Mikrotik wechseln zum Sicherungskanal. Mikrotik. Zwei Anbieter. Automatisches Umschalten zwischen Gateways (ohne Skripts)

Dieser Artikel beschreibt am meisten vollständige Anweisung.So richten Sie den Mikrotik-Router für zwei Anbieter ein.

Die gleichzeitige Verbindung zu zwei Internetanbietern wird verwendet, um einen Sicherungskommunikationskanal zu organisieren, falls eine Verbindung mit einem der Anbieter vorliegt. In diesem Fall wechselt der Router automatisch zum zweiten Anbieter, und Sie können weiterhin im Internet arbeiten. Die Verbindung mit zwei Anbietern wird in Organisationen eingesetzt, in denen der ständige Zugang von Mitarbeitern in das Internet gewährleistet ist.

Um einen fehlertoleranten Internetkanal sicherzustellen, benötigen Sie einen Router, der die Einrichtung mehrerer Anbieter unterstützt. Mikrotik-Router eignen sich hervorragend für diese Aufgabe.

Verbindung Beschreibung

Im Beispiel verwenden wir den Mikrotik RB951UI-2HND-Router.

Ein Kabel vom 1. Anbieter ist an den 1. Anschluss des Routers angeschlossen, ein Kabel aus dem 2. Anbieter, Ports 3-5 und Wi-Fi sind mit dem Anschluss der LAN-Computern verbunden.

Der erste Port wird konfiguriert, um Netzwerkeinstellungen vom DHCP-Anbieter dynamisch zu empfangen. Der Anbieter gibt dem Router dynamische IP-Adresse 10.10.10.10 an

Der 2. Port wird manuell auf statische IP-Adresse 20.20.20.20, Gateway 20.20.20.1 und Maske 255.255.255.0 konfiguriert

Standardkonfiguration Reset.

Mit dem Winbox-Programm setzen wir die Standard-Fabrikkonfiguration zurück, um den Mikrotik-Router in zwei Anbieter von Grund auf zu konfigurieren:

Wählen Sie nach dem Neustart in Winbox die Geräteadresse in der MAC-Liste aus und verbinden Sie sich mit dem Benutzer administrator. ohne Passwort.

Einrichten des 1. WAN-Anschlusses

Konfigurieren Sie den 1. Port des dynamischen Eingangs der Netzwerkeinstellungen des DHCP-Anbieters.

1. Öffnen Sie das Menü IP - DHCP-Client;
2. In dem Fenster, das in der Liste angezeigt wird Schnittstelle. Wählen Sie eine Schnittstelle aus ether1.;
3. Standardroute hinzufügen. Wählen Nein.;
4. Drücken Sie den Knopf OK..

Jetzt haben wir die IP-Adresse von dem Anbieter erhalten, der in der Spalte angezeigt wird IP Adresse.

Überprüfen Sie, ob es eine Internetverbindung gibt. Öffnen Sie das Menü Neues Terminal. Und geben Sie den Befehl ein ping ya.ru.. Wie Sie sehen, ist Ping.

2nd WAN-Port einrichten

Der 2. Port ist auf eine statische IP-Adresse 20.20.20.20, das Gateway 20.20.20.1 und die Maske 255.255.255.0 eingestellt

1. Öffnen Sie das Menü IP-Adressen;
2. Klicken Sie auf die Schaltfläche Hinzufügen (blaues Kreuz);
3. In dem Fenster, das auf dem Feld erscheint Adresse Drücken Sie die statische IP-Adresse / Subnetzmaske 20.20.20.20/24 ;
4. In der Liste Schnittstelle. Wählen Sie eine Schnittstelle aus ether2.;
5. Drücken Sie den Knopf OK..

Inferenz IP-Adresse des Internet-Gateways:

1. Öffnen Sie das Menü IP. - Routen.;
2. Klicken Sie auf die Schaltfläche Hinzufügen (blaues Kreuz);
3. In dem Fenster, das auf dem Feld erscheint Tor. Drücken Sie die IP-Adresse des Gateways 20.20.20.1 ;
4. Drücken Sie den Knopf OK..

Fügen Sie eine IP-Adresse hinzu DNS Server:

1. Öffnen Sie das Menü IP. - DNS;
2. Auf dem Feld Ersetzer Drücken Sie zum Beispiel die IP-Adresse des Servers DNS 8.8.8.8 ;
3. Tick \u200b\u200bentfernen. Remote-Anfragen zulassen.;
4. Drücken Sie den Knopf OK..

Überprüfen Sie, ob es eine Internetverbindung gibt. Trennen Sie das Kabel des ersten Anbieters, öffnen Sie das Menü Neues Terminal. Und geben Sie den Befehl ein ping ya.ru..

Pings gehen, es bedeutet, dass alles richtig konfiguriert ist. Sie können das Kabel des ersten Anbieters anschließen.

Einrichten von LAN-Anschlüssen 3-5 und WLAN

LAN-Ports 3-5 wird mit einer Wi-Fi-Schnittstelle in einem einzigen kombiniert lokales Netzwerkzu welchen Computern verbinden sich.

Wir kombinieren LAN-Ports 3-5 im Schalter

1. Öffnen Sie das Menü Schnittstelle.;
2. Machen Sie einen Doppel-Mausklick auf die Schnittstelle ether4;
3. In der Liste Master-Port. Wählen ether3. (haupthafen. unsere Schalter);
4. Drücken Sie den Knopf OK.

Wiederholen Sie dasselbe für die Schnittstelle ether5..

Gegenüber der Ether4- und Ether5-Ports werden der Buchstabe S (Slave-Slave) angezeigt.

Eine Schnittstelle erstellen Bridge-Local. und bringen Sie LAN-Anschlüsse und WLAN in ihn

Um LAN-Anschlüsse 3-5 zu geben, um von Wi-Fi an ein Netzwerk zusammenzuführen, müssen Sie eine Bridge-Schnittstelle erstellen und einen Zauberer des SVITCHEMASTER dazu hinzufügen ether3. und Wi-Fi-Schnittstelle wLAN1..

Eine Schnittstelle erstellen bridge-Local.:

1. Öffnen Sie das Menü Brücke;
2. Drücken Sie den Knopf Hinzufügen. (blaues Kreuz);
3. Auf dem Feld Name. Drücken Sie den Namen der Schnittstelle bridge-Local.;
4. Drücken Sie den Knopf OK..

Fügen Sie den Haupthafen der SVITCHE hinzu ether3. im bridge-Local.:

1. Klicken Sie auf die Registerkarte Häfen. und klicken Hinzufügen. (blaues Kreuz);
2. In der Liste Schnittstelle. Wählen Sie den Haupt-Ethernet-Port-Schweiß aus ether3.;
3. In der Liste Brückewählen Sie eine Schnittstelle aus bridge-Local.;
4. Drücken Sie den Knopf OK..

Hinzufügen W-lan Schnittstelle B. bridge-Local.:

1. Auf der Registerkarte Häfen. Drücken Sie den Knopf Hinzufügen. (blaues Kreuz);
2. In der Liste Schnittstelle. Wählen Sie eine drahtlose Schnittstelle aus WLAN1.;
3. In der Liste Brückewählen Sie eine Schnittstelle aus bridge-Local.;
4. Drücken Sie den Knopf OK..

Wir weisen eine IP-Adressschnittstelle zu bridge-Local.:

1. Öffnen Sie das Menü IP -Adressen.;
2. Drücken Sie den Knopf Hinzufügen. (blaues Kreuz);
3. Auf dem Feld Adresse Geben Sie die IP-Adresse und die LAN-Maske ein 192.168.88.1/24 ;
4. In der Liste Schnittstelle. Wählen Sie die LAN-Schnittstelle aus bridge-Local.;
5. Drücken Sie den Knopf OK..

Einrichten DHCP-Server. lokales Netzwerk.

An Computer, die mit dem empfangenen Router verbunden sind netzwerkeinstellungen Konfigurieren Sie automatisch den DHCP-Server:

Wi-Fi-Setup

Zuerst schalten wir Wi-Fi an:

1. Öffnen Sie das Menü Kabellos.;
2. Drücken Sie die linke Maustaste an der Schnittstelle wLAN1. und klicken Aktivieren (Blaues Tick).

Erstellen Sie ein Kennwort, um eine Verbindung zu Mikrotik-Zugangspunkt herzustellen:

1. Tabulatoren öffnen. Sicherheitsprofile und doppelklicken Sie auf die linke Maustaste standard.;
2. In dem Fenster, das in der Liste angezeigt wird Modus.wählen Dynamische Tasten.;
3. Überprüfen Sie das Kontrollkennzeichen gegenüber der Registrierung durch das Protokoll WPA2 PSK.;
4. Auf dem Feld WPA2 Pre-Shared Key Geben Sie das Passwort ein, um eine Verbindung zu einem Wi-Fi-Punkt herzustellen.
5. Drücken Sie den Knopf OK..

Konfigurieren Sie Wi-Fi-Parameter Mikrotik:

1. Tabulatoren öffnen. Schnittstellen. und doppelklicken Sie auf die linke Maustaste auf der Wi-Fi-Schnittstelle wLAN1.zu ihren Einstellungen gehen;
2. Klicken Sie auf die Registerkarte Kabellos.;
3. In der Liste Modus. Wählen Sie den Betriebsmodus aus aP-Brücke;
4. In der Liste Band Wählen 2 GHz-b / g / n (Welche Normen werden Wi-Fi-Punkte funktionieren);
5. In der Liste Kanalbreite. Geben Sie die Breite des Kanals an 20 / 40MHz HT obenzu kabellose Geräte konnten mit einer Höchstgeschwindigkeit mit einer Kanalbreite von 40 MHz verbunden werden;
6. In der Liste Frequenz Geben Sie an, in welcher Frequenz Wi-Fi funktioniert;
7. Auf dem Feld Ssid Geben Sie den Namen Wi-Fi-Netzwerk an.
8. Drücken Sie den Knopf OK..

NAT einrichten.

Zu Computern erhalten Sie einen Internetzugang, Sie müssen NAT konfigurieren.

Wir fügen die NAT-Regel für den ersten Anbieter hinzu:

Wir fügen die NAT-Regel für den zweiten Anbieter hinzu:

Nun sollte das Internet auf Computern auftreten, die mit dem Router verbunden sind. Überprüfen Sie dies.

Einrichten von Internetkanälen zwischen zwei Anbietern

Um das Umschalten von Internetkanälen zwischen zwei Anbietern zu konfigurieren, verwenden wir routen (Routen) und eingebauter Dienstprogramm Netwatch.

Wir werden zwei Routen haben, über die Internetverkehr gehen kann. Der gesamte Verkehr läuft standardmäßig über den 1. Anbieter.

Wenn eine Verbindung mit dem ersten Anbieter plötzlich verschwindet, aktivieren wir die 2. Route, und der gesamte Verkehr wird durch den 2. Anbieter gehen.

Sobald die Kommunikation durch den 1. Anbieter wiederhergestellt wird, deaktivieren wir die 2. Route, und der gesamte Verkehr wird durch den 1. Anbieter gehen.

Das NetWatch-Dienstprogramm hilft, eine IP-Adresse im Internet zu ping und Skripts auszuführen, wenn die IP-Adresse aufgehört hat, oder erneut gestartet. Es wird Aktivierung und Deaktivierung der Route durchführen.

Löschen Sie zunächst die Route über den ersten Anbieter, der automatisch erstellt wurde, da wir seine Eigenschaften nicht bearbeiten können.

1. Öffnen Sie das Menü IP - Routen;
2. Klicken Sie auf den ersten Anbieter mit einem Gateway auf die linke Maustaste 10.10.10.1 unaufhaltsam.;
3. Klicken Sie auf die Schaltfläche Löschen (rotem Minus).

Ändern Sie nun die Parameter der zweiten Anbieterroute:

1. Öffnen Sie das Menü IP - DHCP-Client;
2. Machen Sie einen Doppelklick auf die linke Maustaste an der Benutzeroberfläche ether1.;
3. Klicken Sie auf die Registerkarte Status.;
4. Schreiben Sie die IP-Adresse des Gateways aus dem Feld Tor.. Es wird benötigt, wenn Sie eine Route durch den ersten Anbieter erstellen.

Fügen Sie nun eine Route durch den ersten Anbieter hinzu:

Die 3. Route wird benötigt, um den Google-Server standardmäßig nur über den 1. Anbieter anzuzeigen.

Fügen Sie der Firewall eine Regel hinzu, die die Penign-IP-Adresse 8.8.4.4 durch den 2. Anbieter deaktiviert. Andernfalls wird der NetWatch-Dienstprogramm denken, dass die Verbindung mit dem ersten Anbieter wiederhergestellt wird, und wechselt ständig Routen in einem Kreis.

Netwatch prüft die Verbindung mit dem Internet durch Ping google-Server mit IP-Adresse 8.8.4.4. Sobald der Server auf den Tonhöhe stoppt, wird das Skript ausgeführt, das die 2. Strecke aktiviert, und der Verkehr wird durch den 2. Anbieter gelangen. Sobald die Verbindung über den ersten Anbieter wiederhergestellt wird, wird ein anderes Skript abgeschlossen, das die 2. Route deaktiviert, und der Verkehr wird durch den 1. Anbieter durchlaufen.

Überprüfen des Internetumschaltens zwischen zwei Anbietern

Überprüfen Sie, wie das Umschalten zwischen zwei Anbietern läuft.

Das Einrichten des Mikrotik-Routers für zwei Anbieter arbeitet ordnungsgemäß. Jetzt können Sie das Pencing-Intervall von Google Server vergrößern.

Bei dieser Einstellung ist der Microtic-Router auf zwei Anbieter abgeschlossen.

Einführung

In diesem Artikel beschreiben wir die Arbeit von zwei Internetkanälen im Reservierungsmodus. Das heißt, ein Anbieter funktioniert ständig (der Hauptkanal), und der zweite wird eingeschaltet, wenn das Internet über den ersten Kanal nicht verfügbar ist (Backup-Kanal).

Es gibt zwei Hauptmöglichkeiten, um den Betrieb der mikrotischen Geräte so zu konfigurieren, dass sie mit zwei Anbietern im Reservierungsmodus arbeiten. Kurz gesagt können sie als " der schnelle Weg"Und" integrierte Methode ". Die erste Methode ist schnell zu konfigurieren. Was ist eindeutig aus dem Namen folgt. Der zweite Weg ist komplexer im Setup, gleichzeitig lebender Mängel, die auf dem ersten Weg inhärent sind.

Netzwerkschema

Externes Netzwerk:
Internet-Kanal-Nummer 1
Router IP-Adressen: 10.1.100.1
IP-Adressen des Anbieters: 10.1.100.254
Maske: 255.255.255.0.

Internet-Kanal-Nummer 2
Router IP-Adressen: 10.1.200.1
IP-Adressen des Anbieters: 10.1.200.254
Maske: 255.255.255.0.

Internes Netzwerk:
Router IP-Adressen: 192.168.15.1
Maske: 255.255.255.0.

Der schnelle Weg

Über eine grafische Schnittstelle.

Die untenstehende Manipulation impliziert, dass Sie IP-Adressen bereits auf zwei externe Schnittstellen konfiguriert haben, die verschriebenen Routen, die vorgeschrieben sind und Maskerade-Regeln vorgenommen haben.

Wenn Sie statische IP-Adressen von beiden Anbietern haben, dann einfachste Einstellung Reservierungen werden auf die Installation von Routenprioritäten beim ersten und zweiten Anbieter reduziert.

Gehen Sie zu IP \u003d\u003e Routen und für den Weg zum Provider-1, angeben Sie das Kontrollgateway \u003d Ping und Entfernung \u003d 5. Geben Sie in den Einstellungen der Route auf dem Provider-2 an, angeben Sie das Kontrollgateway \u003d Ping und Entfernung \u003d 10. Parameterwerte Entfernung Habe nicht unbedingt solche. Es ist wichtig, dass die Werte für den Anbieter-1 weniger als für den Anbieter-2 waren. In der Regel haben statische Routen Priorität ( Entfernung) Gleiche Einheit. Zum Beispiel haben wir zu einem anderen Wert geführt. Mit einem solchen Schema wird der gesamte Verkehr durch den Provider-1 durchlaufen, der Weg durch den Provider-2 wird redundant. Die Gateways beider Anbieter werden periodisch ausgewählt, und wenn das Gateway des Anbieters nicht verfügbar ist, wird die Route darauf ausgeschaltet, und der Verkehr wird auf der Route zum Provider-2 gehen. Nachdem das Anbieter-1-Gateway verfügbar ist, wird der Verkehr wieder durchlaufen.

Der Nachteil dieses Schemas besteht darin, dass es nicht das Internet anspricht, nämlich die Verfügbarkeit des nächsten Knotens. Oft gibt es Situationen, in denen die Ausrüstung des Anbieters (der nächste Knoten) verfügbar ist, und es gibt kein Internet. Ein sehr helles Beispiel ist das Internet über das ADSL-Modem. Der benachbarte Knoten (ADSL-Modem) ist erschwinglich, und das Internet ist nicht.

Für den ersten Internetkanal:

Für den zweiten Internetkanal:

Durch die Konsole

Der erste Router:

/ IP-Route.
Check-Gateway hinzufügen \u003d Ping-Entfernung \u003d 5 Gateway \u003d 10.1.100.254

Second Router:

/ IP-Route.
Check-Gateway hinzufügen \u003d Ping-Entfernung \u003d 10 Gateway \u003d 10.1.200.254

Umfassender Weg.

Über eine grafische Schnittstelle.

Die folgenden Manipulationen implizieren, dass Sie IP-Adressen bereits auf zwei externe Schnittstellen konfiguriert haben, Routen, die vorgeschrieben und NAT-Regeln vorgeschrieben sind.

Die "Integrated" -Methode basiert auf der Tatsache, dass wir mit dem integrierten NetWatch-Dienstprogramm die Internet-Verfügbarkeit des Internets auf einmal pro Minute überprüfen, wobei der Ping-Befehl mit dem Ping-Befehl zum Knoten 8.8.4.4 über den ersten Internetkanal verwendet wird. Der Zugriff auf diesen Knoten über den zweiten Internetkanal wird immer geschlossen. Wenn also Ping passiert wird, bedeutet dies, dass sich der erste Kanal im Arbeitszustand befindet, und es muss eingeschaltet sein, und der zweite Kanal muss ausgeschaltet sein. Und im Gegenteil: Wenn Ping nicht passiert, bedeutet dies, dass der erste Kanal nicht funktioniert, und es muss ausgeschaltet werden und befindet sich im 2. Kanal. Sobald Ping wieder angeht, um den Schalter zurückzugeben. Das gewünschte Routen-Dienstprogramm wird vom Kommentar ermittelt, den wir ernennen. Wie Sie diese Methode sehen können, geben Sie die erste Methode frei.

Kommentare zu den Routen hinzufügen. Auf der Route durch den ersten Anbieter fügen Sie dem zweiten Anbieter einen Kommentar ISP1 hinzu, der einen Kommentar-ISP2 hinzufügen. Lassen Sie uns ein Beispiel für den ersten Anbieter geben. Für den zweiten ist die Aktion ähnlich vorgenommen.

Erstellen Sie eine statische Route auf 8.8.4.4. In IP \u003d\u003e Routen, um eine Route an die Adresse 8.8.4.4 durch das Gateway des 1. Internetanbieters zu erstellen.

Fügen Sie den Reglersperrzugriff auf 8.8.4.4 über die 2. WAN-Schnittstelle hinzu.

Fügen Sie einen Schaltzustand hinzu. Erstellen Sie in Tools \u003d\u003e NetWatch auf der Registerkarte Host einen neuen "Netwatch-Host". Im Graf "GASTGEBER" Geben Sie die überwachte IP-Adresse an "Intervall" - Häufigkeit der inspektiven Inspektionen und in "Auszeit" - Die Zeit der Unzugänglichkeit des Hosts, an dem der Abzug funktioniert.

Hinweis: Das Beispiel zeigt die Adresse 8.8.8.8. Es ist ein Tippfehler. Muss Adresse 8.8.4.4 sein

Fügen Sie auf der Registerkarte "Up" das Skript in den folgenden Inhalten hinzu:
/ IP-Routen-Set deaktiviert \u003d nein
/ IP-Routen-Set deaktiviert \u003d Ja

Fügen Sie auf der Registerkarte "Down" das Skript an den folgenden Inhalt hinzu:
/ IP-Routen-Set deaktiviert \u003d Ja
/ IP-Routen-Set deaktiviert \u003d nein

Durch die Konsole

/ IP-Route.
Setzen Sie den Kommentar \u003d ISP1
Setzen Sie den Kommentar \u003d ISP2

/ IP-Route.
Entfernung hinzufügen \u003d 1 DST-Adresse \u003d 8.8.4.4 / 32 Gateway \u003d 10.1.100.254

/ IP-Firewall-Filter
Action-Action hinzufügen \u003d Drop-Kette \u003d Ausgabe DST-Adresse \u003d 8.8.4.4 Out-Interface \u003d Ether4-WAN2-Protokoll \u003d ICMP-Kommentar \u003d "8.8.4.4 durch reservierte Internet-Kanal" ablehnen "

/ Werkzeug NetWatch.
Hinzufügen von Down-Script \u003d "/ IP-Routen-Set deaktiviert \u003d Ja \\ R \\
\\ N / IP-Routen-Set deaktiviert \u003d Nein "Host \u003d 8.8.4.4 \\
Up-Script \u003d "/ IP-Routen-Set deaktiviert \u003d nein \\ r \\
\\ N / IP-Routen-Set deaktiviert \u003d Ja "

Prüfen

Videokurs von Mikrotik

Sie können die Mikrotik-Einstellung mit einem Videokurs erkunden. Der Kurs enthält alle Themen des offiziellen Schulungskurs MTCNA + viel zusätzliches Material, das in der Praxis nützlich ist.

D.obogo-Tag. Ich wurde neulich von der Organisation der Fehlertoleranz seiner CCR1036-8G-2S + festgelegt. Wickelte viel Material im Internet, aber die meisten von ihnen patten nicht. Und dann kam ich auf den nützlichen und eigentlich für die Lösung meiner Aufgaben geeignet. Die unten stehende Einstellung beträgt 100% funktionsfähig.

Wir haben bereits die Möglichkeit, zwei Internetanbieter an einen Router anzuschließen, läuft betriebssystem Mikrotik-Routeros. Es war jedoch die einfachste Option. Was nicht immer in bestimmten Bedingungen geeignet ist. Daher nehmen wir heute einige spezifische Beispiele zur Konfiguration des Routers mit einer Bedingung für die Verbindung mit zwei Anbietern ein, und lassen Sie uns über einige Nuancen der Firewall, NAT-, Routing und Lastausgleich oder mit dem zweiten Kanal detaillierter anhalten Backup.

Da die weitere Geschichte mit bestimmten Beispielen zusammen sein wird, beginnen Sie es mit bestimmten Bedingungen. Wir haben 2 Anbieter. Die Kommunikation mit beiden wird vom PPPoE-Protokoll installiert. So konfigurieren Sie eine Verbindung mit dem Anbieter, der in diesem Artikel ausführlich beschrieben wurde, so dass wir diesen Prozess vermissen. Nur die Tatsache, dass die Anbieternummer 1 an den Ether1-Anschluss angeschlossen ist, und der Name seiner PPPoE-Verbindung ist ISP1. Anbieter-Nummer 2, angeschlossen an den Port von Ether2 und hat den Namen PPPoE-Verbindung - ISP2.

Der einzige Moment ist, dass wir in der Zukunft sind, wir werden unabhängig voneinander Routing-Regeln erstellen, sodass Sie bei der Erstellung von Verbindungen an Anbieter an der Anbieter erstellen.

Nat.

Damit unser Netzwerk ordnungsgemäß funktioniert und Zugang zum Internet hat, müssen wir NAT konfigurieren. Öffnen Sie dazu den Abschnitt IP-\u003e Firewall, gehen Sie zur NAT-Registerkarte und die Schaltfläche "+", fügen Sie eine neue Regel hinzu.

Auf der Registerkarte Allgemein wird die Kette scrnat gewählt. Der Wert des OUT-Felds. Schnittstelle, in diesem Fall sind wir nicht gefüllt, da wir zwei Anbieter bzw. 2 verschiedene Schnittstellen haben.

Auf der Registerkarte Aktion, als Parameter für das Aktionsfeld, setzen wir den Maskerade-Wert.

Speichern Sie die Regel durch die Schaltfläche OK. Die Einstellung des NAT kann als vollständig betrachtet werden.

Firewall

Im nächsten Schritt ist es, die Firewall-Funktion so zu konfigurieren, dass sie unser lokales Netzwerk schützen soll.

Gehen Sie zur Registerkarte Filterregeln, in der wir eine Reihe von Grundregeln erstellen müssen, nach denen Pakete über unseren Router organisiert werden.

Wenn Sie in diesem Abschnitt Regeln haben, sollten Sie sie zuerst löschen.

Durch Drücken der Taste "+" können neue Regeln hinzugefügt werden, danach für die Regel des Ping-Kette \u003d Eingangsprotokolls \u003d ICMP-Action \u003d akzeptieren, auf der Registerkarte Allgemein auswählen, wählen wir das Protokoll Ketteneingang und Protokoll aus - ICMP.

Danach wählen Sie auf der Registerkarte Aktion als Parameter für das Action-Feld in Apt.

Diese Aktion muss etwa 14-mal wiederholt werden, vierzehn verschiedene Regeln.
Lass mich Ping erlauben

kette \u003d Eingangsprotokoll \u003d ICMP-Action \u003d akzeptieren

kette \u003d Vorwärtsprotokoll \u003d ICMP-Action \u003d akzeptieren

Lassen Sie mich die etablierten Verbindungen erlauben

kette \u003d Eingangsanschluss-Status \u003d etablierte Aktion \u003d akzeptieren

kette \u003d Vorwärtsverbindungsstatus \u003d etablierte Aktion \u003d akzeptieren

Lassen Sie mich verwandte Verbindungen lösenich

kette \u003d Eingangsanschluss-Status \u003d verwandte Aktion \u003d akzeptieren

kette \u003d Vorwärtsverbindungsstatus \u003d verwandte Aktion \u003d akzeptieren

Verbieten Sie nicht erfolgreiche Verbindungen

Kette \u003d Eingangsanschluss-Status \u003d ungültige Aktion \u003d Drop

kette \u003d Vorwärtsverbindungsstatus \u003d ungültige Aktion \u003d Drop

Verbindungen zum UDP-Protokoll zulassen

kette \u003d Eingangsprotokoll \u003d UDP-Action \u003d akzeptieren

kette \u003d Vorwärtsprotokoll \u003d UDP-Action \u003d akzeptieren

Offener Zugriff auf das Internet für unser lokales Netzwerk. Für diejenigen, die ein lokales Netzwerkpräfix haben, unterscheidet sich von 192.168.0.0/24, um an Ort und Stelle, seine Adresse anzulegen.

kette \u003d Vorwärts-SRC-Adresse \u003d 192.168.0.0 / 24 Action \u003d akzeptieren

Lassen Sie mich auf den Router, nur aus dem lokalen Netzwerk, wie oben - 192.168.0.0/24, auf den Router zugreifen. Es ist notwendig, mit seiner Adresse zu ersetzen.

kette \u003d Eingang SRC-Adresse \u003d 192.168.0.0 / 24 Action \u003d akzeptieren

Und am Ende verbieten Sie alles andere

kette \u003d Eingangsaktion \u003d Drop

kette \u003d Vorwärtsaktion \u003d Tropfen

Es ist klar, dass Sie jedes Mal ein neues Fenster öffnen, und alle erforderlichen Felder füllen, es ist ziemlich langweilig, so dass ich empfehle, neues Terminal zu öffnen und die unten aufgeführten Befehle festzulegen. Es wird viel weniger Zeit dauern.

iP-Firewall-Filter-Filter hinzufügen \u003d Eingangsprotokoll \u003d ICMP-Action \u003d akzeptieren

iP-Firewall-Filter hinzufügen Kette \u003d Vorwärtsprotokoll \u003d ICMP-Action \u003d akzeptieren

iP-Firewall-Filter-Filter-Kette hinzufügen \u003d Eingangsanschluss-Status \u003d etablierte Aktion \u003d akzeptieren

iP-Firewall-Filter-Filter-Kette hinzufügen \u003d Vorwärtsverbindungsstatus \u003d etablierte Aktion \u003d akzeptieren

iP-Firewall-Filter Fügen Sie Kette hinzu \u003d Input Connection-state \u003d Verwandte Aktion \u003d akzeptieren

iP-Firewall-Filter-Filter-Kette hinzufügen \u003d Vorwärtsverbindungsstatus \u003d verwandte Aktion \u003d akzeptieren

iP-Firewall-Filter-Filter hinzufügen \u003d Eingangsanschluss-Status \u003d ungültige Aktion \u003d Drop

iP-Firewall-Filter-Filter-Kette hinzufügen \u003d Vorwärtsverbindungsstatus \u003d ungültige Aktion \u003d Drop

iP-Firewall-Filter Fügen Sie Kette hinzu \u003d Input-Protokoll \u003d UDP-Action \u003d akzeptieren

iP-Firewall-Filter-Filter-Kette \u003d Vorwärtsprotokoll \u003d UDP-Action \u003d akzeptieren

iP-Firewall-Filter-Filter-Kette hinzufügen \u003d Vorwärts-SRC-Adresse \u003d 192.168.0.0 / 24 Action \u003d akzeptieren

iP Firewall-Filter hinzufügen Kette \u003d Eingabe SRC-Adresse \u003d 192.168.0.0 / 24 Action \u003d akzeptieren

iP-Firewall-Filter-Filter hinzufügen \u003d Eingang Action \u003d Drop

iP-Firewall-Filter-Filter hinzufügen \u003d Vorwärtsaktion \u003d Tropfen

In jeder Hinsicht haben wir dies jedoch nicht getan, da wir das Folgende erhalten müssen.

Routing
Letzteres, aber eines der wichtigsten Maßnahmen bleibt die Schaffung von Routen. Beginnen wir mit der Tatsache, dass wir unsere Verbindungen mit dem Anbieter markieren. Dies ist notwendig, um alle Anfragen, die an die Schnittstelle eines Anbieters gelangen, und ihre Schnittstelle verlassen. Dies ist ziemlich kritisch, wenn wir für NAT haben, es gibt Ressourcen, denen es notwendig ist, Zugang von zu bieten globales Netzwerk Das Internet. Zum Beispiel ein Webserver oder einen Mail-Server usw. So organisieren Sie die Arbeit solcher Dienste, wir haben bereits in den Artikel Advanced Mikrotik-Routeros-Einstellungen in Betracht gezogen: Portumlenkung - DSTNAt.

Dazu müssen wir für jeden Anbieter in der IP-Abschnitt -\u003e Firewall auf der Registerkarte IP-Abschnitt zwei separate Regeln erstellen.

Wählen Sie auf der Registerkarte Allgemein die Kettenkette als vorwärts aus, und wählen Sie als IN.INTERFACE die PPPoE-Schnittstelle der Verbindung des ersten ISP1-Anbieters aus.

Wählen Sie auf der Registerkarte Aktion als Aktionsparameter die Option Markieren auf, und in dem untenstehenden neuen Verbindungsmarkierfeld, das unten angezeigt wird, beispielsweise den Markennamen für diese Verbindung eingeben, z. B. ISP1-CON.

Dasselbe wiederholen Sie sich für den zweiten Anbieter. Wählen Sie nur als in.Interface ISP2 aus, und geben Sie im Feld Neue Verbindungsmarke das Etikett für die zweite ISP2-CON-Verbindung ein.

Um jetzt eine Antwort auf eine Anforderung zu senden, die über die Schnittstelle desselben Anbieters kam, müssen wir weitere 2 Regeln erstellen, die Routen kennzeichnen werden.

Hier erstellen wir eine neue Regel, in der als Kettenkette den Vororouting-Wert im SCR.Address-Feld auswählen, das Präfix unseres lokalen Netzwerks 192.168.0.0.0/24 eingeben, und CJNNexection Mark Wählen Sie das Verbindungsetikett unseres ersten ISP1 aus. -Con-Anbieter.

Gehen Sie zur Registerkarte Aktion und wählen Sie im Feld Aktion, Markieren Sie das Routing Markieren, und in dem untenstehenden neuen Routing-Marke, der unten angezeigt wird, weisen wir dem Label die Route dieses Anbieters zu, z. B. ISP1-RT.

Wir erstellen genau peinlich, wir erstellen für die zweite Verbindung. Wählen Sie nur als Verbindungsmarke ISP2-CON aus, und als neues Routing-Marke, fit ISP2-RT.

Wenn wir jetzt Ressourcen haben, Zugriff auf, auf den Sie ausschließlich über die Schnittstelle eines Anbieters bereitstellen müssen, müssen wir eine Liste dieser Ressourcen erstellen und alle Verbindungen mit Adressen aus dieser Liste für ein weiteres korrektes Routing markieren.

Beispielsweise hat der Anbieter Nr. 2 - ISP2 lokale Ressourcen mit einer Reihe von Adressen 181.132.84.0/22. Und durch Anbieter Nummer 1, Ping an spielerservern onlinespiele, viel weniger. Und wir wissen, dass die IP-Adressen dieser Server 90.231.6.37 und 142.0.93.168.

Gehen Sie zu der Registerkarte Adresslisten des IP-Abschnitts -\u003e Firewall. Und einer nach dem anderen diese IP-Adressen oder Subnetze mit einem Ganzen mit den Namen von to-isp1 oder to-isp2 hinzufügen, je nachdem, welcher Anbieter an diese Ressourcen angesprochen werden soll.

Da die meisten Anbieter ihre eigenen DNS-Server verwenden, ist der Zugriff auf das oft von anderen Netzwerken verboten, dann ist es in diesen Listen äußerst wichtig, die Adressen von DNS-Servern von jedem der Anbieter hinzuzufügen, um Domain-Name-Anfragen an Gehen Sie mit der spezifischen Anbieterschnittstelle zu ihnen..

Auf der Registerkarte Aktion, Action-Mark-Routing, neuer Routing-Mark - ISP1-RT.

Wir wiederholen das Gleiche für die Liste der Adressen des zweiten Anbieters. Dementsprechend geben Sie als DST.Address-Liste eine Liste von Adressen für den zweiten To-ISP2-Anbieter an. Und als Label für die neue Routing-Marke - ISP2-RT-Route.

Fahren Sie mit dem größten Teil der Routing-Einstellung fort - erstellen Sie statische Routing-Regeln im IP-Abschnitt -\u003e Routen.

Wenn die Kanäle unserer beiden Anbieter fast gleich sind, fügen Sie eine solche Route hinzu: Aber die allgemeine Registerkarte, das Routen-Erstellungsfenster, für dst.address I Schreiben Sie 0.0.0.0/0 und wählen Sie die Schnittstellen unserer ISP1- und ISP2-Schnittstellen als Geh weg. Alle anderen Parameter, bleiben unverändert.

In einer solchen Variante wird die Belastung auf beiden Anbietern gleichmäßig verteilt.

Wenn wir dies tun wollen, dass der zweite Anbieter reservieren würde, und "inklusive" nur in den Fall, wenn es nicht verfügbar ist oder der erste geladen ist, erstellen wir zwei Routen.

Die erste dst.address - 0.0.0.0/0, Gateway - ISP1.

Und die zweite dst.address - 0.0.0.0/0, Gateway - ISP2, Entfernung - 2.

Und doch müssen Sie für jeden Anbieter zwei separate Routen erstellen, in denen die zuvor gekennzeichneten Routen verloren gehen. Sie unterscheiden sich darin, dass das Feld Routing Mark ein Etikett angibt, das wir früher für einen bestimmten Anbieter zugewiesen haben.

Der erste wird eine dst.address - 0.0.0.0.0/0, Gateway - ISP1, Routing Mark - ISP1-RT und der zweite, dst.address - 0.0.0.0.0/0, Gateway - ISP2, Routing Mark - ISP2 -Rt.

Jetzt ist die Arbeit mit zwei Anbietern ordnungsgemäß konfiguriert. Alle eingehenden Verbindungen sind markiert und Antworten auf sie gehen durch die Schnittstelle, zu der die Anforderung gekommen ist. Berufung an eine oder andere Ressourcen sind verteilt, und die Belastung auf beiden Kanälen ist ausgewogen.

\u003e Reservierung von Kanälen auf Mikrotik ohne Skripts

Mikrotik. Failover. Lastverteilung

Als ich die Notwendigkeit erhielt, herauszufinden, wie man Failover oder Lastausgleich erstellt, mit zwei oder mehr Kanälen in die Welt hatte, fand ich viele Artikel und Anweisungen, die funktionierende Konfigurationen beschrieben haben. Fast überall fand jedoch keine Klarstellung, da alles funktioniert und Unterschiede in verschiedenen Optionen beschreibt. Ich möchte diese Ungerechtigkeit korrigieren und die einfachsten Optionen für den Aufbau von Failover und Lastausgleichskonfigurationen in einem Artikel sammeln.

Wir haben also einen Router, der unser lokales Netzwerk und zwei Kanäle im Internet (Main ISP1 und Backup ISP2) verbindet.

Schauen wir uns an, was wir tun können:

Wir haben einen Backup-Kanal, in dem Sie den Datenverkehr senden können, wenn Sie den Hauptanschluss ablehnen. Aber wie man Mikrotik versteht, verstehe, dass der Kanal fiel?

Einfachste Reservierung von Kanälen

Das einfachste Failover kann mit der Routenpriorität (Entfernung bei Mikrotik / Cisco, Metrik in Linux / Windows) sowie der Gateway-Verfügbarkeitsprüfmechanismus - Check-Gateway konfiguriert werden.

In der folgenden Konfiguration steigt der gesamte Internetverkehr standardmäßig in 10.100.1.254 (ISP1). Sobald die Adresse 10.100.1.254 jedoch nicht erreichbar ist (und die Route inaktiv ist), wird der Verkehr nach 10.200.1.254 (ISP2) gehen.

konfiguration: einfachste Failover

# Legen Sie die Netzwerkanbieter fest:





### Bereitstellung von Kanalbackups auf traditioneller Weise ###
# Punkt 2 Standard-Gateway mit unterschiedlichen Prioritäten
/ IP-Route DST-Adresse hinzufügen \u003d 0.0.0.0 / 0 Gateway \u003d 10.100.1.254 Entfernung \u003d 1 Check-Gateway \u003d Ping
/ IP-Route DST-Adresse hinzufügen \u003d 0.0.0.0 / 0 Gateway \u003d 10.200.1.254 Entfernung \u003d 2 Check-Gateway \u003d Ping

Check-gateway \u003d ping für mikrotik wird so verarbeitet:
Periodisch (alle 10 Sekunden) wird das Gateway unter Bezugnahme auf das ICMP-Paket (Ping) geprüft. Das verlorene Paket wird in Betracht gezogen, wenn er nicht seit 10 Sekunden zurückgegeben wurde. Nach zwei verlorenen Paketen gilt das Gateway als unzugänglich. Nach Erhalt der Antwort vom Gateway wird es verfügbar und der Paketzähler wird zurückgesetzt.

Failover mit einer tieferen Kanalanalyse bereitstellen.

Im letzten Beispiel ist alles wunderbar, außer der Situation, wenn das Gateway des Anbieters sichtbar ist und Pins ist, aber es gibt kein Internet. Es würde uns großartig helfen, wenn es möglich war, über die Rentabilität des Anbieters zu entscheiden, dass Pingangu nicht das Gateway selbst ist, sondern etwas dahinter.

Ich kenne zwei Möglichkeiten, um diese technische Aufgabe zu lösen. Die erste und der häufigste ist, Skripts zu verwenden, aber da in diesem Artikel wir die Skripts nicht berühren, werden wir in der zweiten mehr aufhören. Sie impliziert nicht vollständig mit dem Geltungsbereichsparameter, sondern hilft uns, den Kanal des Anbieters tiefer als das Gateway auszuprobieren.
Das Prinzip ist einfach:
Anstelle der traditionellen Anweisungen des Standard-Gateways \u003d Anbieter-Gateway werden wir sagen, dass der Router dieses Standard-Gateway einige der immer verfügbaren Gateway enthält (z. B. 8.8.8.8 oder 8.8.4.4) und ist wiederum über das Gateway des Anbieters verfügbar.

konfiguration: Failover mit einer tieferen Kanalanalyse

# Legen Sie die Netzwerkanbieter fest:
/ IP-Adresse Adresse hinzufügen \u003d 10.100.1.1 / 24-Schnittstelle \u003d ISP1
/ IP-Adresse Adresse hinzufügen \u003d 10.200.1.1 / 24-Schnittstelle \u003d ISP2
# Stellen Sie die lokale Schnittstelle ein
/ IP-Adresse Adresse hinzufügen \u003d 10.1.1.1 / 24-Schnittstelle \u003d LAN
# Hilfe für NAT Alles kommt aus dem lokalen Netzwerk
/ IP Firewall NAT SRC-Adresse hinzufügen \u003d 10.1.1.0 / 24 Action \u003d Maskerade-Kette \u003d Srcnat
### Failover mit einer tieferen Kanalanalyse ###
# Verwenden des Scope-Parameters, geben wir die rekursiven Pfade an den Knoten 8.8.8.8 und 8.8.4.4 an
/ IP-Route Hinzufügen DST-Adresse \u003d 8.8.8.8 Gateway \u003d 10.100.1.254 Scope \u003d 10
/ IP-Route DST-Adresse hinzufügen \u003d 8.8.4.4 Gateway \u003d 10.200.1.254 Scope \u003d 10
# Platz 2 Standard-Gateway durch die Knoten Der Pfad, zu dem rekursiv angegeben ist
/ IP-Route DST-Adresse hinzufügen \u003d 0.0.0.0 / 0 Gateway \u003d 8.8.8.8 Entfernung \u003d 1 Check-Gateway \u003d Ping
/ IP-Route DST-Adresse hinzufügen \u003d 0.0.0.0 / 0 Gateway \u003d 8.8.4.4 Entfernung \u003d 2 Check-Gateway \u003d Ping

Jetzt werden wir analysieren, was ein bisschen mehr passiert:
Der List ist, dass das Gateway des Anbieters nicht weiß, dass 8.8.8.8 oder 8.8.4.4 ein Router ist und den Verkehr auf übliche Weise sendet.
Unser Mikrotik ist der Ansicht, dass der gesamte Verkehr standardmäßig an 8.8.8.8.8 gesendet werden kann, der nicht direkt sichtbar ist, jedoch nach 10.100.1.254 verfügbar ist. Und wenn der Ping pro 8.8.8.8 verschwindet (ich erinnere Sie daran, dass der Weg dazu starr durch das Gateway von ISP1 aufgeführt ist), fängt Mikrotik an, den gesamten Internet-Verkehr bei 8.8.4.4 oder eher den rekursiven 10.200 zu senden. 1.254 (ISP2).

Auf dem Vertriebsforum, dem Benutzer unter Nick Barvinok Begann zu schreiben.
zyklus von Artikeln, die versuchen, die angesammelte Basis zu kombinieren und zu systematisieren
wissen über Mikrotik im Allgemeinen und insbesondere auf das Thema zweier Anbieter. Damit
ich darf alles auf meine Seite kopieren. Diejenigen, die es wünschen, können gehen
erste Quelle http://mikrotik.ru/forum/viewtopic.php?f\u003d1 5 & t \u003d 3280
Setzen des Routers von Grund auf.
Dieser Abschnitt füllt die Knappheit des angewendeten Teils aus.
Nach dem Titel des Themas rufe ich einen Router auf zwei Anbietern ein. Das Router-Modell meine RB7XX-Serie.
Quellen:
Übersicht und Konfiguration von MIKROTIK RB751U-2HND in einem drahtlosen Router-Modus mit einer Verbindung zum Internet.
Sergey Lagovsky: Mikrotik - Erstes Setup

Quelle
lese sicher Ich werde keinen Führer "Microtic for schreiben
hausfrauen ", wie", nehmen Sie das Kabel auf die rechte Hand ... ". Hier ist ich angeben
nur Meilensteine, Schritte. Und wie genau das tun - in der oben genannten
quellen.
ich benutze befehlszeile Terminal über Winbox und alle Beispiele werden genau in diesem Formular gegeben.
1. Setzen Sie die Anfangseinstellungen zurück:

/ Systemrücksetzkonfiguration

2. Laden Sie das Upgrade-Paket herunter und ziehen Sie die Maus in Winbox. Des Weiteren:

/ System-Neustart

und nach dem Neustart :

/ System-Routerboard-Upgrade

3. Erstellen Sie eine Brücke von letzte drei. Häfen:

/ Schnittstellenbrücke.
name hinzufügen \u003d local_net
bridge \u003d local_net-Schnittstelle hinzufügen \u003d Ether3
bridge hinzufügen \u003d local_net-Schnittstelle \u003d Ether4
bridge \u003d local_net-Schnittstelle \u003d Ether5 hinzufügen

4. Ich ordne der IP-Adresse dieser Brücke:

/ IP-Adresse Adresse hinzufügen \u003d 192.168.1.1 / 24 Schnittstelle \u003d local_net

5. Konfigurieren Sie auf dem IT-DHCP-Server:

/ IP-DHCP-Server-Setup

Lassen Sie den DNS-Server an die Adresse des mikrik: 192.168.1.1 erhalten. Ein bisschen später werde ich erklären, warum.

6. Erlauben Sie dem Router, auf DNS-Anfragen zu antworten:

/ IP DNS SET Zulassen-Remote-Anfragen \u003d Ja

Übertragen Sie den Geist: Jetzt haben wir eine D-Link-Box-Funktionalität erreicht :)

7. Bei den Ratschlägen von Sergey Lagovsky ändere ich immer den Namen des Superuser:

/ Benutzer hinzufügen Name \u003d Übername Passwort \u003d Superpass-Gruppe \u003d voll
/ Verlassen.

Wir gehen unter einem neuen Benutzer und schalten das Alte aus:

/ Benutzer deaktivieren admin

8. Wir weisen den Zeitserver und die Zeitzone zu:

/ System NTP-Client-Set Enabled \u003d YES-Modus \u003d Unicast Primary-NTP \u003d 83.229.137.52 Sekundär-NTP \u003d 213.141.146.135
/ Systemuhr Set Time-Zone-Name \u003d Europa / Moskau

9. Konfigurieren Sie die Internetverbindungen.
Ich werde einen schwierigen Fall von zwei ungleichen Anbietern machen:

• Zuerst
  der Anbieter gibt Internet über PPPOE auf ADSL: 8 MBit / s Gutachse / 0,8 Mbps
  ausgehend. Die IP-Adresse und andere Netzwerkeinstellungen werden vom Anbieter ausgestellt
  dynamisch.


• Die zweite ist sehr hochwertig, aber teuer auf der Optik: einem symmetrischen Kanal von 1 Mbps. IP-Adresse und Einstellungen statische (konstante)

Wir benötigen einen wichtigen Benutzerbasierten Benutzerstrom über ADSL und Favoriten Echtzeitdienste (VoIP) - durch Optik.

9.1. Passen Sie den ersten Anbieter an.
Wir übersetzen unser ADSL-Modem in den Brückenmodus (BRIDGE). Stecken Sie das Kabel an den ersten Anschluss (Ether1).
Erstellen und konfigurieren Sie die PPPoE-Schnittstelle:

/ Interface PPPoE-Client Name hinzufügen \u003d UTK UTK UTK \u003d PPP_USER-Kennwort \u003d PPP_PASW Verwenden-Peer-DNS \u003d JA-Schnittstelle \u003d Ether1

Wenn der Anbieter der einzige gewesen wäre, wäre es möglich, hinzuzufügen " add-Standard-Route \u003d Ja". Aber wir haben eine andere Aufgabe.
"verwenden-Peer-DNS"Bedeutet, dass wir die vom Anbieter zugewiesenen DNS-Server mit dieser Verbindung verwenden werden.

/ IP-Adressdruck
/ Ping mail.ru.

was würde sicherstellen, dass die Verbindung funktioniert.

9.2. Wir konfigurieren den zweiten Anbieter.
Wir halten das Kabel vom Umgebungswandler in den zweiten Port und geben die Einstellungen manuell ein:

IP-Adresse Adresse hinzufügen \u003d 80.45.21.34 / 30-Schnittstelle \u003d Ether2

Wenn der Anbieter seinen DNS-Servern angibt, können Sie sie explizit einstellen:

/ IP DNS-Set-Server \u003d IP_Server1, IP_Server2

Und wir können öffentlich verfügbar, wie Google: 8.8.8.8.8.8.4.4.

Ich erinnere dich
das dank p. 6 Unser Router ist ein DNS-Server für lokale
netzwerk. Aber er selbst, als sanfter Körper - zwei Angelegenheiten saugen, willkürlich
wenden Sie sich an DNS-Server eines Anbieters.

10. Aktivieren Sie die Adressübersetzung.
Für den Anbieter 1:

/ IP Firewall NAT Fügen Sie Kette \u003d srcnat action \u003d masquerade Protocol \u003d TCP Out-Interface \u003d UTK

Sie können auch für den zweiten gehen, aber wir geben an. Wie die Adresse, die wir dauerhaft haben, verwenden wir keine Maskerade, aber Snat:

/ IP Firewall Nat-Kette hinzufügen \u003d srcnat Action \u003d SRC-Nat-Protokoll \u003d TCP-SRC-Adresse \u003d 192.168.1.0 / 24 zu Adressen \u003d 80.45.21.34

Wenn unsere Anbieter gleichwertig waren, wäre dies möglich:

/ IP-Route DST-Adresse hinzufügen \u003d 0.0.0.0 / 0 Gateway \u003d UTK, Ether2 Check-Gateway \u003d Ping

Wir erhalten sofort eine Fehlertoleranz und eine gleichmäßige Lastverteilung (gerechte Pfade).
Ich empfehle Ihnen, dies zu tun und von den LAN-Computern zu spielen
"Tracert mail.ru", dann herunterfahren, dann eine andere externe Schnittstelle -
nur das würde überprüfen.
Wenn Anbieter nicht nur der Kanaldicke entsprechen, können Sie dies tun:

/ IP-Route Hinzufügen DST-Adresse \u003d 0.0.0.0 / 0 Gateway \u003d UTK, UTK, Ether2 Check-Gateway \u003d Ping

Nun, durch den ersten Anbieter, wird es doppelt so viele Ströme geben als durch die zweite.

Unsere Aufgabe ist jedoch etwas schwieriger, da Anbieter nicht nur quantitativ, sondern auch nicht gleich sind qualitativ.
11. Daher werden wir sie separat ernennen und verschiedene Präferenzen (Entfernung) geben.
Für den ersten Anbieter ist es am einfachsten, dies zu tun:

/ Schnittstelle PPPoE-Client Set 0 Add-Standard-Route \u003d Ja

Obwohl wir es in S.9.1 tun könnten, entschied ich mich aber für die Bestellung.
Für den zweiten Anbieter - Also:

/ IP-Route DST-Adresse hinzufügen \u003d 0.0.0.0 / 0 Gateway \u003d 80.45.21.34 Entfernung \u003d 2 Check-Gateway \u003d Ping

Nun geht unser gesamtes Netzwerk durch den Anbieter 1 und wenn er - durch den Anbieter 2 fällt.

12. Wir wählen wichtige Streams (Skype, SIP) aus, die über den Anbieter 2 an das Netzwerk gesendet werden müssen.

Hier mache ich einen Rückzugsort für die Kennzeichnung (Marke) von Paketen und Verbindungen, da dieses Thema ziemlich neugierig ist.

Retreat 4.
Markierung

Benutzt
etiketten für bestimmte Pakete einstellen. Diese Aktion vielleicht.
nur innerhalb der Mange-Tabelle durchgeführt. Tags installieren normalerweise
wird verwendet, um Pakete auf verschiedenen Routen für Routine zu routinieren
verkehrsbeschränkungen usw. Für weitere Informationen können Sie
siehe Linux Advanced Routing und Traffic Control How-to. Nicht
vergessen Sie nicht, dass das Paket "Label" nur während des Zeitraums existiert
das Paket hat die Firewall nicht verlassen, d. H. Das Etikett wird nicht über das Netzwerk übertragen. Wenn ein
es ist irgendwie notwendig, die Pakete zu markieren, um die Markierungen anzunehmen
eine andere Maschine, Sie können versuchen, die Bits des TOS-Felds zu manipulieren.

Handbuch: IP / Firewall / Mangel auf Mikrotik Wiki.

Zum
lesen- und Schreibregeln ist wichtig, um sehr deutlich zu verstehen, wo wir
wir geben ein Zeichen an, das Sie ein Paket aus dem Bach zuordnen, und wo
wir produzieren ein Paket (akzeptiert, werfen oder stempeln
ein Zeichen).
Betrachten Sie zwei Regeln aus dem Artikel über PCC:
/ IP Firewall Mangel

hinzufügen.

iN-Interface \u003d Ether2 New-Connection-Mark \u003d L2TP-OUT1_CONN PASSTHROUGH \u003d JA
per-Anschluss-Klassifizierer \u003d SRC-Adresse: 2/0 SRC-Adresse \u003d 172.16.0.0 / 16
hinzufügen.
action \u003d Mark-Anschlusskette \u003d Vorbereitender DST-Adresse-Typ \u003d! Local
iN-Interface \u003d Ether2 New-Connection-Mark \u003d l2tp-out2_conn Passthrough \u003d Ja
per-Anschluss-Klassifier \u003d SRC-Adresse: 2/1 SRC-Adresse \u003d 172.16.0.0 / 16

hinzufügen.
action \u003d Mark-Routing-Kette \u003d Vorrechnungsmarke \u003d l2tp-out1_conn
iN-Interface \u003d Ether2 Neu-Routing-Mark \u003d to_l2tp-out1 Passthrough \u003d Ja
hinzufügen.
action \u003d Mark-Routing-Kette \u003d Vorrückende Verbindung-Mark \u003d L2TP-OUT2_CONN
in-Interface \u003d Ether2 Neu-Routing-Mark \u003d to_l2tp-out2 Passthrough \u003d Ja

In der ersten Regel wir wir markieren die Verbindung (Action \u003d Markverbindung) in der vorrückenden Kette. Nächstes folgen anzeichen,
für die wir die Verbindung definieren, wegen markiertem Sicht
zieladressen - Jeder außer der Adresse des Routers selbst
(DST-Adresse-Typ \u003d! Local), eingehende Schnittstelle - Ether2
(IN-Interface \u003d Ether2), Source-Adresse - jeder Computer aus dem Subnetz
172.16.0.0/16. Als nächstes folgt ein wunderbares Team:
per-Anschluss-Klassifizierer \u003d SRC-Adresse: 2/0. Also zerschlagen wir den Bach
pakete, die diesen Funktionen entsprechen.
Danach weist ein Teil des Ablaufs das Label L2TP-OUT1_CONN und den zweiten L2TP-OUT2_CONN zu.
Passthrough.
als "durch" übersetzt. Eigentlich jedes Paket sequentiell
Überprüft auf die Einhaltung jeder Regel bis zum ersten Zufall. Wie
nur zusammengekommen - es wird sofort an die folgende Tabelle übertragen (dabei
der Fall ist dnat) oder zerstört, wenn die Drop-Aktion vorliegt. Aber wenn angegeben
passthrough \u003d Ja, das Paket wird in die Regel übermittelt
tabelle.

Die nächste Regel setzen wir über die bevorzugten ein Zeichen
wege weiter folgen (Action \u003d Mark-Routing). Alle Verbindungen
markiert L2TP-OUT1_CONN (Connection-Mark) Wir sind zusätzlich zum Marke-Label
to_l2tp-out1 (Neu-Routing-Mark). Und dann mit der zweiten Flusshälfte
wir tun bzw..

Was ist die tiefe Bedeutung dieses sequentiellen Brandings, und warum es unmöglich ist, sofort neue Routing-Marke zu installieren, habe ich noch nicht verstanden. Aber im offiziellen Leitfaden für das Microtic-Wiki wird auch getan.
Kann jemand erklären?

Im Allgemeinen gibt es drei Aktionen mit einem ähnlichen Namen, in dem es nicht schaden würde, um herauszufinden:

• markverbindung.


• markpaket.


• mark-Routing

Beginnen wir mit einfachem.

mark-Routing
- Legen Sie eine Marke, die vom neuen Routing-Mark-Parameter auf einem Paket angegeben ist.
Diese Art von Markierungen erteilt nur für Richtlinienzwecke

Diese Aktion stellt ein Etikett ein, das ausschließlich beim Auswählen eines weiteren Weiterleitungswegs verwendet wird. Z.B:

/ IP-Route.
hinzufügen dst-add \u003d 0.0.0.0 0 Gateway \u003d 10.111.0.1 Routing-Mark \u003d to_isp1 Check-Gateway \u003d Ping
dST-Adresse hinzufügen \u003d 0.0.0.0 0 Gateway \u003d 10.112.0.1 Routing-Mark \u003d to_isp2 Check-Gateway \u003d Ping

Im Falle des Zusammenbruchs eines der Wege sollte jedoch zusätzlich erfolgen allgemeine Regeln Ohne Bindung an Tags:

dST-Adresse hinzufügen \u003d 0.0.0.0 / 0 Gateway \u003d 10.111.0.1 Entfernung \u003d 1 Check-Gateway \u003d Ping
dST-Adresse hinzufügen \u003d 0.0.0.0 0 Gateway \u003d 10.112.0.1 Entfernung \u003d 2 Check-Gateway \u003d Ping

Wie unterscheidet sich das Markpaket jedoch von der Markverbindung?
Natürlich unterscheidet sich das gleiche wie das Paket von der Verbindung.
Wir lesen:

Markierung.
jedes Paket ist ziemlich teuer, besonders wenn die Regel übereinstimmen muss
gegen viele Parameter von IP-Header oder Adressliste mit
hunderte von Einträgen.

Marke Jedes Paket ist sehr teuer
vergnügen, besonders wenn die Regel viele Anzeichen für enthält
vergleiche aus dem Header des IP-Pakets oder des Adressblatts mit Hunderten
aufzeichnungen.
Weiterhin Bezugnahme auf das Insolvent der Router,
belastet mit komplexen Regeln, um jedes Paket in 100 Megabit zu überprüfen
netzwerke. Die Rechenlast des Prozessors wächst schnell
tatsächlich führt dies zu der Unmöglichkeit, diese Markierungsmethode zu verwenden
bei der Steuerung großer Datenströme.

Zitat:

Glücklicherweise können die Verbindungsverfolgung aktiviert sein, können wir Anschlussmarken verwenden, um unser Setup zu optimieren.

Wenn das Tracking der Verbindungen aktiviert sind, können wir mit der Verbindungen miteinander verbindern, die viel besser heiraten können!
Hier
es ist der Vorteil, mit dem Bild zu arbeiten hohes Level. Der höhere
das Niveau der Verallgemeinerung, desto weniger Arbeit, auf der Sie ausgeben müssen
erreiche dein Ziel!

/ IP Firewall Mangel
Fügen Sie Kette \u003d Vorwärtsprotokoll hinzu \u003d TCP-Port \u003d! 80 DST-Adressliste \u003d Erster Verbindungsstatus \u003d Neue Aktion \u003d Markverbindung \\
new-connection-mark \u003d zuerst
Füge Kette \u003d Vorwärtsverbindungsmarke \u003d Erste Aktion \u003d Markpaket New-Packet-Mark \u003d Erstes Passthrough \u003d Nein

Hinzufügen von Kette \u003d Vorwärtsprotokoll \u003d UDP-DST-Adressliste \u003d zweiter Verbindungsstatus \u003d Neue Aktion \u003d Mark-Anschluss \\
neuverbindung-Mark \u003d Sekunde
Füge Kette \u003d Vorwärtsverbindungsmarke \u003d Zweite Aktion \u003d Markpaket Neu-Packet-Mark \u003d Zweiter Passthrough \u003d Nein

Zitat:

Jetzt
die erste Regel wird versuchen, Daten nur vom ersten Paket von IP-Header abzugleichen
von neuer Verbindung und Verbindungsmarke hinzufügen. Die nächste Regel wird nicht mehr
Überprüfen Sie den IP-Header für jedes Paket, es vergleicht nur Anschlussmarken
was zu einem niedrigeren CPU-Verbrauch führt. Zusätzlich passiert passiert \u003d Nein
hinzugefügt, die dazu beitragen, den CPU-Verbrauch noch mehr zu reduzieren.

Logistik, die erste Regel überprüft die Daten nur in der Kopfzeile des ersten Pakets der neuen Verbindung der neuen Verbindung und glaubt, dass in diesem Zusammenhang alle anderen damit zusammenfallen. Die folgende Regel sieht anstelle der Überprüfung des Titels jedes Pakets nur auf das Verbindungsetikett, das die Last auf der CPU erheblich reduziert. Darüber hinaus unterbricht die "Pasthrough \u003d NEIN" -Regel sofort den Durchtritt von Paketen in dieser Tabelle wird auf das Folgende übertragen, das auch die CPU entlädt!

OO ... Cunning Reception! Nun ist es klar, warum im Beispiel mit dem PCC die Verbindung zuerst den Anschluss stirbt, und dann auf der Grundlage dieses Etiketts das zweite - über das Routing.
Aber Fragen ergeben sich.
Der erste: Wie kann ich verstehen, dass das Paket zu einer Art Anschluss gehört, ohne seine Überschrift anzusehen? Offensichtlich - auf keinen Fall. Es bedeutet, dass jedes Paket in jedem Fall separat verarbeitet wird, aber es geschieht außerhalb von Iptables, und es verursacht keine besondere Belastung an zentralprozessorIm Gegensatz zur Verarbeitung auf der Liste der Regeln in iptables.

Und die zweite Frage: Wie kann ich die Verbindung markieren?
Wenn mit dem Paket alles relativ klar ist: Er hat eine Überschrift, in der wir Änderungen vornehmen, was ist der eigentliche Ausdruck des Konzepts von "Compound", mit dem wir zumindest irgendwie irgendwie arbeiten können? Was markieren wir?