Ipa ọna jẹ ilana ti wiwa ọna ti o dara julọ fun gbigbe awọn apo-iwe lori awọn nẹtiwọki TCP/IP. Eyikeyi ẹrọ ti a ti sopọ si nẹtiwọki IPv4 ni ilana kan ati awọn tabili ipa-ọna.
Nkan yii kii ṣe HOWTO, o ṣe apejuwe ipa-ọna aimi ni RouterOS pẹlu awọn apẹẹrẹ, Mo mọọmọ yọkuro awọn eto iyokù (fun apẹẹrẹ, srcnat fun iraye si Intanẹẹti), nitorinaa oye ohun elo nilo ipele kan ti imọ ti awọn nẹtiwọọki ati RouterOS.
Yipada ati afisona
Yipada jẹ ilana ti paarọ awọn apo-iwe laarin apakan Layer2 kan (Ethernet, ppp, ...). Ti ẹrọ naa ba rii pe olugba ti apo-iwe naa wa lori subnet Ethernet kanna pẹlu rẹ, o kọ adiresi mac nipa lilo ilana arp ati gbe apo-iwe naa taara, titọpa olulana naa. Asopọmọra ppp (ojuami-si-ojuami) le ni awọn olukopa meji nikan ati pe soso naa ni a firanṣẹ nigbagbogbo si adirẹsi kan 0xff.
Ipa ọna jẹ ilana gbigbe awọn apo-iwe laarin awọn ipele Layer2. Ti ẹrọ kan ba fẹ lati fi soso kan ranṣẹ ti olugba rẹ wa ni ita apa Ethernet, o wo sinu tabili itọsọna rẹ ki o kọja apo-iwe naa si ẹnu-ọna, eyiti o mọ ibiti o ti fi apo-iwe ranṣẹ nigbamii (tabi o le ma mọ, olufiranṣẹ atilẹba ti apo-iwe naa. ko mọ eyi).
Ọna to rọọrun lati ronu ti olulana jẹ bi ẹrọ ti a ti sopọ si awọn ipele Layer2 meji tabi diẹ sii ati pe o lagbara lati kọja awọn apo-iwe laarin wọn nipa ṣiṣe ipinnu ọna ti o dara julọ lati tabili ipa-ọna.
Ti o ba loye ohun gbogbo, tabi o ti mọ tẹlẹ, lẹhinna ka siwaju. Fun awọn iyokù, Mo ṣeduro ni iyanju pe ki o mọ ara rẹ pẹlu kekere, ṣugbọn agbara pupọ .
Ipa ọna ni RouterOS ati PacketFlow
Fere gbogbo iṣẹ ṣiṣe ti o ni ibatan si ipa-ọna aimi wa ninu package eto. Apo olora afisona ọna ṣe afikun atilẹyin fun awọn algoridimu afisona ti o ni agbara (RIP, OSPF, BGP, MME), Awọn Ajọ ipa-ọna ati BFD.
Akojọ aṣayan akọkọ fun iṣeto ipa-ọna: [IP]->[Route]. Awọn ero eka le nilo awọn apo-iwe lati jẹ aami-ṣaaju pẹlu ami ipa-ọna ninu: [IP]->[Firewall]->[Mangle] (awọn ẹwọn PREROUTING и OUTPUT).
Awọn aaye mẹta wa lori PacketFlow nibiti a ti ṣe awọn ipinnu ipa ọna IP:
- Awọn apo-iwe ipa-ọna gba nipasẹ olulana. Ni ipele yii, o pinnu boya apo-iwe naa yoo lọ si ilana agbegbe tabi yoo firanṣẹ siwaju si nẹtiwọki. Awọn idii irekọja gba Atagba ti o wu wa
- Awọn apo-iwe ti njade ti agbegbe. Awọn apo-iwe ti njade gba Atagba ti o wu wa
- Igbese afisona afikun fun awọn apo-iwe ti njade, gba ọ laaye lati yi ipinnu ipa-ọna pada sinu
[Output|Mangle]
- Ọna soso ni awọn bulọọki 1, 2 da lori awọn ofin inu
[IP]->[Route] - Ọna soso ni awọn aaye 1, 2 ati 3 da lori awọn ofin inu
[IP]->[Route]->[Rules] - Ọna package ni awọn bulọọki 1, 3 le ni ipa nipa lilo
[IP]->[Firewall]->[Mangle]
RIB, FIB, Kaṣe afisona
Ipilẹ Alaye afisona
Ipilẹ eyiti a gba awọn ipa-ọna lati awọn ilana ipa-ọna ti o ni agbara, awọn ipa-ọna lati ppp ati dhcp, aimi ati awọn ipa-ọna asopọ. Ipamọ data yii ni gbogbo awọn ipa-ọna, ayafi awọn ti a ti yo nipasẹ alabojuto.
Ni ipo, a le ro pe [IP]->[Route] ifihan RIB.
Ipilẹ Alaye Ndari
Ipilẹ ninu eyiti awọn ipa-ọna ti o dara julọ lati RIB ti gba. Gbogbo awọn ipa-ọna ni FIB nṣiṣẹ ati pe wọn lo lati dari awọn apo-iwe. Ti ipa-ọna ba di aiṣiṣẹ (alaabo nipasẹ oluṣakoso (eto), tabi wiwo nipasẹ eyiti o yẹ ki o fi soso naa ranṣẹ ko ṣiṣẹ), a yọ ipa-ọna kuro ni FIB.
Lati ṣe ipinnu ipa-ọna, tabili FIB nlo alaye atẹle nipa apo IP kan:
- Adirẹsi orisun
- Adirẹsi nlo
- ni wiwo orisun
- Aami afisona
- ToS (DSCP)
Gbigba sinu package FIB lọ nipasẹ awọn ipele wọnyi:
- Ṣe package ti a pinnu fun ilana olulana agbegbe?
- Ṣe apo-iwe naa labẹ eto tabi awọn ofin PBR olumulo?
- Ti o ba jẹ bẹẹni, lẹhinna apo-iwe naa ni a firanṣẹ si tabili ipa-ọna ti a sọ
- Awọn soso ti wa ni rán si awọn ifilelẹ ti awọn tabili
Ni ipo, a le ro pe [IP]->[Route Active=yes] ifihan FIB.
Kaṣe afisona
Ilana caching ipa ọna. Olutọpa naa ranti ibiti a ti fi awọn apo-iwe ranṣẹ ati pe ti o ba wa iru (aigbekele lati asopọ kanna) o jẹ ki wọn lọ ni ọna kanna, laisi ṣayẹwo ni FIB. Kaṣe ipa-ọna jẹ imukuro lorekore.
Fun awọn alabojuto RouterOS, wọn ko ṣe awọn irinṣẹ fun wiwo ati ṣiṣakoso Kaṣe Routing, ṣugbọn nigbati o le jẹ alaabo ni [IP]->[Settings].
Ilana yii ti yọkuro lati ekuro linux 3.6, ṣugbọn RouterOS tun nlo ekuro 3.3.5, boya Routing cahce jẹ ọkan ninu awọn idi.
Ṣafikun ifọrọwerọ ipa ọna
[IP]->[Route]->[+]
- Subnet fun eyiti o fẹ ṣẹda ipa-ọna (aiyipada: 0.0.0.0/0)
- Ẹnu-ọna IP tabi wiwo si eyiti apo-iwe naa yoo firanṣẹ (ọpọlọpọ le wa, wo ECMP ni isalẹ)
- Ṣayẹwo Wiwa Gateway
- Igbasilẹ Igbasilẹ
- Ijinna (metric) fun ipa-ọna kan
- tabili afisona
- IP fun awọn apo-iwe ti njade ni agbegbe nipasẹ ọna yii
- Idi ti Dopin ati Ibi Ifojusi ni a kọ ni ipari nkan naa.
Awọn asia ọna
- X - Ọna naa jẹ alaabo nipasẹ alabojuto (
disabled=yes) - A - Awọn ipa ọna ti lo lati fi awọn apo-iwe ranṣẹ
- D - Ọna ti a ṣafikun ni agbara (BGP, OSPF, RIP, MME, PPP, DHCP, Sopọ)
- C - Subnet ti sopọ taara si olulana
- S - Aimi Route
- r,b,o,m - Ipa ọna ti a ṣafikun nipasẹ ọkan ninu awọn ilana ipa ọna ti o ni agbara
- B,U,P - ipa-ọna sisẹ (ju awọn apo-iwe silẹ dipo gbigbe)
Kini lati pato ni ẹnu-ọna: ip-adirẹsi tabi ni wiwo?
Awọn eto faye gba o lati pato awọn mejeeji, nigba ti o ko bura ati ki o ko fun tanilolobo ti o ba ti o ba ṣe nkankan ti ko tọ.
Adirẹsi IP
Adirẹsi ẹnu-ọna gbọdọ wa ni wiwọle lori Layer2. Fun Ethernet, eyi tumọ si pe olulana gbọdọ ni adirẹsi lati inu subnet kanna lori ọkan ninu awọn atọkun ip ti nṣiṣe lọwọ, fun ppp, pe adirẹsi ẹnu-ọna ti wa ni pato lori ọkan ninu awọn atọkun ti nṣiṣe lọwọ bi adirẹsi subnet.
Ti ipo iraye si fun Layer2 ko ba pade, ipa ọna naa ni a gba pe ko ṣiṣẹ ati pe ko ṣubu sinu FIB.
ni wiwo
Ohun gbogbo jẹ idiju diẹ sii ati ihuwasi ti olulana da lori iru wiwo:
- PPP (Async, PPTP, L2TP, SSTP, PPPoE, OpenVPN *) asopọ dawọle awọn olukopa meji nikan ati pe apo naa yoo firanṣẹ nigbagbogbo si ẹnu-ọna fun gbigbe, ti ẹnu-ọna ba rii pe olugba jẹ funrararẹ, lẹhinna o yoo gbe soso naa si ilana agbegbe rẹ.
- Ethernet dawọle niwaju ọpọlọpọ awọn olukopa ati pe yoo firanṣẹ awọn ibeere si wiwo arp pẹlu adirẹsi ti olugba ti apo, eyi ni a nireti ati ihuwasi deede fun awọn ọna asopọ.
Ṣugbọn nigbati o ba gbiyanju lati lo wiwo bi ipa-ọna fun subnet latọna jijin, iwọ yoo gba ipo atẹle: ipa-ọna naa nṣiṣẹ, ping si ẹnu-ọna ẹnu-ọna, ṣugbọn ko de ọdọ olugba lati inu subnet ti a ti sọ tẹlẹ. Ti o ba wo wiwo nipasẹ sniffer, iwọ yoo rii awọn ibeere arp pẹlu awọn adirẹsi lati inu subnet latọna jijin.
Gbiyanju lati pato awọn ip adirẹsi bi awọn ẹnu-ọna nigbakugba ti o ti ṣee. Iyatọ jẹ awọn ipa-ọna asopọ (ti a ṣẹda laifọwọyi) ati awọn atọkun PPP (Async, PPTP, L2TP, SSTP, PPPoE, OpenVPN*).
OpenVPN ko ni akọle PPP ninu, ṣugbọn o le lo orukọ wiwo OpenVPN lati ṣẹda ipa-ọna kan.
Diẹ Specific Route
Ofin afisona ipilẹ. Ọna ti o ṣe apejuwe subnet kekere (pẹlu iboju-boju subnet ti o tobi julọ) gba iṣaaju ni ipinnu ipa-ọna apo-iwe. Ipo ti awọn titẹ sii ni tabili ipa-ọna ko ṣe pataki si yiyan - ofin akọkọ jẹ Specific Diẹ sii.
Gbogbo awọn ipa-ọna lati ero ti a sọ pato ti nṣiṣe lọwọ (ti o wa ni FIB). ntoka si orisirisi subnets ati ki o ko rogbodiyan pẹlu kọọkan miiran.
Ti ọkan ninu awọn ẹnu-ọna ko ba si, ipa-ọna ti o somọ yoo jẹ pe ko ṣiṣẹ (yiyọ kuro ni FIB) ati pe awọn apo-iwe yoo wa lati awọn ipa-ọna to ku.
Awọn ipa-pẹlu subnet 0.0.0.0/0 ti wa ni ma fun pataki itumo ati ni a npe ni "Default Route" tabi "Gateway ti kẹhin ohun asegbeyin ti". Ni otitọ, ko si ohun idan ninu rẹ ati pe o ni pẹlu gbogbo awọn adirẹsi IPv4 ti o ṣeeṣe, ṣugbọn awọn orukọ wọnyi ṣe apejuwe iṣẹ-ṣiṣe rẹ daradara - o tọka si ẹnu-ọna ibiti o ti le firanṣẹ awọn apo-iwe fun eyiti ko si miiran, awọn ipa-ọna deede diẹ sii.
Iboju subnet ti o pọju ti o ṣeeṣe fun IPv4 jẹ / 32, ipa-ọna yii tọka si ogun kan pato ati pe o le ṣee lo ni tabili afisona.
Loye Oju-ọna Kan pato diẹ sii jẹ ipilẹ si eyikeyi ẹrọ TCP/IP.
ijinna
Awọn ijinna (tabi Metiriki) nilo fun sisẹ iṣakoso ti awọn ipa-ọna si subnet kan ṣoṣo ti o wa nipasẹ awọn ẹnu-ọna pupọ. Ọna kan pẹlu metiriki kekere ni a ka si pataki ati pe yoo wa ninu FIB. Ti ipa-ọna kan pẹlu metiriki kekere da duro lati ṣiṣẹ, lẹhinna yoo rọpo nipasẹ ipa-ọna pẹlu metric ti o ga julọ ni FIB.
Ti awọn ọna pupọ ba wa si subnet kanna pẹlu metiriki kanna, olulana yoo ṣafikun ọkan ninu wọn si tabili FIB, ni itọsọna nipasẹ ọgbọn inu rẹ.
Metiriki le gba iye kan lati 0 si 255:
- 0 - Metiriki fun awọn ọna asopọ. Ijinna 0 ko le ṣeto nipasẹ alabojuto
- 1-254 - Awọn wiwọn ti o wa fun alabojuto fun eto awọn ipa-ọna. Awọn wiwọn pẹlu iye kekere ni pataki ti o ga julọ
- 255 - Metiriki ti o wa fun olutọju fun eto awọn ipa-ọna. Ko dabi 1-254, ipa-ọna kan pẹlu metiriki ti 255 nigbagbogbo wa ni aiṣiṣẹ ati pe ko ṣubu sinu FIB
- kan pato metiriki. Awọn ipa-ọna ti o wa lati awọn ilana ipa ọna ti o ni agbara ni awọn iye metric boṣewa
ṣayẹwo ẹnu-ọna
Ṣayẹwo ẹnu-ọna jẹ itẹsiwaju MikroTik RoutesOS fun ṣiṣe ayẹwo wiwa ti ẹnu-ọna nipasẹ icmp tabi arp. Ni ẹẹkan ni gbogbo iṣẹju-aaya 10 (ko le yipada), a firanṣẹ ibeere kan si ẹnu-ọna ẹnu-ọna, ti a ko ba gba esi lẹẹmeji, a gba ipa ọna ko si ati yọkuro lati FIB. Ti ẹnu-ọna ayẹwo ba ti di alaabo ọna ayẹwo yoo tẹsiwaju ati pe ipa-ọna naa yoo ṣiṣẹ lẹẹkansi lẹhin ayẹwo aṣeyọri kan.
Ṣayẹwo ẹnu-ọna npa titẹ sii ninu eyiti o ti tunto ati gbogbo awọn titẹ sii miiran (ni gbogbo awọn tabili ipa-ọna ati awọn ipa-ọna ecmp) pẹlu ẹnu-ọna pàtó kan.
Ni gbogbogbo, ṣayẹwo ẹnu-ọna ṣiṣẹ daradara niwọn igba ti ko si awọn iṣoro pẹlu pipadanu apo si ẹnu-ọna. Ṣayẹwo ẹnu-ọna ko mọ ohun ti n ṣẹlẹ pẹlu ibaraẹnisọrọ ni ita ẹnu-ọna ti a ṣayẹwo, eyi nilo awọn irinṣẹ afikun: awọn iwe afọwọkọ, ipa-ọna atunṣe, awọn ilana ipa-ọna ti o ni agbara.
Pupọ julọ VPN ati awọn ilana oju eefin ni awọn irinṣẹ ti a ṣe sinu fun ṣiṣayẹwo iṣẹ ṣiṣe asopọ, ṣiṣe ẹnu-ọna ayẹwo fun wọn jẹ afikun (ṣugbọn o kere pupọ) fifuye lori nẹtiwọọki ati iṣẹ ẹrọ.
Awọn ọna ECMP
Dogba-iye owo Olona-Path - fifiranṣẹ awọn apo-iwe si olugba ni lilo ọpọlọpọ awọn ẹnu-ọna nigbakanna ni lilo algorithm Round Robin.
Ona ECMP kan ti ṣẹda nipasẹ alabojuto nipa sisọ awọn ẹnu-ọna pupọ fun subnet kan (tabi laifọwọyi, ti awọn ipa-ọna OSPF deede meji ba wa).
A lo ECMP fun iwọntunwọnsi fifuye laarin awọn ikanni meji, ni imọran, ti awọn ikanni meji ba wa ni ọna ecmp, lẹhinna fun apo-iwe kọọkan ikanni ti njade yẹ ki o yatọ. Ṣugbọn ẹrọ kaṣe afisona firanṣẹ awọn apo-iwe lati ọna asopọ ni ọna ti apo-iwe akọkọ ti mu, bi abajade, a gba iru iwọntunwọnsi kan ti o da lori awọn asopọ (iwọntunwọnsi ikojọpọ-asopọ fun).
Ti o ba mu Cache Routing kuro, lẹhinna awọn apo-iwe ti o wa ni ọna ECMP yoo pin ni deede, ṣugbọn iṣoro kan wa pẹlu NAT. Awọn ilana ofin NAT nikan ni apo akọkọ lati asopọ (awọn iyokù ti wa ni ilọsiwaju laifọwọyi), ati pe o wa ni pe awọn apo-iwe ti o ni adirẹsi orisun kanna fi awọn atọkun oriṣiriṣi silẹ.
Ṣayẹwo ẹnu-ọna ko ṣiṣẹ ni awọn ipa-ọna ECMP (bug RouterOS). Ṣugbọn o le ni ayika aropin yii nipa ṣiṣẹda awọn ipa-ọna afọwọsi afikun ti yoo mu awọn titẹ sii ni ECMP kuro.
Sisẹ nipasẹ ọna ti afisona
Aṣayan Iru pinnu kini lati ṣe pẹlu package:
- unicast - firanṣẹ si ẹnu-ọna kan pato (ni wiwo)
- blackhole - jabọ a soso
- eewọ, ko le de ọdọ - sọ apo-iwe naa silẹ ki o fi ifiranṣẹ icmp ranṣẹ si olufiranṣẹ
Asẹ ni igbagbogbo lo nigbati o jẹ dandan lati ni aabo fifiranṣẹ awọn apo-iwe ni ọna ti ko tọ, nitorinaa, o le ṣe àlẹmọ eyi nipasẹ ogiriina.
A tọkọtaya ti apẹẹrẹ
Lati fese awọn ipilẹ ohun nipa afisona.
Aṣoju ile olulana
/ip route
add dst-address=0.0.0.0/0 gateway=10.10.10.1- Ona aimi si 0.0.0.0/0 (ona aipe)
- Ọna asopọ lori wiwo pẹlu olupese
- Ọna asopọ lori wiwo LAN
Aṣoju ile olulana pẹlu PPPoE
- Ipa ọna aimi si ipa ọna aiyipada, fi kun laifọwọyi. o ti wa ni pato ninu awọn ohun ini asopọ
- Ọna asopọ fun asopọ PPP
- Ọna asopọ lori wiwo LAN
Aṣoju ile olulana pẹlu awọn olupese meji ati apọju
/ip route
add dst-address=0.0.0.0/0 gateway=10.10.10.1 distance=1 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=10.20.20.1 distance=2- Ipa ọna aimi si ipa ọna aiyipada nipasẹ olupese akọkọ pẹlu metric 1 ati ayẹwo wiwa ẹnu-ọna
- Ipa ọna aimi si ipa ọna aiyipada nipasẹ olupese keji pẹlu metiriki 2
- Awọn ọna ti a ti sopọ
Ijabọ si 0.0.0.0/0 lọ nipasẹ 10.10.10.1 lakoko ti ẹnu-ọna yii wa, bibẹẹkọ o yipada si 10.20.20.1
Iru ero yii ni a le gba bi ifiṣura ikanni, ṣugbọn kii ṣe laisi awọn aapọn. Ti isinmi ba waye ni ita ẹnu-ọna olupese (fun apẹẹrẹ, inu nẹtiwọọki oniṣẹ), olulana rẹ kii yoo mọ nipa rẹ ati pe yoo tẹsiwaju lati ro ipa-ọna bi lọwọ.
Aṣoju ile olulana pẹlu meji olupese, apọju ati ECMP
/ip route
add dst-address=0.0.0.0/0 gateway=10.10.10.1 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=10.20.20.1 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=10.10.10.1,10.20.20.1 distance=1- Awọn ipa ọna aimi fun ṣiṣayẹwo ẹnu-ọna chack
- ECMP ọna
- Awọn ọna ti a ti sopọ
Awọn ipa-ọna lati ṣayẹwo jẹ buluu (awọ ti awọn ipa-ọna aiṣiṣẹ), ṣugbọn eyi ko dabaru pẹlu ẹnu-ọna ayẹwo. Ẹya ti o wa lọwọlọwọ (6.44) ti RoS n funni ni pataki ni aifọwọyi si ipa-ọna ECMP, ṣugbọn o dara lati ṣafikun awọn ipa-ọna idanwo si awọn tabili ipa-ọna miiran (aṣayan routing-mark)
Lori Speedtest ati awọn aaye miiran ti o jọra, kii yoo ni ilosoke iyara (ECMP pin awọn ijabọ nipasẹ awọn asopọ, kii ṣe nipasẹ awọn apo-iwe), ṣugbọn awọn ohun elo p2p yẹ ki o ṣe igbasilẹ yiyara.
Sisẹ nipasẹ ipa ọna
/ip route
add dst-address=0.0.0.0/0 gateway=10.10.10.1
add dst-address=192.168.200.0/24 gateway=10.30.30.1 distance=1
add dst-address=192.168.200.0/24 gateway=10.10.10.1 distance=2 type=blackhole- Ipa ọna aimi si ipa ọna aifọwọyi
- Ipa ọna aimi si 192.168.200.0/24 lori eefin ipip
- Idilọwọ ipa ọna aimi si 192.168.200.0/24 nipasẹ olulana ISP
Aṣayan sisẹ ninu eyiti ijabọ oju eefin kii yoo lọ si olulana olupese nigbati wiwo ipip jẹ alaabo. Iru siseto ti wa ni ṣọwọn beere, nitori o le ṣe ìdènà nipasẹ ogiriina.
Yipo afisona
Yipo ipa ọna – ipo kan nigbati soso kan nṣiṣẹ laarin awọn olulana ṣaaju ki ttl dopin. Nigbagbogbo o jẹ abajade ti aṣiṣe atunto, ni awọn nẹtiwọọki nla o ṣe itọju nipasẹ imuse ti awọn ilana ipa ọna ti o ni agbara, ni awọn kekere - pẹlu itọju.
O dabi iru eyi:
Apeere (o rọrun) ti bii o ṣe le gba abajade ti o jọra:
Apeere loop Routing kii ṣe lilo ti o wulo, ṣugbọn o fihan pe awọn onimọ-ọna ko ni imọran nipa tabili afisona aladugbo wọn.
Ipilẹ Ilana Ilana ati Awọn tabili Itọsọna Afikun
Nigbati o ba yan ipa ọna, olulana naa lo aaye kan nikan lati akọsori apo-iwe (Dst. Adirẹsi) - eyi jẹ ipa ọna ipilẹ. Ipa ọna ti o da lori awọn ipo miiran, gẹgẹbi adirẹsi orisun, iru ijabọ (ToS), iwọntunwọnsi laisi ECMP, jẹ ti Ilana Ipilẹ Afihan (PBR) ati lilo awọn tabili ipa-ọna afikun.
Diẹ Specific Route jẹ ofin yiyan ipa ọna akọkọ laarin tabili afisona.
Nipa aiyipada, gbogbo awọn ofin ipa-ọna ti wa ni afikun si tabili akọkọ. Alakoso le ṣẹda nọmba lainidii ti awọn tabili ipa-ọna afikun ati awọn apo-iwe ipa-ọna si wọn. Awọn ofin ni orisirisi awọn tabili ko rogbodiyan pẹlu kọọkan miiran. Ti package ko ba rii ofin ti o yẹ ninu tabili ti a sọ, yoo lọ si tabili akọkọ.
Apẹẹrẹ pẹlu pinpin nipasẹ Firewall:
- 192.168.100.10 -> 8.8.8.8
- Traffic lati 192.168.100.10 olubwon ike nipasẹ-isp1 в
[Prerouting|Mangle] - Ni ipele ipa ọna ninu tabili nipasẹ-isp1 n wa ọna kan si 8.8.8.8
- Route ri, ijabọ ti wa ni rán si ẹnu-ọna 10.10.10.1
- Traffic lati 192.168.100.10 olubwon ike nipasẹ-isp1 в
- 192.168.200.20 -> 8.8.8.8
- Traffic lati 192.168.200.20 olubwon ike nipasẹ-isp2 в
[Prerouting|Mangle] - Ni ipele ipa ọna ninu tabili nipasẹ-isp2 n wa ọna kan si 8.8.8.8
- Route ri, ijabọ ti wa ni rán si ẹnu-ọna 10.20.20.1
- Traffic lati 192.168.200.20 olubwon ike nipasẹ-isp2 в
- Ti ọkan ninu awọn ẹnu-ọna (10.10.10.1 tabi 10.20.20.1) ko ba si, lẹhinna soso naa yoo lọ si tabili akọkọ ati pe yoo wa ọna ti o yẹ nibẹ
Awọn ọrọ ọrọ-ọrọ
RouterOS ni awọn ọrọ asọye kan.
Nigbati o ba n ṣiṣẹ pẹlu awọn ofin [IP]->[Routes] tabili afisona jẹ itọkasi, botilẹjẹpe o ti kọ pe aami naa:
В [IP]->[Routes]->[Rule] ohun gbogbo tọ, ni ipo aami ni iṣe tabili:
Bii o ṣe le fi apo-iwe ranṣẹ si tabili ipa-ọna kan pato
RouterOS pese awọn irinṣẹ pupọ:
- Awọn ofin ni
[IP]->[Routes]->[Rules] - Awọn ami ipa ọna (
action=mark-routing) ninu[IP]->[Firewall]->[Mangle] - VRF
Awọn ofin [IP]->[Route]->[Rules]
Awọn ofin ti wa ni ilọsiwaju lẹsẹsẹ, ti apo-iwe ba baamu awọn ipo ti ofin, ko kọja siwaju.
Awọn ofin ipa-ọna gba ọ laaye lati faagun awọn aye ti ipa-ọna, gbigbele kii ṣe adirẹsi ibi-ajo nikan, ṣugbọn tun lori adirẹsi orisun ati wiwo lori eyiti o ti gba soso naa.
Awọn ofin ni awọn ipo ati iṣe:
- Awọn ipo. Ni iṣe tun ṣe atokọ ti awọn ami nipasẹ eyiti a ṣe ayẹwo package ni FIB, ToS nikan ni o nsọnu.
- Яействия
- wiwa - fi soso kan ranṣẹ si tabili kan
- Ṣiṣayẹwo nikan ni tabili - titiipa package ninu tabili, ti a ko ba rii ipa-ọna, package kii yoo lọ si tabili akọkọ
- silẹ - silẹ a soso
- ti ko le de ọdọ - sọ apo-iwe naa silẹ pẹlu ifitonileti olufiranṣẹ
Ni FIB, ijabọ si awọn ilana agbegbe ti wa ni ilọsiwaju nipasẹ awọn ofin [IP]->[Route]->[Rules]:
Siṣamisi [IP]->[Firewall]->[Mangle]
Awọn aami ipa ọna gba ọ laaye lati ṣeto ẹnu-ọna fun apo-iwe kan nipa lilo awọn ipo ogiriina eyikeyi:
Ni iṣe, nitori kii ṣe gbogbo wọn ni oye, ati diẹ ninu awọn le ṣiṣẹ lainidi.
Awọn ọna meji lo wa lati ṣe aami akojọpọ kan:
- Lẹsẹkẹsẹ fi ami afisona
- Fi akọkọ asopọ-ami, lẹhinna da lori asopọ-ami lati fi ami afisona
Ninu nkan kan nipa awọn ogiriina, Mo kowe pe aṣayan keji jẹ ayanfẹ. dinku fifuye lori Sipiyu, ninu ọran ti awọn ipa-ọna isamisi - eyi kii ṣe otitọ patapata. Awọn ọna isamisi wọnyi kii ṣe deede nigbagbogbo ati pe wọn lo nigbagbogbo lati yanju awọn iṣoro pupọ.
Awọn apẹẹrẹ ti lilo
Jẹ ki a lọ siwaju si awọn apẹẹrẹ ti lilo Ilana Ipilẹ Ilana, wọn rọrun pupọ lati ṣafihan idi ti gbogbo eyi ṣe nilo.
MultiWAN ati ipadabọ ti njade (O wu) ijabọ
Iṣoro ti o wọpọ pẹlu iṣeto ni MultiWAN: Mikrotik wa lati Intanẹẹti nikan nipasẹ olupese “lọwọ” kan.
Awọn olulana ko ni bikita ohun ip awọn ìbéèrè wá si, nigba ti o npese a esi, o yoo wa ọna kan ninu awọn afisona tabili ibi ti awọn ipa nipasẹ isp1 ti nṣiṣe lọwọ. Siwaju sii, iru apo-iwe bẹẹ yoo ṣeese julọ ni asẹ ni ọna si olugba.
Miiran awon ojuami. Ti orisun “rọrun” ba tunto lori wiwo ether1: /ip fi nat add out-interface=ether1 action=masquerade package yoo lọ lori ayelujara pẹlu src. adirẹsi = 10.10.10.100, eyi ti o mu ki ohun ani buru.
Awọn ọna pupọ lo wa lati ṣatunṣe iṣoro naa, ṣugbọn eyikeyi ninu wọn yoo nilo awọn tabili itọnisọna ni afikun:
/ip route
add dst-address=0.0.0.0/0 gateway=10.10.10.1 check-gateway=ping distance=1
add dst-address=0.0.0.0/0 gateway=10.20.20.1 check-gateway=ping distance=2
add dst-address=0.0.0.0/0 gateway=10.10.10.1 routing-mark=over-isp1
add dst-address=0.0.0.0/0 gateway=10.20.20.1 routing-mark=over-isp2Lo [IP]->[Route]->[Rules]
Pato tabili afisona ti yoo ṣee lo fun awọn apo-iwe pẹlu IP Orisun pàtó kan.
/ip route rule
add src-address=10.10.10.100/32 action=lookup-only-in-table table=over-isp1
add src-address=10.20.20.200/32 action=lookup-only-in-table table=over-isp2Le ṣee lo action=lookup, ṣugbọn fun ijabọ agbegbe ti njade, aṣayan yii yọkuro awọn asopọ patapata lati inu wiwo ti ko tọ.
- Eto naa ṣe agbejade idii esi pẹlu Src. adirẹsi: 10.20.20.200
- Awọn sọwedowo igbesẹ (2) Ipinnu ipa ọna
[IP]->[Routes]->[Rules]ati awọn soso ti wa ni rán si awọn afisona tabili lori-isp2 - Ni ibamu si awọn afisona tabili, awọn soso gbọdọ wa ni rán si ẹnu-ọna 10.20.20.1 nipasẹ ether2 ni wiwo
Ọna yii ko nilo Olutọpa Asopọmọra ti n ṣiṣẹ, ko dabi lilo tabili Mangle.
Lo [IP]->[Firewall]->[Mangle]
Isopọ naa bẹrẹ pẹlu apo ti nwọle, nitorinaa a samisi rẹ (action=mark-connection), fun awọn apo-iwe ti njade lati asopọ ti o samisi, ṣeto aami afisona (action=mark-routing).
/ip firewall mangle
#Маркировка входящих соединений
add chain=input in-interface=ether1 connection-state=new action=mark-connection new-connection-mark=from-isp1
add chain=input in-interface=ether2 connection-state=new action=mark-connection new-connection-mark=from-isp2
#Маркировка исходящих пакетов на основе соединений
add chain=output connection-mark=from-isp1 action=mark-routing new-routing-mark=over-isp1 passthrough=no
add chain=output connection-mark=from-isp2 action=mark-routing new-routing-mark=over-isp2 passthrough=noTi ọpọlọpọ awọn ip ba tunto lori wiwo kan, o le ṣafikun si ipo naa dst-address lati rii daju.
- A soso kan ṣii asopọ lori ether2 ni wiwo. Awọn package lọ sinu
[INPUT|Mangle]ti o wi lati samisi gbogbo awọn apo-iwe lati awọn asopọ bi lati-isp2 - Eto naa ṣe agbejade idii esi pẹlu Src. adirẹsi: 10.20.20.200
- Ni ipele Ipinnu Ipinnu (2), apo-iwe naa, ni ibamu pẹlu tabili itọnisọna, ti firanṣẹ si ẹnu-ọna 10.20.20.1 nipasẹ wiwo ether1. O le mọ daju eyi nipa wíwọlé awọn idii ni
[OUTPUT|Filter] - Ni ipele
[OUTPUT|Mangle]aami asopọ ti wa ni ẹnikeji lati-isp2 ati awọn soso gba a ipa ọna aami lori-isp2 - Atunse ipa ọna (3) sọwedowo fun wiwa ti aami afisona ati firanṣẹ si tabili itọsọna ti o yẹ
- Ni ibamu si awọn afisona tabili, awọn soso gbọdọ wa ni rán si ẹnu-ọna 10.20.20.1 nipasẹ ether2 ni wiwo
MultiWAN ati ki o pada dst-nat ijabọ
Apeere jẹ idiju diẹ sii, kini lati ṣe ti olupin ba wa (fun apẹẹrẹ, wẹẹbu) lẹhin olulana lori subnet ikọkọ ati pe o nilo lati pese iraye si nipasẹ eyikeyi awọn olupese.
/ip firewall nat
add chain=dstnat proto=tcp dst-port=80,443 in-interface=ether1 action=dst-nat to-address=192.168.100.100
add chain=dstnat proto=tcp dst-port=80,443 in-interface=ether2 action=dst-nat to-address=192.168.100.100Koko-ọrọ ti iṣoro naa yoo jẹ kanna, ojutu jẹ iru si aṣayan Mangle Firewall, awọn ẹwọn miiran nikan ni yoo lo:
/ip firewall mangle
add chain=prerouting connection-state=new in-interface=ether1 protocol=tcp dst-port=80,443 action=mark-connection new-connection-mark=web-input-isp1
add chain=prerouting connection-state=new in-interface=ether2 protocol=tcp dst-port=80,443 action=mark-connection new-connection-mark=web-input-isp2
add chain=prerouting connection-mark=web-input-isp1 in-interface=ether3 action=mark-routing new-routing-mark=over-isp1 passthrough=no
add chain=prerouting connection-mark=web-input-isp2 in-interface=ether3 action=mark-routing new-routing-mark=over-isp2 passthrough=no
Aworan naa ko ṣe afihan NAT, ṣugbọn Mo ro pe ohun gbogbo jẹ kedere.
MultiWAN ati awọn asopọ ti njade
O le lo awọn agbara PBR lati ṣẹda ọpọlọpọ vpn (SSTP ninu apẹẹrẹ) awọn asopọ lati oriṣiriṣi awọn atọkun olulana.
Awọn tabili ipa ọna afikun:
/ip route
add dst-address=0.0.0.0/0 gateway=192.168.100.1 routing-mark=over-isp1
add dst-address=0.0.0.0/0 gateway=192.168.200.1 routing-mark=over-isp2
add dst-address=0.0.0.0/0 gateway=192.168.0.1 routing-mark=over-isp3
add dst-address=0.0.0.0/0 gateway=192.168.100.1 distance=1
add dst-address=0.0.0.0/0 gateway=192.168.200.1 distance=2
add dst-address=0.0.0.0/0 gateway=192.168.0.1 distance=3Awọn aami idii:
/ip firewall mangle
add chain=output dst-address=10.10.10.100 proto=tcp dst-port=443 action=mark-routing new-routing-mark=over-isp1 passtrough=no
add chain=output dst-address=10.10.10.101 proto=tcp dst-port=443 action=mark-routing new-routing-mark=over-isp2 passtrough=no
add chain=output dst-address=10.10.10.102 proto=tcp dst-port=443 action=mark-routing new-routing-mark=over-isp3 passtrough=noAwọn ofin NAT ti o rọrun, bibẹẹkọ soso naa yoo lọ kuro ni wiwo pẹlu Src ti ko tọ. adirẹsi:
/ip firewall nat
add chain=srcnat out-interface=ether1 action=masquerade
add chain=srcnat out-interface=ether2 action=masquerade
add chain=srcnat out-interface=ether3 action=masqueradeParsing:
- Olulana ṣẹda awọn ilana SSTP mẹta
- Ni ipele Ipinnu Ipa ọna (2), a yan ipa-ọna fun awọn ilana wọnyi ti o da lori tabili ipa-ọna akọkọ. Lati ọna kanna, apo-iwe naa gba Src. Adirẹsi owun si ether1 ni wiwo
- В
[Output|Mangle]awọn apo-iwe lati oriṣiriṣi awọn asopọ gba awọn aami oriṣiriṣi - Awọn apo-iwe tẹ awọn tabili ti o baamu si awọn akole ni ipele Atunṣe Itọsọna ati gba ipa ọna tuntun fun fifiranṣẹ awọn apo-iwe
- Ṣugbọn awọn idii tun ni Src. Adirẹsi lati ether1, lori ipele
[Nat|Srcnat]adirẹsi ti wa ni aropo ni ibamu si awọn wiwo
O yanilenu, lori olulana iwọ yoo rii tabili asopọ atẹle:
Asopọ Tracker ṣiṣẹ jade sẹyìn [Mangle] и [Srcnat], nitorina gbogbo awọn asopọ wa lati adirẹsi kanna, ti o ba wo ni awọn alaye diẹ sii, lẹhinna wọle Replay Dst. Address Awọn adirẹsi yoo wa lẹhin NAT:
Lori olupin VPN (Mo ni ọkan lori ijoko idanwo), o le rii pe gbogbo awọn asopọ wa lati awọn adirẹsi to pe:
Duro soke ọna
Ọna ti o rọrun wa, o le jiroro ni pato ẹnu-ọna kan pato fun awọn adirẹsi kọọkan:
/ip route
add dst-address=10.10.10.100 gateway=192.168.100.1
add dst-address=10.10.10.101 gateway=192.168.200.1
add dst-address=10.10.10.102 gateway=192.168.0.1Ṣugbọn iru awọn ipa-ọna yoo ni ipa lori kii ṣe ti njade nikan ṣugbọn tun awọn ọna gbigbe. Pẹlupẹlu, ti o ko ba nilo ijabọ si olupin vpn lati lọ nipasẹ awọn ikanni ibaraẹnisọrọ ti ko yẹ, lẹhinna o yoo ni lati ṣafikun awọn ofin 6 diẹ sii si [IP]->[Routes]с type=blackhole. Ninu ẹya ti tẹlẹ - awọn ofin 3 ni [IP]->[Route]->[Rules].
Pinpin awọn asopọ olumulo nipasẹ awọn ikanni ibaraẹnisọrọ
Rọrun, awọn iṣẹ ojoojumọ. Lẹẹkansi, awọn tabili ipa ọna afikun yoo nilo:
/ip route
add dst-address=0.0.0.0/0 gateway=10.10.10.1 dist=1 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=10.20.20.1 dist=2 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=10.10.10.1 dist=1 routing-mark=over-isp1
add dst-address=0.0.0.0/0 gateway=10.20.20.1 dist=1 routing-mark=over-isp2Lilo [IP]->[Route]->[Rules]
/ip route rules
add src-address=192.168.100.0/25 action=lookup-only-in-table table=over-isp1
add src-address=192.168.100.128/25 action=lookup-only-in-table table=over-isp2Ti o ba lo action=lookup, lẹhinna nigbati ọkan ninu awọn ikanni ba jẹ alaabo, ijabọ yoo lọ si tabili akọkọ ati lọ nipasẹ ikanni iṣẹ. Boya eyi jẹ pataki tabi kii ṣe da lori iṣẹ-ṣiṣe naa.
Lilo awọn isamisi ni [IP]->[Firewall]->[Mangle]
Apeere ti o rọrun pẹlu awọn atokọ ti awọn adirẹsi ip. Ni opo, fere eyikeyi awọn ipo le ṣee lo. Ikilọ nikan ti Layer7, paapaa nigba ti a ba so pọ pẹlu awọn aami asopọ, o le dabi pe ohun gbogbo n ṣiṣẹ ni deede, ṣugbọn diẹ ninu awọn ijabọ yoo tun lọ ni ọna ti ko tọ.
/ip firewall mangle
add chain=prerouting src-address-list=users-over-isp1 dst-address-type=!local action=mark-routing new-routing-mark=over-isp1
add chain=prerouting src-address-list=users-over-isp2 dst-address-type=!local action=mark-routing new-routing-mark=over-isp2O le “titiipa” awọn olumulo ni tabili ipa ọna kan nipasẹ [IP]->[Route]->[Rules]:
/ip route rules
add routing-mark=over-isp1 action=lookup-only-in-table table=over-isp1
add routing-mark=over-isp2 action=lookup-only-in-table table=over-isp2Boya nipasẹ [IP]->[Firewall]->[Filter]:
/ip firewall filter
add chain=forward routing-mark=over-isp1 out-interface=!ether1 action=reject
add chain=forward routing-mark=over-isp2 out-interface=!ether2 action=rejectPadasẹyin pro dst-address-type=!local
Afikun majemu dst-address-type=!local o jẹ dandan pe ijabọ lati ọdọ awọn olumulo de awọn ilana agbegbe ti olulana (dns, winbox, ssh, ...). Ti ọpọlọpọ awọn subnets agbegbe ti sopọ si olulana, o jẹ dandan lati rii daju pe ijabọ laarin wọn ko lọ si Intanẹẹti, fun apẹẹrẹ, lilo dst-address-table.
Ni apẹẹrẹ lilo [IP]->[Route]->[Rules] ko si iru awọn imukuro, ṣugbọn ijabọ de awọn ilana agbegbe. Otitọ ni pe gbigba sinu package FIB ti samisi [PREROUTING|Mangle] ni aami ipa ọna ati lọ sinu tabili ipa ọna miiran ju akọkọ, nibiti ko si wiwo agbegbe. Ninu ọran ti Awọn ofin ipa ọna, akọkọ o ṣayẹwo boya idii naa jẹ ipinnu fun ilana agbegbe ati pe ni ipele PBR Olumulo nikan ni o lọ si tabili ipasọtọ pàtó.
Lilo [IP]->[Firewall]->[Mangle action=route]
Iṣe yii ṣiṣẹ nikan ni [Prerouting|Mangle] ati gba ọ laaye lati ṣe itọsọna ijabọ si ẹnu-ọna pàtó kan laisi lilo awọn tabili ipa ọna afikun, nipa sisọ adirẹsi ẹnu-ọna taara:
/ip firewall mangle
add chain=prerouting src-address=192.168.100.0/25 action=route gateway=10.10.10.1
add chain=prerouting src-address=192.168.128.0/25 action=route gateway=10.20.20.1Iṣe route ni ayo kekere ju awọn ofin ipa-ọna lọ ([IP]->[Route]->[Rules]). Ninu ọran ti awọn ami ipa ọna, ohun gbogbo da lori ipo ti awọn ofin, ti ofin ba pẹlu action=route tọ diẹ sii ju action=mark-route, lẹhinna o yoo ṣee lo (laibikita ti asia passtrough), bibẹkọ ti samisi ipa ọna.
Alaye pupọ wa lori wiki nipa iṣe yii ati pe gbogbo awọn ipinnu ni a gba ni idanwo, ni eyikeyi ọran, Emi ko rii awọn aṣayan nigba lilo aṣayan yii fun awọn anfani lori awọn miiran.
PPC orisun ìmúdàgba iwontunwosi
Fun Classifier Asopọmọra - jẹ afọwọṣe rọ diẹ sii ti ECMP. Ko dabi ECMP, o pin ijabọ nipasẹ awọn asopọ diẹ sii ni muna (ECMP ko mọ nkankan nipa awọn asopọ, ṣugbọn nigba ti a ba so pọ pẹlu Kaṣe Routing, nkan ti o jọra ni a gba).
PCC gba pàtó kan oko lati ip akọsori, iyipada wọn si a 32-bit iye, ati ki o pin nipa iyeida. Awọn iyokù ti awọn pipin ti wa ni akawe pẹlu awọn pàtó kan iyokù ati pe ti wọn ba baamu, lẹhinna iṣẹ ti a sọ pato ti lo. . Dun irikuri, ṣugbọn o ṣiṣẹ.
Apẹẹrẹ pẹlu awọn adirẹsi mẹta:
192.168.100.10: 192+168+100+10 = 470 % 3 = 2
192.168.100.11: 192+168+100+11 = 471 % 3 = 0
192.168.100.12: 192+168+100+12 = 472 % 3 = 1Apeere ti pinpin agbara ti ijabọ nipasẹ src.address laarin awọn ikanni mẹta:
#Таблица маршрутизации
/ip route
add dst-address=0.0.0.0/0 gateway=10.10.10.1 dist=1 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=10.20.20.1 dist=2 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=10.30.30.1 dist=3 check-gateway=ping
add dst-address=0.0.0.0/0 gateway=10.10.10.1 dist=1 routing-mark=over-isp1
add dst-address=0.0.0.0/0 gateway=10.20.20.1 dist=1 routing-mark=over-isp2
add dst-address=0.0.0.0/0 gateway=10.30.30.1 dist=1 routing-mark=over-isp3
#Маркировка соединений и маршрутов
/ip firewall mangle
add chain=prerouting in-interface=br-lan dst-address-type=!local connection-state=new per-connection-classifier=src-address:3/0 action=mark-connection new-connection-mark=conn-over-isp1
add chain=prerouting in-interface=br-lan dst-address-type=!local connection-state=new per-connection-classifier=src-address:3/1 action=mark-connection new-connection-mark=conn-over-isp2
add chain=prerouting in-interface=br-lan dst-address-type=!local connection-state=new per-connection-classifier=src-address:3/2 action=mark-connection new-connection-mark=conn-over-isp3
add chain=prerouting in-interface=br-lan connection-mark=conn-over-isp1 action=mark-routing new-routing-mark=over-isp1
add chain=prerouting in-interface=br-lan connection-mark=conn-over-isp2 action=mark-routing new-routing-mark=over-isp2
add chain=prerouting in-interface=br-lan connection-mark=conn-over-isp3 action=mark-routing new-routing-mark=over-isp3Nigbati o ba samisi awọn ipa ọna, afikun ipo wa: in-interface=br-lan, laisi labẹ rẹ action=mark-routing ijabọ esi lati Intanẹẹti yoo wọle ati, ni ibamu pẹlu awọn tabili ipa-ọna, yoo pada si olupese.
Yipada awọn ikanni ibaraẹnisọrọ
Ṣayẹwo ping jẹ ọpa ti o dara, ṣugbọn o ṣayẹwo nikan asopọ pẹlu ẹlẹgbẹ IP ti o sunmọ, awọn nẹtiwọki olupese nigbagbogbo ni nọmba ti o pọju ti awọn onimọ-ọna ati asopọ asopọ le waye ni ita ẹgbẹ ti o sunmọ julọ, ati lẹhinna awọn oniṣẹ telecom ti o wa ni ẹhin ti o le tun wa. ni awọn iṣoro, ni gbogbogbo ping ko ṣe afihan alaye-ọjọ nigbagbogbo nipa iraye si nẹtiwọọki agbaye.
Ti awọn olupese ati awọn ile-iṣẹ nla ba ni ilana ipa-ọna agbara BGP, lẹhinna awọn olumulo ile ati ọfiisi ni lati pinnu ni ominira bi o ṣe le ṣayẹwo iraye si Intanẹẹti nipasẹ ikanni ibaraẹnisọrọ kan pato.
Ni deede, awọn iwe afọwọkọ ni a lo pe, nipasẹ ikanni ibaraẹnisọrọ kan, ṣayẹwo wiwa ti adiresi ip kan lori Intanẹẹti, lakoko yiyan nkan ti o gbẹkẹle, fun apẹẹrẹ, google dns: 8.8.8.8. 8.8.4.4. Ṣugbọn ni agbegbe Mikrotik, ohun elo ti o nifẹ diẹ sii ti ni ibamu fun eyi.
Awọn ọrọ diẹ nipa ipa-ọna atunṣe
Itọnisọna atunṣe jẹ pataki nigbati o ba n kọ Multihop BGP peering ati ki o wọle sinu nkan naa nipa awọn ipilẹ ti ipa-ọna aimi nikan nitori awọn olumulo MikroTik ti o ni ẹtan ti o ṣawari bi o ṣe le lo awọn ipa-ọna atunṣe ti a ṣe pọ pẹlu ẹnu-ọna ayẹwo lati yi awọn ikanni ibaraẹnisọrọ pada laisi awọn iwe afọwọkọ afikun.
O to akoko lati loye awọn aṣayan dopin / ibi-afẹde ni awọn ofin gbogbogbo ati bii ipa-ọna ṣe sopọ si wiwo:
- Ọna naa n wo wiwo kan lati firanṣẹ apo-iwe ti o da lori iye iwọn rẹ ati gbogbo awọn titẹ sii ninu tabili akọkọ pẹlu kere ju tabi awọn iye iwọn ibi-afẹde dogba.
- Lati awọn atọkun ti a rii, ọkan nipasẹ eyiti o le fi soso kan ranṣẹ si ẹnu-ọna ti a yan ni a yan
- Awọn wiwo ti awọn ri ti sopọ titẹsi ti a ti yan lati fi awọn soso si ẹnu-ọna
Ni iwaju ipa ọna atunṣe, ohun gbogbo n ṣẹlẹ kanna, ṣugbọn ni awọn ipele meji:
- 1-3 Ọna kan diẹ sii ni afikun si awọn ipa-ọna ti a ti sopọ, nipasẹ eyiti ẹnu-ọna ti a ti sọ tẹlẹ le de ọdọ
- 4-6 Wiwa ipa ọna ti a ti sopọ fun ẹnu-ọna "agbedemeji".
Gbogbo awọn ifọwọyi pẹlu wiwa loorekoore waye ni RIB, ati pe abajade ikẹhin nikan ni a gbe lọ si FIB: 0.0.0.0/0 via 10.10.10.1 on ether1.
Apeere ti lilo ipa-ọna isọdọtun lati yi awọn ipa-ọna pada
Iṣeto:
/ip route
add dst-address=0.0.0.0/0 gateway=8.8.8.8 check-gateway=ping distance=1 target-scope=10
add dst-address=8.8.8.8 gateway=10.10.10.1 scope=10
add dst-address=0.0.0.0/0 gateway=10.20.20.1 distance=2O le ṣayẹwo pe awọn apo-iwe yoo firanṣẹ si 10.10.10.1:
Ṣayẹwo ẹnu-ọna ko mọ nkankan nipa recursive afisona ati ki o nìkan rán pings to 8.8.8.8, eyi ti (da lori tabili akọkọ) ni wiwọle nipasẹ ẹnu-ọna 10.10.10.1.
Ti o ba ti wa ni a isonu ti ibaraẹnisọrọ laarin 10.10.10.1 ati 8.8.8.8, ki o si awọn ọna ti ge-asopo, ṣugbọn awọn apo-iwe (pẹlu igbeyewo pings) to 8.8.8.8 tesiwaju lati lọ nipasẹ 10.10.10.1:
Ti ọna asopọ si ether1 ba sọnu, lẹhinna ipo aibanujẹ waye nigbati awọn apo-iwe ṣaaju 8.8.8.8 lọ nipasẹ olupese keji:
Eyi jẹ iṣoro ti o ba nlo NetWatch lati ṣiṣe awọn iwe afọwọkọ nigbati 8.8.8.8 ko si. Ti ọna asopọ ba ṣẹ, NetWatch yoo ṣiṣẹ nirọrun nipasẹ ikanni ibaraẹnisọrọ afẹyinti ati ro pe ohun gbogbo dara. Ti yanju nipasẹ fifi afikun ipa ọna àlẹmọ kan:
/ip route
add dst-address=8.8.8.8 gateway=10.20.20.1 distance=100 type=blackhole
Nibẹ ni lori habré , nibiti a ti ṣe akiyesi ipo pẹlu NetWatch ni awọn alaye diẹ sii.
Ati bẹẹni, nigba lilo iru ifiṣura, adirẹsi 8.8.8.8 yoo jẹ lile si ọkan ninu awọn olupese, nitorinaa yiyan rẹ bi orisun dns kii ṣe imọran to dara.
Awọn ọrọ diẹ nipa Ipa ọna Foju ati Ndari (VRF)
Imọ-ẹrọ VRF jẹ apẹrẹ lati ṣẹda ọpọlọpọ awọn onimọ ipa-ọna laarin ọkan ti ara, imọ-ẹrọ yii jẹ lilo pupọ nipasẹ awọn oniṣẹ telikomita (nigbagbogbo ni apapo pẹlu MPLS) lati pese awọn iṣẹ L3VPN si awọn alabara pẹlu awọn adirẹsi subnet agbekọja:
Ṣugbọn VRF ni Mikrotik ti ṣeto lori ipilẹ awọn tabili lilọ kiri ati pe o ni nọmba awọn alailanfani, fun apẹẹrẹ, awọn adirẹsi ip agbegbe ti olulana wa lati gbogbo awọn VRF, o le ka diẹ sii. .
Apẹẹrẹ iṣeto vrf:
/ip route vrf
add interfaces=ether1 routing-mark=vrf1
add interfaces=ether2 routing-mark=vrf2
/ip address
add address=192.168.100.1/24 interface=ether1 network=192.168.100.0
add address=192.168.200.1/24 interface=ether2 network=192.168.200.0Lati ẹrọ ti a ti sopọ si ether2, a rii pe ping lọ si adirẹsi olulana lati vrf miiran (ati pe eyi jẹ iṣoro), lakoko ti ping ko lọ si Intanẹẹti:
Lati wọle si Intanẹẹti, o nilo lati forukọsilẹ ọna afikun ti o wọle si tabili akọkọ (ninu awọn ọrọ vrf, eyi ni a pe ni jijo ipa-ọna):
/ip route
add distance=1 gateway=172.17.0.1@main routing-mark=vrf1
add distance=1 gateway=172.17.0.1%wlan1 routing-mark=vrf2Eyi ni awọn ọna meji ti jijo ipa-ọna: lilo tabili ipa-ọna: 172.17.0.1@main ati lilo orukọ wiwo: 172.17.0.1%wlan1.
Ati ṣeto isamisi fun ipadabọ ijabọ ni [PREROUTING|Mangle]:
/ip firewall mangle
add chain=prerouting in-interface=ether1 action=mark-connection new-connection-mark=from-vrf1 passthrough=no
add chain=prerouting connection-mark=from-vrf1 routing-mark=!vrf1 action=mark-routing new-routing-mark=vrf1 passthrough=no
add chain=prerouting in-interface=ether2 action=mark-connection new-connection-mark=from-vrf2 passthrough=no
add chain=prerouting connection-mark=from-vrf2 routing-mark=!vrf1 action=mark-routing new-routing-mark=vrf2 passthrough=no
Subnets pẹlu kanna adirẹsi
Eto ti iraye si awọn subnets pẹlu adirẹsi kanna lori olulana kanna ni lilo VRF ati netmap:
Iṣeto ipilẹ:
/ip route vrf
add interfaces=ether1 routing-mark=vrf1
add interfaces=ether2 routing-mark=vrf2
/ip address
add address=192.168.100.1/24 interface=ether1 network=192.168.100.0
add address=192.168.100.1/24 interface=ether2 network=192.168.100.0
add address=192.168.0.1/24 interface=ether3 network=192.168.0.0Awọn ofin ogiriina:
#Маркируем пакеты для отправки в правильную таблицу маршрутизации
/ip firewall mangle
add chain=prerouting dst-address=192.168.101.0/24 in-interface=ether3 action=mark-routing new-routing-mark=vrf1 passthrough=no
add chain=prerouting dst-address=192.168.102.0/24 in-interface=ether3 action=mark-routing new-routing-mark=vrf2 passthrough=no
#Средствами netmap заменяем адреса "эфимерных" подсетей на реальные подсети
/ip firewall nat
add chain=dstnat dst-address=192.168.101.0/24 in-interface=ether3 action=netmap to-addresses=192.168.100.0/24
add chain=dstnat dst-address=192.168.102.0/24 in-interface=ether3 action=netmap to-addresses=192.168.100.0/24Awọn ofin ipa-ọna fun ijabọ ipadabọ:
#Указание имени интерфейса тоже может считаться route leaking, но по сути тут создается аналог connected маршрута
/ip route
add distance=1 dst-address=192.168.0.0/24 gateway=ether3 routing-mark=vrf1
add distance=1 dst-address=192.168.0.0/24 gateway=ether3 routing-mark=vrf2Ṣafikun awọn ipa-ọna ti a gba nipasẹ dhcp si tabili ipa-ọna ti a fun
VRF le jẹ ohun ti o nifẹ ti o ba nilo lati ṣafikun ipa ọna ti o ni agbara laifọwọyi (fun apẹẹrẹ, lati alabara dcp kan) si tabili ipa-ọna kan pato.
Ṣafikun wiwo si vrf:
/ip route vrf
add interface=ether1 routing-mark=over-isp1Awọn ofin fun fifiranṣẹ ijabọ (ti njade ati gbigbe) nipasẹ tabili lori-isp1:
/ip firewall mangle
add chain=output out-interface=!br-lan action=mark-routing new-routing-mark=over-isp1 passthrough=no
add chain=prerouting in-interface=br-lan dst-address-type=!local action=mark-routing new-routing-mark=over-isp1 passthrough=noNi afikun, ipa ọna iro fun ipa ọna ita si iṣẹ:
/interface bridge
add name=bare
/ip route
add dst-address=0.0.0.0/0 gateway=bareỌna yii ni a nilo nikan ki awọn apo-iwe ti njade ti agbegbe le kọja nipasẹ ipinnu Itọsọna (2) ṣaaju [OUTPUT|Mangle] ati ki o gba aami afisona, ti o ba wa awọn ipa ọna miiran ti nṣiṣe lọwọ lori olulana ṣaaju 0.0.0.0/0 ni tabili akọkọ, ko nilo.
awọn ẹwọn connected-in и dynamic-in в [Routing] -> [Filters]
Sisẹ ipa-ọna (ti nwọle ati ti njade) jẹ ohun elo kan ti o nigbagbogbo lo ni apapo pẹlu awọn ilana ipa-ọna agbara (ati nitorinaa nikan wa lẹhin fifi sori ẹrọ package afisona ọna), ṣugbọn awọn ẹwọn meji ti o nifẹ ninu awọn asẹ ti nwọle:
- ti a ti sopọ - sisẹ awọn ipa-ọna ti a ti sopọ
- dynamic-in - sisẹ awọn ipa-ọna agbara ti o gba nipasẹ PPP ati DCHP
Sisẹ gba ọ laaye lati ko padanu awọn ipa-ọna nikan, ṣugbọn tun yi nọmba awọn aṣayan pada: ijinna, ami afisona, asọye, ipari, ipari ibi-afẹde, ...
Eyi jẹ ohun elo kongẹ pupọ ati pe ti o ba le ṣe ohunkan laisi Awọn Ajọ Itọsọna (ṣugbọn kii ṣe awọn iwe afọwọkọ), lẹhinna maṣe lo Awọn Ajọ Ipa ọna, maṣe daamu ararẹ ati awọn ti yoo tunto olulana lẹhin rẹ. Ni ipo ti ipa-ọna ti o ni agbara, Awọn Ajọ ipa ọna yoo ṣee lo pupọ diẹ sii nigbagbogbo ati ni iṣelọpọ diẹ sii.
Ṣiṣeto Samisi Ipa-ọna fun Awọn ipa-ọna Yiyi
Apeere lati olulana ile. Mo ni awọn asopọ VPN meji tunto ati ijabọ ninu wọn yẹ ki o we ni ibamu pẹlu awọn tabili ipa-ọna. Ni akoko kanna, Mo fẹ awọn ipa-ọna lati ṣẹda laifọwọyi nigbati wiwo naa ba ṣiṣẹ:
#При создании vpn подключений указываем создание default route и задаем дистанцию
/interface pptp-client
add connect-to=X.X.X.X add-default-route=yes default-route-distance=101 ...
add connect-to=Y.Y.Y.Y add-default-route=yes default-route-distance=100 ...
#Фильтрами отправляем маршруты в определенные таблицы маршрутизации на основе подсети назначения и дистанции
/routing filter
add chain=dynamic-in distance=100 prefix=0.0.0.0/0 action=passthrough set-routing-mark=over-vpn1
add chain=dynamic-in distance=101 prefix=0.0.0.0/0 action=passthrough set-routing-mark=over-vpn2Emi ko mọ idi ti, boya kokoro kan, ṣugbọn ti o ba ṣẹda vrf kan fun wiwo ppp, ipa ọna si 0.0.0.0/0 yoo tun wọle sinu tabili akọkọ. Bibẹẹkọ, ohun gbogbo yoo rọrun paapaa.
Pa Awọn ipa ọna ti o sopọ mọ
Nigba miiran eyi nilo:
/route filter
add chain=connected-in prefix=192.168.100.0/24 action=rejectAwọn irinṣẹ n ṣatunṣe aṣiṣe
RouterOS n pese nọmba awọn irinṣẹ fun ipa-ọna n ṣatunṣe aṣiṣe:
[Tool]->[Tourch]- faye gba o lati wo awọn apo-iwe lori awọn atọkun/ip route check- faye gba o lati ri eyi ti ẹnu-ọna awọn soso yoo wa ni rán si, ko ṣiṣẹ pẹlu awọn tabili afisona/ping routing-table=<name>и/tool traceroute routing-table=<name>- Pingi ati wa kakiri nipa lilo tabili afisona pàtóaction=logв[IP]->[Firewall]- ọpa ti o dara julọ ti o fun ọ laaye lati wa ipa ọna ti apo kan lẹgbẹẹ ṣiṣan soso, iṣe yii wa ni gbogbo awọn ẹwọn ati awọn tabili
orisun: www.habr.com