයින්ට නිශ්චිත සන්නිවේදන නාලිකාවක් හරහා අන්තර්ජාල ප්රවේශය පරීක්ෂා කරන්නේ කෙසේදැයි ස්වාධීනව සොයා බැලිය යුතුය.
සාමාන්යයෙන්, ස්ක්රිප්ට් භාවිතා කරනුයේ, යම් සන්නිවේදන නාලිකාවක් හරහා, විශ්වාසදායක දෙයක් තෝරාගැනීමේදී, අන්තර්ජාලයේ ip ලිපිනයක් තිබේද යන්න පරීක්ෂා කිරීම, උදාහරණයක් ලෙස, google dns: 8.8.8.8. 8.8.4.4. නමුත් Mikrotik ප්රජාව තුළ, මේ සඳහා වඩාත් රසවත් මෙවලමක් සකස් කර ඇත.
පුනරාවර්තන මාර්ගගත කිරීම ගැන වචන කිහිපයක්
Multihop BGP පීරිං ගොඩනැගීමේදී පුනරාවර්තන මාර්ගගත කිරීම අවශ්ය වන අතර ස්ථිතික මාර්ගගත කිරීමේ මූලික කරුණු පිළිබඳ ලිපියට පිවිසියේ අතිරේක ස්ක්රිප්ට් නොමැතිව සන්නිවේදන නාලිකා මාරු කිරීම සඳහා චෙක් ගේට්වේ සමඟ යුගල කළ ප්රත්යාවර්තක මාර්ග භාවිතා කරන්නේ කෙසේදැයි සොයා ගත් කපටි MikroTik පරිශීලකයින් නිසා පමණි.
විෂය පථය / ඉලක්ක විෂය පථය සාමාන්ය වශයෙන් සහ මාර්ගය අතුරු මුහුණතට බැඳී ඇති ආකාරය තේරුම් ගැනීමට කාලයයි:
- මාර්ගය එහි විෂය පථය අගය මත පදනම්ව පැකට්ටුව යැවීමට අතුරු මුහුණතක් සොයා බලයි සහ ඉලක්කගත විෂය පථයට වඩා අඩු හෝ සමාන ප්රධාන වගුවේ ඇති සියලුම ඇතුළත් කිරීම්
- සොයාගත් අතුරුමුහුණත් වලින්, ඔබට නිශ්චිත ද්වාරය වෙත පැකට්ටුවක් යැවිය හැකි එකක් තෝරා ඇත.
- පැකට්ටුව ද්වාරය වෙත යැවීම සඳහා සොයාගත් සම්බන්ධිත ප්රවේශයේ අතුරු මුහුණත තෝරා ඇත
පුනරාවර්තන මාර්ගයක් ඉදිරිපිටදී, සෑම දෙයක්ම එකම ආකාරයකින් සිදු වේ, නමුත් අදියර දෙකකින්:
- 1-3 සම්බන්ධිත මාර්ගවලට තවත් එක් මාර්ගයක් එකතු කර ඇති අතර, එමඟින් නිශ්චිත දොරටුව වෙත ළඟා විය හැකිය.
- 4-6 "අතරමැදි" ද්වාරය සඳහා සම්බන්ධිත මාර්ගය සොයා ගැනීම
පුනරාවර්තන සෙවුම සමඟ ඇති සියලුම උපාමාරු RIB හි සිදු වන අතර අවසාන ප්රතිඵලය පමණක් FIB වෙත මාරු කරනු ලැබේ: 0.0.0.0/0 via 10.10.10.1 on ether1
.
මාර්ග මාරු කිරීම සඳහා පුනරාවර්තන මාර්ගගත කිරීම භාවිතා කිරීමේ උදාහරණයක්
වින්යාසය:
/ip route
add dst-address=0.0.0.0/0 gateway=8.8.8.8 check-gateway=ping distance=1 target-scope=10
add dst-address=8.8.8.8 gateway=10.10.10.1 scope=10
add dst-address=0.0.0.0/0 gateway=10.20.20.1 distance=2
පැකට් 10.10.10.1 වෙත යවනු ඇත්දැයි ඔබට පරීක්ෂා කළ හැකිය:
Check gateway recursive routing ගැන කිසිවක් නොදන්නා අතර 8.8.8.8 වෙත pings යවයි, එය (ප්රධාන වගුව මත පදනම්ව) gateway 10.10.10.1 හරහා ප්රවේශ විය හැක.
10.10.10.1 සහ 8.8.8.8 අතර සන්නිවේදනයේ අලාභයක් සිදුවුවහොත්, මාර්ගය විසන්ධි වී ඇත, නමුත් පැකට් (පරීක්ෂණ පිං ඇතුළුව) 8.8.8.8 දක්වා 10.10.10.1 හරහා දිගටම ගමන් කරයි:
ether1 වෙත සබැඳිය නැති වුවහොත්, 8.8.8.8 ට පෙර පැකට් දෙවන සැපයුම්කරු හරහා යන විට අප්රසන්න තත්වයක් ඇතිවේ:
8.8.8.8 නොමැති විට ස්ක්රිප්ට් ධාවනය කිරීමට ඔබ NetWatch භාවිතා කරන්නේ නම් මෙය ගැටළුවකි. සබැඳිය කැඩී ඇත්නම්, NetWatch උපස්ථ සන්නිවේදන නාලිකාව හරහා සරලව ක්රියා කරන අතර සියල්ල හොඳින් ඇතැයි උපකල්පනය කරයි. අතිරේක පෙරහන් මාර්ගයක් එක් කිරීමෙන් විසඳා ඇත:
/ip route
add dst-address=8.8.8.8 gateway=10.20.20.1 distance=100 type=blackhole
හබ්රේ තියෙනවා
ඔව්, එවැනි වෙන් කිරීමක් භාවිතා කරන විට, 8.8.8.8 ලිපිනය සපයන්නෙකුට තදින් සම්බන්ධ වනු ඇත, එබැවින් එය dns මූලාශ්රයක් ලෙස තෝරා ගැනීම හොඳ අදහසක් නොවේ.
Virtual Routing සහ Forwarding (VRF) ගැන වචන කිහිපයක්
VRF තාක්ෂණය සැලසුම් කර ඇත්තේ එක් භෞතික එකක් තුළ අතථ්ය රවුටර කිහිපයක් නිර්මාණය කිරීම සඳහා ය, මෙම තාක්ෂණය ටෙලිකොම් ක්රියාකරුවන් (සාමාන්යයෙන් MPLS සමඟ ඒකාබද්ධව) විසින් අතිච්ඡාදනය වන උපජාල ලිපින සහිත සේවාදායකයින්ට L3VPN සේවා සැපයීම සඳහා බහුලව භාවිතා කරයි:
නමුත් Mikrotik හි VRF රවුටින් වගු මත සංවිධානය කර ඇති අතර අවාසි ගණනාවක් ඇත, උදාහරණයක් ලෙස, රවුටරයේ දේශීය ip ලිපින සියලුම VRF වලින් ලබා ගත හැකිය, ඔබට වැඩිදුර කියවිය හැකිය
vrf මානකරන උදාහරණය:
/ip route vrf
add interfaces=ether1 routing-mark=vrf1
add interfaces=ether2 routing-mark=vrf2
/ip address
add address=192.168.100.1/24 interface=ether1 network=192.168.100.0
add address=192.168.200.1/24 interface=ether2 network=192.168.200.0
ether2 වෙත සම්බන්ධ කර ඇති උපාංගයෙන්, ping වෙනත් vrf වෙතින් රවුටර ලිපිනයට යන බව අපට පෙනේ (මෙය ගැටළුවකි), ping අන්තර්ජාලයට නොයන අතර:
අන්තර්ජාලයට ප්රවේශ වීම සඳහා, ඔබ ප්රධාන වගුවට ප්රවේශ වන අමතර මාර්ගයක් ලියාපදිංචි කළ යුතුය (vrf පාරිභාෂිතයේ, මෙය මාර්ගය කාන්දු වීම ලෙස හැඳින්වේ):
/ip route
add distance=1 gateway=172.17.0.1@main routing-mark=vrf1
add distance=1 gateway=172.17.0.1%wlan1 routing-mark=vrf2
මාර්ග කාන්දු වීමේ ක්රම දෙකක් මෙන්න: මාර්ගගත කිරීමේ වගුව භාවිතා කරන්න: 172.17.0.1@main
සහ අතුරු මුහුණත නම භාවිතා කරමින්: 172.17.0.1%wlan1
.
සහ ආපසු ගමනාගමනය සඳහා ලකුණු කිරීම සකසන්න [PREROUTING|Mangle]
:
/ip firewall mangle
add chain=prerouting in-interface=ether1 action=mark-connection new-connection-mark=from-vrf1 passthrough=no
add chain=prerouting connection-mark=from-vrf1 routing-mark=!vrf1 action=mark-routing new-routing-mark=vrf1 passthrough=no
add chain=prerouting in-interface=ether2 action=mark-connection new-connection-mark=from-vrf2 passthrough=no
add chain=prerouting connection-mark=from-vrf2 routing-mark=!vrf1 action=mark-routing new-routing-mark=vrf2 passthrough=no
එකම ලිපිනය සහිත උපජාල
VRF සහ netmap භාවිතයෙන් එකම රවුටරයේ එකම ලිපින සහිත උපජාල වෙත ප්රවේශය සංවිධානය කිරීම:
මූලික සැකසුම:
/ip route vrf
add interfaces=ether1 routing-mark=vrf1
add interfaces=ether2 routing-mark=vrf2
/ip address
add address=192.168.100.1/24 interface=ether1 network=192.168.100.0
add address=192.168.100.1/24 interface=ether2 network=192.168.100.0
add address=192.168.0.1/24 interface=ether3 network=192.168.0.0
ෆයර්වෝල් නීති:
#Маркируем пакеты для отправки в правильную таблицу маршрутизации
/ip firewall mangle
add chain=prerouting dst-address=192.168.101.0/24 in-interface=ether3 action=mark-routing new-routing-mark=vrf1 passthrough=no
add chain=prerouting dst-address=192.168.102.0/24 in-interface=ether3 action=mark-routing new-routing-mark=vrf2 passthrough=no
#Средствами netmap заменяем адреса "эфимерных" подсетей на реальные подсети
/ip firewall nat
add chain=dstnat dst-address=192.168.101.0/24 in-interface=ether3 action=netmap to-addresses=192.168.100.0/24
add chain=dstnat dst-address=192.168.102.0/24 in-interface=ether3 action=netmap to-addresses=192.168.100.0/24
ආපසු ගමනාගමනය සඳහා මාර්ග නීති:
#Указание имени интерфейса тоже может считаться route leaking, но по сути тут создается аналог connected маршрута
/ip route
add distance=1 dst-address=192.168.0.0/24 gateway=ether3 routing-mark=vrf1
add distance=1 dst-address=192.168.0.0/24 gateway=ether3 routing-mark=vrf2
දී ඇති මාර්ගගත වගුවකට dhcp හරහා ලැබුණු මාර්ග එකතු කිරීම
ඔබට නිශ්චිත මාර්ගගත කිරීමේ වගුවකට ස්වයංක්රීයව ගතික මාර්ගයක් (උදාහරණයක් ලෙස, dhcp සේවාලාභියෙකුගෙන්) එකතු කිරීමට අවශ්ය නම් VRF සිත්ගන්නා සුළු විය හැක.
vrf වෙත අතුරු මුහුණත එක් කිරීම:
/ip route vrf
add interface=ether1 routing-mark=over-isp1
මේසය හරහා ගමනාගමනය (පිටතට යන සහ සංක්රමණ) යැවීම සඳහා නීති over-isp1:
/ip firewall mangle
add chain=output out-interface=!br-lan action=mark-routing new-routing-mark=over-isp1 passthrough=no
add chain=prerouting in-interface=br-lan dst-address-type=!local action=mark-routing new-routing-mark=over-isp1 passthrough=no
වැඩ කිරීමට පිටතට යන මාර්ගගත කිරීම සඳහා අතිරේක, ව්යාජ මාර්ගය:
/interface bridge
add name=bare
/ip route
add dst-address=0.0.0.0/0 gateway=bare
මෙම මාර්ගය අවශ්ය වන්නේ දේශීය පිටතට යන පැකට් වලට පෙර Routing තීරණය (2) හරහා යාමට හැකි වන පරිදි පමණි [OUTPUT|Mangle]
සහ රවුටින් ලේබලය ලබා ගන්න, ප්රධාන වගුවේ 0.0.0.0/0 ට පෙර රවුටරයේ වෙනත් ක්රියාකාරී මාර්ග තිබේ නම්, එය අවශ්ය නොවේ.
දම්වැල් connected-in
и dynamic-in
в [Routing] -> [Filters]
මාර්ග පෙරීම (ඇතුළත් සහ පිටතට යන) යනු සාමාන්යයෙන් ගතික රවුටින් ප්රොටෝකෝල සමඟ ඒකාබද්ධව භාවිතා කරන මෙවලමකි (සහ එම නිසා පැකේජය ස්ථාපනය කිරීමෙන් පසුව පමණක් ලබා ගත හැක. මාර්ගගත කිරීම), නමුත් එන පෙරහන් වල රසවත් දාම දෙකක් තිබේ:
- සම්බන්ධිත - සම්බන්ධිත මාර්ග පෙරීම
- dynamic-in - PPP සහ DCHP මගින් ලැබෙන ගතික මාර්ග පෙරීම
පෙරීම ඔබට මාර්ග ඉවත දැමීමට පමණක් නොව, විකල්ප ගණනාවක් වෙනස් කිරීමටද ඉඩ සලසයි: දුර, මාර්ගගත ලකුණ, අදහස්, විෂය පථය, ඉලක්ක විෂය පථය, ...
මෙය ඉතා නිවැරදි මෙවලමක් වන අතර ඔබට Routing Filters නොමැතිව (නමුත් scripts නොවේ) යමක් කළ හැකි නම්, Routing Filters භාවිතා නොකරන්න, ඔබ සහ ඔබට පසුව රවුටරය වින්යාස කරන අය අතරමං නොවන්න. ගතික මාර්ගගත කිරීමේ සන්දර්භය තුළ, Routing Filters නිතර නිතර හා වඩා ඵලදායී ලෙස භාවිතා කරනු ඇත.
ගතික මාර්ග සඳහා මාර්ග සලකුණ සැකසීම
නිවසේ රවුටරයකින් උදාහරණයක්. මා සතුව VPN සම්බන්ධතා දෙකක් වින්යාස කර ඇති අතර ඒවායේ තදබදය මාර්ගගත කිරීමේ වගු වලට අනුකූලව ඔතා තිබිය යුතුය. ඒ අතරම, අතුරු මුහුණත සක්රිය වූ විට මාර්ග ස්වයංක්රීයව නිර්මාණය වීමට මට අවශ්යය:
#При создании vpn подключений указываем создание default route и задаем дистанцию
/interface pptp-client
add connect-to=X.X.X.X add-default-route=yes default-route-distance=101 ...
add connect-to=Y.Y.Y.Y add-default-route=yes default-route-distance=100 ...
#Фильтрами отправляем маршруты в определенные таблицы маршрутизации на основе подсети назначения и дистанции
/routing filter
add chain=dynamic-in distance=100 prefix=0.0.0.0/0 action=passthrough set-routing-mark=over-vpn1
add chain=dynamic-in distance=101 prefix=0.0.0.0/0 action=passthrough set-routing-mark=over-vpn2
මම දන්නේ නැහැ, සමහරවිට දෝෂයක්, නමුත් ඔබ ppp අතුරුමුහුණත සඳහා vrf නිර්මාණය කරන්නේ නම්, 0.0.0.0/0 වෙත යන මාර්ගය තවමත් ප්රධාන වගුවට ඇතුල් වේ. එසේ නොවුවහොත්, සෑම දෙයක්ම වඩාත් පහසු වනු ඇත.
සම්බන්ධිත මාර්ග අබල කිරීම
සමහර විට මෙය අවශ්ය වේ:
/route filter
add chain=connected-in prefix=192.168.100.0/24 action=reject
දෝශ නිරාකරණ මෙවලම්
RouterOS මඟින් මාර්ගගත කිරීම් නිදොස් කිරීම සඳහා මෙවලම් ගණනාවක් සපයයි:
[Tool]->[Tourch]
- අතුරුමුහුණත් මත පැකට් බැලීමට ඔබට ඉඩ සලසයි/ip route check
- පැකට්ටුව යවන්නේ කුමන ද්වාරය වෙතදැයි බැලීමට ඔබට ඉඩ සලසයි, මාර්ගගත කිරීමේ වගු සමඟ ක්රියා නොකරයි/ping routing-table=<name>
и/tool traceroute routing-table=<name>
- නිශ්චිත මාර්ගගත වගුව භාවිතයෙන් පිං සහ ලුහුබැඳීමaction=log
в[IP]->[Firewall]
- පැකට් ප්රවාහය දිගේ පැකට්ටුවක මාර්ගය සොයා ගැනීමට ඔබට ඉඩ සලසන විශිෂ්ට මෙවලමක්, මෙම ක්රියාව සියලුම දාම සහ වගු වල ඇත
මූලාශ්රය: www.habr.com