באַסיקס פון סטאַטיק רוטינג אין Mikrotik RouterOS

רוטינג איז דער פּראָצעס פון דערגייונג דער בעסטער וועג פֿאַר טראַנסמיטינג פּאַקיץ איבער TCP / IP נעטוואָרקס. יעדער מיטל פארבונדן צו אַן IPv4 נעץ כּולל אַ פּראָצעס און רוטינג טישן.

דער אַרטיקל איז נישט אַ HOWTO, עס באשרייבט סטאַטיק רוטינג אין RouterOS מיט ביישפילן, איך דיליבראַטלי איבערגעהיפּערט די רעשט פון די סעטטינגס (למשל, srcnat פֿאַר אַקסעס די אינטערנעט), אַזוי צו פֿאַרשטיין דעם מאַטעריאַל ריקווייערז אַ זיכער מדרגה פון וויסן פון נעטוואָרקס און RouterOS.

סוויטשינג און רוטינג

סוויטשינג איז דער פּראָצעס פון יקסטשיינדזשינג פּאַקיץ אין איין Layer2 אָפּשניט (עטהערנעט, פּפּפּ, ...). אויב דער מיטל זעט אַז דער באַקומער פון די פּאַקאַט איז אויף דער זעלביקער עטהערנעט סובנעט מיט אים, עס לערנט די מעק אַדרעס ניצן די אַרפּ פּראָטאָקאָל און טראַנסמיטט די פּאַקאַט גלייַך, בייפּאַסינג די ראַוטער. א פּפּפּ (פונט-צו-פונט) פֿאַרבינדונג קענען האָבן בלויז צוויי פּאַרטיסאַפּאַנץ און די פּאַקאַט איז שטענדיק געשיקט צו איין אַדרעס 0xff.

רוטינג איז דער פּראָצעס פון טראַנספערינג פּאַקיץ צווישן Layer2 סעגמאַנץ. אויב אַ מיטל וויל צו שיקן אַ פּאַקאַט וועמענס באַקומער איז אַרויס די עטהערנעט סעגמענט, עס קוקט אין זיין רוטינג טיש און פּאַסיז די פּאַקאַט צו די גייטוויי, וואָס ווייסט ווו צו שיקן די פּאַקאַט ווייַטער (אָדער קען נישט וויסן דער אָריגינעל סענדער פון די פּאַקאַט איז נישט אַווער פון דעם).

די יזיאַסט וועג צו טראַכטן וועגן אַ ראַוטער איז ווי אַ מיטל פארבונדן צו צוויי אָדער מער Layer2 סעגמאַנץ און קענען פאָרן פּאַקיץ צווישן זיי דורך דיטערמאַנינג דער בעסטער מאַרשרוט פֿון די רוטינג טיש.

אויב איר פֿאַרשטיין אַלץ, אָדער איר שוין געוואוסט עס, לייענען אויף. פֿאַר די מנוחה, איך שטארק רעקאָמענדירן אַז איר באַקענען זיך מיט אַ קליין, אָבער זייער געראַם ארטיקלען.

רוטינג אין RouterOS און PacketFlow

כּמעט אַלע פאַנגקשאַנאַליטי שייַכות צו סטאַטיק רוטינג איז אין דעם פּעקל סיסטעמע. פּלאַסטיק זעקל רוטינג מוסיף שטיצן פֿאַר דינאַמיש רוטינג אַלגערידאַמז (ריפּ, OSPF, BGP, MME), רוטינג פילטערס און BFD.

הויפּט מעניו פֿאַר באַשטעטיקן רוטינג: [IP]->[Route]. קאָמפּלעקס סקימז קען דאַרפן פּאַקיץ צו זיין פאַר-לייבאַלד מיט אַ רוטינג צייכן אין: [IP]->[Firewall]->[Mangle] (קייטן PREROUTING и OUTPUT).

עס זענען דריי ערטער אויף PacketFlow ווו IP פּאַקאַט רוטינג דיסיזשאַנז זענען געמאכט:

1. רוטינג פּאַקיץ באקומען דורך די ראַוטער. אין דעם בינע, עס איז באַשלאָסן צי די פּאַקאַט וועט גיין צו די היגע פּראָצעס אָדער וועט זיין געשיקט ווייַטער צו די נעץ. דורכפאָר פּאַקאַדזשאַז באַקומען רעזולטאַט צובינד
2. רוטינג היגע אַוטגאָוינג פּאַקיץ. אַוטגאָוינג פּאַקיץ באַקומען רעזולטאַט צובינד
3. נאָך רוטינג שריט פֿאַר אַוטגאָוינג פּאַקיץ, אַלאַוז איר צו טוישן די רוטינג באַשלוס אין [Output|Mangle]

• די פּאַקאַט דרך אין בלאַקס 1, 2 דעפּענדס אויף די כּללים אין [IP]->[Route]
• די פּאַקאַט דרך אין פונקטן 1, 2 און 3 דעפּענדס אויף די כּללים אין [IP]->[Route]->[Rules]
• דער פּעקל דרך אין בלאַקס 1, 3 קענען זיין ינפלואַנסט מיט [IP]->[Firewall]->[Mangle]

RIB, FIB, רוטינג קאַש

רוטינג אינפֿאָרמאַציע באַזע
די באַזע אין וואָס רוץ זענען געזאמלט פֿון דינאַמיש רוטינג פּראָטאָקאָלס, רוץ פֿון פּפּפּ און דהקפּ, סטאַטיק און קאָננעקטעד רוץ. די דאַטאַבייס כּולל אַלע רוץ, אַחוץ די פילטערד דורך די אַדמיניסטראַטאָר.

קאַנדישאַנאַלי, מיר קענען יבערנעמען אַז [IP]->[Route] דיספּלייז RIB.

פאָרווערדינג אינפֿאָרמאַציע באַזע

די באַזע אין וואָס די בעסטער רוץ פון RIB זענען געזאמלט. אַלע רוץ אין די FIB זענען אַקטיוו און זענען געניצט צו פאָרויס פּאַקיץ. אויב דער מאַרשרוט ווערט ינאַקטיוו (פאַרקריפּלט דורך די אַדמיניסטראַטאָר (סיסטעם), אָדער די צובינד דורך וואָס די פּאַקאַט זאָל זיין געשיקט איז נישט אַקטיוו), דער מאַרשרוט איז אַוועקגענומען פון די FIB.

צו מאַכן אַ רוטינג באַשלוס, די FIB טיש ניצט די פאלגענדע אינפֿאָרמאַציע וועגן אַן IP פּאַקאַט:

• מקור אַדרעס
• דעסטינאַטיאָן אַדרעס
• מקור צובינד
• רוטינג צייכן
• ToS (DSCP)

באַקומען אין די FIB פּעקל גייט דורך די פאלגענדע סטאַגעס:

• איז דער פּעקל בדעה פֿאַר אַ היגע ראַוטער פּראָצעס?
• איז די פּאַקאַט אונטערטעניק צו סיסטעם אָדער באַניצער PBR כּללים?
  • אויב יאָ, די פּאַקאַט איז געשיקט צו די ספּעסיפיעד רוטינג טיש
• די פּאַקאַט איז געשיקט צו די הויפּט טיש

קאַנדישאַנאַלי, מיר קענען יבערנעמען אַז [IP]->[Route Active=yes] דיספּלייז FIB.

רוטינג קאַש
רוט קאַטשינג מעקאַניזאַם. דער ראַוטער געדענקט ווו די פּאַקיץ זענען געשיקט און אויב עס זענען ענלעך אָנעס (מאַשמאָעס פון דער זעלביקער קשר) עס לעץ זיי גיין צוזאמען די זעלבע מאַרשרוט, אָן טשעק אין די פיב. דער מאַרשרוט קאַש איז פּיריאַדיקלי קלירד.

פֿאַר ראָוטעראָס אַדמיניסטראַטאָרס, זיי האָבן נישט געמאכט מכשירים פֿאַר וויוינג און אָנפירונג די רוטינג קאַש, אָבער ווען עס קענען זיין פאַרקריפּלט אין [IP]->[Settings].

דער מעקאַניזאַם איז אַוועקגענומען פון די לינוקס 3.6 קערן, אָבער RouterOS נאָך ניצט קערן 3.3.5, טאָמער רוטינג קאַהסע איז איינער פון די סיבות.

לייג מאַרשרוט דיאַלאָג

[IP]->[Route]->[+]

1. סובנעט פֿאַר וואָס איר ווילן צו שאַפֿן אַ מאַרשרוט (פעליקייַט: 0.0.0.0/0)
2. גייטוויי IP אָדער צובינד צו וואָס די פּאַקאַט וועט זיין געשיקט (עס קען זיין עטלעכע, זען ECMP אונטן)
3. גייטוויי אַוואַילאַביליטי טשעק
4. רעקאָרד טיפּ
5. דיסטאַנסע (מעטריק) פֿאַר אַ מאַרשרוט
6. רוטינג טיש
7. IP פֿאַר היגע אַוטגאָוינג פּאַקיץ דורך דעם מאַרשרוט
8. דער ציל פון פאַרנעם און ציל פאַרנעם איז געשריבן אין די סוף פון דעם אַרטיקל.

רוט פלאַגס

• X - דער מאַרשרוט איז פאַרקריפּלט דורך די אַדמיניסטראַטאָר (disabled=yes)
• א - דער מאַרשרוט איז געניצט צו שיקן פּאַקיץ
• ד - מאַרשרוט צוגעגעבן דינאַמיקאַללי (BGP, OSPF, RIP, MME, PPP, DHCP, קאָננעקטעד)
• C - די סובנעט איז קאָננעקטעד גלייַך צו די ראַוטער
• ד - סטאַטיק מאַרשרוט
• r,b,o,m - רוט צוגעגעבן דורך איינער פון די דינאַמיש רוטינג פּראָטאָקאָלס
• B,U,P - פילטערינג מאַרשרוט (דראָפּס פּאַקיץ אַנשטאָט פון טראַנסמיטינג)

וואָס צו ספּעציפיצירן אין גייטוויי: יפּ אַדרעס אָדער צובינד?

די סיסטעם אַלאַוז איר צו ספּעציפיצירן ביידע, בשעת עס טוט נישט שווערן און נישט געבן הינץ אויב איר טאָן עפּעס פאַלש.

IP אַדרעס
די גייטוויי אַדרעס מוזן זיין צוטריטלעך איבער Layer2. פֿאַר עטהערנעט, דאָס מיטל אַז דער ראַוטער מוזן האָבן אַן אַדרעס פון דער זעלביקער סובנעט אויף איינער פון די אַקטיוו יפּ ינטערפייסיז, פֿאַר פּפּפּ, אַז די גייטוויי אַדרעס איז ספּעסיפיעד אויף איינער פון די אַקטיוו ינטערפייסיז ווי די סובנעט אַדרעס.
אויב די אַקסעסאַביליטי צושטאַנד פֿאַר Layer2 איז נישט באגעגנט, דער מאַרשרוט איז גערעכנט ווי ינאַקטיוו און קען נישט פאַלן אין די FIB.

צובינד
אַלץ איז מער קאָמפּליצירט און די נאַטור פון די ראַוטער דעפּענדס אויף די טיפּ פון צובינד:

• PPP (Async, PPTP, L2TP, SSTP, PPPoE, OpenVPN *) פֿאַרבינדונג אַסומז בלויז צוויי פּאַרטיסאַפּאַנץ און די פּאַקאַט וועט שטענדיק זיין געשיקט צו די גייטוויי פֿאַר טראַנסמיסיע, אויב די גייטוויי דיטעקץ אַז דער באַקומער איז זיך, עס וועט אַריבערפירן די פּאַקאַט צו זייַן היגע פּראָצעס.
  
• עטהערנעט אַסומז די בייַזייַן פון פילע פּאַרטיסאַפּאַנץ און וועט שיקן ריקוועס צו די אַרפּ צובינד מיט די אַדרעס פון די באַקומער פון די פּאַקאַט, דאָס איז דערוואַרט און גאַנץ נאָרמאַל נאַטור פֿאַר פארבונדן רוץ.
  אָבער ווען איר פּרובירן צו נוצן די צובינד ווי אַ מאַרשרוט פֿאַר אַ ווייַט סובנעט, איר וועט באַקומען די פאלגענדע סיטואַציע: דער מאַרשרוט איז אַקטיוו, פּינג צו די גייטוויי פּאַסיז, ​​אָבער קען נישט דערגרייכן די באַקומער פֿון די ספּעסיפיעד סובנעט. אויב איר קוק אין די צובינד דורך אַ סניפער, איר וועט זען אַרפּ ריקוועס מיט אַדרעסעס פֿון אַ ווייַט סובנעט.
  

פּרוּווט צו ספּעציפיצירן די IP אַדרעס ווי די גייטוויי ווען מעגלעך. די ויסנעם איז פארבונדן רוץ (באשאפן אויטאָמאַטיש) און פּפּפּ (אַסינק, PPTP, L2TP, SSTP, PPPoE, OpenVPN *) ינטערפייסיז.

OpenVPN טוט נישט אַנטהאַלטן אַ PPP כעדער, אָבער איר קענען נוצן די OpenVPN צובינד נאָמען צו שאַפֿן אַ מאַרשרוט.

מער ספּעציפיש רוט

יקערדיק רוטינג הערשן. דער מאַרשרוט וואָס באשרייבט די קלענערער סובנעט (מיט די גרעסטן סובנעט מאַסקע) נעמט פּריידאַנס אין די רוטינג באַשלוס פון די פּאַקאַט. די שטעלע פון ​​די איינסן אין די רוטינג טיש איז נישט באַטייַטיק צו די ברירה - די הויפּט הערשן איז מער ספּעציפיש.

אַלע רוץ פון די ספּעסיפיעד סכעמע זענען אַקטיוו (ליגן אין FIB). פונט צו פאַרשידענע סובנעץ און טאָן ניט קאָנפליקט מיט יעדער אנדערער.

אויב איינער פון די גייטווייז וועט זיין אַנאַוויילאַבאַל, די פֿאַרבונדן מאַרשרוט וועט זיין גערעכנט ווי ינאַקטיוו (אַרויסגענומען פון די FIB) און פּאַקיץ וועט זיין געזוכט פֿון די רוען רוץ.

דער מאַרשרוט מיט סובנעט 0.0.0.0/0 איז מאל געגעבן אַ ספּעציעל טייַטש און איז גערופן די "דיפאָלט רוט" אָדער "גאַטעווייַ פון לעצטע ריזאָרט". אין פאַקט, עס איז גאָרנישט מאַדזשיקאַל אין עס און עס פשוט ינקלודז אַלע מעגלעך IPv4 אַדרעסעס, אָבער די נעמען באַשרייַבן זיין אַרבעט גוט - עס ינדיקייץ די גייטוויי צו פאָרויס פּאַקיץ פֿאַר וואָס עס זענען קיין אנדערע, מער פּינטלעך רוץ.

די מאַקסימום מעגלעך סובנעט מאַסקע פֿאַר IPv4 איז / 32, דער מאַרשרוט ווייזט צו אַ ספּעציפיש באַלעבאָס און קענען זיין געוויינט אין די רוטינג טיש.

פארשטאנד פון מער ספּעציפיש רוט איז פונדאַמענטאַל פֿאַר קיין TCP / IP מיטל.

מעהאַלעך

דיסטאַנסאַז (אָדער מעטריקס) זענען פארלאנגט פֿאַר אַדמיניסטראַטיווע פֿילטרירונג פון רוץ צו אַ איין סובנעט צוטריטלעך דורך קייפל גייטווייז. א מאַרשרוט מיט אַ נידעריקער מעטריק איז געהאלטן אַ בילכערקייַט און וועט זיין אַרייַנגערעכנט אין די FIB. אויב אַ מאַרשרוט מיט אַ נידעריקער מעטריק האלט צו זיין אַקטיוו, עס וועט זיין ריפּלייסט דורך אַ מאַרשרוט מיט אַ העכער מעטריק אין די FIB.

אויב עס זענען עטלעכע רוץ צו דער זעלביקער סובנעט מיט דער זעלביקער מעטריק, דער ראַוטער וועט לייגן בלויז איינער פון זיי צו די FIB טיש, גיידיד דורך זיין ינערלעך לאָגיק.

די מעטריק קען נעמען אַ ווערט פון 0 צו 255:

• 0 - מעטריק פֿאַר פארבונדן רוץ. דיסטאַנסע 0 קענען ניט זיין באַשטימט דורך די אַדמיניסטראַטאָר
• 1-254 - מעטריקס בנימצא צו דער אַדמיניסטראַטאָר פֿאַר באַשטעטיקן רוץ. מעטריקס מיט אַ נידעריקער ווערט האָבן אַ העכער בילכערקייַט
• 255 - מעטריק בנימצא צו דער אַדמיניסטראַטאָר פֿאַר באַשטעטיקן רוץ. ניט ענלעך 1-254, אַ מאַרשרוט מיט אַ מעטריק פון 255 איז שטענדיק ינאַקטיוו און טוט נישט פאַלן אין די FIB
• ספּעציפיש מעטריקס. רוץ דערייווד פון דינאַמיש רוטינג פּראָטאָקאָלס האָבן נאָרמאַל מעטריק וואַלועס

טשעק גייטוויי

טשעק גייטוויי איז אַ MikroTik RoutesOS פאַרלענגערונג פֿאַר קאָנטראָלירונג די אַוויילאַבילאַטי פון די גייטוויי דורך icmp אָדער arp. אַמאָל יעדער 10 סעקונדעס (קענען ניט זיין געביטן), אַ בקשה איז געשיקט צו די גייטוויי, אויב דער ענטפער איז נישט באקומען צוויי מאָל, דער מאַרשרוט איז געהאלטן אַנאַוויילאַבאַל און איז אַוועקגענומען פון די FIB. אויב טשעק גייטוויי איז פאַרקריפּלט די טשעק מאַרשרוט האלט און דער מאַרשרוט וועט ווערן אַקטיוו ווידער נאָך איין געראָטן טשעק.

קוק גייטוויי דיסייבאַלז די פּאָזיציע אין וואָס עס איז קאַנפיגיערד און אַלע אנדערע איינסן (אין אַלע רוטינג טישן און ecmp רוץ) מיט די ספּעסיפיעד גייטוויי.

אין אַלגעמיין, טשעק גייטוויי אַרבעט גוט ווי לאַנג ווי עס זענען קיין פראבלעמען מיט פּאַקאַט אָנווער צו די גייטוויי. טשעק גייטוויי טוט נישט וויסן וואָס איז געשעעניש מיט קאָמוניקאַציע אַרויס די אָפּגעשטעלט גייטוויי, דאָס ריקווייערז נאָך מכשירים: סקריפּס, רעקורסיווע רוטינג, דינאַמיש רוטינג פּראָטאָקאָלס.

רובֿ וופּן און טונעל פּראָטאָקאָלס אַנטהאַלטן געבויט-אין מכשירים פֿאַר קאָנטראָלירונג קשר טעטיקייט, וואָס אַלאַוז די טשעק גייטוויי פֿאַר זיי איז אַן נאָך (אָבער זייער קליין) מאַסע אויף די נעץ און מיטל פאָרשטעלונג.

ECMP רוץ

Equal-Cost Multi-Path - שיקט פּאַקיץ צו די באַקומער מיט עטלעכע גייטווייז סיימאַלטייניאַסלי ניצן די ראָונד ראָבין אַלגערידאַם.

אַן ECMP מאַרשרוט איז באשאפן דורך דער אַדמיניסטראַטאָר דורך ספּעציפיצירן קייפל גייטווייז פֿאַר איין סובנעט (אָדער אויטאָמאַטיש אויב עס זענען צוויי עקוויוואַלענט OSPF רוץ).

ECMP איז געניצט פֿאַר מאַסע באַלאַנסינג צווישן צוויי טשאַנאַלז, אין טעאָריע, אויב עס זענען צוויי טשאַנאַלז אין די ecmp מאַרשרוט, פֿאַר יעדער פּאַקאַט די אַוטגאָוינג קאַנאַל זאָל זיין אַנדערש. אָבער די רוטינג קאַש מעקאַניזאַם סענדז פּאַקיץ פון די קשר צוזאמען די מאַרשרוט אַז דער ערשטער פּאַקאַט גענומען, ווי אַ רעזולטאַט, מיר באַקומען אַ מין פון באַלאַנסינג באזירט אויף קאַנעקשאַנז (פּער-קשר לאָודינג באַלאַנסינג).

אויב איר דיסייבאַל רוטינג קאַש, די פּאַקיץ אין די ECMP מאַרשרוט וועט זיין שערד ריכטיק, אָבער עס איז אַ פּראָבלעם מיט NAT. די NAT ​​הערשן פּראַסעסאַז בלויז דער ערשטער פּאַקאַט פון די קשר (די מנוחה זענען פּראַסעסט אויטאָמאַטיש), און עס טורנס אויס אַז פּאַקיץ מיט די זעלבע מקור אַדרעס לאָזן פאַרשידענע ינטערפייסיז.

קוק די גייטוויי טוט נישט אַרבעטן אין ECMP רוץ (ראָוטעראָס זשוק). אָבער איר קענען באַקומען אַרום דעם באַגרענעצונג דורך קריייטינג נאָך וואַלאַדיישאַן רוץ וואָס וועט דיסייבאַל איינסן אין ECMP.

פילטערינג דורך רוטינג

די טיפּ אָפּציע דיטערמאַנז וואָס צו טאָן מיט דעם פּעקל:

• unicast - שיקן צו די ספּעסיפיעד גייטוויי ( צובינד)
• בלאַקכאָל - אַוועקוואַרפן אַ פּאַקאַט
• פאַרווערן, אַנריאַטשאַבאַל - אַוועקוואַרפן די פּאַקאַט און שיקן אַ יקמפּ אָנזאָג צו די סענדער

פילטערינג איז יוזשאַוואַלי געניצט ווען עס איז נייטיק צו באַוואָרענען די שיקט פון פּאַקיץ אויף דעם אומרעכט וועג, פון קורס, איר קענען פילטער דעם דורך די פיירוואַל.

א פּאָר פון ביישפילן

צו קאָנסאָלידירן די יקערדיק טינגז וועגן רוטינג.

טיפּיש היים ראַוטער

/ip route
add dst-address=0.0.0.0/0 gateway=10.10.10.1

1. סטאַטיק מאַרשרוט צו 0.0.0.0/0 (פעליקייַט מאַרשרוט)
2. קאָננעקטעד מאַרשרוט אויף די צובינד מיט דער שפּייַזער
3. קאָננעקטעד מאַרשרוט אויף לאַן צובינד

טיפּיש היים ראַוטער מיט PPPoE

1. סטאַטיק מאַרשרוט צו פעליקייַט מאַרשרוט, מוסיף אויטאָמאַטיש. עס איז ספּעסיפיעד אין קשר פּראָפּערטיעס
2. קאָננעקטעד מאַרשרוט פֿאַר פּפּפּ קשר
3. קאָננעקטעד מאַרשרוט אויף לאַן צובינד

טיפּיש היים ראַוטער מיט צוויי פּראַוויידערז און יבעריקייַט

/ip route
add dst-address=0.0.0.0/0 gateway=10.10.10.1 distance=1 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=10.20.20.1 distance=2

1. סטאַטיק מאַרשרוט צו פעליקייַט מאַרשרוט דורך דער ערשטער שפּייַזער מיט מעטריק 1 און גייטוויי אַוויילאַבילאַטי טשעק
2. סטאַטיק מאַרשרוט צו פעליקייַט מאַרשרוט דורך רגע שפּייַזער מיט מעטריק 2
3. קאָננעקטעד רוץ

פאַרקער צו 0.0.0.0/0 גייט דורך 10.10.10.1 בשעת דעם גייטוויי איז בנימצא, אַנדערש עס סוויטשיז צו 10.20.20.1

אַזאַ אַ סכעמע קענען זיין געהאלטן אַ קאַנאַל רעזערוואַציע, אָבער עס איז נישט אָן דיסאַדוואַנטידזשיז. אויב אַ ברעכן אַקערז אַרויס די גאַטעווייַ פון די שפּייַזער (למשל, ין דער אָפּעראַטאָר ס נעץ), דיין ראַוטער וועט נישט וויסן וועגן אים און וועט פאָרזעצן צו באַטראַכטן דעם מאַרשרוט ווי אַקטיוו.

טיפּיש היים ראַוטער מיט צוויי פּראַוויידערז, יבעריקייַט און ECMP

/ip route
add dst-address=0.0.0.0/0 gateway=10.10.10.1 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=10.20.20.1 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=10.10.10.1,10.20.20.1 distance=1

1. סטאַטיק רוץ פֿאַר קאָנטראָלירונג טשאַק גייטוויי
2. ECMP מאַרשרוט
3. קאָננעקטעד רוץ

רוץ צו קאָנטראָלירן זענען בלוי (די קאָליר פון ינאַקטיוו רוץ), אָבער דאָס טוט נישט אַרייַנמישנ זיך מיט די טשעק גייטוויי. די קראַנט ווערסיע (6.44) פון RoS גיט אָטאַמאַטיק בילכערקייַט צו די ECMP מאַרשרוט, אָבער עס איז בעסער צו לייגן פּרובירן רוץ צו אנדערע רוטינג טישן (אָפּציע). routing-mark)

אויף ספּעעדטעסט און אנדערע ענלעך זייטלעך, עס וועט זיין קיין פאַרגרעסערן אין גיכקייַט (ECMP דיוויידז פאַרקער דורך קאַנעקשאַנז, נישט דורך פּאַקיץ), אָבער פּ2פּ אַפּלאַקיישאַנז זאָל מאַסע פאַסטער.

פילטערינג דורך רוטינג

/ip route
add dst-address=0.0.0.0/0 gateway=10.10.10.1
add dst-address=192.168.200.0/24 gateway=10.30.30.1 distance=1
add dst-address=192.168.200.0/24 gateway=10.10.10.1 distance=2 type=blackhole

1. סטאַטיק מאַרשרוט צו פעליקייַט מאַרשרוט
2. סטאַטיק מאַרשרוט צו 192.168.200.0/24 איבער יפּיפּ טונעל
3. פאָרבידינג סטאַטיק מאַרשרוט צו 192.168.200.0/24 דורך יספּ ראַוטער

א פֿילטרירונג אָפּציע אין וואָס טונעל פאַרקער וועט נישט גיין צו די ראַוטער פון די שפּייַזער ווען די ipip צובינד איז פאַרקריפּלט. אַזאַ סקימז זענען ראַרעלי פארלאנגט, ווייַל איר קענען ינסטרומענט בלאַקינג דורך די פיירוואַל.

רוטינג שלייף
רוטינג שלייף - אַ סיטואַציע ווען אַ פּאַקאַט לויפט צווישן ראָוטערס איידער די עקספּעריישאַן פון טטל. יוזשאַוואַלי עס איז דער רעזולטאַט פון אַ קאַנפיגיעריישאַן טעות, אין גרויס נעטוואָרקס עס איז באהאנדלט דורך די ימפּלאַמענטיישאַן פון דינאַמיש רוטינג פּראָטאָקאָלס, אין קליין - מיט זאָרג.

עס קוקט עפּעס ווי דאָס:

א ביישפּיל (סימפּאַסט) פון ווי צו באַקומען אַ ענלעך רעזולטאַט:

די רוטינג שלייף בייַשפּיל איז פון קיין פּראַקטיש נוצן, אָבער עס ווייזט אַז ראָוטערס האָבן קיין געדאַנק וועגן זייער חבר ס רוטינג טיש.

פּאָליטיק באַזע רוטינג און נאָך רוטינג טאַבלעס

ווען טשוזינג אַ מאַרשרוט, די ראַוטער ניצט בלויז איין פעלד פון די פּאַקאַט כעדער (דסט. אַדרעס) - דאָס איז יקערדיק רוטינג. רוטינג באזירט אויף אנדערע באדינגונגען, אַזאַ ווי מקור אַדרעס, טיפּ פון פאַרקער (ToS), באַלאַנסינג אָן ECMP, געהערט צו פּאָליטיק באַסע רוטינג (PBR) און ניצט נאָך רוטינג טישן.

מער ספּעציפיש רוט איז די הויפּט מאַרשרוט סעלעקציע הערשן אין די רוטינג טיש.

דורך פעליקייַט, אַלע רוטינג כּללים זענען מוסיף צו די הויפּט טיש. דער אַדמיניסטראַטאָר קענען מאַכן אַ אַרביטראַריש נומער פון נאָך רוטינג טישן און מאַרשרוט פּאַקיץ צו זיי. כּללים אין פאַרשידענע טישן טאָן ניט קאָנפליקט מיט יעדער אנדערער. אויב דער פּעקל קען נישט געפֿינען אַ פּאַסיק הערשן אין די ספּעסאַפייד טיש, עס וועט גיין צו די הויפּט טיש.

בייַשפּיל מיט פאַרשפּרייטונג דורך פירעוואַלל:

• 192.168.100.10 -> 8.8.8.8
  1. פאַרקער פון 192.168.100.10 ווערט לייבאַלד via-isp1 в [Prerouting|Mangle]
  2. אין די רוטינג בינע אין די טיש via-isp1 זוכן פֿאַר אַ מאַרשרוט צו 8.8.8.8
  3. רוט געפונען, פאַרקער איז געשיקט צו גייטוויי 10.10.10.1
• 192.168.200.20 -> 8.8.8.8
  1. פאַרקער פון 192.168.200.20 ווערט לייבאַלד via-isp2 в [Prerouting|Mangle]
  2. אין די רוטינג בינע אין די טיש via-isp2 זוכן פֿאַר אַ מאַרשרוט צו 8.8.8.8
  3. רוט געפונען, פאַרקער איז געשיקט צו גייטוויי 10.20.20.1
• אויב איינער פון די גייטווייז (10.10.10.1 אָדער 10.20.20.1) ווערט אַנאַוויילאַבאַל, די פּאַקאַט וועט גיין צו די טיש הויפּט און וועט זוכן אַ פּאַסיק מאַרשרוט דאָרט

טערמינאָלאָגיע ישוז

RouterOS האט זיכער טערמינאָלאָגיע ישוז.
ווען ארבעטן מיט כּללים אין [IP]->[Routes] די רוטינג טיש איז אנגעוויזן, כאָטש עס איז געשריבן אַז די פירמע:

В [IP]->[Routes]->[Rule] אַלץ איז ריכטיק, אין די פירמע צושטאַנד אין די טיש קאַמף:

ווי צו שיקן אַ פּאַקאַט צו אַ ספּעציפיש רוטינג טיש

RouterOS גיט עטלעכע מכשירים:

• כּללים אין [IP]->[Routes]->[Rules]
• רוט מאַרקערס (action=mark-routing) אין [IP]->[Firewall]->[Mangle]
• VRF

רעגיאַליישאַנז [IP]->[Route]->[Rules]
כּללים זענען פּראַסעסט סאַקווענטשאַלי, אויב די פּאַקאַט שוועבעלעך די באדינגונגען פון די הערשן, עס טוט נישט פאָרן ווייַטער.

רוטינג כּללים לאָזן איר צו יקספּאַנד די פּאַסאַבילאַטיז פון רוטינג, רילייינג ניט בלויז אויף די באַקומער אַדרעס, אָבער אויך אויף די מקור אַדרעס און צובינד אויף וואָס די פּאַקאַט איז באקומען.

כללים באשטייט פון באדינגונגען און אַ קאַמף:

• באדינגונגען. פּראַקטאַקלי איבערחזרן די רשימה פון וואונדער דורך וואָס די פּעקל איז אָפּגעשטעלט אין די FIB, בלויז טאָס איז פעלנדיק.
• טעטיקייט
  • לוקאַפּ - שיקן אַ פּאַקאַט צו אַ טיש
  • זוכן בלויז אין טיש - שלאָס די פּעקל אין די טיש, אויב דער מאַרשרוט איז נישט געפֿונען, דער פּעקל וועט נישט גיין צו די הויפּט טיש
  • פאַלן - פאַלן אַ פּאַקאַט
  • אַנריטשאַבאַל - אַוועקוואַרפן די פּאַקאַט מיט סענדער אָנזאָג

אין FIB, פאַרקער צו היגע פּראַסעסאַז איז פּראַסעסט בייפּאַסינג די כּללים [IP]->[Route]->[Rules]:

מאַרקינג [IP]->[Firewall]->[Mangle]
רוטינג מאַרקס לאָזן איר צו שטעלן די גייטוויי פֿאַר אַ פּאַקאַט ניצן כּמעט קיין פירעוואַלל טנאָים:

פּראַקטאַקלי, ווייַל ניט אַלע פון ​​זיי מאַכן זינען, און עטלעכע קען אַרבעט אַנסטייבאַל.

עס זענען צוויי וועגן צו שטעלן אַ פּעקל:

• גלייך שטעלן רוטינג צייכן
• שטעלן ערשטער קשר-צייכן, דעמאָלט באזירט אויף קשר-צייכן צו לייגן רוטינג צייכן

אין אַן אַרטיקל וועגן פירעוואַללס, איך געשריבן אַז די רגע אָפּציע איז בילכער. ראַדוסאַז די מאַסע אויף די קפּו, אין די פאַל פון מאַרקינג רוץ - דאָס איז נישט לעגאַמרע אמת. די מאַרקינג מעטהאָדס זענען נישט שטענדיק עקוויוואַלענט און זענען יוזשאַוואַלי געניצט צו סאָלווע פאַרשידן פּראָבלעמס.

באַניץ ביישפילן

זאל ס מאַך אויף צו די ביישפילן פון ניצן פּאָליטיק באַסע רוטינג, זיי זענען פיל גרינגער צו ווייַזן וואָס אַלע דעם איז דארף.

MultiWAN און צוריקקומען אַוטגאָוינג (רעזולטאַט) פאַרקער
א פּראָסט פּראָבלעם מיט אַ מולטיוואַן קאַנפיגיעריישאַן: מיקראָטיק איז בנימצא פֿון דער אינטערנעץ בלויז דורך אַן "אַקטיוו" שפּייַזער.

דער ראַוטער טוט נישט זאָרגן וואָס יפּ די בקשה געקומען צו, ווען דזשענערייטינג אַ ענטפער, עס וועט קוקן פֿאַר אַ מאַרשרוט אין די רוטינג טיש ווו דער מאַרשרוט דורך יספּ 1 איז אַקטיוו. ווייַטער, אַזאַ אַ פּאַקאַט וועט רובֿ מסתּמא זיין פילטערד צוזאמען דעם וועג צו די באַקומער.

אן אנדער טשיקאַווע פונט. אויב אַ "פּשוט" מקור נאַט איז קאַנפיגיערד אויף די ether1 צובינד: /ip fi nat add out-interface=ether1 action=masquerade דער פּעקל וועט גיין אָנליין מיט src. אַדרעס=10.10.10.100, וואָס מאכט די טינגז אפילו ערגער.

עס זענען עטלעכע וועגן צו פאַרריכטן דעם פּראָבלעם, אָבער קיין פון זיי וועט דאַרפן נאָך רוטינג טישן:

/ip route
add dst-address=0.0.0.0/0 gateway=10.10.10.1 check-gateway=ping distance=1
add dst-address=0.0.0.0/0 gateway=10.20.20.1 check-gateway=ping distance=2
add dst-address=0.0.0.0/0 gateway=10.10.10.1 routing-mark=over-isp1
add dst-address=0.0.0.0/0 gateway=10.20.20.1 routing-mark=over-isp2

נוצן [IP]->[Route]->[Rules]
ספּעציפיצירן די רוטינג טיש וואָס וועט זיין געוויינט פֿאַר פּאַקיץ מיט די ספּעסיפיעד מקור IP.

/ip route rule
add src-address=10.10.10.100/32 action=lookup-only-in-table table=over-isp1
add src-address=10.20.20.200/32 action=lookup-only-in-table table=over-isp2

קענען נוצן action=lookup, אָבער פֿאַר היגע אַוטגאָוינג פאַרקער, דעם אָפּציע גאָר יקסקלודז קאַנעקשאַנז פון די אומרעכט צובינד.

• דער סיסטעם דזשענערייץ אַ ענטפער פּאַקאַט מיט Src. אַדרעס: 10.20.20.200
• די רוטינג באַשלוס (2) שריט טשעקס [IP]->[Routes]->[Rules] און די פּאַקאַט איז געשיקט צו די רוטינג טיש over-isp2
• לויט די רוטינג טיש, די פּאַקאַט מוזן זיין געשיקט צו די גייטוויי 10.20.20.1 דורך די ether2 צובינד

דער אופֿן טוט נישט דאַרפן אַ ארבעטן קאַנעקשאַן טראַקער, ניט ענלעך די מאַנגל טיש.

נוצן [IP]->[Firewall]->[Mangle]
דער קשר סטאַרץ מיט אַ ינקאַמינג פּאַקאַט, אַזוי מיר צייכן עס (action=mark-connection), פֿאַר אַוטגאָוינג פּאַקיץ פון אַ אנגעצייכנט קשר, שטעלן די רוטינג פירמע (action=mark-routing).

/ip firewall mangle
#Маркировка входящих соединений
add chain=input in-interface=ether1 connection-state=new action=mark-connection new-connection-mark=from-isp1
add chain=input in-interface=ether2 connection-state=new action=mark-connection new-connection-mark=from-isp2
#Маркировка исходящих пакетов на основе соединений
add chain=output connection-mark=from-isp1 action=mark-routing new-routing-mark=over-isp1 passthrough=no
add chain=output connection-mark=from-isp2 action=mark-routing new-routing-mark=over-isp2 passthrough=no

אויב עטלעכע יפּס זענען קאַנפיגיערד אויף איין צובינד, איר קענען לייגן צו די צושטאַנד dst-address צו זיין זיכער.

• א פּאַקאַט אָפּענס די קשר אויף די ether2 צובינד. דער פּעקל גייט אריין [INPUT|Mangle] וואָס זאגט צו צייכן אַלע פּאַקיץ פון די קשר ווי פֿון-יספּ2
• דער סיסטעם דזשענערייץ אַ ענטפער פּאַקאַט מיט Src. אַדרעס: 10.20.20.200
• אין די רוטינג באַשלוס (2) בינע, די פּאַקאַט, אין לויט מיט די רוטינג טיש, איז געשיקט צו די גייטוויי 10.20.20.1 דורך די ether1 צובינד. איר קענען באַשטעטיקן דעם דורך לאָגינג די פּאַקאַדזשאַז אין [OUTPUT|Filter]
• אין דער בינע [OUTPUT|Mangle] קשר פירמע איז אָפּגעשטעלט פֿון-יספּ2 און די פּאַקאַט נעמט אַ מאַרשרוט פירמע over-isp2
• די רוטינג אַדדזשוסמאַנט (3) שריט טשעקס פֿאַר די בייַזייַן פון אַ רוטינג פירמע און סענדז עס צו די צונעמען רוטינג טיש
• לויט די רוטינג טיש, די פּאַקאַט מוזן זיין געשיקט צו די גייטוויי 10.20.20.1 דורך די ether2 צובינד

MultiWAN און צוריקקומען dst-nat פאַרקער

א ביישפּיל איז מער קאָמפּליצירט, וואָס צו טאָן אויב עס איז אַ סערווער (למשל, וועב) הינטער די ראַוטער אויף אַ פּריוואַט סובנעט און איר דאַרפֿן צו צושטעלן אַקסעס צו עס דורך קיין פון די פּראַוויידערז.

/ip firewall nat
add chain=dstnat proto=tcp dst-port=80,443 in-interface=ether1 action=dst-nat to-address=192.168.100.100
add chain=dstnat proto=tcp dst-port=80,443 in-interface=ether2 action=dst-nat to-address=192.168.100.100

די עסאַנס פון די פּראָבלעם וועט זיין די זעלבע, די לייזונג איז ענלעך צו די Firewall Mangle אָפּציע, בלויז אנדערע קייטן וועט זיין געוויינט:

/ip firewall mangle
add chain=prerouting connection-state=new in-interface=ether1 protocol=tcp dst-port=80,443 action=mark-connection new-connection-mark=web-input-isp1
add chain=prerouting connection-state=new in-interface=ether2 protocol=tcp dst-port=80,443 action=mark-connection new-connection-mark=web-input-isp2
add chain=prerouting connection-mark=web-input-isp1 in-interface=ether3 action=mark-routing new-routing-mark=over-isp1 passthrough=no
add chain=prerouting connection-mark=web-input-isp2 in-interface=ether3 action=mark-routing new-routing-mark=over-isp2 passthrough=no

די דיאַגראַמע טוט נישט ווייַזן NAT, אָבער איך טראַכטן אַלץ איז קלאָר.

מולטיוואַן און אַוטבאַונד קאַנעקשאַנז

איר קענען נוצן די PBR קייפּאַבילאַטיז צו שאַפֿן קייפל וופּן (SSTP אין דעם בייַשפּיל) קאַנעקשאַנז פון פאַרשידענע ראַוטער ינטערפייסיז.

נאָך רוטינג טישן:

/ip route
add dst-address=0.0.0.0/0 gateway=192.168.100.1 routing-mark=over-isp1
add dst-address=0.0.0.0/0 gateway=192.168.200.1 routing-mark=over-isp2
add dst-address=0.0.0.0/0 gateway=192.168.0.1 routing-mark=over-isp3

add dst-address=0.0.0.0/0 gateway=192.168.100.1 distance=1
add dst-address=0.0.0.0/0 gateway=192.168.200.1 distance=2
add dst-address=0.0.0.0/0 gateway=192.168.0.1 distance=3

פּעקל מאַרקס:

/ip firewall mangle
add chain=output dst-address=10.10.10.100 proto=tcp dst-port=443 action=mark-routing new-routing-mark=over-isp1 passtrough=no
add chain=output dst-address=10.10.10.101 proto=tcp dst-port=443 action=mark-routing new-routing-mark=over-isp2 passtrough=no
add chain=output dst-address=10.10.10.102 proto=tcp dst-port=443 action=mark-routing new-routing-mark=over-isp3 passtrough=no

פּשוט NAT כּללים, אַנדערש די פּאַקאַט וועט לאָזן די צובינד מיט דעם אומרעכט Src. אַדרעס:

/ip firewall nat
add chain=srcnat out-interface=ether1 action=masquerade
add chain=srcnat out-interface=ether2 action=masquerade
add chain=srcnat out-interface=ether3 action=masquerade

פּאַרסינג:

• ראַוטער קריייץ דריי SSTP פּראַסעסאַז
• אין דער בינע פון ​​רוטינג באַשלוס (2), אַ מאַרשרוט איז אויסגעקליבן פֿאַר די פּראַסעסאַז באזירט אויף די הויפּט רוטינג טיש. פֿון דער זעלביקער מאַרשרוט, די פּאַקאַט נעמט Src. אַדרעס געבונדן צו ether1 צובינד
• В [Output|Mangle] פּאַקיץ פון פאַרשידענע קאַנעקשאַנז באַקומען פאַרשידענע לאַבעלס
• פּאַקיץ אַרייַן די טישן קאָראַספּאַנדינג צו די לאַבעלס אין די רוטינג אַדזשאַסטמאַנט בינע און באַקומען אַ נייַע מאַרשרוט פֿאַר שיקן פּאַקיץ
• אָבער פּאַקאַדזשאַז נאָך האָבן Src. אַדרעס פון ether1, אויף בינע [Nat|Srcnat] די אַדרעס איז סאַבסטאַטוטאַד לויט די צובינד

ינטערעסטינגלי, אויף די ראַוטער איר וועט זען די פאלגענדע קשר טיש:

קאַנעקשאַן טראַקער אַרבעט פריער [Mangle] и [Srcnat], אַזוי אַלע קאַנעקשאַנז קומען פון די זעלבע אַדרעס, אויב איר קוק אין מער דעטאַל, דעמאָלט אין Replay Dst. Address עס וועט זיין אַדרעסעס נאָך NAT:

אויף די VPN סערווער (איך האָבן איין אויף די פּראָבע באַנק), איר קענען זען אַז אַלע קאַנעקשאַנז קומען פֿון די ריכטיק אַדרעסעס:

וואַרטן אַ וועג
עס איז אַ גרינגער וועג, איר קענען פשוט ספּעציפיצירן אַ ספּעציפיש גייטוויי פֿאַר יעדער פון די אַדרעסעס:

/ip route
add dst-address=10.10.10.100 gateway=192.168.100.1
add dst-address=10.10.10.101 gateway=192.168.200.1
add dst-address=10.10.10.102 gateway=192.168.0.1

אבער אַזאַ רוץ וועט ווירקן ניט בלויז אַוטגאָוינג אָבער אויך דורכפאָר פאַרקער. פּלוס, אויב איר טאָן ניט דאַרפֿן פאַרקער צו די וופּן סערווער צו גיין דורך ינאַפּראָופּרייט קאָמוניקאַציע טשאַנאַלז, איר וועט האָבן צו לייגן 6 מער כּללים. [IP]->[Routes]с type=blackhole. אין די פריערדיקע ווערסיע - 3 כּללים אין [IP]->[Route]->[Rules].

פאַרשפּרייטונג פון באַניצער קאַנעקשאַנז דורך קאָמוניקאַציע טשאַנאַלז

פּשוט, וואָכעדיק טאַסקס. ווידער, נאָך רוטינג טישן וועט זיין דארף:

/ip route
add dst-address=0.0.0.0/0 gateway=10.10.10.1 dist=1 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=10.20.20.1 dist=2 check-gateway=ping

add dst-address=0.0.0.0/0 gateway=10.10.10.1 dist=1 routing-mark=over-isp1
add dst-address=0.0.0.0/0 gateway=10.20.20.1 dist=1 routing-mark=over-isp2

ניצן [IP]->[Route]->[Rules]

/ip route rules
add src-address=192.168.100.0/25 action=lookup-only-in-table table=over-isp1
add src-address=192.168.100.128/25 action=lookup-only-in-table table=over-isp2

אויב נוצן action=lookup, דעמאָלט ווען איינער פון די טשאַנאַלז איז פאַרקריפּלט, דער פאַרקער וועט גיין צו די הויפּט טיש און גיין דורך די אַרבעט קאַנאַל. צי דאָס איז נייטיק אָדער ניט דעפּענדס אויף די אַרבעט.

ניצן די מאַרקינגז אין [IP]->[Firewall]->[Mangle]
א פּשוט בייַשפּיל מיט רשימות פון IP אַדרעסעס. אין פּרינציפּ, כּמעט קיין באדינגונגען קענען זיין געוויינט. דער בלויז קייוויאַט פון Layer7, אפילו ווען פּערד מיט פֿאַרבינדונג לאַבעלס, עס קען ויסקומען אַז אַלץ אַרבעט ריכטיק, אָבער עטלעכע פון ​​די פאַרקער וועט נאָך גיין די אומרעכט וועג.

/ip firewall mangle
add chain=prerouting src-address-list=users-over-isp1 dst-address-type=!local action=mark-routing new-routing-mark=over-isp1
add chain=prerouting src-address-list=users-over-isp2 dst-address-type=!local action=mark-routing new-routing-mark=over-isp2

איר קענען "שלאָס" ניצערס אין איין רוטינג טיש דורך [IP]->[Route]->[Rules]:

/ip route rules
add routing-mark=over-isp1 action=lookup-only-in-table table=over-isp1
add routing-mark=over-isp2 action=lookup-only-in-table table=over-isp2

אָדער דורך [IP]->[Firewall]->[Filter]:

/ip firewall filter
add chain=forward routing-mark=over-isp1 out-interface=!ether1 action=reject
add chain=forward routing-mark=over-isp2 out-interface=!ether2 action=reject

רעטרעאַט פּראָ dst-address-type=!local
נאָך צושטאַנד dst-address-type=!local עס איז נייטיק אַז פאַרקער פון ניצערס דערגרייכן די היגע פּראַסעסאַז פון די ראַוטער (dns, winbox, ssh, ...). אויב עטלעכע היגע סובנעץ זענען קאָננעקטעד צו די ראַוטער, עס איז נייטיק צו ענשור אַז דער פאַרקער צווישן זיי טוט נישט גיין צו די אינטערנעט, למשל, ניצן dst-address-table.

אין דעם בייַשפּיל ניצן [IP]->[Route]->[Rules] עס זענען ניט אַזאַ אויסנעמען, אָבער פאַרקער ריטשאַז היגע פּראַסעסאַז. דער פאַקט איז אַז איר באַקומען אין די FIB פּעקל אנגעצייכנט אין [PREROUTING|Mangle] האט אַ מאַרשרוט פירמע און גייט אין אַ רוטינג טיש אנדערע ווי הויפּט, ווו עס איז קיין היגע צובינד. אין דעם פאַל פון רוטינג רולעס, ערשטער עס איז אָפּגעשטעלט צי די פּאַקאַט איז בדעה פֿאַר אַ היגע פּראָצעס און בלויז אין דער באַניצער PBR בינע גייט עס צו די ספּעסיפיעד רוטינג טיש.

ניצן [IP]->[Firewall]->[Mangle action=route]
דער קאַמף אַרבעט בלויז אין [Prerouting|Mangle] און אַלאַוז איר צו פירן פאַרקער צו די ספּעסיפיעד גייטוויי אָן ניצן נאָך רוטינג טישן, דורך ספּעציפיצירן די גייטוויי אַדרעס גלייַך:

/ip firewall mangle
add chain=prerouting src-address=192.168.100.0/25 action=route gateway=10.10.10.1
add chain=prerouting src-address=192.168.128.0/25 action=route gateway=10.20.20.1

קאַמף route האט אַ נידעריקער בילכערקייַט ווי רוטינג כּללים ([IP]->[Route]->[Rules]). אין דעם פאַל פון מאַרשרוט מאַרקס, אַלץ דעפּענדס אויף די שטעלע פון ​​די כּללים, אויב די הערשן מיט action=route ווערט מער ווי action=mark-route, דעמאָלט עס וועט זיין געוויינט (ראַגאַרדלאַס פון די פאָן passtrough), אַנדערש מאַרקינג די מאַרשרוט.
עס איז זייער קליין אינפֿאָרמאַציע אויף די וויקי וועגן דעם קאַמף און אַלע קאַנקלוזשאַנז זענען באקומען יקספּערמענאַלי, אין קיין פאַל, איך האט נישט געפֿינען אָפּציעס ווען ניצן דעם אָפּציע גיט אַדוואַנטידזשיז איבער אנדערע.

דינאַמיש באַלאַנסינג באזירט אויף פּפּק

פּער קאַנעקשאַן קלאַססיפיער - איז אַ מער פלעקסאַבאַל אַנאַלאָג פון ECMP. ניט ענלעך ECMP, עס דיוויידז פאַרקער דורך קאַנעקשאַנז מער שטרענג (ECMP ווייסט גאָרנישט וועגן קאַנעקשאַנז, אָבער ווען פּערד מיט רוטינג קאַש, עפּעס ענלעך איז באקומען).

PCC נעמט ספּעסאַפייד פעלדער פון די IP כעדער, קאַנווערץ זיי צו אַ 32-ביסל ווערט, און דיוויידז דורך דענאָמינאַטאָר. די רעשט פון די אָפּטייל איז קאַמפּערד מיט די ספּעסיפיעד רעשט און אויב זיי גלייַכן, די ספּעסיפיעד קאַמף איז געווענדט. מער. סאָונדס מעשוגע, אָבער עס אַרבעט.

ביישפּיל מיט דריי אַדרעסעס:

192.168.100.10: 192+168+100+10 = 470 % 3 = 2
192.168.100.11: 192+168+100+11 = 471 % 3 = 0
192.168.100.12: 192+168+100+12 = 472 % 3 = 1

אַ ביישפּיל פון דינאַמיש פאַרשפּרייטונג פון פאַרקער דורך src.address צווישן דריי טשאַנאַלז:

#Таблица маршрутизации
/ip route
add dst-address=0.0.0.0/0 gateway=10.10.10.1 dist=1 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=10.20.20.1 dist=2 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=10.30.30.1 dist=3 check-gateway=ping

add dst-address=0.0.0.0/0 gateway=10.10.10.1 dist=1 routing-mark=over-isp1
add dst-address=0.0.0.0/0 gateway=10.20.20.1 dist=1 routing-mark=over-isp2
add dst-address=0.0.0.0/0 gateway=10.30.30.1 dist=1 routing-mark=over-isp3

#Маркировка соединений и маршрутов
/ip firewall mangle
add chain=prerouting in-interface=br-lan dst-address-type=!local connection-state=new per-connection-classifier=src-address:3/0 action=mark-connection new-connection-mark=conn-over-isp1
add chain=prerouting in-interface=br-lan dst-address-type=!local connection-state=new per-connection-classifier=src-address:3/1 action=mark-connection new-connection-mark=conn-over-isp2
add chain=prerouting in-interface=br-lan dst-address-type=!local connection-state=new per-connection-classifier=src-address:3/2 action=mark-connection new-connection-mark=conn-over-isp3

add chain=prerouting in-interface=br-lan connection-mark=conn-over-isp1 action=mark-routing new-routing-mark=over-isp1
add chain=prerouting in-interface=br-lan connection-mark=conn-over-isp2 action=mark-routing new-routing-mark=over-isp2
add chain=prerouting in-interface=br-lan connection-mark=conn-over-isp3 action=mark-routing new-routing-mark=over-isp3

ווען מאַרקינג רוץ, עס איז אַן נאָך צושטאַנד: in-interface=br-lan, אן עס אונטער action=mark-routing ענטפער פאַרקער פון די אינטערנעט וועט באַקומען און, אין לויט מיט די רוטינג טישן, וועט גיין צוריק צו דער שפּייַזער.

באַשטימען קאָמוניקאַציע טשאַנאַלז

טשעק פּינג איז אַ גוט געצייַג, אָבער עס נאָר טשעק די פֿאַרבינדונג מיט די ניראַסט IP ייַנקוקנ, פּראַוויידער נעטוואָרקס יוזשאַוואַלי צונויפשטעלנ זיך פון אַ גרויס נומער פון ראָוטערס און אַ קשר ברעכן קען פּאַסירן אַרויס די ניראַסט ייַנקוקנ, און עס זענען באַקבאָון טעלעקאָם אָפּערייטערז וואָס קען אויך האָבן פּראָבלעמס, אין אַלגעמיין, טשעק פּינג טוט נישט שטענדיק ווייַזן אַרויף-צו-טאָג אינפֿאָרמאַציע וועגן אַקסעס צו די גלאבאלע נעץ.
אויב פּראַוויידערז און גרויס קאָרפּעריישאַנז האָבן די BGP דינאַמיש רוטינג פּראָטאָקאָל, היים און אָפיס ניצערס מוזן ינדיפּענדאַנטלי רעכענען אויס ווי צו קאָנטראָלירן אינטערנעט אַקסעס דורך אַ ספּעציפיש קאָמוניקאַציע קאַנאַל.

טיפּיקאַללי, סקריפּס זענען געניצט וואָס, דורך אַ זיכער קאָמוניקאַציע קאַנאַל, קאָנטראָלירן די אַוויילאַבילאַטי פון אַן יפּ אַדרעס אויף דער אינטערנעץ, בשעת טשוזינג עפּעס פאַרלאָזלעך, למשל, Google dns: 8.8.8.8. 8.8.4.4. אבער אין די מיקראָטיק קהל, אַ מער טשיקאַווע געצייַג איז צוגעפאסט פֿאַר דעם.

עטלעכע ווערטער וועגן רעקורסיווע רוטינג
רעקורסיווע רוטינג איז נייטיק ווען איר בויען Multihop BGP פּירינג און באַקומען אין דעם אַרטיקל וועגן די באַסיקס פון סטאַטיק רוטינג בלויז רעכט צו כיטרע מיקראָטיק יוזערז וואָס האָבן געפֿונען ווי צו נוצן רעקורסיווע רוץ פּערד מיט טשעק גייטוויי צו באַשטימען קאָמוניקאַציע טשאַנאַלז אָן נאָך סקריפּס.

עס איז צייט צו פֿאַרשטיין די אָפּציעס פֿאַר פאַרנעם / ציל פאַרנעם אין אַלגעמיין טערמינען און ווי דער מאַרשרוט איז געבונדן צו די צובינד:

1. דער מאַרשרוט קוקט אַ צובינד צו שיקן די פּאַקאַט באזירט אויף זיין פאַרנעם ווערט און אַלע איינסן אין די הויפּט טיש מיט ווייניקער ווי אָדער גלייַך ציל פאַרנעם וואַלועס
2. פֿון די געפֿונען ינטערפייסיז, דער איינער דורך וואָס איר קענען שיקן אַ פּאַקאַט צו די ספּעסאַפייד גייטוויי איז אויסגעקליבן
3. די צובינד פון די געפֿונען קאָננעקטעד פּאָזיציע איז אויסגעקליבן צו שיקן די פּאַקאַט צו די גייטוויי

אין דעם בייַזייַן פון אַ רעקורסיווע מאַרשרוט, אַלץ כאַפּאַנז די זעלבע, אָבער אין צוויי סטאַגעס:

• 1-3 איינער מער מאַרשרוט איז מוסיף צו די פארבונדן רוץ, דורך וואָס די ספּעסיפיעד גייטוויי קענען זיין ריטשט
• 4-6 געפֿינען די מאַרשרוט פארבונדן מאַרשרוט פֿאַר די "ינטערמידייט" גייטוויי

אַלע מאַניפּיאַליישאַנז מיט די רעקורסיווע זוכן פאַלן אין די RIB, און בלויז די לעצט רעזולטאַט איז טראַנספערד צו די FIB: 0.0.0.0/0 via 10.10.10.1 on ether1.

א ביישפּיל פון ניצן רעקורסיווע רוטינג צו באַשטימען רוץ

קאַנפיגיעריישאַן:

/ip route
add dst-address=0.0.0.0/0 gateway=8.8.8.8 check-gateway=ping distance=1 target-scope=10
add dst-address=8.8.8.8 gateway=10.10.10.1 scope=10
add dst-address=0.0.0.0/0 gateway=10.20.20.1 distance=2

איר קענען קאָנטראָלירן אַז פּאַקיץ וועט זיין געשיקט צו 10.10.10.1:

טשעק גייטוויי ווייסט גאָרנישט וועגן רעקורסיווע רוטינג און פשוט סענדז פּינגס צו 8.8.8.8, וואָס (באזירט אויף די הויפּט טיש) איז צוטריטלעך דורך גייטוויי 10.10.10.1.

אויב עס איז אַ אָנווער פון קאָמוניקאַציע צווישן 10.10.10.1 און 8.8.8.8, דער מאַרשרוט איז דיסקאַנעקטיד, אָבער פּאַקיץ (אַרייַנגערעכנט פּרובירן פּינגס) צו 8.8.8.8 פאָרזעצן צו גיין דורך 10.10.10.1:

אויב די לינק צו ether1 איז פאַרפאַלן, אַ פּריקרע סיטואַציע אַקערז ווען פּאַקיץ איידער 8.8.8.8 גיין דורך די רגע שפּייַזער:

דאָס איז אַ פּראָבלעם אויב איר נוצן NetWatch צו לויפן סקריפּס ווען 8.8.8.8 איז ניט בנימצא. אויב די לינק איז צעבראכן, NetWatch וועט פשוט אַרבעטן דורך די באַקאַפּ קאָמוניקאַציע קאַנאַל און יבערנעמען אַז אַלץ איז גוט. סאַלווד דורך אַדינג אַן נאָך פילטער מאַרשרוט:

/ip route
add dst-address=8.8.8.8 gateway=10.20.20.1 distance=100 type=blackhole

עס איז אויף כאַברע אַרטיקל, ווו די סיטואַציע מיט NetWatch איז באַטראַכט אין מער דעטאַל.

און יאָ, ווען ניצן אַזאַ אַ רעזערוואַציע, די אַדרעס 8.8.8.8 וועט זיין כאַרדווייערד צו איינער פון די פּראַוויידערז, אַזוי טשוזינג עס ווי אַ דנס מקור איז נישט אַ גוט געדאַנק.

עטלעכע ווערטער וועגן ווירטואַל רוטינג און פאָרווערדינג (VRF)

VRF טעכנאָלאָגיע איז דיזיינד צו שאַפֿן עטלעכע ווירטואַל ראָוטערס אין איין פיזיש, די טעכנאָלאָגיע איז וויידלי געניצט דורך טעלעקאָם אָפּערייטערז (יוזשאַוואַלי אין קאַנדזשאַנגקשאַן מיט MPLS) צו צושטעלן L3VPN באַדינונגס צו קלייאַנץ מיט אָוווערלאַפּינג סובנעט אַדרעסעס:

אָבער VRF אין מיקראָטיק איז אָרגאַניזירט אויף דער באזע פון ​​רוטינג טישן און האט אַ נומער פון דיסאַדוואַנטידזשיז, פֿאַר בייַשפּיל, היגע IP אַדרעסעס פון די ראַוטער זענען בנימצא פון אַלע VRFs, איר קענען לייענען מער по ссылке.

vrf קאַנפיגיעריישאַן בייַשפּיל:

/ip route vrf
add interfaces=ether1 routing-mark=vrf1
add interfaces=ether2 routing-mark=vrf2

/ip address
add address=192.168.100.1/24 interface=ether1 network=192.168.100.0
add address=192.168.200.1/24 interface=ether2 network=192.168.200.0

פֿון די מיטל קאָננעקטעד צו ether2, מיר זען אַז פּינג גייט צו די ראַוטער אַדרעס פֿון אן אנדער וורף (און דאָס איז אַ פּראָבלעם), בשעת פּינג גייט נישט צו די אינטערנעט:

צו אַקסעס די אינטערנעט, איר דאַרפֿן צו רעגיסטרירן אַן נאָך מאַרשרוט וואָס אַקסעס די הויפּט טיש (אין vrf טערמינאָלאָגיע, דאָס איז גערופן מאַרשרוט ליקינג):

/ip route
add distance=1 gateway=172.17.0.1@main routing-mark=vrf1
add distance=1 gateway=172.17.0.1%wlan1 routing-mark=vrf2

דאָ זענען צוויי וועגן פון מאַרשרוט ליקינג: ניצן די רוטינג טיש: 172.17.0.1@main און ניצן צובינד נאָמען: 172.17.0.1%wlan1.

און שטעלן אַרויף מאַרקינג פֿאַר צוריקקומען פאַרקער אין [PREROUTING|Mangle]:

/ip firewall mangle
add chain=prerouting in-interface=ether1 action=mark-connection new-connection-mark=from-vrf1 passthrough=no
add chain=prerouting connection-mark=from-vrf1 routing-mark=!vrf1 action=mark-routing new-routing-mark=vrf1 passthrough=no 
add chain=prerouting in-interface=ether2 action=mark-connection new-connection-mark=from-vrf2 passthrough=no
add chain=prerouting connection-mark=from-vrf2 routing-mark=!vrf1 action=mark-routing new-routing-mark=vrf2 passthrough=no 

סובנעץ מיט די זעלבע אַדרעס
אָרגאַניזאַציע פון ​​אַקסעס צו סובנעץ מיט דער זעלביקער אַדרעסינג אויף דער זעלביקער ראַוטער ניצן VRF און נעטמאַפּ:

יקערדיק קאַנפיגיעריישאַן:

/ip route vrf
add interfaces=ether1 routing-mark=vrf1
add interfaces=ether2 routing-mark=vrf2

/ip address
add address=192.168.100.1/24 interface=ether1 network=192.168.100.0
add address=192.168.100.1/24 interface=ether2 network=192.168.100.0
add address=192.168.0.1/24 interface=ether3 network=192.168.0.0

פירעוואַלל כּללים:

#Маркируем пакеты для отправки в правильную таблицу маршрутизации
/ip firewall mangle
add chain=prerouting dst-address=192.168.101.0/24 in-interface=ether3 action=mark-routing new-routing-mark=vrf1 passthrough=no
add chain=prerouting dst-address=192.168.102.0/24 in-interface=ether3 action=mark-routing new-routing-mark=vrf2 passthrough=no

#Средствами netmap заменяем адреса "эфимерных" подсетей на реальные подсети
/ip firewall nat
add chain=dstnat dst-address=192.168.101.0/24 in-interface=ether3 action=netmap to-addresses=192.168.100.0/24
add chain=dstnat dst-address=192.168.102.0/24 in-interface=ether3 action=netmap to-addresses=192.168.100.0/24

רוטינג כּללים פֿאַר צוריקקומען פאַרקער:

#Указание имени интерфейса тоже может считаться route leaking, но по сути тут создается аналог connected маршрута
/ip route
add distance=1 dst-address=192.168.0.0/24 gateway=ether3 routing-mark=vrf1
add distance=1 dst-address=192.168.0.0/24 gateway=ether3 routing-mark=vrf2

אַדינג רוץ באקומען דורך dhcp צו אַ געגעבן רוטינג טיש
VRF קען זיין טשיקאַווע אויב איר דאַרפֿן צו אויטאָמאַטיש לייגן אַ דינאַמיש מאַרשרוט (למשל פֿון אַ dhcp קליענט) צו אַ ספּעציפיש רוטינג טיש.

אַדינג צובינד צו vrf:

/ip route vrf
add interface=ether1 routing-mark=over-isp1

כּללים פֿאַר שיקט פאַרקער (אַוטגאָוינג און דורכפאָר) דורך די טיש over-isp1:

/ip firewall mangle
add chain=output out-interface=!br-lan action=mark-routing new-routing-mark=over-isp1 passthrough=no
add chain=prerouting in-interface=br-lan dst-address-type=!local action=mark-routing new-routing-mark=over-isp1 passthrough=no

נאָך שווינדל מאַרשרוט פֿאַר אַוטבאַונד רוטינג צו אַרבעטן:

/interface bridge
add name=bare

/ip route
add dst-address=0.0.0.0/0 gateway=bare

דער מאַרשרוט איז נאָר דארף אַזוי אַז היגע אַוטגאָוינג פּאַקיץ קענען פאָרן דורך די רוטינג באַשלוס (2) פריער [OUTPUT|Mangle] און באַקומען די רוטינג פירמע, אויב עס זענען אנדערע אַקטיוו רוץ אויף די ראַוטער איידער 0.0.0.0/0 אין די הויפּט טיש, עס איז נישט פארלאנגט.

קייטן connected-in и dynamic-in в [Routing] -> [Filters]

רוט פֿילטרירונג (ינבאַונד און אַוטבאַונד) איז אַ געצייַג וואָס איז יוזשאַוואַלי געניצט אין קאַנדזשאַנגקשאַן מיט דינאַמיש רוטינג פּראָטאָקאָלס (און דעריבער בלויז בנימצא נאָך ינסטאָלינג די פּעקל) רוטינג), אָבער עס זענען צוויי טשיקאַווע קייטן אין די ינקאַמינג פילטערס:

• קאָננעקטעד-אין - פילטערינג פארבונדן רוץ
• דינאַמיש-אין - פילטערינג דינאַמיש רוץ באקומען דורך PPP און DCHP

פֿילטרירונג אַלאַוז איר צו נישט בלויז אַוועקוואַרפן רוץ, אָבער אויך טוישן אַ נומער פון אָפּציעס: דיסטאַנסע, רוטינג-מאַרק, באַמערקונג, פאַרנעם, ציל פאַרנעם, ...

דאָס איז אַ זייער גענוי געצייַג און אויב איר קענען טאָן עפּעס אָן רוטינג פילטערס (אָבער נישט סקריפּס), טאָן ניט נוצן רוטינג פילטערס, טאָן ניט צעמישן זיך און די וואס וועלן קאַנפיגיער די ראַוטער נאָך איר. אין דעם קאָנטעקסט פון דינאַמיש רוטינג, רוטינג פילטערס וועט זיין געוויינט פיל מער אָפט און מער פּראָדוקטיוו.

באַשטעטיקן די רוטינג מארק פֿאַר דינאַמיש ראָוטעס
א ביישפּיל פון אַ היים ראַוטער. איך האָבן צוויי VPN קאַנעקשאַנז קאַנפיגיערד און די פאַרקער אין זיי זאָל זיין אלנגעוויקלט אין לויט מיט די רוטינג טישן. אין דער זעלביקער צייט, איך ווילן די רוץ צו זיין באשאפן אויטאָמאַטיש ווען די צובינד איז אַקטיווייטיד:

#При создании vpn подключений указываем создание default route и задаем дистанцию
/interface pptp-client
add connect-to=X.X.X.X add-default-route=yes default-route-distance=101 ...
add connect-to=Y.Y.Y.Y  add-default-route=yes default-route-distance=100 ...

#Фильтрами отправляем маршруты в определенные таблицы маршрутизации на основе подсети назначения и дистанции
/routing filter
add chain=dynamic-in distance=100 prefix=0.0.0.0/0 action=passthrough set-routing-mark=over-vpn1
add chain=dynamic-in distance=101 prefix=0.0.0.0/0 action=passthrough set-routing-mark=over-vpn2

איך טאָן ניט וויסן וואָס, מיסטאָמע אַ זשוק, אָבער אויב איר מאַכן אַ VRF פֿאַר די פּפּפּ צובינד, דער מאַרשרוט צו 0.0.0.0/0 וועט נאָך באַקומען אין די הויפּט טיש. אַנדערש, אַלץ וואָלט זיין אפילו גרינגער.

דיסייבלינג קאָננעקטעד ראָוטעס
מאל דאָס איז פארלאנגט:

/route filter
add chain=connected-in prefix=192.168.100.0/24 action=reject

דיבאַגינג מכשירים

RouterOS גיט אַ נומער פון מכשירים פֿאַר דיבאַגינג רוטינג:

• [Tool]->[Tourch] - אַלאַוז איר צו זען פּאַקיץ אויף ינטערפייסיז
• /ip route check - אַלאַוז איר צו זען וואָס גייטוויי די פּאַקאַט וועט זיין געשיקט צו, טוט נישט אַרבעטן מיט רוטינג טישן
• /ping routing-table=<name> и /tool traceroute routing-table=<name> - פּינג און שפּור ניצן די ספּעסיפיעד רוטינג טיש
• action=log в [IP]->[Firewall] - אַ ויסגעצייכנט געצייַג וואָס אַלאַוז איר צו שפּור די דרך פון אַ פּאַקאַט צוזאמען די פּאַקאַט לויפן, דעם קאַמף איז בנימצא אין אַלע קייטן און טישן

מקור: www.habr.com