ரூட்டிங் என்பது TCP/IP நெட்வொர்க்குகள் வழியாக பாக்கெட்டுகளை அனுப்புவதற்கான சிறந்த பாதையைக் கண்டறியும் செயல்முறையாகும். IPv4 நெட்வொர்க்குடன் இணைக்கப்பட்ட எந்த சாதனமும் ஒரு செயல்முறை மற்றும் ரூட்டிங் அட்டவணைகளைக் கொண்டுள்ளது.
இந்த கட்டுரை ஒரு HOWTO அல்ல, இது RouterOS இல் நிலையான ரூட்டிங் பற்றி எடுத்துக்காட்டுகளுடன் விவரிக்கிறது, மீதமுள்ள அமைப்புகளை நான் வேண்டுமென்றே தவிர்த்துவிட்டேன் (எடுத்துக்காட்டாக, இணையத்தை அணுகுவதற்கான srcnat), எனவே பொருளைப் புரிந்துகொள்வதற்கு நெட்வொர்க்குகள் மற்றும் RouterOS பற்றிய ஒரு குறிப்பிட்ட அளவிலான அறிவு தேவைப்படுகிறது.
மாறுதல் மற்றும் ரூட்டிங்
ஸ்விட்சிங் என்பது ஒரு லேயர்2 பிரிவில் (ஈதர்நெட், பிபிபி, ...) பாக்கெட்டுகளை மாற்றும் செயல்முறையாகும். பாக்கெட்டைப் பெறுபவர் அதே ஈத்தர்நெட் சப்நெட்டில் இருப்பதை சாதனம் கண்டால், அது ஆர்ப் நெறிமுறையைப் பயன்படுத்தி மேக் முகவரியைக் கற்று, ரூட்டரைத் தவிர்த்து, பாக்கெட்டை நேரடியாக அனுப்புகிறது. ஒரு பிபிபி (பாயின்ட்-டு-பாயிண்ட்) இணைப்பில் இரண்டு பங்கேற்பாளர்கள் மட்டுமே இருக்க முடியும் மற்றும் பாக்கெட் எப்போதும் 0xff என்ற ஒரு முகவரிக்கு அனுப்பப்படும்.
ரூட்டிங் என்பது லேயர்2 பிரிவுகளுக்கு இடையே பாக்கெட்டுகளை மாற்றும் செயல்முறையாகும். ஈத்தர்நெட் பிரிவுக்கு வெளியே பெறுநரின் பாக்கெட்டை ஒரு சாதனம் அனுப்ப விரும்பினால், அது அதன் ரூட்டிங் டேபிளைப் பார்த்து, பாக்கெட்டை கேட்வேக்கு அனுப்புகிறது, இது பாக்கெட்டை அடுத்து எங்கு அனுப்புவது என்று தெரியும் (அல்லது பாக்கெட்டின் அசல் அனுப்புநரை அறியாமல் இருக்கலாம். இது தெரியாது).
ரூட்டரைப் பற்றி சிந்திக்க எளிதான வழி, இரண்டு அல்லது அதற்கு மேற்பட்ட லேயர்2 பிரிவுகளுடன் இணைக்கப்பட்ட சாதனம் மற்றும் ரூட்டிங் டேபிளில் இருந்து சிறந்த வழியைத் தீர்மானிப்பதன் மூலம் அவற்றுக்கிடையே பாக்கெட்டுகளை அனுப்பும் திறன் கொண்டது.
நீங்கள் எல்லாவற்றையும் புரிந்து கொண்டால் அல்லது உங்களுக்கு ஏற்கனவே தெரிந்திருந்தால், படிக்கவும். மீதமுள்ளவர்களுக்கு, நீங்கள் ஒரு சிறிய, ஆனால் மிகவும் திறன் கொண்டவர்களுடன் உங்களைப் பழக்கப்படுத்திக்கொள்ள நான் கடுமையாக பரிந்துரைக்கிறேன்
RouterOS மற்றும் PacketFlow இல் ரூட்டிங்
நிலையான ரூட்டிங் தொடர்பான அனைத்து செயல்பாடுகளும் தொகுப்பில் உள்ளன அமைப்பு. நெகிழி பை ரூட்டிங் டைனமிக் ரூட்டிங் அல்காரிதம்கள் (RIP, OSPF, BGP, MME), ரூட்டிங் ஃபில்டர்கள் மற்றும் BFD ஆகியவற்றுக்கான ஆதரவைச் சேர்க்கிறது.
ரூட்டிங் அமைப்பதற்கான முக்கிய மெனு: [IP]->[Route]
. சிக்கலான திட்டங்களுக்கு, பாக்கெட்டுகளை ரூட்டிங் குறியுடன் முன் லேபிளிட வேண்டும்: [IP]->[Firewall]->[Mangle]
(சங்கிலிகள் PREROUTING
и OUTPUT
).
IP பாக்கெட் ரூட்டிங் முடிவுகள் எடுக்கப்படும் PacketFlow இல் மூன்று இடங்கள் உள்ளன:
- ரூட்டரால் பெறப்பட்ட ரூட்டிங் பாக்கெட்டுகள். இந்த கட்டத்தில், பாக்கெட் உள்ளூர் செயல்முறைக்கு செல்லுமா அல்லது நெட்வொர்க்கிற்கு மேலும் அனுப்பப்படுமா என்பது தீர்மானிக்கப்படுகிறது. போக்குவரத்து தொகுப்புகள் பெறுகின்றன வெளியீட்டு இடைமுகம்
- உள்ளூர் வெளிச்செல்லும் பாக்கெட்டுகளை வழிநடத்துதல். வெளிச்செல்லும் பாக்கெட்டுகள் பெறுகின்றன வெளியீட்டு இடைமுகம்
- வெளிச்செல்லும் பாக்கெட்டுகளுக்கான கூடுதல் ரூட்டிங் படி, ரூட்டிங் முடிவை மாற்ற உங்களை அனுமதிக்கிறது
[Output|Mangle]
- தொகுதிகள் 1, 2 இல் உள்ள பாக்கெட் பாதை விதிகளைப் பொறுத்தது
[IP]->[Route]
- புள்ளிகள் 1, 2 மற்றும் 3 இல் உள்ள பாக்கெட் பாதை விதிகளைப் பொறுத்தது
[IP]->[Route]->[Rules]
- தொகுதிகள் 1, 3 இல் உள்ள தொகுப்பு பாதையை பயன்படுத்தி பாதிக்கலாம்
[IP]->[Firewall]->[Mangle]
RIB, FIB, ரூட்டிங் கேச்
ரூட்டிங் தகவல் அடிப்படை
டைனமிக் ரூட்டிங் நெறிமுறைகள், ppp மற்றும் dhcp இலிருந்து வழிகள், நிலையான மற்றும் இணைக்கப்பட்ட வழிகள் ஆகியவற்றிலிருந்து வழிகள் சேகரிக்கப்படும் அடிப்படை. இந்த தரவுத்தளத்தில் நிர்வாகியால் வடிகட்டப்பட்ட வழிகள் தவிர அனைத்து வழிகளும் உள்ளன.
நிபந்தனையுடன், என்று நாம் கருதலாம் [IP]->[Route]
RIB ஐக் காட்டுகிறது.
தகவல் தளத்தை அனுப்புதல்
RIB இலிருந்து சிறந்த வழிகள் சேகரிக்கப்பட்ட அடிப்படை. FIB இல் உள்ள அனைத்து வழிகளும் செயலில் உள்ளன, மேலும் அவை பாக்கெட்டுகளை அனுப்ப பயன்படுகிறது. பாதை செயலிழந்தால் (நிர்வாகியால் (அமைப்பு) முடக்கப்பட்டால் அல்லது பாக்கெட் அனுப்பப்பட வேண்டிய இடைமுகம் செயலில் இல்லாவிட்டால்), பாதை FIB இலிருந்து அகற்றப்படும்.
ஒரு ரூட்டிங் முடிவை எடுக்க, FIB அட்டவணை ஒரு IP பாக்கெட் பற்றிய பின்வரும் தகவலைப் பயன்படுத்துகிறது:
- மூல முகவரி
- இலக்கு முகவரி
- மூல இடைமுகம்
- ரூட்டிங் குறி
- ToS (DSCP)
FIB தொகுப்பிற்குள் நுழைவது பின்வரும் நிலைகளில் செல்கிறது:
- தொகுப்பு ஒரு உள்ளூர் திசைவி செயல்முறைக்கு நோக்கம் கொண்டதா?
- பாக்கெட் சிஸ்டம் அல்லது பயனர் பிபிஆர் விதிகளுக்கு உட்பட்டதா?
- ஆம் எனில், பாக்கெட் குறிப்பிட்ட ரூட்டிங் அட்டவணைக்கு அனுப்பப்படும்
- பாக்கெட் பிரதான அட்டவணைக்கு அனுப்பப்படுகிறது
நிபந்தனையுடன், என்று நாம் கருதலாம் [IP]->[Route Active=yes]
FIB ஐக் காட்டுகிறது.
ரூட்டிங் கேச்
பாதை கேச்சிங் பொறிமுறை. பாக்கெட்டுகள் எங்கு அனுப்பப்பட்டன என்பதை திசைவி நினைவில் கொள்கிறது, மேலும் ஒரே மாதிரியானவை (மறைமுகமாக ஒரே இணைப்பிலிருந்து) இருந்தால், FIB இல் சரிபார்க்காமல் அதே பாதையில் செல்ல அனுமதிக்கிறது. பாதை தற்காலிக சேமிப்பு அவ்வப்போது அழிக்கப்படும்.
RouterOS நிர்வாகிகளுக்கு, அவர்கள் ரூட்டிங் கேச் பார்க்க மற்றும் நிர்வகிப்பதற்கான கருவிகளை உருவாக்கவில்லை, ஆனால் அதை முடக்கும் போது [IP]->[Settings]
.
இந்த பொறிமுறையானது linux 3.6 கர்னலில் இருந்து அகற்றப்பட்டது, ஆனால் RouterOS இன்னும் கர்னல் 3.3.5 ஐப் பயன்படுத்துகிறது, ஒருவேளை Routing cahce ஒரு காரணமாக இருக்கலாம்.
வழி உரையாடலைச் சேர்க்கவும்
[IP]->[Route]->[+]
- நீங்கள் வழியை உருவாக்க விரும்பும் சப்நெட் (இயல்புநிலை: 0.0.0.0/0)
- கேட்வே ஐபி அல்லது பாக்கெட் அனுப்பப்படும் இடைமுகம் (பல இருக்கலாம், கீழே உள்ள ECMP ஐப் பார்க்கவும்)
- நுழைவாயில் கிடைக்கும் சோதனை
- பதிவு வகை
- ஒரு பாதைக்கான தூரம் (மெட்ரிக்).
- ரூட்டிங் அட்டவணை
- இந்த வழி வழியாக உள்ளூர் வெளிச்செல்லும் பாக்கெட்டுகளுக்கான ஐபி
- நோக்கம் மற்றும் இலக்கு நோக்கத்தின் நோக்கம் கட்டுரையின் முடிவில் எழுதப்பட்டுள்ளது.
பாதை கொடிகள்
- X - பாதை நிர்வாகியால் முடக்கப்பட்டுள்ளது (
disabled=yes
) - A - பாக்கெட்டுகளை அனுப்ப வழி பயன்படுத்தப்படுகிறது
- D - பாதை மாறும் வகையில் சேர்க்கப்பட்டது (BGP, OSPF, RIP, MME, PPP, DHCP, இணைக்கப்பட்டது)
- சி - சப்நெட் நேரடியாக திசைவிக்கு இணைக்கப்பட்டுள்ளது
- எஸ் - நிலையான பாதை
- r,b,o,m - டைனமிக் ரூட்டிங் புரோட்டோகால்களில் ஒன்றால் சேர்க்கப்பட்ட பாதை
- B,U,P - வடிகட்டி வழி
நுழைவாயிலில் என்ன குறிப்பிட வேண்டும்: ஐபி முகவரி அல்லது இடைமுகம்?
இரண்டையும் குறிப்பிட கணினி உங்களை அனுமதிக்கிறது, அதே நேரத்தில் அது சத்தியம் செய்யாது மற்றும் நீங்கள் ஏதாவது தவறு செய்திருந்தால் குறிப்புகளை வழங்காது.
ஐபி முகவரி
கேட்வே முகவரியை லேயர்2 வழியாக அணுக வேண்டும். ஈத்தர்நெட்டைப் பொறுத்தவரை, பிபிபிக்கான, செயலில் உள்ள ஐபி இடைமுகங்களில் ஒன்றில் அதே சப்நெட்டிலிருந்து ரூட்டரின் முகவரியைக் கொண்டிருக்க வேண்டும், அதாவது கேட்வே முகவரி செயலில் உள்ள இடைமுகங்களில் ஒன்றில் சப்நெட் முகவரியாக குறிப்பிடப்பட்டுள்ளது.
Layer2 க்கான அணுகல் நிபந்தனை பூர்த்தி செய்யப்படாவிட்டால், பாதை செயலற்றதாகக் கருதப்படுகிறது மற்றும் FIB இல் வராது.
இடைமுகம்
எல்லாம் மிகவும் சிக்கலானது மற்றும் திசைவியின் நடத்தை இடைமுகத்தின் வகையைப் பொறுத்தது:
- PPP (Async, PPTP, L2TP, SSTP, PPPoE, OpenVPN *) இணைப்பு இரண்டு பங்கேற்பாளர்களை மட்டுமே கருதுகிறது மற்றும் பாக்கெட் எப்போதும் பரிமாற்றத்திற்கான நுழைவாயிலுக்கு அனுப்பப்படும், பெறுநர் தானே என்று கேட்வே கண்டறிந்தால், அது பாக்கெட்டை மாற்றும் அதன் உள்ளூர் செயல்முறை.
- ஈத்தர்நெட் பல பங்கேற்பாளர்களின் இருப்பைக் கருதுகிறது மற்றும் பாக்கெட்டைப் பெறுபவரின் முகவரியுடன் ஆர்ப் இடைமுகத்திற்கு கோரிக்கைகளை அனுப்பும், இது எதிர்பார்க்கப்படுகிறது மற்றும் இணைக்கப்பட்ட வழிகளுக்கு மிகவும் இயல்பான நடத்தை.
ஆனால் தொலைநிலை சப்நெட்டிற்கான வழித்தடமாக இடைமுகத்தைப் பயன்படுத்த முயற்சிக்கும் போது, பின்வரும் சூழ்நிலையைப் பெறுவீர்கள்: பாதை செயலில் உள்ளது, நுழைவாயிலுக்கு பிங் செல்கிறது, ஆனால் குறிப்பிட்ட சப்நெட்டில் இருந்து பெறுநரை அடையவில்லை. ஸ்னிஃபர் மூலம் இடைமுகத்தைப் பார்த்தால், தொலை சப்நெட்டில் இருந்து முகவரிகளுடன் arp கோரிக்கைகளைக் காண்பீர்கள்.
முடிந்தவரை நுழைவாயிலாக ஐபி முகவரியைக் குறிப்பிட முயற்சிக்கவும். விதிவிலக்கு இணைக்கப்பட்ட வழிகள் (தானாக உருவாக்கப்படும்) மற்றும் PPP (Async, PPTP, L2TP, SSTP, PPPoE, OpenVPN*) இடைமுகங்கள்.
OpenVPN இல் PPP தலைப்பு இல்லை, ஆனால் வழியை உருவாக்க OpenVPN இடைமுகப் பெயரைப் பயன்படுத்தலாம்.
மேலும் குறிப்பிட்ட பாதை
அடிப்படை ரூட்டிங் விதி. சிறிய சப்நெட்டை விவரிக்கும் பாதை (பெரிய சப்நெட் முகமூடியுடன்) பாக்கெட்டின் ரூட்டிங் முடிவில் முன்னுரிமை பெறுகிறது. ரூட்டிங் அட்டவணையில் உள்ளீடுகளின் நிலை தேர்வுக்கு பொருந்தாது - முக்கிய விதி மிகவும் குறிப்பிட்டது.
குறிப்பிட்ட திட்டத்திலிருந்து அனைத்து வழிகளும் செயலில் உள்ளன (FIB இல் அமைந்துள்ளது). வெவ்வேறு சப்நெட்களை சுட்டிக்காட்டுங்கள் மற்றும் ஒருவருக்கொருவர் முரண்படாதீர்கள்.
நுழைவாயில்களில் ஒன்று கிடைக்காமல் போனால், தொடர்புடைய பாதை செயலற்றதாகக் கருதப்படும் (FIB இலிருந்து அகற்றப்பட்டது) மற்றும் மீதமுள்ள வழிகளில் இருந்து பாக்கெட்டுகள் தேடப்படும்.
சப்நெட் 0.0.0.0/0 உள்ள பாதை சில நேரங்களில் சிறப்பு அர்த்தம் கொடுக்கப்படுகிறது மற்றும் "இயல்பு வழி" அல்லது "கடைசி வழியின் நுழைவாயில்" என்று அழைக்கப்படுகிறது. உண்மையில், இதில் மாயாஜாலம் எதுவும் இல்லை மற்றும் சாத்தியமான அனைத்து IPv4 முகவரிகளும் இதில் அடங்கும், ஆனால் இந்த பெயர்கள் அதன் பணியை நன்கு விவரிக்கின்றன - இது வேறு, மிகவும் துல்லியமான வழிகள் இல்லாத பாக்கெட்டுகளை அனுப்புவதற்கான நுழைவாயிலைக் குறிக்கிறது.
IPv4க்கான அதிகபட்ச சப்நெட் மாஸ்க் /32 ஆகும், இந்த வழி ஒரு குறிப்பிட்ட ஹோஸ்ட்டைக் குறிக்கிறது மற்றும் ரூட்டிங் அட்டவணையில் பயன்படுத்தப்படலாம்.
மேலும் குறிப்பிட்ட வழியைப் புரிந்துகொள்வது எந்த TCP/IP சாதனத்திற்கும் அடிப்படை.
தூரம்
பல நுழைவாயில்கள் வழியாக அணுகக்கூடிய ஒற்றை சப்நெட்டுக்கான வழிகளை நிர்வாக ரீதியாக வடிகட்டுவதற்கு தூரங்கள் (அல்லது அளவீடுகள்) தேவை. குறைந்த மெட்ரிக் கொண்ட ஒரு பாதை முன்னுரிமையாகக் கருதப்படுகிறது மற்றும் FIB இல் சேர்க்கப்படும். குறைந்த அளவீட்டைக் கொண்ட பாதை செயலில் இல்லை என்றால், அது FIB இல் அதிக மெட்ரிக் கொண்ட பாதையால் மாற்றப்படும்.
ஒரே மெட்ரிக் கொண்ட ஒரே சப்நெட்டிற்கு பல வழிகள் இருந்தால், ரூட்டர் அவற்றில் ஒன்றை மட்டும் FIB அட்டவணையில் சேர்க்கும், அதன் உள் தர்க்கத்தால் வழிநடத்தப்படும்.
மெட்ரிக் 0 முதல் 255 வரையிலான மதிப்பை எடுக்கலாம்:
- 0 - இணைக்கப்பட்ட வழிகளுக்கான மெட்ரிக். 0 தூரத்தை நிர்வாகியால் அமைக்க முடியாது
- 1-254 - பாதைகளை அமைப்பதற்கான அளவீடுகள் நிர்வாகிக்கு கிடைக்கும். குறைந்த மதிப்பைக் கொண்ட அளவீடுகளுக்கு அதிக முன்னுரிமை உள்ளது
- 255 - பாதைகளை அமைப்பதற்கான மெட்ரிக் நிர்வாகியிடம் உள்ளது. 1-254 போலல்லாமல், 255 மெட்ரிக் கொண்ட ஒரு பாதை எப்போதும் செயலற்று இருக்கும் மற்றும் FIB இல் வராது
- குறிப்பிட்ட அளவீடுகள். டைனமிக் ரூட்டிங் நெறிமுறைகளிலிருந்து பெறப்பட்ட வழிகள் நிலையான மெட்ரிக் மதிப்புகளைக் கொண்டுள்ளன
நுழைவாயில் சரிபார்க்கவும்
செக் கேட்வே என்பது icmp அல்லது arp வழியாக கேட்வே கிடைப்பதைச் சரிபார்க்க MikroTik RoutesOS நீட்டிப்பாகும். ஒவ்வொரு 10 வினாடிகளுக்கும் ஒருமுறை (மாற்ற முடியாது), ஒரு கோரிக்கை நுழைவாயிலுக்கு அனுப்பப்படும், பதில் இரண்டு முறை பெறப்படாவிட்டால், பாதை கிடைக்கவில்லை எனக் கருதப்பட்டு FIB இலிருந்து அகற்றப்படும். காசோலை நுழைவாயில் முடக்கப்பட்டிருந்தால், காசோலை பாதை தொடர்கிறது மற்றும் ஒரு வெற்றிகரமான சோதனைக்குப் பிறகு பாதை மீண்டும் செயலில் இருக்கும்.
செக் கேட்வே அது கட்டமைக்கப்பட்ட நுழைவு மற்றும் குறிப்பிட்ட நுழைவாயிலுடன் மற்ற அனைத்து உள்ளீடுகளையும் (அனைத்து ரூட்டிங் அட்டவணைகள் மற்றும் ecmp வழிகளிலும்) முடக்குகிறது.
பொதுவாக, கேட்வேயில் பாக்கெட் இழப்பதில் எந்தப் பிரச்சனையும் இல்லாத வரை காசோலை கேட்வே நன்றாக வேலை செய்கிறது. சரிபார்க்கப்பட்ட நுழைவாயிலுக்கு வெளியே தகவல்தொடர்புடன் என்ன நடக்கிறது என்று கேட்வேக்கு தெரியாது, இதற்கு கூடுதல் கருவிகள் தேவை: ஸ்கிரிப்டுகள், ரிகர்சிவ் ரூட்டிங், டைனமிக் ரூட்டிங் நெறிமுறைகள்.
பெரும்பாலான VPN மற்றும் டன்னல் நெறிமுறைகள் இணைப்புச் செயல்பாட்டைச் சரிபார்ப்பதற்கான உள்ளமைக்கப்பட்ட கருவிகளைக் கொண்டிருக்கின்றன, அவற்றுக்கான காசோலை நுழைவாயிலை இயக்குவது பிணையத்திலும் சாதனத்தின் செயல்திறனிலும் கூடுதல் (ஆனால் மிகச் சிறிய) சுமையாகும்.
ECMP வழிகள்
சம-செலவு மல்டி-பாத் - ரவுண்ட் ராபின் அல்காரிதத்தைப் பயன்படுத்தி ஒரே நேரத்தில் பல நுழைவாயில்களைப் பயன்படுத்தி பெறுநருக்கு பாக்கெட்டுகளை அனுப்புதல்.
ஒரு சப்நெட்டிற்கான பல நுழைவாயில்களைக் குறிப்பிடுவதன் மூலம் ஒரு ECMP வழி நிர்வாகியால் உருவாக்கப்படுகிறது (அல்லது தானாக, இரண்டு சமமான OSPF வழிகள் இருந்தால்).
ECMP இரண்டு சேனல்களுக்கு இடையில் சுமை சமநிலைக்கு பயன்படுத்தப்படுகிறது, கோட்பாட்டில், ecmp பாதையில் இரண்டு சேனல்கள் இருந்தால், ஒவ்வொரு பாக்கெட்டிற்கும் வெளிச்செல்லும் சேனல் வேறுபட்டதாக இருக்க வேண்டும். ஆனால் ரூட்டிங் கேச் பொறிமுறையானது இணைப்பிலிருந்து பாக்கெட்டுகளை முதல் பாக்கெட் எடுத்த பாதையில் அனுப்புகிறது, இதன் விளைவாக, இணைப்புகளின் அடிப்படையில் ஒரு வகையான சமநிலையைப் பெறுகிறோம் (ஒவ்வொரு இணைப்பிற்கும் ஏற்றுதல் சமநிலை).
நீங்கள் ரூட்டிங் தற்காலிக சேமிப்பை முடக்கினால், ECMP பாதையில் உள்ள பாக்கெட்டுகள் சரியாகப் பகிரப்படும், ஆனால் NAT இல் சிக்கல் உள்ளது. NAT விதியானது இணைப்பிலிருந்து முதல் பாக்கெட்டை மட்டுமே செயலாக்குகிறது (மீதமுள்ளவை தானாகவே செயலாக்கப்படும்), மேலும் ஒரே மூல முகவரியுடன் கூடிய பாக்கெட்டுகள் வெவ்வேறு இடைமுகங்களை விட்டுச்செல்கின்றன.
ECMP வழிகளில் (RouterOS பிழை) நுழைவாயில் வேலை செய்யவில்லை என்பதை சரிபார்க்கவும். ஆனால் ECMP இல் உள்ளீடுகளை முடக்கும் கூடுதல் சரிபார்ப்பு வழிகளை உருவாக்குவதன் மூலம் இந்த வரம்பை நீங்கள் அடையலாம்.
ரூட்டிங் மூலம் வடிகட்டுதல்
தொகுப்பை என்ன செய்ய வேண்டும் என்பதை வகை விருப்பம் தீர்மானிக்கிறது:
- யூனிகாஸ்ட் - குறிப்பிட்ட நுழைவாயிலுக்கு அனுப்பவும் (இடைமுகம்)
- கருந்துளை - ஒரு பாக்கெட்டை நிராகரிக்கவும்
- தடை, அணுக முடியாதது - பாக்கெட்டை நிராகரித்து அனுப்புநருக்கு icmp செய்தியை அனுப்பவும்
தவறான திசையில் பாக்கெட்டுகளை அனுப்புவதைப் பாதுகாக்க வேண்டியிருக்கும் போது வடிகட்டுதல் வழக்கமாகப் பயன்படுத்தப்படுகிறது, நிச்சயமாக, நீங்கள் இதை ஃபயர்வால் மூலம் வடிகட்டலாம்.
ஓரிரு உதாரணங்கள்
ரூட்டிங் பற்றிய அடிப்படை விஷயங்களை ஒருங்கிணைக்க.
வழக்கமான வீட்டு திசைவி
/ip route
add dst-address=0.0.0.0/0 gateway=10.10.10.1
- நிலையான வழி 0.0.0.0/0 (இயல்பு வழி)
- வழங்குநருடனான இடைமுகத்தில் இணைக்கப்பட்ட பாதை
- LAN இடைமுகத்தில் இணைக்கப்பட்ட பாதை
PPPoE உடன் வழக்கமான வீட்டு திசைவி
- இயல்புநிலை பாதைக்கு நிலையான வழி, தானாகவே சேர்க்கப்பட்டது. இது இணைப்பு பண்புகளில் குறிப்பிடப்பட்டுள்ளது
- PPP இணைப்புக்கான இணைக்கப்பட்ட பாதை
- LAN இடைமுகத்தில் இணைக்கப்பட்ட பாதை
இரண்டு வழங்குநர்கள் மற்றும் பணிநீக்கம் கொண்ட வழக்கமான வீட்டு திசைவி
/ip route
add dst-address=0.0.0.0/0 gateway=10.10.10.1 distance=1 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=10.20.20.1 distance=2
- மெட்ரிக் 1 மற்றும் கேட்வே கிடைப்பது சரிபார்ப்புடன் முதல் வழங்குநர் வழியாக இயல்புநிலை வழிக்கான நிலையான வழி
- மெட்ரிக் 2 உடன் இரண்டாவது வழங்குநர் வழியாக இயல்புநிலை வழிக்கு நிலையான வழி
- இணைக்கப்பட்ட பாதைகள்
இந்த நுழைவாயில் இருக்கும் போது 0.0.0.0/0 க்கு போக்குவரத்து 10.10.10.1 வழியாக செல்கிறது, இல்லையெனில் அது 10.20.20.1 க்கு மாறும்
அத்தகைய திட்டம் ஒரு சேனல் முன்பதிவு என்று கருதலாம், ஆனால் அது குறைபாடுகள் இல்லாமல் இல்லை. வழங்குநரின் நுழைவாயிலுக்கு வெளியே இடைவெளி ஏற்பட்டால் (உதாரணமாக, ஆபரேட்டரின் நெட்வொர்க்கிற்குள்), உங்கள் திசைவி அதைப் பற்றி அறியாது, மேலும் பாதை செயலில் இருப்பதாகக் கருதும்.
இரண்டு வழங்குநர்கள், பணிநீக்கம் மற்றும் ECMP உடன் வழக்கமான வீட்டு திசைவி
/ip route
add dst-address=0.0.0.0/0 gateway=10.10.10.1 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=10.20.20.1 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=10.10.10.1,10.20.20.1 distance=1
- சாக் கேட்வேயை சரிபார்க்க நிலையான வழிகள்
- ECMP பாதை
- இணைக்கப்பட்ட பாதைகள்
சரிபார்க்க வேண்டிய வழிகள் நீலம் (செயலற்ற வழிகளின் நிறம்), ஆனால் இது காசோலை நுழைவாயிலில் தலையிடாது. RoS இன் தற்போதைய பதிப்பு (6.44) ECMP வழிக்கு தானாகவே முன்னுரிமை அளிக்கிறது, ஆனால் மற்ற ரூட்டிங் அட்டவணையில் சோதனை வழிகளைச் சேர்ப்பது நல்லது (விருப்பம் routing-mark
)
Speedtest மற்றும் பிற ஒத்த தளங்களில், வேகத்தில் அதிகரிப்பு இருக்காது (ECMP ட்ராஃபிக்கை இணைப்புகளால் பிரிக்கிறது, பாக்கெட்டுகள் மூலம் அல்ல), ஆனால் p2p பயன்பாடுகள் வேகமாக பதிவிறக்கம் செய்யப்பட வேண்டும்.
ரூட்டிங் மூலம் வடிகட்டுதல்
/ip route
add dst-address=0.0.0.0/0 gateway=10.10.10.1
add dst-address=192.168.200.0/24 gateway=10.30.30.1 distance=1
add dst-address=192.168.200.0/24 gateway=10.10.10.1 distance=2 type=blackhole
- இயல்புநிலை பாதைக்கு நிலையான பாதை
- ஐபிப் சுரங்கப்பாதை வழியாக 192.168.200.0/24 க்கு நிலையான பாதை
- ISP திசைவி வழியாக 192.168.200.0/24 க்கு நிலையான வழியைத் தடைசெய்கிறது
ipip இடைமுகம் முடக்கப்பட்டிருக்கும் போது, சுரங்கப்பாதை போக்குவரத்து வழங்குநரின் திசைவிக்கு செல்லாத வடிகட்டுதல் விருப்பம். இத்தகைய திட்டங்கள் அரிதாகவே தேவைப்படுகின்றன, ஏனெனில் நீங்கள் ஃபயர்வால் மூலம் தடுப்பதை செயல்படுத்தலாம்.
ரூட்டிங் லூப்
ரூட்டிங் லூப் - ttl காலாவதியாகும் முன் திசைவிகளுக்கு இடையில் ஒரு பாக்கெட் இயங்கும் சூழ்நிலை. பொதுவாக இது உள்ளமைவு பிழையின் விளைவாகும், பெரிய நெட்வொர்க்குகளில் இது டைனமிக் ரூட்டிங் நெறிமுறைகளை செயல்படுத்துவதன் மூலம் சிகிச்சையளிக்கப்படுகிறது, சிறியவற்றில் - கவனமாக.
இது இப்படி தெரிகிறது:
இதேபோன்ற முடிவை எவ்வாறு பெறுவது என்பதற்கான எடுத்துக்காட்டு (எளிமையானது):
ரூட்டிங் லூப் உதாரணம் நடைமுறையில் பயன்படாது, ஆனால் ரூட்டர்களுக்கு அண்டை நாடுகளின் ரூட்டிங் டேபிள் பற்றி தெரியாது என்பதை இது காட்டுகிறது.
கொள்கை அடிப்படை ரூட்டிங் மற்றும் கூடுதல் ரூட்டிங் அட்டவணைகள்
ஒரு வழியைத் தேர்ந்தெடுக்கும்போது, திசைவி பாக்கெட் தலைப்பிலிருந்து (Dst. முகவரி) ஒரே ஒரு புலத்தைப் பயன்படுத்துகிறது - இது அடிப்படை ரூட்டிங் ஆகும். மூல முகவரி, போக்குவரத்து வகை (ToS), ECMP இல்லாமல் சமநிலைப்படுத்துதல் போன்ற பிற நிபந்தனைகளின் அடிப்படையில் ரூட்டிங் கொள்கை அடிப்படை ரூட்டிங் (PBR) க்கு சொந்தமானது மற்றும் கூடுதல் ரூட்டிங் அட்டவணையைப் பயன்படுத்துகிறது.
மேலும் குறிப்பிட்ட பாதை ரூட்டிங் அட்டவணையில் உள்ள முக்கிய வழித் தேர்வு விதி.
முன்னிருப்பாக, அனைத்து ரூட்டிங் விதிகளும் பிரதான அட்டவணையில் சேர்க்கப்படும். நிர்வாகி தன்னிச்சையான எண்ணிக்கையிலான கூடுதல் ரூட்டிங் அட்டவணைகள் மற்றும் அவற்றுக்கான பாதை பாக்கெட்டுகளை உருவாக்க முடியும். வெவ்வேறு அட்டவணையில் உள்ள விதிகள் ஒன்றுக்கொன்று முரண்படுவதில்லை. குறிப்பிட்ட அட்டவணையில் தொகுப்பு பொருத்தமான விதியைக் காணவில்லை என்றால், அது பிரதான அட்டவணைக்குச் செல்லும்.
ஃபயர்வால் வழியாக விநியோகத்துடன் உதாரணம்:
- 192.168.100.10 -> 8.8.8.8
- 192.168.100.10 இலிருந்து போக்குவரத்து லேபிளிடப்படுகிறது வழியாக-isp1 в
[Prerouting|Mangle]
- அட்டவணையில் ரூட்டிங் கட்டத்தில் வழியாக-isp1 8.8.8.8க்கான வழியைத் தேடுகிறது
- பாதை கண்டறியப்பட்டது, போக்குவரத்து நுழைவாயில் 10.10.10.1 க்கு அனுப்பப்பட்டது
- 192.168.100.10 இலிருந்து போக்குவரத்து லேபிளிடப்படுகிறது வழியாக-isp1 в
- 192.168.200.20 -> 8.8.8.8
- 192.168.200.20 இலிருந்து போக்குவரத்து லேபிளிடப்படுகிறது வழியாக-isp2 в
[Prerouting|Mangle]
- அட்டவணையில் ரூட்டிங் கட்டத்தில் வழியாக-isp2 8.8.8.8க்கான வழியைத் தேடுகிறது
- பாதை கண்டறியப்பட்டது, போக்குவரத்து நுழைவாயில் 10.20.20.1 க்கு அனுப்பப்பட்டது
- 192.168.200.20 இலிருந்து போக்குவரத்து லேபிளிடப்படுகிறது வழியாக-isp2 в
- நுழைவாயில்களில் ஒன்று (10.10.10.1 அல்லது 10.20.20.1) கிடைக்கவில்லை என்றால், பாக்கெட் டேபிளுக்குச் செல்லும். முக்கிய மேலும் அங்கு பொருத்தமான பாதையை தேடுவார்கள்
சொற்களஞ்சியம் சிக்கல்கள்
RouterOS சில சொற்களஞ்சியம் சிக்கல்களைக் கொண்டுள்ளது.
விதிகளுடன் பணிபுரியும் போது [IP]->[Routes]
ரூட்டிங் அட்டவணை குறிக்கப்படுகிறது, இருப்பினும் இது லேபிள்:
В [IP]->[Routes]->[Rule]
அட்டவணை செயல்பாட்டில் உள்ள லேபிள் நிலையில் எல்லாம் சரியாக உள்ளது:
ஒரு குறிப்பிட்ட ரூட்டிங் டேபிளுக்கு ஒரு பாக்கெட்டை எப்படி அனுப்புவது
RouterOS பல கருவிகளை வழங்குகிறது:
- உள்ள விதிகள்
[IP]->[Routes]->[Rules]
- பாதை குறிப்பான்கள் (
action=mark-routing
) இல்[IP]->[Firewall]->[Mangle]
- வி.ஆர்.எஃப்
விதிகள் [IP]->[Route]->[Rules]
விதிகள் தொடர்ச்சியாக செயலாக்கப்படுகின்றன, பாக்கெட் விதியின் நிபந்தனைகளுடன் பொருந்தினால், அது மேலும் கடந்து செல்லாது.
ரூட்டிங் விதிகள், பெறுநரின் முகவரியை மட்டும் நம்பாமல், பாக்கெட் பெறப்பட்ட மூல முகவரி மற்றும் இடைமுகத்தையும் நம்பி, ரூட்டிங் சாத்தியங்களை விரிவாக்க உங்களை அனுமதிக்கிறது.
விதிகள் நிபந்தனைகள் மற்றும் ஒரு செயலைக் கொண்டிருக்கும்:
- நிபந்தனைகள். FIB இல் தொகுப்பு சரிபார்க்கப்பட்ட அறிகுறிகளின் பட்டியலை நடைமுறையில் மீண்டும் செய்யவும், ToS மட்டும் இல்லை.
- Действия
- தேடுதல் - ஒரு பாக்கெட்டை ஒரு மேசைக்கு அனுப்பவும்
- அட்டவணையில் மட்டும் தேடுங்கள் - பேக்கேஜை அட்டவணையில் பூட்டவும், பாதை கிடைக்கவில்லை என்றால், தொகுப்பு பிரதான அட்டவணைக்கு செல்லாது
- கைவிட - ஒரு பொட்டலம் கைவிட
- அணுக முடியாதது - அனுப்புநர் அறிவிப்புடன் பாக்கெட்டை நிராகரிக்கவும்
FIB இல், உள்ளூர் செயல்முறைகளுக்கான போக்குவரத்து விதிகளைத் தவிர்த்து செயலாக்கப்படுகிறது [IP]->[Route]->[Rules]
:
குறிக்கும் [IP]->[Firewall]->[Mangle]
ரூட்டிங் லேபிள்கள் எந்தவொரு ஃபயர்வால் நிபந்தனைகளையும் பயன்படுத்தி ஒரு பாக்கெட்டுக்கான நுழைவாயிலை அமைக்க உங்களை அனுமதிக்கின்றன:
நடைமுறையில், ஏனென்றால் அவை அனைத்தும் அர்த்தமுள்ளதாக இல்லை, மேலும் சில நிலையற்ற முறையில் செயல்படலாம்.
ஒரு தொகுப்பை லேபிளிட இரண்டு வழிகள் உள்ளன:
- உடனே போட்டது ரூட்டிங் குறி
- முதலில் போடுங்கள் இணைப்பு-குறி, பின்னர் அடிப்படையில் இணைப்பு-குறி வைக்க ரூட்டிங் குறி
ஃபயர்வால்கள் பற்றிய ஒரு கட்டுரையில், இரண்டாவது விருப்பம் விரும்பத்தக்கது என்று எழுதினேன். cpu இல் சுமையை குறைக்கிறது, பாதைகளை குறிக்கும் விஷயத்தில் - இது முற்றிலும் உண்மை இல்லை. இந்த குறிக்கும் முறைகள் எப்போதும் சமமானவை அல்ல, பொதுவாக பல்வேறு சிக்கல்களைத் தீர்க்கப் பயன்படுத்தப்படுகின்றன.
பயன்பாட்டு எடுத்துக்காட்டுகள்
கொள்கை அடிப்படை ரூட்டிங் பயன்படுத்துவதற்கான எடுத்துக்காட்டுகளுக்கு செல்லலாம், இவை அனைத்தும் ஏன் தேவை என்பதைக் காட்ட மிகவும் எளிதானது.
MultiWAN மற்றும் வெளிச்செல்லும் (வெளியீடு) போக்குவரத்து
MultiWAN உள்ளமைவின் பொதுவான பிரச்சனை: Mikrotik இணையத்தில் இருந்து "செயலில்" வழங்குபவர் மூலம் மட்டுமே கிடைக்கிறது.
எந்த ஐபி கோரிக்கைக்கு வந்தது என்பதை திசைவி கவலைப்படாது, பதிலை உருவாக்கும் போது, ஐஎஸ்பி 1 வழியாக செல்லும் பாதை செயலில் உள்ள ரூட்டிங் அட்டவணையில் ஒரு வழியைத் தேடும். மேலும், அத்தகைய பாக்கெட் பெரும்பாலும் பெறுநருக்கு செல்லும் வழியில் வடிகட்டப்படும்.
மற்றொரு சுவாரஸ்யமான புள்ளி. ஈதர்1 இடைமுகத்தில் "எளிய" மூல நாட் கட்டமைக்கப்பட்டிருந்தால்: /ip fi nat add out-interface=ether1 action=masquerade
தொகுப்பு src உடன் ஆன்லைனில் செல்லும். முகவரி=10.10.10.100, இது விஷயங்களை இன்னும் மோசமாக்குகிறது.
சிக்கலை சரிசெய்ய பல வழிகள் உள்ளன, ஆனால் அவற்றில் ஏதேனும் கூடுதல் ரூட்டிங் அட்டவணைகள் தேவைப்படும்:
/ip route
add dst-address=0.0.0.0/0 gateway=10.10.10.1 check-gateway=ping distance=1
add dst-address=0.0.0.0/0 gateway=10.20.20.1 check-gateway=ping distance=2
add dst-address=0.0.0.0/0 gateway=10.10.10.1 routing-mark=over-isp1
add dst-address=0.0.0.0/0 gateway=10.20.20.1 routing-mark=over-isp2
பயன்படுத்த [IP]->[Route]->[Rules]
குறிப்பிட்ட மூல IP உடன் பாக்கெட்டுகளுக்குப் பயன்படுத்தப்படும் ரூட்டிங் அட்டவணையைக் குறிப்பிடவும்.
/ip route rule
add src-address=10.10.10.100/32 action=lookup-only-in-table table=over-isp1
add src-address=10.20.20.200/32 action=lookup-only-in-table table=over-isp2
பயன்படுத்தலாம் action=lookup
, ஆனால் உள்ளூர் வெளிச்செல்லும் போக்குவரத்திற்கு, இந்த விருப்பம் தவறான இடைமுகத்திலிருந்து இணைப்புகளை முற்றிலும் விலக்குகிறது.
- கணினி Src உடன் பதில் பாக்கெட்டை உருவாக்குகிறது. முகவரி: 10.20.20.200
- ரூட்டிங் முடிவு(2) படி சரிபார்க்கிறது
[IP]->[Routes]->[Rules]
மற்றும் பாக்கெட் ரூட்டிங் டேபிளுக்கு அனுப்பப்படும் over-isp2 - ரூட்டிங் அட்டவணையின்படி, பாக்கெட்டை ஈதர்10.20.20.1 இடைமுகம் வழியாக கேட்வே 2 க்கு அனுப்ப வேண்டும்
மாங்கிள் அட்டவணையைப் பயன்படுத்துவதைப் போலன்றி, இந்த முறைக்கு வேலை செய்யும் இணைப்பு டிராக்கர் தேவையில்லை.
பயன்படுத்த [IP]->[Firewall]->[Mangle]
இணைப்பு உள்வரும் பாக்கெட்டுடன் தொடங்குகிறது, எனவே அதைக் குறிக்கிறோம் (action=mark-connection
), குறிக்கப்பட்ட இணைப்பிலிருந்து வெளிச்செல்லும் பாக்கெட்டுகளுக்கு, ரூட்டிங் லேபிளை அமைக்கவும் (action=mark-routing
).
/ip firewall mangle
#Маркировка входящих соединений
add chain=input in-interface=ether1 connection-state=new action=mark-connection new-connection-mark=from-isp1
add chain=input in-interface=ether2 connection-state=new action=mark-connection new-connection-mark=from-isp2
#Маркировка исходящих пакетов на основе соединений
add chain=output connection-mark=from-isp1 action=mark-routing new-routing-mark=over-isp1 passthrough=no
add chain=output connection-mark=from-isp2 action=mark-routing new-routing-mark=over-isp2 passthrough=no
ஒரு இடைமுகத்தில் பல ஐபிஎஸ் கட்டமைக்கப்பட்டிருந்தால், நீங்கள் நிபந்தனைக்கு சேர்க்கலாம் dst-address
உறுதி செய்ய.
- ஒரு பாக்கெட் ether2 இடைமுகத்தில் இணைப்பைத் திறக்கிறது. தொகுப்பு செல்கிறது
[INPUT|Mangle]
இணைப்பிலிருந்து அனைத்து பாக்கெட்டுகளையும் இவ்வாறு குறிக்க வேண்டும் இருந்து-isp2 - கணினி Src உடன் பதில் பாக்கெட்டை உருவாக்குகிறது. முகவரி: 10.20.20.200
- ரூட்டிங் முடிவு(2) கட்டத்தில், ரூட்டிங் டேபிளுக்கு ஏற்ப பாக்கெட், ஈதர்10.20.20.1 இடைமுகம் வழியாக கேட்வே 1க்கு அனுப்பப்படும். தொகுப்புகளில் உள்நுழைவதன் மூலம் இதை நீங்கள் சரிபார்க்கலாம்
[OUTPUT|Filter]
- மேடையில்
[OUTPUT|Mangle]
இணைப்பு லேபிள் சரிபார்க்கப்பட்டது இருந்து-isp2 மற்றும் பாக்கெட் ரூட் லேபிளைப் பெறுகிறது over-isp2 - ரூட்டிங் சரிசெய்தல்(3) படி ஒரு ரூட்டிங் லேபிளின் இருப்பை சரிபார்த்து அதை பொருத்தமான ரூட்டிங் டேபிளுக்கு அனுப்புகிறது
- ரூட்டிங் அட்டவணையின்படி, பாக்கெட்டை ஈதர்10.20.20.1 இடைமுகம் வழியாக கேட்வே 2 க்கு அனுப்ப வேண்டும்
மல்டிவான் மற்றும் ரிட்டர்ன் டிஎஸ்டி-நாட் டிராஃபிக்
ஒரு உதாரணம் மிகவும் சிக்கலானது, ஒரு தனியார் சப்நெட்டில் ரூட்டருக்குப் பின்னால் ஒரு சேவையகம் (உதாரணமாக, இணையம்) இருந்தால் என்ன செய்வது, மேலும் எந்தவொரு வழங்குநர் மூலமாகவும் அதற்கான அணுகலை வழங்க வேண்டும்.
/ip firewall nat
add chain=dstnat proto=tcp dst-port=80,443 in-interface=ether1 action=dst-nat to-address=192.168.100.100
add chain=dstnat proto=tcp dst-port=80,443 in-interface=ether2 action=dst-nat to-address=192.168.100.100
சிக்கலின் சாராம்சம் ஒரே மாதிரியாக இருக்கும், தீர்வு ஃபயர்வால் மேங்கிள் விருப்பத்தைப் போன்றது, மற்ற சங்கிலிகள் மட்டுமே பயன்படுத்தப்படும்:
/ip firewall mangle
add chain=prerouting connection-state=new in-interface=ether1 protocol=tcp dst-port=80,443 action=mark-connection new-connection-mark=web-input-isp1
add chain=prerouting connection-state=new in-interface=ether2 protocol=tcp dst-port=80,443 action=mark-connection new-connection-mark=web-input-isp2
add chain=prerouting connection-mark=web-input-isp1 in-interface=ether3 action=mark-routing new-routing-mark=over-isp1 passthrough=no
add chain=prerouting connection-mark=web-input-isp2 in-interface=ether3 action=mark-routing new-routing-mark=over-isp2 passthrough=no
வரைபடம் NAT ஐக் காட்டவில்லை, ஆனால் எல்லாம் தெளிவாக இருப்பதாக நான் நினைக்கிறேன்.
MultiWAN மற்றும் வெளிச்செல்லும் இணைப்புகள்
வெவ்வேறு திசைவி இடைமுகங்களிலிருந்து பல vpn (உதாரணத்தில் SSTP) இணைப்புகளை உருவாக்க PBR திறன்களைப் பயன்படுத்தலாம்.
கூடுதல் ரூட்டிங் அட்டவணைகள்:
/ip route
add dst-address=0.0.0.0/0 gateway=192.168.100.1 routing-mark=over-isp1
add dst-address=0.0.0.0/0 gateway=192.168.200.1 routing-mark=over-isp2
add dst-address=0.0.0.0/0 gateway=192.168.0.1 routing-mark=over-isp3
add dst-address=0.0.0.0/0 gateway=192.168.100.1 distance=1
add dst-address=0.0.0.0/0 gateway=192.168.200.1 distance=2
add dst-address=0.0.0.0/0 gateway=192.168.0.1 distance=3
தொகுப்பு அடையாளங்கள்:
/ip firewall mangle
add chain=output dst-address=10.10.10.100 proto=tcp dst-port=443 action=mark-routing new-routing-mark=over-isp1 passtrough=no
add chain=output dst-address=10.10.10.101 proto=tcp dst-port=443 action=mark-routing new-routing-mark=over-isp2 passtrough=no
add chain=output dst-address=10.10.10.102 proto=tcp dst-port=443 action=mark-routing new-routing-mark=over-isp3 passtrough=no
எளிய NAT விதிகள், இல்லையெனில் பாக்கெட் தவறான Src உடன் இடைமுகத்தை விட்டுவிடும். முகவரி:
/ip firewall nat
add chain=srcnat out-interface=ether1 action=masquerade
add chain=srcnat out-interface=ether2 action=masquerade
add chain=srcnat out-interface=ether3 action=masquerade
பாகுபடுத்தல்:
- திசைவி மூன்று SSTP செயல்முறைகளை உருவாக்குகிறது
- ரூட்டிங் முடிவு (2) கட்டத்தில், முக்கிய ரூட்டிங் அட்டவணையின் அடிப்படையில் இந்த செயல்முறைகளுக்கு ஒரு பாதை தேர்ந்தெடுக்கப்பட்டது. அதே வழியில் இருந்து, பாக்கெட் Src பெறுகிறது. முகவரி ஈதர்1 இடைமுகத்துடன் இணைக்கப்பட்டுள்ளது
- В
[Output|Mangle]
வெவ்வேறு இணைப்புகளின் பாக்கெட்டுகள் வெவ்வேறு லேபிள்களைப் பெறுகின்றன - பாக்கெட்டுகள் ரூட்டிங் சரிசெய்தல் கட்டத்தில் லேபிள்களுடன் தொடர்புடைய அட்டவணையில் நுழைந்து பாக்கெட்டுகளை அனுப்புவதற்கான புதிய வழியைப் பெறுகின்றன.
- ஆனால் தொகுப்புகளில் இன்னும் Src உள்ளது. மேடையில் உள்ள ஈதர்1 இலிருந்து முகவரி
[Nat|Srcnat]
முகவரி இடைமுகத்தின் படி மாற்றப்படுகிறது
சுவாரஸ்யமாக, திசைவியில் நீங்கள் பின்வரும் இணைப்பு அட்டவணையைப் பார்ப்பீர்கள்:
இணைப்பு டிராக்கர் முன்பே வேலை செய்கிறது [Mangle]
и [Srcnat]
, எனவே அனைத்து இணைப்புகளும் ஒரே முகவரியில் இருந்து வருகின்றன, நீங்கள் இன்னும் விரிவாகப் பார்த்தால், பின்னர் Replay Dst. Address
NAT க்குப் பிறகு முகவரிகள் இருக்கும்:
VPN சேவையகத்தில் (சோதனை பெஞ்சில் ஒன்று உள்ளது), எல்லா இணைப்புகளும் சரியான முகவரிகளில் இருந்து வருவதை நீங்கள் காணலாம்:
வழி பிடி
எளிதான வழி உள்ளது, ஒவ்வொரு முகவரிக்கும் ஒரு குறிப்பிட்ட நுழைவாயிலை நீங்கள் குறிப்பிடலாம்:
/ip route
add dst-address=10.10.10.100 gateway=192.168.100.1
add dst-address=10.10.10.101 gateway=192.168.200.1
add dst-address=10.10.10.102 gateway=192.168.0.1
ஆனால் அத்தகைய வழிகள் வெளிச்செல்லும் போக்குவரத்தை மட்டுமல்ல, போக்குவரத்து போக்குவரத்தையும் பாதிக்கும். கூடுதலாக, பொருத்தமற்ற தகவல்தொடர்பு சேனல்கள் வழியாகச் செல்ல உங்களுக்கு vpn சேவையகத்திற்கு போக்குவரத்து தேவையில்லை என்றால், நீங்கள் மேலும் 6 விதிகளைச் சேர்க்க வேண்டும். [IP]->[Routes]
с type=blackhole
. முந்தைய பதிப்பில் - 3 விதிகள் [IP]->[Route]->[Rules]
.
தொடர்பு சேனல்கள் மூலம் பயனர் இணைப்புகளை விநியோகித்தல்
எளிய, அன்றாட பணிகள். மீண்டும், கூடுதல் ரூட்டிங் அட்டவணைகள் தேவைப்படும்:
/ip route
add dst-address=0.0.0.0/0 gateway=10.10.10.1 dist=1 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=10.20.20.1 dist=2 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=10.10.10.1 dist=1 routing-mark=over-isp1
add dst-address=0.0.0.0/0 gateway=10.20.20.1 dist=1 routing-mark=over-isp2
பயன்படுத்துகிறது [IP]->[Route]->[Rules]
/ip route rules
add src-address=192.168.100.0/25 action=lookup-only-in-table table=over-isp1
add src-address=192.168.100.128/25 action=lookup-only-in-table table=over-isp2
நீங்கள் பயன்படுத்தினால் action=lookup
, பின்னர் சேனல்களில் ஒன்று முடக்கப்பட்டால், போக்குவரத்து பிரதான அட்டவணைக்குச் சென்று வேலை செய்யும் சேனல் வழியாகச் செல்லும். இது தேவையா இல்லையா என்பது பணியைப் பொறுத்தது.
உள்ள அடையாளங்களைப் பயன்படுத்துதல் [IP]->[Firewall]->[Mangle]
ஐபி முகவரிகளின் பட்டியல்களுடன் ஒரு எளிய எடுத்துக்காட்டு. கொள்கையளவில், கிட்டத்தட்ட எந்த நிபந்தனைகளையும் பயன்படுத்தலாம். லேயர்7 இன் ஒரே எச்சரிக்கை, இணைப்பு லேபிள்களுடன் இணைக்கப்பட்டாலும், எல்லாம் சரியாக வேலை செய்வதாகத் தோன்றலாம், ஆனால் சில போக்குவரத்து இன்னும் தவறான வழியில் செல்லும்.
/ip firewall mangle
add chain=prerouting src-address-list=users-over-isp1 dst-address-type=!local action=mark-routing new-routing-mark=over-isp1
add chain=prerouting src-address-list=users-over-isp2 dst-address-type=!local action=mark-routing new-routing-mark=over-isp2
ஒரு ரூட்டிங் டேபிளில் பயனர்களை "லாக்" செய்யலாம் [IP]->[Route]->[Rules]
:
/ip route rules
add routing-mark=over-isp1 action=lookup-only-in-table table=over-isp1
add routing-mark=over-isp2 action=lookup-only-in-table table=over-isp2
ஒன்று மூலம் [IP]->[Firewall]->[Filter]
:
/ip firewall filter
add chain=forward routing-mark=over-isp1 out-interface=!ether1 action=reject
add chain=forward routing-mark=over-isp2 out-interface=!ether2 action=reject
ரிட்ரீட் ப்ரோ dst-address-type=!local
கூடுதல் நிபந்தனை dst-address-type=!local
பயனர்களிடமிருந்து போக்குவரத்து திசைவியின் உள்ளூர் செயல்முறைகளை அடைய வேண்டும் (dns, winbox, ssh, ...). பல உள்ளூர் சப்நெட்டுகள் ரூட்டருடன் இணைக்கப்பட்டிருந்தால், அவற்றுக்கிடையேயான போக்குவரத்து இணையத்திற்குச் செல்லாமல் இருப்பதை உறுதி செய்வது அவசியம், எடுத்துக்காட்டாக, பயன்படுத்தி dst-address-table
.
பயன்படுத்தி எடுத்துக்காட்டில் [IP]->[Route]->[Rules]
அத்தகைய விதிவிலக்குகள் எதுவும் இல்லை, ஆனால் போக்குவரத்து உள்ளூர் செயல்முறைகளை அடைகிறது. உண்மை என்னவென்றால், FIB தொகுப்பிற்குள் நுழைவது குறிக்கப்பட்டுள்ளது [PREROUTING|Mangle]
ஒரு ரூட் லேபிளைக் கொண்டுள்ளது மற்றும் உள்ளூர் இடைமுகம் இல்லாத பிரதானத்தைத் தவிர வேறு ஒரு ரூட்டிங் டேபிளுக்குள் செல்கிறது. ரூட்டிங் விதிகளின் விஷயத்தில், முதலில் பாக்கெட் ஒரு உள்ளூர் செயல்முறைக்காகப் பயன்படுத்தப்பட்டதா எனச் சரிபார்க்கப்பட்டு, பயனர் பிபிஆர் கட்டத்தில் மட்டுமே அது குறிப்பிட்ட ரூட்டிங் டேபிளுக்குச் செல்லும்.
பயன்படுத்துகிறது [IP]->[Firewall]->[Mangle action=route]
இந்த செயல் மட்டுமே வேலை செய்கிறது [Prerouting|Mangle]
மேலும், கேட்வே முகவரியை நேரடியாகக் குறிப்பிடுவதன் மூலம், கூடுதல் ரூட்டிங் அட்டவணைகளைப் பயன்படுத்தாமல், குறிப்பிட்ட நுழைவாயிலுக்கு போக்குவரத்தை இயக்க உங்களை அனுமதிக்கிறது:
/ip firewall mangle
add chain=prerouting src-address=192.168.100.0/25 action=route gateway=10.10.10.1
add chain=prerouting src-address=192.168.128.0/25 action=route gateway=10.20.20.1
விளைவு route
ரூட்டிங் விதிகளை விட குறைந்த முன்னுரிமை உள்ளது ([IP]->[Route]->[Rules]
) வழித்தடக் குறிகளின் விஷயத்தில், விதிகள் இருந்தால், எல்லாமே விதிகளின் நிலையைப் பொறுத்தது action=route
விட மதிப்பு action=mark-route
, பின்னர் அது பயன்படுத்தப்படும் (கொடியைப் பொருட்படுத்தாமல் passtrough
), இல்லையெனில் வழியைக் குறிக்கும்.
இந்தச் செயலைப் பற்றி விக்கியில் மிகக் குறைவான தகவல்கள் உள்ளன, மேலும் அனைத்து முடிவுகளும் சோதனை ரீதியாகப் பெறப்படுகின்றன, எப்படியிருந்தாலும், இந்த விருப்பத்தைப் பயன்படுத்தும் போது நான் விருப்பங்களைக் கண்டுபிடிக்கவில்லை, மற்றவர்களை விட நன்மைகளை அளிக்கிறது.
PPC அடிப்படையிலான டைனமிக் பேலன்சிங்
ஒரு இணைப்பு வகைப்படுத்தி - ECMP இன் மிகவும் நெகிழ்வான அனலாக் ஆகும். ECMP போலல்லாமல், இது போக்குவரத்தை இணைப்புகளால் மிகவும் கண்டிப்பாகப் பிரிக்கிறது (ECMP க்கு இணைப்புகளைப் பற்றி எதுவும் தெரியாது, ஆனால் ரூட்டிங் கேச் உடன் இணைக்கப்படும்போது, அதேபோன்ற ஒன்று பெறப்படுகிறது).
பிசிசி எடுக்கும் குறிப்பிட்ட புலங்கள் ஐபி ஹெடரில் இருந்து, அவற்றை 32-பிட் மதிப்பாக மாற்றி, பிரிக்கிறது வகுக்கும். மீதமுள்ள பிரிவானது குறிப்பிடப்பட்டவற்றுடன் ஒப்பிடப்படுகிறது மீதி அவை பொருந்தினால், குறிப்பிட்ட செயல் பயன்படுத்தப்படும்.
மூன்று முகவரிகளுடன் உதாரணம்:
192.168.100.10: 192+168+100+10 = 470 % 3 = 2
192.168.100.11: 192+168+100+11 = 471 % 3 = 0
192.168.100.12: 192+168+100+12 = 472 % 3 = 1
மூன்று சேனல்களுக்கு இடையே src.address மூலம் போக்குவரத்தின் மாறும் விநியோகத்திற்கான எடுத்துக்காட்டு:
#Таблица маршрутизации
/ip route
add dst-address=0.0.0.0/0 gateway=10.10.10.1 dist=1 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=10.20.20.1 dist=2 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=10.30.30.1 dist=3 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=10.10.10.1 dist=1 routing-mark=over-isp1
add dst-address=0.0.0.0/0 gateway=10.20.20.1 dist=1 routing-mark=over-isp2
add dst-address=0.0.0.0/0 gateway=10.30.30.1 dist=1 routing-mark=over-isp3
#Маркировка соединений и маршрутов
/ip firewall mangle
add chain=prerouting in-interface=br-lan dst-address-type=!local connection-state=new per-connection-classifier=src-address:3/0 action=mark-connection new-connection-mark=conn-over-isp1
add chain=prerouting in-interface=br-lan dst-address-type=!local connection-state=new per-connection-classifier=src-address:3/1 action=mark-connection new-connection-mark=conn-over-isp2
add chain=prerouting in-interface=br-lan dst-address-type=!local connection-state=new per-connection-classifier=src-address:3/2 action=mark-connection new-connection-mark=conn-over-isp3
add chain=prerouting in-interface=br-lan connection-mark=conn-over-isp1 action=mark-routing new-routing-mark=over-isp1
add chain=prerouting in-interface=br-lan connection-mark=conn-over-isp2 action=mark-routing new-routing-mark=over-isp2
add chain=prerouting in-interface=br-lan connection-mark=conn-over-isp3 action=mark-routing new-routing-mark=over-isp3
வழிகளைக் குறிக்கும் போது, கூடுதல் நிபந்தனை உள்ளது: in-interface=br-lan
, கீழ் இல்லாமல் action=mark-routing
இணையத்திலிருந்து பதில் போக்குவரத்து கிடைக்கும் மற்றும் ரூட்டிங் அட்டவணைகளுக்கு ஏற்ப, வழங்குநரிடம் திரும்பும்.
தொடர்பு சேனல்களை மாற்றுகிறது
செக் பிங் ஒரு நல்ல கருவி, ஆனால் இது அருகிலுள்ள ஐபி பியர் உடனான இணைப்பை மட்டுமே சரிபார்க்கிறது, வழங்குநர் நெட்வொர்க்குகள் பொதுவாக அதிக எண்ணிக்கையிலான ரவுட்டர்களைக் கொண்டிருக்கின்றன, மேலும் அருகிலுள்ள பியர்களுக்கு வெளியே இணைப்பு முறிவு ஏற்படலாம், பின்னர் முதுகெலும்பு டெலிகாம் ஆபரேட்டர்களும் உள்ளனர். சிக்கல்கள் உள்ளன, பொதுவாக செக் பிங் உலகளாவிய நெட்வொர்க்கிற்கான அணுகலைப் பற்றிய புதுப்பித்த தகவலை எப்போதும் காட்டாது.
வழங்குநர்கள் மற்றும் பெரிய நிறுவனங்களுக்கு BGP டைனமிக் ரூட்டிங் நெறிமுறை இருந்தால், ஒரு குறிப்பிட்ட தகவல் தொடர்பு சேனல் மூலம் இணைய அணுகலை எவ்வாறு சரிபார்க்கலாம் என்பதை வீடு மற்றும் அலுவலக பயனர்கள் சுயாதீனமாக கண்டுபிடிக்க வேண்டும்.
பொதுவாக, ஸ்கிரிப்ட்கள் பயன்படுத்தப்படுகின்றன, ஒரு குறிப்பிட்ட தகவல்தொடர்பு சேனல் மூலம், இணையத்தில் ஐபி முகவரி கிடைப்பதை சரிபார்க்கவும், அதே நேரத்தில் நம்பகமான ஒன்றைத் தேர்ந்தெடுக்கவும், எடுத்துக்காட்டாக, google dns: 8.8.8.8. 8.8.4.4. ஆனால் மைக்ரோடிக் சமூகத்தில், இதற்கு மிகவும் சுவாரஸ்யமான கருவி மாற்றியமைக்கப்பட்டுள்ளது.
சுழல்நிலை ரூட்டிங் பற்றி சில வார்த்தைகள்
மல்டிஹாப் பிஜிபி பியரிங் கட்டமைக்கும் போது ரிகர்சிவ் ரூட்டிங் அவசியம் மற்றும் ஸ்டேடிக் ரூட்டிங்கின் அடிப்படைகள் பற்றிய கட்டுரையில் நுழைந்தது, தந்திரமான MikroTik பயனர்கள் கூடுதல் ஸ்கிரிப்டுகள் இல்லாமல் தொடர்பு சேனல்களை மாற்ற காசோலை கேட்வேயுடன் இணைக்கப்பட்ட சுழல்நிலை வழிகளை எவ்வாறு பயன்படுத்துவது என்பதைக் கண்டறிந்தனர்.
பொதுவான சொற்களில் நோக்கம் / இலக்கு நோக்கம் விருப்பங்களைப் புரிந்துகொள்வதற்கான நேரம் இது மற்றும் பாதை இடைமுகத்துடன் எவ்வாறு பிணைக்கப்பட்டுள்ளது:
- பாக்கெட்டை அதன் ஸ்கோப் மதிப்பின் அடிப்படையில் அனுப்புவதற்கான இடைமுகத்தை வழி தேடுகிறது மற்றும் முக்கிய அட்டவணையில் உள்ள அனைத்து உள்ளீடுகளையும் விட குறைவான அல்லது அதற்கு சமமான இலக்கு நோக்கம் மதிப்புகளைக் கொண்டுள்ளது.
- காணப்படும் இடைமுகங்களிலிருந்து, குறிப்பிட்ட நுழைவாயிலுக்கு நீங்கள் ஒரு பாக்கெட்டை அனுப்பக்கூடியது தேர்ந்தெடுக்கப்பட்டது.
- பாக்கெட்டை கேட்வேக்கு அனுப்ப, கண்டுபிடிக்கப்பட்ட இணைக்கப்பட்ட நுழைவின் இடைமுகம் தேர்ந்தெடுக்கப்பட்டது
ஒரு சுழல் பாதையின் முன்னிலையில், அனைத்தும் ஒரே மாதிரியாக நடக்கும், ஆனால் இரண்டு நிலைகளில்:
- 1-3 இணைக்கப்பட்ட பாதைகளுக்கு மேலும் ஒரு வழி சேர்க்கப்பட்டுள்ளது, இதன் மூலம் குறிப்பிட்ட நுழைவாயிலை அடையலாம்
- 4-6 "இடைநிலை" நுழைவாயிலுக்கு இணைக்கப்பட்ட பாதையைக் கண்டறிதல்
சுழல்நிலை தேடலுடன் அனைத்து கையாளுதல்களும் RIB இல் நிகழ்கின்றன, மேலும் இறுதி முடிவு மட்டுமே FIB க்கு மாற்றப்படும்: 0.0.0.0/0 via 10.10.10.1 on ether1
.
பாதைகளை மாற்றுவதற்கு சுழல்நிலை ரூட்டிங் பயன்படுத்துவதற்கான எடுத்துக்காட்டு
கட்டமைப்பு:
/ip route
add dst-address=0.0.0.0/0 gateway=8.8.8.8 check-gateway=ping distance=1 target-scope=10
add dst-address=8.8.8.8 gateway=10.10.10.1 scope=10
add dst-address=0.0.0.0/0 gateway=10.20.20.1 distance=2
பாக்கெட்டுகள் 10.10.10.1 க்கு அனுப்பப்படும் என்பதை நீங்கள் சரிபார்க்கலாம்:
செக் கேட்வேக்கு ரிகர்சிவ் ரூட்டிங் பற்றி எதுவும் தெரியாது மற்றும் 8.8.8.8 க்கு பிங்ஸை அனுப்புகிறது, இது (பிரதான அட்டவணையின் அடிப்படையில்) கேட்வே 10.10.10.1 மூலம் அணுக முடியும்.
10.10.10.1 மற்றும் 8.8.8.8 இடையே தொடர்பு இழப்பு ஏற்பட்டால், பாதை துண்டிக்கப்படும், ஆனால் 8.8.8.8 வரையிலான பாக்கெட்டுகள் (சோதனை பிங்ஸ் உட்பட) 10.10.10.1 வரை தொடர்ந்து செல்கின்றன:
ஈதர்1க்கான இணைப்பு தொலைந்துவிட்டால், 8.8.8.8க்கு முந்தைய பாக்கெட்டுகள் இரண்டாவது வழங்குநரின் வழியாகச் செல்லும்போது விரும்பத்தகாத சூழ்நிலை ஏற்படும்:
8.8.8.8 கிடைக்காத போது ஸ்கிரிப்ட்களை இயக்க நீங்கள் NetWatch ஐப் பயன்படுத்தினால் இது ஒரு பிரச்சனை. இணைப்பு உடைந்தால், NetWatch காப்புப் பிரதி தொடர்பு சேனல் மூலம் வேலை செய்து எல்லாம் நன்றாக இருப்பதாகக் கருதும். கூடுதல் வடிகட்டி வழியைச் சேர்ப்பதன் மூலம் தீர்க்கப்பட்டது:
/ip route
add dst-address=8.8.8.8 gateway=10.20.20.1 distance=100 type=blackhole
ஹப்ரேயில் உள்ளது
ஆம், அத்தகைய முன்பதிவைப் பயன்படுத்தும் போது, 8.8.8.8 என்ற முகவரி வழங்குநர்களில் ஒருவருக்கு கடினமாக இருக்கும், எனவே அதை dns ஆதாரமாகத் தேர்ந்தெடுப்பது நல்ல யோசனையல்ல.
விர்ச்சுவல் ரூட்டிங் மற்றும் ஃபார்வர்டிங் (விஆர்எஃப்) பற்றி சில வார்த்தைகள்
VRF தொழில்நுட்பமானது ஒரு இயற்பியல் ஒன்றிற்குள் பல மெய்நிகர் திசைவிகளை உருவாக்க வடிவமைக்கப்பட்டுள்ளது, இந்த தொழில்நுட்பம் டெலிகாம் ஆபரேட்டர்களால் (பொதுவாக MPLS உடன் இணைந்து) L3VPN சேவைகளை வாடிக்கையாளர்களுக்கு ஒன்றுடன் ஒன்று சப்நெட் முகவரிகளுடன் வழங்குவதற்காக பரவலாகப் பயன்படுத்தப்படுகிறது:
ஆனால் Mikrotik இல் உள்ள VRF ரூட்டிங் அட்டவணைகளின் அடிப்படையில் ஒழுங்கமைக்கப்பட்டுள்ளது மற்றும் பல குறைபாடுகளைக் கொண்டுள்ளது, எடுத்துக்காட்டாக, திசைவியின் உள்ளூர் ஐபி முகவரிகள் அனைத்து VRF களிலும் கிடைக்கின்றன, நீங்கள் மேலும் படிக்கலாம்
vrf கட்டமைப்பு எடுத்துக்காட்டு:
/ip route vrf
add interfaces=ether1 routing-mark=vrf1
add interfaces=ether2 routing-mark=vrf2
/ip address
add address=192.168.100.1/24 interface=ether1 network=192.168.100.0
add address=192.168.200.1/24 interface=ether2 network=192.168.200.0
ஈதர் 2 உடன் இணைக்கப்பட்ட சாதனத்திலிருந்து, பிங் மற்றொரு vrf இலிருந்து திசைவி முகவரிக்குச் செல்வதைக் காண்கிறோம் (இது ஒரு சிக்கல்), அதே நேரத்தில் பிங் இணையத்திற்குச் செல்லவில்லை:
இணையத்தை அணுக, பிரதான அட்டவணையை அணுகும் கூடுதல் வழியை நீங்கள் பதிவு செய்ய வேண்டும் (vrf சொற்களில், இது பாதை கசிவு என்று அழைக்கப்படுகிறது):
/ip route
add distance=1 gateway=172.17.0.1@main routing-mark=vrf1
add distance=1 gateway=172.17.0.1%wlan1 routing-mark=vrf2
வழி கசிவுக்கான இரண்டு வழிகள் இங்கே உள்ளன: ரூட்டிங் அட்டவணையைப் பயன்படுத்துதல்: 172.17.0.1@main
மற்றும் இடைமுகப் பெயரைப் பயன்படுத்துதல்: 172.17.0.1%wlan1
.
மேலும் திரும்பும் போக்குவரத்திற்கான அடையாளத்தை அமைக்கவும் [PREROUTING|Mangle]
:
/ip firewall mangle
add chain=prerouting in-interface=ether1 action=mark-connection new-connection-mark=from-vrf1 passthrough=no
add chain=prerouting connection-mark=from-vrf1 routing-mark=!vrf1 action=mark-routing new-routing-mark=vrf1 passthrough=no
add chain=prerouting in-interface=ether2 action=mark-connection new-connection-mark=from-vrf2 passthrough=no
add chain=prerouting connection-mark=from-vrf2 routing-mark=!vrf1 action=mark-routing new-routing-mark=vrf2 passthrough=no
ஒரே முகவரியுடன் சப்நெட்கள்
VRF மற்றும் நெட்மேப்பைப் பயன்படுத்தி ஒரே திசைவியில் ஒரே முகவரியுடன் சப்நெட்களுக்கான அணுகலை ஒழுங்கமைத்தல்:
அடிப்படை கட்டமைப்பு:
/ip route vrf
add interfaces=ether1 routing-mark=vrf1
add interfaces=ether2 routing-mark=vrf2
/ip address
add address=192.168.100.1/24 interface=ether1 network=192.168.100.0
add address=192.168.100.1/24 interface=ether2 network=192.168.100.0
add address=192.168.0.1/24 interface=ether3 network=192.168.0.0
ஃபயர்வால் விதிகள்:
#Маркируем пакеты для отправки в правильную таблицу маршрутизации
/ip firewall mangle
add chain=prerouting dst-address=192.168.101.0/24 in-interface=ether3 action=mark-routing new-routing-mark=vrf1 passthrough=no
add chain=prerouting dst-address=192.168.102.0/24 in-interface=ether3 action=mark-routing new-routing-mark=vrf2 passthrough=no
#Средствами netmap заменяем адреса "эфимерных" подсетей на реальные подсети
/ip firewall nat
add chain=dstnat dst-address=192.168.101.0/24 in-interface=ether3 action=netmap to-addresses=192.168.100.0/24
add chain=dstnat dst-address=192.168.102.0/24 in-interface=ether3 action=netmap to-addresses=192.168.100.0/24
திரும்பும் போக்குவரத்திற்கான ரூட்டிங் விதிகள்:
#Указание имени интерфейса тоже может считаться route leaking, но по сути тут создается аналог connected маршрута
/ip route
add distance=1 dst-address=192.168.0.0/24 gateway=ether3 routing-mark=vrf1
add distance=1 dst-address=192.168.0.0/24 gateway=ether3 routing-mark=vrf2
கொடுக்கப்பட்ட ரூட்டிங் அட்டவணையில் dhcp வழியாக பெறப்பட்ட வழிகளைச் சேர்த்தல்
ஒரு குறிப்பிட்ட ரூட்டிங் டேபிளில் தானாக டைனமிக் ரூட்டை (உதாரணமாக, dhcp கிளையண்டிலிருந்து) சேர்க்க வேண்டும் என்றால் VRF சுவாரஸ்யமாக இருக்கும்.
vrf இல் இடைமுகத்தைச் சேர்த்தல்:
/ip route vrf
add interface=ether1 routing-mark=over-isp1
அட்டவணை வழியாக போக்குவரத்தை (வெளிச்செல்லும் மற்றும் போக்குவரத்து) அனுப்புவதற்கான விதிகள் over-isp1:
/ip firewall mangle
add chain=output out-interface=!br-lan action=mark-routing new-routing-mark=over-isp1 passthrough=no
add chain=prerouting in-interface=br-lan dst-address-type=!local action=mark-routing new-routing-mark=over-isp1 passthrough=no
வெளிச்செல்லும் ரூட்டிங் வேலைக்கு கூடுதல், போலியான வழி:
/interface bridge
add name=bare
/ip route
add dst-address=0.0.0.0/0 gateway=bare
இந்த வழி மட்டுமே தேவை, இதனால் உள்ளூர் வெளிச்செல்லும் பாக்கெட்டுகள் முன் ரூட்டிங் முடிவை (2) கடந்து செல்ல முடியும் [OUTPUT|Mangle]
மற்றும் ரூட்டிங் லேபிளைப் பெறுங்கள், பிரதான அட்டவணையில் 0.0.0.0/0 க்கு முன் ரூட்டரில் பிற செயலில் உள்ள வழிகள் இருந்தால், அது தேவையில்லை.
சங்கிலி connected-in
и dynamic-in
в [Routing] -> [Filters]
பாதை வடிகட்டுதல் (உள்வரும் மற்றும் வெளிச்செல்லும்) என்பது பொதுவாக டைனமிக் ரூட்டிங் நெறிமுறைகளுடன் இணைந்து பயன்படுத்தப்படும் ஒரு கருவியாகும் (எனவே தொகுப்பை நிறுவிய பின் மட்டுமே கிடைக்கும். ரூட்டிங்), ஆனால் உள்வரும் வடிப்பான்களில் இரண்டு சுவாரஸ்யமான சங்கிலிகள் உள்ளன:
- இணைக்கப்பட்ட - இணைக்கப்பட்ட வழிகளை வடிகட்டுதல்
- டைனமிக்-இன் - பிபிபி மற்றும் டிசிஎச்பி மூலம் பெறப்பட்ட டைனமிக் வழிகளை வடிகட்டுதல்
வடிகட்டுதல் வழிகளை நிராகரிக்க மட்டுமல்லாமல், பல விருப்பங்களை மாற்றவும் உங்களை அனுமதிக்கிறது: தூரம், ரூட்டிங்-குறி, கருத்து, நோக்கம், இலக்கு நோக்கம், ...
இது மிகவும் துல்லியமான கருவியாகும், நீங்கள் ரூட்டிங் வடிப்பான்கள் இல்லாமல் (ஆனால் ஸ்கிரிப்டுகள் அல்ல) ஏதாவது செய்ய முடிந்தால், ரூட்டிங் வடிப்பான்களைப் பயன்படுத்த வேண்டாம், உங்களையும் உங்களுக்குப் பிறகு ரூட்டரை உள்ளமைப்பவர்களையும் குழப்ப வேண்டாம். டைனமிக் ரூட்டிங் சூழலில், ரூட்டிங் வடிப்பான்கள் மிகவும் அடிக்கடி மற்றும் அதிக உற்பத்தித் திறனுடன் பயன்படுத்தப்படும்.
டைனமிக் ரூட்களுக்கான ரூட்டிங் குறியை அமைத்தல்
வீட்டு திசைவியிலிருந்து ஒரு எடுத்துக்காட்டு. என்னிடம் இரண்டு VPN இணைப்புகள் உள்ளமைக்கப்பட்டுள்ளன, அவற்றில் உள்ள போக்குவரத்தை ரூட்டிங் அட்டவணைகளுக்கு ஏற்ப சுற்ற வேண்டும். அதே நேரத்தில், இடைமுகம் செயல்படுத்தப்படும் போது, பாதைகள் தானாக உருவாக்கப்பட வேண்டும் என்று நான் விரும்புகிறேன்:
#При создании vpn подключений указываем создание default route и задаем дистанцию
/interface pptp-client
add connect-to=X.X.X.X add-default-route=yes default-route-distance=101 ...
add connect-to=Y.Y.Y.Y add-default-route=yes default-route-distance=100 ...
#Фильтрами отправляем маршруты в определенные таблицы маршрутизации на основе подсети назначения и дистанции
/routing filter
add chain=dynamic-in distance=100 prefix=0.0.0.0/0 action=passthrough set-routing-mark=over-vpn1
add chain=dynamic-in distance=101 prefix=0.0.0.0/0 action=passthrough set-routing-mark=over-vpn2
ஏன் என்று எனக்குத் தெரியவில்லை, ஒருவேளை பிழை இருக்கலாம், ஆனால் நீங்கள் பிபிபி இடைமுகத்திற்காக ஒரு vrf ஐ உருவாக்கினால், 0.0.0.0/0க்கான பாதை இன்னும் பிரதான அட்டவணையில் வரும். இல்லையெனில், எல்லாம் இன்னும் எளிதாக இருக்கும்.
இணைக்கப்பட்ட வழிகளை முடக்குகிறது
சில நேரங்களில் இது தேவைப்படுகிறது:
/route filter
add chain=connected-in prefix=192.168.100.0/24 action=reject
பிழைத்திருத்த கருவிகள்
ரூட்டர்ஓஎஸ் பிழைத்திருத்த ரூட்டிங் செய்ய பல கருவிகளை வழங்குகிறது:
[Tool]->[Tourch]
- இடைமுகங்களில் பாக்கெட்டுகளைப் பார்க்க உங்களை அனுமதிக்கிறது/ip route check
- பாக்கெட் எந்த நுழைவாயிலுக்கு அனுப்பப்படும் என்பதைப் பார்க்க உங்களை அனுமதிக்கிறது, ரூட்டிங் அட்டவணைகளுடன் வேலை செய்யாது/ping routing-table=<name>
и/tool traceroute routing-table=<name>
- குறிப்பிட்ட ரூட்டிங் அட்டவணையைப் பயன்படுத்தி பிங் மற்றும் டிரேஸ்action=log
в[IP]->[Firewall]
- பாக்கெட் ஓட்டத்தில் ஒரு பாக்கெட்டின் பாதையைக் கண்டறிய உங்களை அனுமதிக்கும் ஒரு சிறந்த கருவி, இந்த செயல் அனைத்து சங்கிலிகளிலும் அட்டவணைகளிலும் கிடைக்கிறது
ஆதாரம்: www.habr.com