Mikrotik Μετάβαση στο κανάλι αντίγραφο ασφαλείας. Μικροκ. Δύο πάροχοι. Αυτόματη εναλλαγή μεταξύ πύλων (χωρίς δέσμες ενεργειών)

Αυτό το άρθρο περιγράφει το μέγιστο Πλήρης οδηγίαΠώς να δημιουργήσετε δρομολογητή Mikrotik για δύο παρόχους.

Η ταυτόχρονη σύνδεση με δύο παρόχους Διαδικτύου χρησιμοποιείται για την οργάνωση ενός καναλιού επικοινωνίας αντιγράφων ασφαλείας σε περίπτωση που υπάρχει σύνδεση με έναν από τους παρόχους. Σε αυτή την περίπτωση, ο δρομολογητής θα μεταβεί αυτόματα στον δεύτερο πάροχο και μπορείτε να συνεχίσετε να εργάζεστε στο Διαδίκτυο. Η σύνδεση με δύο παρόχους χρησιμοποιείται σε οργανισμούς όπου είναι απαραίτητο να διασφαλιστεί η συνεχής πρόσβαση των εργαζομένων στο Διαδίκτυο.

Για να εξασφαλιστεί ένα κανάλι Internet Internet, θα χρειαστείτε ένα δρομολογητή που υποστηρίζει τη δημιουργία πολλών παρόχων. Οι δρομολογητές του Mikrotik είναι απόλυτα κατάλληλα για αυτό το έργο.

Περιγραφή σύνδεσης

Στο παράδειγμα, θα χρησιμοποιήσουμε το δρομολογητή Mikrotik RB951UI-2HND.

Ένα καλώδιο από τον 1ο πάροχο συνδέεται με την 1η θύρα του δρομολογητή, ένα καλώδιο από τον 2ο πάροχο, οι θύρες 3-5 και Wi-Fi συνδέονται για τη σύνδεση των υπολογιστών LAN.

Η 1η θύρα θα ρυθμιστεί ώστε να λαμβάνει δυναμικά ρυθμίσεις δικτύου από τον πάροχο DHCP. Ο πάροχος δίνει τη δυναμική διεύθυνση IP του δρομολογητή 10.10.10.10

Η 2η θύρα θα διαμορφωθεί με μη αυτόματο τρόπο στη στατική διεύθυνση IP 20.20.20.20, Πύλη 20.20.20.1 και μάσκα 255.255.255.0

Επαναφορά προεπιλεγμένης διαμόρφωσης

Με το πρόγραμμα WinBox, επαναφέρετε την προεπιλεγμένη εργοστασιακή διαμόρφωση για να διαμορφώσουμε το δρομολογητή Mikrotik σε δύο προμηθευτές από το μηδέν:

Μετά την επανεκκίνηση στο WinBox, επιλέξτε τη διεύθυνση συσκευής στη λίστα MAC και συνδεθείτε στο χρήστη Διαχειριστής. χωρίς κωδικό πρόσβασης.

Ρύθμιση 1ου θύρα WAN

Ρυθμίστε τη γραμμή 1ης θύρας στη δυναμική παραλαβή των ρυθμίσεων δικτύου από τον πάροχο DHCP.

1. Ανοιχτό μενού IP - DHCP Client;
2. Στο παράθυρο που εμφανίζεται στη λίστα Διεπαφή. Επιλέξτε μια διεπαφή Αιθέρας1;
3. Προσθέστε την προεπιλεγμένη διαδρομή. Επιλέγω Οχι.;
4. πάτα το κουμπί ΕΝΤΑΞΕΙ..

Τώρα λάβαμε τη διεύθυνση IP από τον πάροχο, το οποίο εμφανίζεται στη στήλη διεύθυνση IP.

Ελέγξτε ότι υπάρχει σύνδεση στο Internet. Ανοιχτό μενού Νέο τερματικό Και εισάγετε την εντολή ping ya.ru.. Όπως μπορείτε να δείτε, το Ping είναι.

Ρύθμιση της 2ης θύρας WAN

Η 2η θύρα έχει οριστεί σε μια στατική διεύθυνση IP 20.20.20.20, η πύλη 20.20.20.1 και η μάσκα 255.255.255.0

1. Ανοιχτό μενού IP - διευθύνσεις;
2. Κάντε κλικ στο κουμπί Προσθήκη (Blue Cross).
3. Στο παράθυρο που εμφανίζεται στο πεδίο Διεύθυνση Σπρώξτε τη στατική διεύθυνση IP / Subnet Mask 20.20.20.20/24 ;
4. Στη λίστα Διεπαφή. Επιλέξτε μια διεπαφή Αιθέρας2.;
5. πάτα το κουμπί ΕΝΤΑΞΕΙ..

Διεύθυνση IP συμπερασμάτων της πύλης Internet:

1. Ανοιχτό μενού Ip - Διαδρομές.;
2. Κάντε κλικ στο κουμπί Προσθήκη (Blue Cross).
3. Στο παράθυρο που εμφανίζεται στο πεδίο Πύλη. Σπρώξτε τη διεύθυνση IP της πύλης 20.20.20.1 ;
4. πάτα το κουμπί ΕΝΤΑΞΕΙ..

Προσθέστε μια διεύθυνση IP Διακομιστής DNS:

1. Ανοιχτό μενού Ip - DNS.;
2. Στο πεδίο Διακομιστές Σπρώξτε τη διεύθυνση IP του DNS του διακομιστή, για παράδειγμα 8.8.8.8 ;
3. Αφαιρώ Αφήστε απομακρυσμένα αιτήματα.;
4. πάτα το κουμπί ΕΝΤΑΞΕΙ..

Ελέγξτε ότι υπάρχει σύνδεση στο Internet. Αποσυνδέστε το καλώδιο του πρώτου παρόχου, ανοίξτε το μενού Νέο τερματικό Και εισάγετε την εντολή ping ya.ru..

PINS Πηγαίνουν, αυτό σημαίνει ότι όλα έχουν ρυθμιστεί σωστά. Μπορείτε να συνδέσετε το καλώδιο του πρώτου παροχέα.

Ρύθμιση θυρών LAN 3-5 και Wi-Fi

Λιμάνια LAN 3-5 θα συνδυαστούν με μια διασύνδεση Wi-Fi σε ένα μόνο Τοπικό δίκτυοστην οποία οι υπολογιστές θα συνδεθούν.

Συνδυάζουμε τις θύρες LAN 3-5 στο διακόπτη

1. Ανοιχτό μενού Διεπαφή.;
2. Κάντε ένα διπλό κλικ του ποντικιού στη διεπαφή ether4;
3. Στη λίστα Master Port. Επιλέγω Αιθέρας3. (Κύριο λιμάνι. Οι διακόπτες μας).
4. πάτα το κουμπί Εντάξει.

Επαναλάβετε το ίδιο για τη διασύνδεση Αιθέρας5..

Απέναντι από τις θύρες Ether4 και Ether5 θα εμφανιστούν το γράμμα S (σκλάβος - σκλάβος).

Δημιουργήστε μια διεπαφή Γέφυρα-τοπική και να φέρει λιμάνια LAN και Wi-Fi σε αυτό

Για να δώσετε λιμάνια LAN 3-5 για να συγχωνεύσετε από Wi-Fi σε ένα δίκτυο, πρέπει να δημιουργήσετε μια διεπαφή γέφυρας και να προσθέσετε έναν οδηγό του Svitchemaster σε αυτό Αιθέρας3. και διεπαφή Wi-Fi wlan1.

Δημιουργήστε μια διεπαφή Γέφυρα-τοπική:

1. Ανοιχτό μενού Γέφυρα;
2. πάτα το κουμπί Προσθήκη. (Μπλε Σταυρός).
3. Στο πεδίο Ονομα. Σπρώξτε το όνομα της διασύνδεσης Γέφυρα-τοπική;
4. πάτα το κουμπί ΕΝΤΑΞΕΙ..

Προσθέστε το κύριο λιμάνι του Svitche Αιθέρας3. σε Γέφυρα-τοπική:

1. Κάντε κλικ στην καρτέλα Λιμάνια. και κάντε κλικ Προσθήκη. (Μπλε Σταυρός).
2. Στη λίστα Διεπαφή. Επιλέξτε τον κύριο ιδρώτα θύρας Ethernet Αιθέρας3.;
3. Στη λίστα ΓέφυραΕπιλέξτε μια διεπαφή Γέφυρα-τοπική;
4. πάτα το κουμπί ΕΝΤΑΞΕΙ..

Προσθήκη Wi-fi Διεπαφή Β. Γέφυρα-τοπική:

1. Στην καρτέλα Λιμάνια. πάτα το κουμπί Προσθήκη. (Μπλε Σταυρός).
2. Στη λίστα Διεπαφή. Επιλέξτε μια ασύρματη διασύνδεση Wlan1;
3. Στη λίστα ΓέφυραΕπιλέξτε μια διεπαφή Γέφυρα-τοπική;
4. πάτα το κουμπί ΕΝΤΑΞΕΙ..

Αναθέτουμε μια διεπαφή διεύθυνσης IP Γέφυρα-τοπική:

1. Ανοιχτό μενού Ip -Διευθύνσεις.;
2. πάτα το κουμπί Προσθήκη. (Μπλε Σταυρός).
3. Στο πεδίο Διεύθυνση Εισαγάγετε τη διεύθυνση IP και τη μάσκα LAN 192.168.88.1/24 ;
4. Στη λίστα Διεπαφή. Επιλέξτε τη διασύνδεση LAN Γέφυρα-τοπική;
5. πάτα το κουμπί ΕΝΤΑΞΕΙ..

Στήνω Διακομιστής DHCP. τοπικό δίκτυο.

Σε υπολογιστές που συνδέονται με το δρομολογητή που ελήφθησαν Ρυθμίσεις δικτύου Αυτόματη ρύθμιση του διακομιστή DHCP:

Ρύθμιση Wi-Fi

Πρώτα ενεργοποιούμε το Wi-Fi:

1. Ανοιχτό μενού Ασύρματος.;
2. Πατήστε το αριστερό πλήκτρο του ποντικιού στη διασύνδεση wlan1 και κάντε κλικ επιτρέπω (Μπλε τσιμπούρι).

Δημιουργήστε έναν κωδικό πρόσβασης για να συνδεθείτε στο σημείο πρόσβασης Mikrotik:

1. Ανοικτή καρτέλα Προφίλ ασφαλείας και κάντε διπλό κλικ στο αριστερό κουμπί του ποντικιού Προκαθορισμένο.;
2. Στο παράθυρο που εμφανίζεται στη λίστα Τρόπος.Επιλέγω Δυναμικά πλήκτρα.;
3. Ελέγξτε το σημάδι ελέγχου απέναντι από την εγγραφή από το πρωτόκολλο WPA2 PSK.;
4. Στο πεδίο WPA2 Pre-Shared Key Εισαγάγετε τον κωδικό πρόσβασης για να συνδεθείτε σε ένα σημείο Wi-Fi.
5. πάτα το κουμπί ΕΝΤΑΞΕΙ..

Ρυθμίστε τις παραμέτρους Wi-Fi Mikrotik:

1. Ανοικτή καρτέλα Διεπαφές. και κάντε διπλό κλικ στο αριστερό πλήκτρο του ποντικιού στη διασύνδεση Wi-Fi wlan1για να μεταβείτε στις ρυθμίσεις του.
2. Κάντε κλικ στην καρτέλα Ασύρματος.;
3. Στη λίστα Τρόπος. Επιλέξτε Λειτουργία λειτουργίας Γέφυρα;
4. Στη λίστα Ζώνη. Επιλέγω 2ghz-b / g / n (Ποια πρότυπα θα λειτουργούν το Wi-Fi dot).
5. Στη λίστα Πλάτος καναλιού. Καθορίστε το πλάτος του καναλιού 20 / 40MHz HT παραπάνωπρος την Ασύρματες συσκευές ήταν σε θέση να συνδεθούν με μέγιστη ταχύτητα με πλάτος καναλιού 40 MHz.
6. Στη λίστα Συχνότητα Καθορίστε σε ποια συχνότητα θα λειτουργήσει Wi-Fi.
7. Στο πεδίο Ssid Καθορίστε το όνομα Wi-Fi όνομα.
8. πάτα το κουμπί ΕΝΤΑΞΕΙ..

Ρύθμιση NAT.

Για τους υπολογιστές λάβετε μια πρόσβαση στο Internet, πρέπει να διαμορφώσετε το NAT.

Προσθέτουμε τον κανόνα NAT για τον πρώτο πάροχο:

Προσθέτουμε τον κανόνα NAT για τον δεύτερο πάροχο:

Τώρα το Διαδίκτυο θα πρέπει να εμφανίζεται στους υπολογιστές που συνδέονται με το δρομολογητή. Ελεγξε αυτό.

Ρύθμιση καναλιών Internet μεταξύ δύο παρόχων

Για να ρυθμίσετε τη διαμόρφωση των καναλιών Internet μεταξύ δύο παρόχων, θα χρησιμοποιήσουμε Δρομολόγια (Διαδρομές) και ενσωματωμένη χρησιμότητα Netwatch.

Θα έχουμε δύο διαδρομές μέσω των οποίων μπορεί να πάει η κυκλοφορία στο διαδίκτυο. Όλη η κυκλοφορία θα πάει από προεπιλογή μέσω του 1ου παροχέα.

Εάν μια σύνδεση με τον 1ο πάροχο εξαφανίζεται ξαφνικά, ενεργοποιούμε τη 2η διαδρομή και όλη η κυκλοφορία θα περάσει από τον 2ο πάροχο.

Μόλις η επικοινωνία αποκατασταθεί μέσω του 1ου παρόχου, απενεργοποιούμε τη 2η διαδρομή και όλη η κυκλοφορία θα περάσει από τον 1ο πάροχο.

Το βοηθητικό πρόγραμμα NetWatch θα σας βοηθήσει να ping μιας διεύθυνσης IP στο Internet και να εκτελέσει τα σενάρια εάν η διεύθυνση IP έχει σταματήσει να ρίχνει ή να ξεκινήσει ξανά. Θα εκτελέσει ενεργοποίηση και απενεργοποίηση της διαδρομής.

Πρώτον, διαγράψτε τη διαδρομή μέσω του πρώτου παρόχου, η οποία δημιουργήθηκε αυτόματα, καθώς δεν μπορούμε να επεξεργαστούμε τις ιδιότητές του.

1. Ανοιχτό μενού IP - Διαδρομές;
2. Κάντε κλικ στο αριστερό πλήκτρο του ποντικιού στον πρώτο πάροχο με μια πύλη 10.10.10.1 Δεν είναι δυνατή;
3. Κάντε κλικ στο κουμπί Διαγραφή (κόκκινο μείον).

Τώρα αλλάξτε τις παραμέτρους της διαδρομής του δεύτερου παρόχου:

1. Ανοιχτό μενού IP - DHCP Client;
2. Κάντε ένα διπλό κλικ στο αριστερό κουμπί του ποντικιού στη διασύνδεση Αιθέρας1;
3. Κάντε κλικ στην καρτέλα Κατάσταση.;
4. Γράψτε τη διεύθυνση IP της πύλης από το πεδίο Πύλη.. Θα χρειαστεί όταν δημιουργείτε μια διαδρομή μέσω του πρώτου παρόχου.

Προσθέστε τώρα μια διαδρομή μέσω του πρώτου παρόχου:

Η 3η διαδρομή θα χρειαστεί για το διακομιστή Google από προεπιλογή μόνο μέσω του 1ου παροχέα.

Προσθέστε επίσης έναν κανόνα στο τείχος προστασίας που θα απενεργοποιήσει τη διεύθυνση IP Penign 8.8.4.4 μέσω του 2ου παρόχου. Διαφορετικά, το βοηθητικό πρόγραμμα NetWatch θα σκεφτεί ότι η σύνδεση με τον 1ο πάροχο ανακτήθηκε και θα αλλάξει συνεχώς τις διαδρομές σε έναν κύκλο.

Το netwatch θα ελέγξει τη σύνδεση με το Internet με ping Διακομιστές Google με διεύθυνση IP 8.8.4.4. Μόλις ο διακομιστής σταματήσει το βήμα, το σενάριο θα εκτελεστεί, το οποίο ενεργοποιεί τη 2η διαδρομή και η κυκλοφορία θα περάσει από τον 2ο πάροχο. Μόλις αποκατασταθεί η σύνδεση μέσω του 1ου παρόχου, θα ολοκληρωθεί ένα άλλο σενάριο, το οποίο απενεργοποιεί τη 2η διαδρομή και η κυκλοφορία θα περάσει από τον 1ο πάροχο.

Έλεγχος εναλλαγής μέσω Internet μεταξύ δύο παρόχων

Ελέγξτε πώς λειτουργεί η εναλλαγή μεταξύ δύο παρόχων.

Η ρύθμιση του δρομολογητή Mikrotik για δύο πάροχους λειτουργεί σωστά. Τώρα μπορείτε να μεγεθύνετε το διάστημα διακοπής του Google Server.

Σε αυτή τη ρύθμιση ολοκληρώνεται ο μικροτικός δρομολογητής σε δύο πάροχους.

Εισαγωγή

Σε αυτό το άρθρο θα περιγράψουμε το έργο δύο καναλιών Internet σε λειτουργία κράτησης. Δηλαδή, ένας πάροχος θα εργαστεί συνεχώς (το κύριο κανάλι) και το δεύτερο θα ενεργοποιηθεί εάν το Διαδίκτυο δεν είναι διαθέσιμο μέσω του πρώτου καναλιού (Backup Channel).

Υπάρχουν δύο κύριοι τρόποι για να διαμορφώσετε τη λειτουργία των μικροτικών συσκευών για να συνεργαστείτε με δύο παρόχους σε λειτουργία κράτησης. Εν συντομία, μπορούν να περιγραφούν ως " Γρήγορος τρόπος"Και" ολοκληρωμένη μέθοδος ". Η πρώτη μέθοδος είναι γρήγορη για τη διαμόρφωση. Αυτό που προκύπτει σαφώς από το όνομα. Ο δεύτερος τρόπος είναι πιο περίπλοκος στη ρύθμιση, αλλά ταυτόχρονα στερείται ελλείψεων που είναι εγγενείς με τον πρώτο τρόπο.

Σχέδιο δικτύου

Εξωτερικό δίκτυο:
Αριθμός καναλιού Internet 1
Διευθύνσεις IP δρομολογητή: 10.1.100.1
Διευθύνσεις IP του παρόχου: 10.1.100.254
Μάσκα: 255.255.255.0.

Αριθμός καναλιού Internet 2
Διευθύνσεις IP δρομολογητή: 10.1.200.1
Διευθύνσεις IP του παρόχου: 10.1.200.254
Μάσκα: 255.255.255.0.

Εσωτερικό δίκτυο:
Διευθύνσεις IP δρομολογητή: 192.168.15.1
Μάσκα: 255.255.255.0.

Γρήγορος τρόπος

Μέσω γραφικής διεπαφής

Η κατωτέρω χειραγώγηση υποδηλώνει ότι έχετε ήδη διαμορφώσει τις διευθύνσεις IP σε δύο εξωτερικές διεπαφές, οι διαδρομές που έχουν συνταγογραφηθεί και έκανε τους κανόνες μεταμφίεσης.

Εάν έχετε στατικές διευθύνσεις IP και από τους δύο πάροχους, τότε Απλούστερη ρύθμιση Οι κρατήσεις μειώνεται στην εγκατάσταση προτεραιοτήτων διαδρομής στον πρώτο και το δεύτερο πάροχο.

Μεταβείτε στο IP \u003d\u003e διαδρομές και για τη διαδρομή προς τον πάροχο-1, καθορίστε πύλη ελέγχου \u003d ping και απόσταση \u003d 5. Στις ρυθμίσεις της διαδρομής στον πάροχο-2, καθορίστε πύλη ελέγχου \u003d ping και απόσταση \u003d 10. Τιμές παραμέτρων Απόσταση Δεν έχουν απαραιτήτως τέτοια. Είναι σημαντικό οι τιμές για τον πάροχο-1 να ήταν μικρότερες από ό, τι για τον πάροχο-2. Κατά κανόνα, οι στατικές διαδρομές λαμβάνουν προτεραιότητα ( Απόσταση) Ίση μονάδα. Για παράδειγμα, οδηγήσαμε σε άλλη τιμή. Με ένα τέτοιο σύστημα, όλη η κυκλοφορία θα περάσει από τον πάροχο-1, η διαδρομή μέσω του παροχέα-2 θα είναι περιττή. Οι πύλες και των δύο παρόχων θα παραληφθούν περιοδικά και όταν η πύλη του παρόχου δεν είναι διαθέσιμη, η διαδρομή θα απενεργοποιηθεί σε αυτό και η κυκλοφορία θα μεταβεί στη διαδρομή προς τον πάροχο-2. Αφού γίνει διαθέσιμη η πύλη Provider-1, η κυκλοφορία θα περάσει και πάλι μέσα από αυτό.

Το μειονέκτημα αυτού του συστήματος είναι ότι δεν απευθύνεται στο Διαδίκτυο, δηλαδή η διαθεσιμότητα του επόμενου κόμβου. Συχνά υπάρχουν καταστάσεις όταν είναι διαθέσιμος ο εξοπλισμός του παρόχου (ο επόμενος κόμβος) και δεν υπάρχει διαδίκτυο. Ένα πολύ φωτεινό παράδειγμα είναι το διαδίκτυο μέσω μόντεμ ADSL. Ο γειτονικός κόμβος (ADSL μόντεμ) θα είναι προσιτός και το Διαδίκτυο δεν είναι.

Για το πρώτο κανάλι Internet:

Για το δεύτερο κανάλι Internet:

Μέσω της κονσόλας

Ο πρώτος δρομολογητής:

/ Διαδρομή IP.
Προσθέστε check-gateway \u003d απόσταση ping \u003d 5 πύλη \u003d 10.1.100.254

Δεύτερος δρομολογητής:

/ Διαδρομή IP.
Προσθέστε check-gateway \u003d απόσταση ping \u003d 10 πύλη \u003d 10.1.200.254

Περιεκτικός τρόπος

Μέσω γραφικής διεπαφής

Οι παρακάτω χειρισμοί υποδηλώνουν ότι έχετε ήδη διαμορφώσει τις διευθύνσεις IP σε δύο εξωτερικές διεπαφές, οι διαδρομές που έχουν συνταγογραφηθεί και έκανε κανόνες NAT.

Η μέθοδος "ολοκληρωμένη" βασίζεται στο γεγονός ότι χρησιμοποιώντας το ενσωματωμένο βοηθητικό πρόγραμμα NetWatch, θα ελέγξουμε τη διαθεσιμότητα του Internet του Internet μία φορά το λεπτό χρησιμοποιώντας την εντολή ping στον κόμβο 8.8.4.4 μέσω του πρώτου διανομέα διαδικτύου. Η πρόσβαση σε αυτόν τον κόμβο μέσω του δεύτερου διαδικτυακού καναλιού θα κλείσει πάντα. Έτσι, εάν περνάει ping - αυτό σημαίνει ότι το πρώτο κανάλι βρίσκεται σε κατάσταση λειτουργίας και πρέπει να είναι ενεργοποιημένη και το 2ο κανάλι πρέπει να απενεργοποιηθεί. Και αντίθετα: αν το Ping δεν περάσει - αυτό σημαίνει ότι το πρώτο κανάλι δεν λειτουργεί και πρέπει να απενεργοποιηθεί και βρίσκεται στο 2ο κανάλι. Μόλις αρχίσει να περάσει το ping πίσω στο διακόπτη. Το επιθυμητό βοηθητικό πρόγραμμα διαδρομής θα καθοριστεί από το σχόλιο που διορίζουμε. Όπως μπορείτε να δείτε αυτή τη μέθοδο, χωρίς την πρώτη μέθοδο.

Προσθέστε σχόλια σε διαδρομές. Στη διαδρομή μέσω του πρώτου παρόχου προσθέστε ένα σχόλιο ISP1, στη διαδρομή μέσω του δεύτερου παρόχου Προσθέστε ένα σχόλιο ISP2. Ας δώσουμε ένα παράδειγμα για τον πρώτο πάροχο. Για το δεύτερο, η δράση γίνεται ομοίως.

Δημιουργήστε μια στατική οδό προς 8.8.4.4. Στην IP \u003d\u003e διαδρομές για να δημιουργήσετε μια διαδρομή προς τη διεύθυνση 8.8.4.4 μέσω της πύλης του Παροχέα 1ου Διαδικτύου.

Προσθέστε τον κανόνα Αποκλεισμός πρόσβασης σε 8.8.4.4 μέσω της 2ης διασύνδεσης WAN.

Προσθέστε μια κατάσταση αλλαγής. Στα Εργαλεία \u003d\u003e Netwatch στην καρτέλα Υποδεικιστής, δημιουργήστε ένα νέο "κεντρικό υπολογιστή NetWatch". Σε graf "ΠΛΗΘΟΣ" Καθορίστε τη διεύθυνση IP που παρακολουθείται στο "Διάστημα" - συχνότητα επιθεωρήσεων που πραγματοποιήθηκαν και στο "Τέλος χρόνου" - τον χρόνο της ανεπάρκειας του οικοδεσπότη στο οποίο θα λειτουργήσει η σκανδάλη.

Σημείωση: Το παράδειγμα δείχνει τη διεύθυνση 8.8.8.8. Είναι ένα τυπογραφικό λάθος. Πρέπει να απευθύνεται 8.8.4.4

Στην καρτέλα "UP", προσθέστε το σενάριο στο ακόλουθο περιεχόμενο:
/ Η διαδρομή διαδρομής απενεργοποιήθηκε \u003d Όχι
/ Ορισμός διαδρομής IP απενεργοποιημένη \u003d Ναι

Στην καρτέλα "Κάτω", προσθέστε το σενάριο στο ακόλουθο περιεχόμενο:
/ Ορισμός διαδρομής IP απενεργοποιημένη \u003d Ναι
/ Η διαδρομή διαδρομής απενεργοποιήθηκε \u003d Όχι

Μέσω της κονσόλας

/ Διαδρομή IP.
Ορίστε το σχόλιο \u003d ISP1
Ορίστε το σχόλιο \u003d ISP2

/ Διαδρομή IP.
Προσθήκη απόστασης \u003d 1 DST-διεύθυνση \u003d 8.8.4.4 / 32 πύλη \u003d 10.1.100.254

/ Φίλτρο τείχους προστασίας IP
Προσθήκη ενέργειας \u003d αλυσίδα πτώσης \u003d εξόδου DST-διεύθυνση \u003d 8.8.4.4 out-interface \u003d ether4-wan2 πρωτόκολλο \u003d ICMP comment \u003d "deny 8.8.4.4 μέσω αποκλεισμένου internet-channel"

/ Εργαλείο netwatch
Προσθέστε προς τα κάτω-script \u003d "/ IP διαδρομή απενεργοποιημένη \u003d ναι \\ r \\
\\ N / Ip διαδρομή που έχει απενεργοποιηθεί \u003d όχι "κεντρικός υπολογιστής \u003d 8.8.4.4 \\
Up-script \u003d "/ IP διαδρομή διαδρομής απενεργοποιημένη \u003d όχι \\ r \\
\\ N / IP διαδρομή που απενεργοποιείται \u003d ναι "

Ελεγχος

Βίντεο μαθημάτων από τον Mikrotik.

Μπορείτε να εξερευνήσετε τη ρύθμιση Mikrotik χρησιμοποιώντας ένα μάθημα βίντεο. Το μάθημα περιέχει όλα τα θέματα από το επίσημο εκπαιδευτικό μάθημα MTCNA + πολύ πρόσθετο υλικό που είναι χρήσιμο στην πράξη.

ΡΕ.Ημέρα Obogo. Σταθείσα την άλλη μέρα από την οργάνωση της ανοχής σφαλμάτων των CCR1036-8G-2S +. Τυλιγμένο πολύ υλικό στο διαδίκτυο, αλλά οι περισσότεροι από αυτούς δεν με έδωσαν. Και έπειτα συναντήθηκα το χρήσιμο και πλήρως κατάλληλο για την επίλυση των καθηκόντων μου. Η παρακάτω ρύθμιση είναι 100% επιλογή εργασίας.

Έχουμε ήδη εξετάσει τη δυνατότητα σύνδεσης δύο παρόχων Διαδικτύου σε ένα δρομολογητή, τρέξιμο λειτουργικό σύστημα Μικρωτικό Ρουτέρο. Ωστόσο, ήταν η πιο εύκολη επιλογή. Που δεν είναι πάντοτε κατάλληλη σε ορισμένες προϋποθέσεις. Ως εκ τούτου, σήμερα, λαμβάνουμε μια σειρά από συγκεκριμένα παραδείγματα για τη διαμόρφωση του δρομολογητή με μια κατάσταση για τη σύνδεση με δύο πάροχους και ας σταματήσουμε λεπτομερέστερα σε ορισμένες αποχρώσεις του τείχους προστασίας, NAT, δρομολόγηση και φορτίο εξισορρόπησης ή χρησιμοποιώντας το δεύτερο κανάλι ως α αντιγράφων ασφαλείας.

Και δεδομένου ότι η περαιτέρω ιστορία θα είναι με συγκεκριμένα παραδείγματα, τότε ας το ξεκινήσουμε με συγκεκριμένες συνθήκες. Έχουμε 2 πάροχους. Η επικοινωνία με τα δύο εγκαθίσταται από το πρωτόκολλο PPPOE. Πώς να διαμορφώσετε μια σύνδεση με τον πάροχο, που περιγράφεται λεπτομερώς σε αυτό το άρθρο, οπότε θα χάσουμε αυτή τη διαδικασία. Περιγράφοντας μόνο το γεγονός ότι ο αριθμός του παρόχου 1 συνδέεται με τη θύρα Ether1 και το όνομα της σύνδεσης PPPoE είναι ISP1. Ο αριθμός των παρόχων 2, που συνδέεται με τη θύρα του Ether2 και έχει το όνομα PPPoE σύνδεση - ISP2.

Η μόνη στιγμή είναι ότι είμαστε στο μέλλον, θα δημιουργήσουμε ανεξάρτητα τους κανόνες δρομολόγησης, οπότε κατά τη δημιουργία συνδέσεων με τους παρόχους, πρέπει να αφαιρέσετε ένα τσιμπούρι από το προεπιλεγμένο σημείο διαδρομής στην καρτέλα DIAL OUT για συνδέσεις PPPoE.

Nat.

Έτσι, ώστε το δίκτυό μας να λειτουργεί σωστά και να έχει πρόσβαση στο διαδίκτυο, πρέπει να διαμορφώσουμε το NAT. Για να το κάνετε αυτό, ανοίξτε το τμήμα τείχους προστασίας IP-\u003e, μεταβείτε στην καρτέλα NAT και στο κουμπί "+", προσθέστε έναν νέο κανόνα.

Στην καρτέλα Γενικά, η αλυσίδα επιλέγεται scrnat. Την αξία του πεδίου OUT. Διεπαφή, σε αυτή την περίπτωση, δεν είμαστε γεμάτοι, δεδομένου ότι έχουμε δύο παρόχους και 2 διαφορετικές διεπαφές, αντίστοιχα.

Στη συνέχεια, στην καρτέλα δράσης, ως παράμετρος για το πεδίο δράσης, ορίζουμε την τιμή μεταμφίεσης.

Αποθηκεύστε τον κανόνα από το κουμπί OK. Ο καθορισμός του NAT, μπορεί να θεωρηθεί πλήρης.

Τείχος προστασίας

Το επόμενο βήμα μας είναι να ρυθμίσετε τη λειτουργία τείχους προστασίας, η οποία έχει σχεδιαστεί για να προστατεύει το τοπικό μας δίκτυο.

Μεταβείτε στην καρτέλα Κανόνες φίλτρου, όπου πρέπει να δημιουργήσουμε έναν αριθμό βασικών κανόνων, σύμφωνα με τα οποία τα πακέτα θα οργανωθούν μέσω του δρομολογητή μας.

Εάν έχετε κανένες σε αυτήν την ενότητα, θα πρέπει πρώτα να τα διαγράψετε.

Μπορούν να προστεθούν νέοι κανόνες πατώντας το πλήκτρο "+", μετά από το οποίο, για παράδειγμα, για τον κανόνα του πρωτοκόλλου εισόδου: ICMP \u003d Αποδοχή, στην καρτέλα Γενικά, επιλέγουμε την εισαγωγή αλυσίδας και πρωτόκολλο πρωτοκόλλου - ICMP.

Μετά από αυτό, στην καρτέλα δράσης, ως παράμετρος για το πεδίο δράσης, επιλέξτε Acept.

Αυτή η ενέργεια πρέπει να επαναλαμβάνεται περίπου 14 φορές, για δεκατέσσερις διαφορετικούς κανόνες.
Επιτρέψτε μου να επιτρέψω ping

Αλυσίδα \u003d πρωτόκολλο εισόδου \u003d ΔΡΑΣΗ ICMP \u003d Αποδοχή

Αλυσίδα \u003d Προώθηση πρωτοκόλλου \u003d Δράση ICMP \u003d Αποδοχή

Επιτρέψτε μου να επιτρέψω στις εδραιωμένες ενώσεις

Αλυσίδα \u003d σύνδεση εισόδου-κράτος \u003d καθιερωμένη ενέργεια \u003d Αποδοχή

Αλυσίδα \u003d Προώθηση Σύνδεση-Κατάσταση \u003d Καθορισμένη Ενέργεια \u003d Αποδοχή

Επιτρέψτε μου να επιλύσω σχετικές ενώσειςΕγώ

Αλυσίδα \u003d Σύνδεση εισόδου-Κατάσταση \u003d Σχετική ενέργεια \u003d Αποδοχή

Αλυσίδα \u003d Προώθηση σύνδεσης-Κατάσταση \u003d Σχετική ενέργεια \u003d Αποδοχή

Απαγορεύστε τις επιτυχημένες συνδέσεις

Αλυσίδα \u003d Σύνδεση εισόδου-Κατάσταση \u003d Μη έγκυρη ενέργεια \u003d πτώση

Αλυσίδα \u003d Προώθηση Σύνδεσης-Κατάσταση \u003d Μη έγκυρη ενέργεια \u003d πτώση

Επιτρέψτε συνδέσεις στο πρωτόκολλο UDP

Αλυσίδα \u003d Πρωτόκολλο εισόδου \u003d Δράση UDP \u003d Αποδοχή

Αλυσίδα \u003d Πρωτόκολλο προς τα εμπρός \u003d Δράση UDP \u003d Αποδοχή

Ανοίξτε την πρόσβαση στο Διαδίκτυο για το τοπικό μας δίκτυο. Για όσους έχουν ένα πρόθεμα τοπικού δικτύου διαφέρει από το 192.168.0.0/24, για να τεθούν στη θέση τους, τη διεύθυνσή του.

Αλυσίδα \u003d προς τα εμπρός SRC-Διεύθυνση \u003d 192.168.0.0 / 24 Δράση \u003d Αποδοχή

Επιτρέψτε μου να έχω πρόσβαση στον δρομολογητή, μόνο από το τοπικό δίκτυο, όπως παραπάνω - 192.168.0.0/24, είναι απαραίτητο να αντικατασταθεί με τη διεύθυνσή του.

Αλυσίδα \u003d Εισαγωγή SRC-Διεύθυνση \u003d 192.168.0.0 / 24 Δράση \u003d Αποδοχή

Και στο τέλος, απαγορεύουν τα πάντα

Αλυσίδα \u003d ενέργεια εισόδου \u003d πτώση

Αλυσίδα \u003d προς τα εμπρός δράση \u003d πτώση

Είναι σαφές ότι για να ανοίξετε ένα νέο παράθυρο κάθε φορά και να συμπληρώσετε όλα τα απαραίτητα πεδία, είναι αρκετά κουραστικό, οπότε συνιστώ να ανοίξετε νέο τερματικό και ένα για να ορίσετε τις εντολές που αναφέρονται παρακάτω. Θα χρειαστεί πολύ λιγότερο χρόνο.

Φίλτρο προστασίας IP Προσθήκη αλυσίδας \u003d Πρωτόκολλο εισόδου \u003d Δράση ICMP \u003d Αποδοχή

Φίλτρο προστασίας IP Προσθήκη αλυσίδας \u003d Πρωτόκολλο προς τα εμπρός \u003d Δράση ICMP \u003d Αποδοχή

iP Firewall Filter Προσθήκη αλυσίδας \u003d Εισαγωγή Σύνδεση-Κατάσταση \u003d Καθορισμένη Ενέργεια \u003d Αποδοχή

iP Firewall Filter Προσθήκη αλυσίδας \u003d Προώθηση Σύνδεση-Κατάσταση \u003d Καθορισμένη Ενέργεια \u003d Αποδοχή

iP Firewall Filter Προσθήκη αλυσίδας \u003d Σύνδεση εισόδου-Κράτος \u003d Σχετική ενέργεια \u003d Αποδοχή

iP Firewall Filter Προσθήκη αλυσίδας \u003d Προώθηση σύνδεσης-Κατάσταση \u003d Σχετική ενέργεια \u003d Αποδοχή

iP Firewall Filter Προσθήκη αλυσίδας \u003d Σύνδεση εισόδου-Κράτος \u003d Μη έγκυρη ενέργεια \u003d Drop

iP Firewall Filter Προσθήκη αλυσίδας \u003d Προώθηση Σύνδεση-Κατάσταση \u003d Μη έγκυρη ενέργεια \u003d Drop

Φίλτρο προστασίας IP Προσθήκη αλυσίδας \u003d Πρωτόκολλο εισόδου \u003d Δράση UDP \u003d Αποδοχή

Φίλτρο προστασίας IP Προσθήκη αλυσίδας \u003d Πρωτόκολλο προς τα εμπρός \u003d Δράση UDP \u003d Αποδοχή

iP Firewall Filter Προσθήκη αλυσίδας \u003d Προώθηση SRC-Διεύθυνση \u003d 192.168.0.0 / 24 Δράση \u003d Αποδοχή

Φίλτρο προστασίας IP Προσθήκη αλυσίδας \u003d Εισαγωγή SRC-Διεύθυνση \u003d 192.168.0.0 / 24 Δράση \u003d Αποδοχή

Φίλτρο προστασίας IP Προσθήκη αλυσίδας \u003d Δράση εισόδου \u003d Drop

Φίλτρο προστασίας IP Προσθήκη αλυσίδας \u003d Προώθηση Δράση \u003d Drop

Αλλά με οποιονδήποτε τρόπο, δεν το κάναμε αυτό, ως αποτέλεσμα, πρέπει να πάρουμε τα εξής.

Δρομολόγηση
Το τελευταίο, αλλά μία από τις πιο σημαντικές ενέργειες παραμένει η δημιουργία διαδρομών. Ας ξεκινήσουμε με το γεγονός ότι σηματοδοτούμε τις συνδέσεις μας με τον πάροχο. Αυτό είναι απαραίτητο για όλα τα αιτήματα που έρχονται στη διασύνδεση ενός παρόχου, αφήνοντας τη διασύνδεσή της. Αυτό είναι αρκετά κρίσιμο αν έχουμε για NAT, υπάρχουν πόροι στους οποίους είναι απαραίτητο να παρέχεται πρόσβαση από Παγκόσμιο δίκτυο Το διαδίκτυο. Για παράδειγμα, ένας διακομιστής ιστού ή διακομιστής αλληλογραφίας κ.λπ. Πώς να οργανώσετε το έργο τέτοιων υπηρεσιών, έχουμε ήδη εξετάσει στο άρθρο Advanced Mikrotik Routeros Ρυθμίσεις: Ανακατεύθυνση λιμένων - DSTNAt.

Για να το κάνετε αυτό, πρέπει να δημιουργήσουμε δύο ξεχωριστούς κανόνες, για κάθε πάροχο στην ενότητα IP -\u003e Τείχος προστασίας στην καρτέλα Mangle.

Στην καρτέλα Γενικά, επιλέξτε Αλυσίδα αλυσίδας ως προς τα εμπρός και ως in.interface, επιλέξτε τη διασύνδεση PPPoE της σύνδεσης του πρώτου παρόχου ISP1.

Και στην καρτέλα δράσης, ως παράμετρος ενέργειας, επιλέξτε Σύνδεση σήματος και στο πεδίο Νέο σήμα σύνδεσης που εμφανίστηκε παρακάτω, εισάγετε το όνομα της ετικέτας για αυτή τη σύνδεση, για παράδειγμα, ISP1-CON.

Το ίδιο, επαναλάβετε για τον δεύτερο πάροχο. Μόνο ως in.interface, επιλέξτε ISP2 και στο πεδίο Νέο σήμα σύνδεσης, εισάγετε την ετικέτα για τη δεύτερη σύνδεση ISP2-CON.

Τώρα, για να στείλετε μια απάντηση σε ένα αίτημα που ήρθε μέσα από τη διεπαφή του ίδιου παρόχου, πρέπει να δημιουργήσουμε άλλους 2 κανόνες που θα επισημάνουν δρομολόγια.

Εδώ, δημιουργούμε έναν νέο κανόνα στον οποίο ως αλυσίδα αλυσίδας, επιλέξτε την τιμή προθεσμίας, στο πεδίο SCR.Address, εισάγετε το πρόθεμα του τοπικού μας δικτύου 192.168.0.0/24, και σημάδι CJNNexection Επιλέξτε την ετικέτα σύνδεσης του πρώτου ISP1 -Con Provider.

Μεταβείτε στην καρτέλα Δράση και στο πεδίο δράσης, επιλέξτε Δρομολόγηση σημείων και στο πεδίο Νέο δρομολόγιο που εμφανίστηκε παρακάτω, αναθέτουμε την ετικέτα στη διαδρομή αυτού του παρόχου, για παράδειγμα, ISP1-RT.

Ακριβώς αμηχανία, δημιουργούμε για τη δεύτερη σύνδεση. Μόνο, αντίστοιχα, ως σήμα σύνδεσης, επιλέξτε ISP2-CON και ως νέο σήμα δρομολόγησης, FIT ISP2-RT.

Και τώρα, αν έχουμε πόρους, πρόσβαση στην οποία πρέπει να παράσχετε αποκλειστικά μέσω της διασύνδεσης ενός παρόχου, πρέπει να δημιουργήσουμε μια λίστα αυτών των πόρων και να επισημάσουμε όλες τις συνδέσεις με διευθύνσεις από αυτόν τον κατάλογο για περαιτέρω σωστή δρομολόγηση.

Για παράδειγμα, ο πάροχος αριθ. 2 - ISP2 έχει τοπικούς πόρους που έχουν μια σειρά διευθύνσεων 181.132.84.0/22. Και μέσω του αριθμού του παρόχου 1, ping σε Διακομιστές παιχνιδιών Διαδικτυακά παιχνίδια, πολύ λιγότερο. Και γνωρίζουμε ότι οι διευθύνσεις IP αυτών των διακομιστών 90.231.6.37 και 142.0.93.168.

Μεταβείτε στην καρτέλα Λίστα διευθύνσεων της ενότητας IP -\u003e Τείχος προστασίας. Και μία προς μία προσθέτουμε αυτές τις διευθύνσεις IP ή τα υποδίκτυα συνολικά, με τα ονόματα του ISP1 ή του ISP2, ανάλογα με τον πάροχο να απευθύνεται σε αυτούς τους πόρους.

Και δεδομένου ότι οι περισσότεροι από τους παρόχους χρησιμοποιούν τους δικούς του διακομιστές DNS, η πρόσβαση στα οποία συχνά απαγορεύεται από άλλα δίκτυα, τότε σε αυτούς τους καταλόγους, είναι εξαιρετικά σημαντικό να προσθέσετε τις διευθύνσεις των διακομιστών DNS του καθενός από τους παρόχους Πηγαίνετε σε αυτά μέσω της διεπαφής του συγκεκριμένου παρόχου..

Και στην καρτέλα δράσης, Δρομολόγηση σημείων, Νέα δρομολόγηση - ISP1-RT.

Επαναλαμβάνουμε το ίδιο πράγμα για τον κατάλογο των διευθύνσεων του δεύτερου παρόχου. Αλλά, ανάλογα, ως λίστα DST.Address, καθορίζει μια λίστα διευθύνσεων για τον δεύτερο πάροχο ISP2. Και ως ετικέτα για τη νέα οδό δρομολόγησης - διαδρομή ISP2-RT.

Και προχωρήστε στο πάνω μέρος της ρύθμισης δρομολόγησης - δημιουργώντας κανόνες στατικής δρομολόγησης στην ενότητα IP -\u003e διαδρομές.

Εάν τα κανάλια των δύο παρόχων είναι σχεδόν ίσα, προσθέστε μια τέτοια διαδρομή: αλλά η καρτέλα Γενικά, το παράθυρο δημιουργίας διαδρομής, για το DST.Address i 0.0.0.0/0 και επιλέξτε τις διεπαφές των διεπαφών μας ISP1 και ISP2 Περάστε. Όλες οι άλλες παραμέτρους, αφήστε αμετάβλητο.

Σε μια τέτοια παραλλαγή, το φορτίο και στους δύο παρόχους θα διανεμηθεί ομοιόμορφα.

Αν θέλουμε να το κάνουμε ώστε ο δεύτερος πάροχος να είναι αποθεματικό, και να "συμπεριληφθεί" μόνο στην περίπτωση που δεν είναι διαθέσιμο ή το πρώτο είναι φορτωμένο, τότε δημιουργούμε δύο διαδρομές.

Το πρώτο DST.Address - 0.0.0.0/0, Πύλη - ISP1.

Και το δεύτερο DST.Address - 0.0.0.0/0, Gateway - ISP2, απόσταση - 2.

Και όμως, πρέπει να δημιουργήσετε δύο ξεχωριστές διαδρομές, για κάθε ένα από τους παρόχους, όπου οι διαδρομές που σημειώνονται νωρίτερα θα χαθούν. Θα διαφέρουν στο γεγονός ότι το πεδίο δρομολόγησης θα υποδείξει μια ετικέτα που αναθέτουμε νωρίτερα για έναν συγκεκριμένο πάροχο.

Η πρώτη θα έχει ένα DST.Address - 0.0.0.0/0, Gateway - ISP1, Mark - ISP1-RT, και το δεύτερο, αντίστοιχα, DST.Address - 0.0.0.0/0, Gateway - ISP2, Δρομολόγηση - ISP2 -Rt

Τώρα η εργασία με δύο παρόχους έχει ρυθμιστεί σωστά. Όλες οι εισερχόμενες συνδέσεις σημειώνονται και οι απαντήσεις σε αυτές περνούν από τη διεπαφή στην οποία έχει έρθει η αίτηση. Οι προσφυγές προς έναν ή έναν άλλον πόρους κατανέμονται και το φορτίο και στα δύο κανάλια είναι ισορροπημένη.

\u003e Κράτηση καναλιών στο Mikrotik χωρίς σενάρια

Μικροκ. Αποτυχία. Εξισορρόπηση φορτίου

Όταν έχω την ανάγκη να καταλάβω πώς να κάνω αποτυχία ή εξισορρόπηση φορτίου, έχοντας δύο ή περισσότερα κανάλια στον κόσμο, βρήκα πολλά άρθρα και οδηγίες που περιγράφουν τις εργασιακές διαμορφώσεις. Αλλά σχεδόν οπουδήποτε δεν βρήκε διευκρίνιση, όπως συμβαίνει όλα, και περιγράφει διαφορές σε διαφορετικές επιλογές. Θέλω να διορθώσω αυτή την αδικία και να συλλέξω τις απλούστερες επιλογές για την κατασκευή αποτυχιών και τη φόρτωση διαμορφώσεων εξισορρόπησης σε ένα άρθρο.

Έτσι, έχουμε ένα δρομολογητή που συνδέει το τοπικό μας δίκτυο και δύο κανάλια στο Internet (κύριο ISP1 και Backup ISP2).

Ας δούμε τι μπορούμε να κάνουμε:

Έχουμε ένα εφεδρικό κανάλι, στο οποίο μπορείτε να στείλετε κίνηση όταν απορρίπτετε το κύριο. Αλλά πώς να κάνετε το Mikrotik να καταλάβει ότι το κανάλι έπεσε;

Απλούστερη κράτηση των καναλιών

Η απλούστερη αποτυχία μπορεί να ρυθμιστεί χρησιμοποιώντας την προτεραιότητα της διαδρομής (απόσταση στο Mikrotik / Cisco, Metric in Linux / Windows), καθώς και ο μηχανισμός ελέγχου της διαθεσιμότητας πύλης - Check-Gateway.

Στην παρακάτω διαμόρφωση, ολόκληρη η κίνηση του Διαδικτύου πηγαίνει από προεπιλογή το 10.100.1.254 (ISP1). Αλλά μόλις η διεύθυνση 10.100.1.254 θα γίνει απρόσιτη (και η διαδρομή είναι ανενεργή) - η κυκλοφορία θα πάει μετά από 10.200.1.254 (ISP2).

Διαμόρφωση: Απλούστερη αποτυχία

# Ορίστε τους παρόχους δικτύου:





### Παρέχοντας αντίγραφα ασφαλείας καναλιών με τον παραδοσιακό τρόπο ###
# Σημείο 2 προεπιλεγμένη πύλη με διαφορετικές προτεραιότητες
/ Διαδρομή IP Προσθήκη DST-Διεύθυνση \u003d 0.0.0.0 / 0 πύλη \u003d 10.100.1.254 Απόσταση \u003d 1 check-gateway \u003d ping
/ IP διαδρομή Προσθήκη DST-Διεύθυνση \u003d 0.0.0.0 / 0 πύλη \u003d 10.200.1.254 Απόσταση \u003d 2 check-gateway \u003d ping

Check-gateway \u003d ping για το mikrotik επεξεργάζεται έτσι:
Περιοδικά (κάθε 10 δευτερόλεπτα) η πύλη ελέγχεται με αναφορά σε αυτό το πακέτο ICMP (ping). Το χαμένο πακέτο θεωρείται εάν δεν έχει επιστραφεί για 10 δευτερόλεπτα. Μετά από δύο χαμένα πακέτα, η πύλη θεωρείται απρόσιτη. Μετά τη λήψη της απόκρισης από την πύλη, είναι διαθέσιμη και ο μετρητής πακέτων επαναφέρεται.

Παρέχοντας αποτυχία με μια βαθύτερη ανάλυση καναλιού.

Στο τελευταίο παράδειγμα, όλα είναι υπέροχα, εκτός από την κατάσταση, όταν η πύλη του παρόχου είναι ορατή και οι ακίδες, αλλά δεν υπάρχει διαδίκτυο. Θα μας βοηθήσει να εξαιρετικές αν ήταν δυνατό να αποφασίσουμε για τη βιωσιμότητα του παρόχου, το Pingangu δεν είναι η ίδια η πύλη, αλλά κάτι πίσω από αυτό.

Ξέρω δύο επιλογές για την επίλυση αυτού του έργου μηχανικής. Το πρώτο και πιο συνηθισμένο είναι να χρησιμοποιήσετε τα σενάρια, αλλά δεδομένου ότι σε αυτό το άρθρο δεν αγγίζουμε τα σενάρια, θα σταματήσουμε περισσότερο στο δεύτερο. Δεν σημαίνει ότι δεν είναι απολύτως σωστή χρησιμοποιώντας την παράμετρο πεδίου, αλλά θα μας βοηθήσει να δοκιμάσουμε το κανάλι του παρόχου βαθύτερα από την πύλη.
Η αρχή είναι απλή:
Αντί των παραδοσιακών οδηγιών της προεπιλεγμένης πύλης \u003d πύλη του παρόχου, θα πούμε ότι ο δρομολογητής που η προεπιλεγμένη πύλη είναι μερικοί από τους πάντα διαθέσιμους_CESES (για παράδειγμα 8.8.8.8 ή 8.8.4.4) και με τη σειρά του είναι διαθέσιμη μέσω της πύλης του παρόχου.

Διαμόρφωση: Αποτυχία με μια αναλύσεις βαθύτερου καναλιού

# Ορίστε τους παρόχους δικτύου:
/ Διεύθυνση IP Προσθήκη διεύθυνσης \u003d 10.100.1.1 / 24 Διεπαφή \u003d ISP1
/ Διεύθυνση IP Προσθήκη διεύθυνσης \u003d 10.200.1.1 / 24 Διεπαφή \u003d ISP2
# Ρυθμίστε την τοπική διασύνδεση
/ Διεύθυνση IP Προσθήκη διεύθυνσης \u003d 10.1.1.1 / 24 Διεπαφή \u003d LAN
# Βοήθεια για nat Όλα βγαίνει από το τοπικό δίκτυο
/ IP Firewall NAT Προσθήκη SRC-Διεύθυνση \u003d 10.1.1.0 / 24 Δράση \u003d Μεταμφίεση αλυσίδα \u003d SRCNAT
### παρέχοντας αποτυχία με μια βαθύτερη ανάλυση καναλιών ###
# Χρήση της παραμέτρου πεδίου εφαρμογής, καθορίζουμε τις αναδρομικές διαδρομές στους κόμβους 8.8.8.8 και 8.8.4.4
/ Διαδρομή IP Προσθήκη DST-Διεύθυνση \u003d 8.8.8.8 Πύλη \u003d 10.100.1.254 Πεδίο εφαρμογής \u003d 10
/ Διαδρομή IP Προσθήκη DST-Διεύθυνση \u003d 8.8.4.4 Πύλη \u003d 10.200.1.254 Πεδίο εφαρμογής \u003d 10
# Σημείο 2 προεπιλεγμένη πύλη μέσω των κόμβων η διαδρομή που καθορίζεται αναδρομικά
/ Διαδρομή IP Προσθήκη DST-Διεύθυνση \u003d 0.0.0.0 / 0 πύλη \u003d 8.8.8.8 Απόσταση \u003d 1 check-gateway \u003d ping
/ IP Διαδρομή Προσθήκη DST-Διεύθυνση \u003d 0.0.0.0 / 0 πύλη \u003d 8.8.4.4 Απόσταση \u003d 2 check-gateway \u003d ping

Τώρα θα αναλύσουμε τι θα συμβεί λίγο περισσότερο:
Η πονηρή είναι ότι η πύλη του παρόχου δεν γνωρίζει ότι 8.8.8,8 ή 8.8.4.4 είναι ένας δρομολογητής και στέλνει κίνηση με τον συνήθη τρόπο.
Ο Μικροκτονικός μας πιστεύει ότι από προεπιλογή, ολόκληρη η κίνηση μπορεί να αποσταλεί στο 8.8.8.8.8, το οποίο δεν είναι άμεσα ορατό, αλλά μετά τις 10.100.1.254 είναι διαθέσιμο. Και αν εξαφανιστεί το ping ανά 8,8,8,8 (υπενθυμίζω ότι η διαδρομή προς αυτήν είναι άκαμπτα κατά τη διάρκεια της πύλης από το ISP1), τότε ο Mikrotik θα αρχίσει να στέλνει ολόκληρη την κυκλοφορία στο διαδίκτυο στις 8.8.4.4 ή μάλλον τα αναδρομικά καθορισμένα 10.200. 1.254 (ISP2).

Στο φόρουμ διανομής, ο χρήστης κάτω από το Nick Barvinok. Άρχισε να γράφει
Κύκλος άρθρων, προσπαθώντας να συνδυαστούν και να συστηματοποιήσουν τη συσσωρευμένη βάση
Γνώση του Mikrotik γενικά και στο θέμα των δύο παρόχων ειδικότερα. Με αυτό
Έχω τη δυνατότητα να αντιγράψω τα πάντα στη σελίδα μου. Όσοι επιθυμούν μπορούν να πάνε
Πρώτη πηγή http://mikrotik.ru/forum/viewtopic.php?f\u003d1 5 & t \u003d 3280
Ρύθμιση του δρομολογητή από το μηδέν.
Αυτή η ενότητα θα καλύψει την έλλειψη του εφαρμοσμένου μέρους.
Σύμφωνα με τον τίτλο του θέματος, δημιουργώ δρομολογητή σε δύο παρόχους. Το μοντέλο του δρομολογητή εννοώ σειρά RB7XX.
Πηγές:
Επισκόπηση και διαμόρφωση του Mikrotik RB751U-2HND σε λειτουργία ασύρματου δρομολογητή με σύνδεση στο Internet.
Sergey Lagovsky: Mikrotik - Αρχική ρύθμιση

Πηγή
Διαβάστε σιγουριά. Δεν θα γράψω έναν οδηγό "μικροσωτικό για
Νοικοκυρές ", όπως" πάρτε το καλώδιο στο δεξί χέρι ... ". Εδώ αναφέρω
Μόνο ορόσημα, βήματα. Και πώς ακριβώς το κάνετε - στα παραπάνω
Πηγές.
χρησιμοποιώ Γραμμή εντολών Τερματικό μέσω του WinBox και όλα τα παραδείγματα θα δοθεί ακριβώς σε αυτή τη μορφή.
1. Επαναφέρετε τις αρχικές ρυθμίσεις:

/ ΡΥΘΜΙΣΗ ΣΥΣΤΗΜΑΤΟΣ

2. Κατεβάστε το πακέτο αναβάθμισης και σύρετε το ποντίκι στο winbox. Περαιτέρω:

/ Επανεκκίνηση συστήματος.

Και μετά την επανεκκίνηση :

/ Αναβάθμιση του συστήματος Routerboard

3. Δημιουργήστε μια γέφυρα από τα τελευταία τρία Λιμάνια:

/ Γέφυρα διεπαφής.
Προσθήκη ονόματος \u003d Local_Net
Προσθέστε τη γέφυρα \u003d local_net interface \u003d ether3
Προσθήκη γέφυρας \u003d local_net interface \u003d ether4
Προσθήκη γέφυρας \u003d local_net interface \u003d ether5

4. Αναθέω τη διεύθυνση IP σε αυτή τη γέφυρα:

/ Διεύθυνση IP Προσθήκη διεύθυνσης \u003d 192.168.1.1 / 24 Διεπαφή \u003d Local_Net

5. Διαμορφώστε το σε αυτό DHCP Server:

/ Ρύθμιση DHCP-Server

Αφήστε τον διακομιστή DNS να δοθεί στη διεύθυνση των μικρών: 192.168.1.1. Λίγο αργότερα θα εξηγήσω γιατί έτσι.

6. Αφήστε τον δρομολογητή να απαντήσει στις αιτήσεις DNS:

/ IP DNS SET Επιτρέπονται-απομακρυσμένα αιτήματα \u003d Ναι

Μεταφορά του Πνεύματος: Τώρα έχουμε επιτύχει μια λειτουργικότητα κουτιού D-Link :)

7. Στις συμβουλές του Σεργκέι Lagovsky, αλλάζω πάντα το όνομα του superuser:

/ Χρήστης προσθήκη ονόματος \u003d κωδικός πρόσβασης supername \u003d superpass group \u003d πλήρης
/ Quit.

Πηγαίνουμε κάτω από έναν νέο χρήστη και απενεργοποιούμε το παλιό:

/ Απενεργοποιήστε το χρήστη admin

8. Αναθέτουμε τη ζώνη ώρας και τη ζώνη ώρας:

/ System NTP που έχει ενεργοποιηθεί \u003d Ναι Λειτουργία \u003d Unicast πρωτεύουσα-NTP \u003d 83.229.137.52 δευτερογενής-NTP \u003d 213.141.146.135
/ Ρολόι συστήματος Ρύθμιση ώρας-Zone-Όνομα \u003d Ευρώπη / Μόσχα

9. Διαμορφώστε τις συνδέσεις στο Internet.
Θα λάβω μια δύσκολη περίπτωση δύο άνισων παρόχων:

• Πρώτα
  Ο πάροχος δίνει στο διαδίκτυο μέσω PPPoE στην ADSL: 8Mbps εισερχόμενα / 0,8 Mbps
  εξερχόμενος. Η διεύθυνση IP και άλλες ρυθμίσεις δικτύου εκδίδονται από τον πάροχο
  Δυναμικά.


• Το δεύτερο είναι πολύ υψηλής ποιότητας, αλλά ακριβό στην οπτική: ένα συμμετρικό κανάλι 1 Mbps. Διεύθυνση IP και ρυθμίσεις στατική (σταθερή)

Χρειαζόμαστε μια σημαντική ροή χρηστών μέσω ADSL και των αγαπημένων υπηρεσιών σε πραγματικό χρόνο (VoIP) - από την οπτική.

9.1. Προσαρμόστε τον πρώτο πάροχο.
Μεταφράζουμε το μόντεμ ADSL στη λειτουργία Bridge (Bridge). Συνδέστε το καλώδιο στην πρώτη θύρα (Ether1).
Δημιουργία και διαμόρφωση της διασύνδεσης PPPoE:

/ Interface pppo-client προσθέστε το όνομα \u003d utk utk utk \u003d ppp_user κωδικός \u003d ppp_pasw χρήση-peer-dns \u003d yes interface \u003d ether1

Εάν ο πάροχος ήταν ο μόνος, θα ήταν δυνατό να προστεθεί " Προσθέστε-προεπιλεγμένη διαδρομή \u003d ναι"Αλλά έχουμε ένα άλλο καθήκον.
"Χρήση-peer-dns"Σημαίνει ότι θα χρησιμοποιήσουμε τους διακομιστές DNS που έχουν ανατεθεί από τον πάροχο με αυτή τη σύνδεση.

/ Διεύθυνση IP Εκτύπωση
/ Ping mail.ru.

Τι θα διασφαλίσει ότι η σύνδεση λειτουργεί.

9.2. Ρυθμίζουμε τον δεύτερο πάροχο.
Τραβήξαμε το καλώδιο από το μετατροπέα περιβάλλοντος στη δεύτερη θύρα και εισάγετε τις ρυθμίσεις χειροκίνητα:

Διεύθυνση IP Προσθήκη διεύθυνσης \u003d 80.45.21.34 / 30 Διεπαφή \u003d Ether2

Εάν ο πάροχος δίνει στους διακομιστές DNS, μπορείτε να τα ρυθμίσετε ρητά:

/ IP DNS SET SERVERS \u003d IP_SERVER1, IP_SERVER2

Και μπορούμε να αναθέσουμε οποιοδήποτε κοινό διαθέσιμο, όπως το Google: 8.8.8.8.8.8.4.4.

σου θυμίζω
ότι χάρη στο σ. 6 Ο δρομολογητής μας είναι ένας διακομιστής DNS για τοπικούς
δίκτυο. Αλλά ο ίδιος, ως ένα απαλό σώμα - δύο θέματα είναι χάλια, αυθαίρετα
Στροφή σε διακομιστές DNS οποιουδήποτε παρόχου.

10. Ενεργοποιήστε τη μετάφραση διεύθυνσης.
Για πάροχο 1:

/ IP Firewall NAT Προσθήκη αλυσίδας \u003d Srcnat Δράση \u003d Πρωτόκολλο Masquerade \u003d TCP Out-Interface \u003d UTK

Μπορείτε επίσης να πάτε για το δεύτερο, αλλά προσδιορίζουμε. Ως τη διεύθυνση που έχουμε μόνιμη, χρησιμοποιούμε όχι μεταμφίεση, αλλά Snat:

/ IP Firewall NAT Προσθήκη αλυσίδας \u003d Srcnat Δράση \u003d SRC-NAT πρωτόκολλο \u003d TCP SRC-Διεύθυνση \u003d 192.168.1.0 / 24 προς-διευθύνσεις \u003d 80.45.21.34

Εάν οι πάροχοι μας ήταν ισοδύναμοι, θα ήταν δυνατόν να γίνει αυτό:

/ IP διαδρομή Προσθήκη DST-Διεύθυνση \u003d 0.0.0.0 / 0 πύλη \u003d UTK, Ether2 check-gateway \u003d ping

Παίρνουμε αμέσως την ανοχή σφαλμάτων και την ομοιόμορφη κατανομή φορτίου (δίκαιη διαδρομή).
Σας συμβουλεύω να το κάνετε και να παίξετε από τους υπολογιστές LAN στο
"Tracert mail.ru", κλείνοντας τότε, τότε μια άλλη εξωτερική διασύνδεση -
Απλά αυτό θα ελέγχει.
Εάν οι πάροχοι δεν είναι ίσοι μόνο με το πάχος του καναλιού, μπορείτε να το κάνετε αυτό:

/ Διαδρομή IP Προσθήκη DST-Διεύθυνση \u003d 0.0.0.0 / 0 Gateway \u003d UTK, UTK, ETHER2 Check-Gateway \u003d Ping

Τώρα, μέσω του πρώτου παρόχου, θα υπάρξουν διπλάσιες ροές από το δεύτερο.

Αλλά το καθήκον μας είναι λίγο πιο δύσκολο, δεδομένου ότι οι πάροχοι δεν είναι ίσοι όχι μόνο ποσοτικά, αλλά και ποιοτικώς.
11. Επομένως, θα τους διοικούσουμε ξεχωριστά δρομολόγια και θα δώσουμε διαφορετικές προτιμήσεις (απόσταση).
Για τον πρώτο πάροχο είναι το πιο εύκολο να το κάνετε αυτό:

/ Διασύνδεση PPPoE-Client Set 0 Προσθήκη-προεπιλεγμένη διαδρομή \u003d Ναι

Παρόλο που θα μπορούσαμε να το κάνουμε στο P.9.1, αλλά αποφάσισα να διαχωρίσω για παραγγελία.
Για τον δεύτερο πάροχο - έτσι:

/ IP διαδρομή Προσθήκη DST-Διεύθυνση \u003d 0.0.0.0 / 0 πύλη \u003d 80.45.21.34 Απόσταση \u003d 2 check-gateway \u003d ping

Τώρα ολόκληρο το δίκτυό μας περνάει από τον πάροχο 1, και αν πέσει - μέσω του παρόχου 2.

12. Επιλέγουμε σημαντικά ρεύματα (Skype, SIP) που πρέπει να σταλούν στο δίκτυο μέσω του παρόχου 2.

Εδώ θα κάνω μια καταχώριση αφιερωμένη στην επισήμανση (σημάδι) των συσκευασιών και συνδέσεων, καθώς αυτό το θέμα είναι αρκετά περίεργο.

Υποχώρηση 4.
Βαθμολόγηση

Μεταχειρισμένος
Για να ορίσετε ετικέτες για ορισμένα πακέτα. Αυτή η ενέργεια ίσως
Εκτελείται μόνο μέσα στο τραπέζι Manger. Εγκατάσταση ετικετών συνήθως
Χρησιμοποιείται για να ρουτίνα πακέτα σε διάφορες διαδρομές για
Περιορισμοί κυκλοφορίας, κλπ. Για περισσότερες πληροφορίες μπορείτε
Ανατρέξτε στο Linux Advanced Routing και τον έλεγχο της κυκλοφορίας. Δεν
Ξεχάστε ότι το πακέτο "ετικέτα" υπάρχει μόνο κατά τη διάρκεια της χρονικής περιόδου
Το πακέτο δεν άφησε το τείχος προστασίας, δηλ. Η ετικέτα δεν μεταδίδεται μέσω του δικτύου. Αν ένα
Είναι απαραίτητο να σημειώσετε με κάποιο τρόπο τα πακέτα να χρησιμοποιήσετε τις σημάνσεις
Ένα άλλο μηχάνημα, μπορείτε να προσπαθήσετε να χειριστείτε τα κομμάτια του πεδίου TOS.

Εγχειρίδιο: IP / Firewall / Mangle στο Mikrotik Wiki.

Για
Οι κανόνες ανάγνωσης και γραφής είναι σημαντικοί για να κατανοήσουμε πολύ σαφώς, όπου εμείς
Υπογραμμίζουμε ένα σημάδι ότι διαθέτετε ένα πακέτο από το ρεύμα, και πού
Παράγουμε ένα πακέτο (αποδεκτό, ρίχνοντας έξω ή σφραγίδα
ένα σημάδι).
Εξετάστε δύο κανόνες από το άρθρο σχετικά με το PCC:
/ Mangle του τείχους προστασίας IP

Προσθήκη.

in-interface \u003d ether2 νέα-σύνδεση-mark \u003d l2tp-out1_conn passthough \u003d ναι
Ανά-σύνδεση-ταξινομητής \u003d SRC-Διεύθυνση: 2/0 SRC-Διεύθυνση \u003d 172.16.0.0 / 16
Προσθήκη.
Δράση \u003d αλυσίδα σύνδεσης σήμανσης \u003d PROROUTING DST-TYPE-TYPE \u003d! Τοπικό
in-interface \u003d ether2 νέα-σύνδεση-mark \u003d l2tp-out2_conn passthough \u003d ναι
per-Connection-ταξινομητής \u003d SRC-Διεύθυνση: 2/1 SRC-Διεύθυνση \u003d 172.16.0.0 / 16

Προσθήκη.
Δράση \u003d αλυσίδα δρομολόγησης σήμανσης \u003d PROTOUSTING Σύνδεση-Mark \u003d L2TP-OUT1_CONN
in-interface \u003d ether2 νέα δρομολόγηση-mark \u003d to_l2tp-out1 passthough \u003d ναι
Προσθήκη.
Δράση \u003d αλυσίδα δρομολόγησης σήμανσης \u003d PROTOUTING Σύνδεση-Mark \u003d L2TP-OUT2_CONN
in-interface \u003d ether2 νέα-δρομολόγηση-mark \u003d to_l2tp-out2 passthrough \u003d ναι

Στον πρώτο κανόνα εμείς Σημειώστε τη σύνδεση (Δράση \u003d Σύνδεση σήμανσης) στην αλυσίδα PREROUTING. Επόμενη συνέχεια Πινακίδες,
Για το οποίο ορίζουμε την ένωση, λόγω της επισήμανσης: προβολή
διευθύνσεις προορισμού - ο καθένας εκτός από τη διεύθυνση του ίδιου του δρομολογητή
(DST-Διεύθυνση-Τύπος \u003d! Τοπική), Εισερχόμενη Διεπαφή - Ether2
(in-interface \u003d ether2), διεύθυνση πηγής - οποιοσδήποτε υπολογιστής από το υποδίκτυο
172.16.0.0/16. Στη συνέχεια ακολουθεί μια υπέροχη ομάδα:
Ανά-connectifier \u003d SRC-Διεύθυνση: 2/0. Έτσι σπάζουμε το ρεύμα
Πακέτα που αντιστοιχούν σε αυτά τα χαρακτηριστικά.
Μετά από αυτό, ένα μέρος της ροής ορισμός της ετικέτας L2TP-OUT1_CONN και το δεύτερο L2TP-Out2_Conn.
Περνώ μέσα από
Μεταφράστηκε ως "μέσω". Στην πραγματικότητα, κάθε συσκευασία διαδοχικά
Ελέγχεται για συμμόρφωση με κάθε κανόνα πριν από την πρώτη σύμπτωση. πως
Συμπληρώστε μόνο - μεταδίδεται αμέσως στον παρακάτω πίνακα (σε αυτό
Η υπόθεση είναι DNAT) ή καταστράφηκε εάν η δράση πτώσης. Αλλά αν ορίζεται
passThrough \u003d Ναι, το πακέτο μεταδίδεται στη λίστα του κανόνα στο ίδιο
Τραπέζι.

Ο επόμενος κανόνας βάζουμε ένα σημάδι για τις προτιμώμενες
Τρόποι περαιτέρω ακολουθίας (δράση \u003d δρομολόγηση σημείων). Όλες τις συνδέσεις
Σημαντικό L2TP-OUT1_CONN (σήμα σύνδεσης) Είμαστε εκτός από την ετικέτα της μάρκας
to_l2tp-out1 (νέα δρομολόγηση). Και στη συνέχεια με το δεύτερο μισό της ροής
Κάνουμε, αντίστοιχα.

Ποια είναι η βαθιά σημασία αυτής της διαδοχικής επωνυμίας και γιατί είναι αδύνατο να εγκατασταθεί αμέσως νέα δρομολόγια, δεν κατάλαβα ακόμα. Αλλά στον επίσημο οδηγό για το μικροτικό wiki γίνεται επίσης.
Μπορεί κάποιος να εξηγήσει;

Σε γενικές γραμμές, υπάρχουν τρεις ενέργειες με παρόμοιο όνομα στο οποίο δεν θα βλάψει να καταλάβει:

• Σύνδεση σήμανσης.


• mark-Packet.


• Δρομολόγηση

Ας ξεκινήσουμε με απλά.

Δρομολόγηση
- Τοποθετήστε ένα σήμα που καθορίζεται από την παράμετρο New-routing-Mark σε ένα πακέτο.
Αυτό το είδος σημάτων που εκδόθηκαν για λόγους δρομολόγησης πολιτικής μόνο

Αυτή η ενέργεια θέτει μια ετικέτα που χρησιμοποιείται αποκλειστικά κατά την επιλογή μιας διαδρομής περαιτέρω προώθησης. Για παράδειγμα:

/ Διαδρομή IP.
Προσθέστε DST-add \u003d 0.0.0.0 0 Gateway \u003d 10.111.0.1 Δρομολόγηση-Mark \u003d to_isp1 check-gateway \u003d ping
Προσθήκη DST-Διεύθυνση \u003d 0.0.0.0 0 Gateway \u003d 10.112.0.1 Δρομολόγηση-Mark \u003d to_isp2 check-gateway \u003d ping

Αλλά σε περίπτωση κατανομής ενός από τα μονοπάτια, πρέπει να γίνει επιπλέον γενικοί κανόνες Χωρίς δεσμευτική σε ετικέτες:

Προσθέστε DST-Διεύθυνση \u003d 0.0.0.0 / 0 πύλη \u003d 10.111.0.1 Απόσταση \u003d 1 check-gateway \u003d ping
Προσθέστε DST-Διεύθυνση \u003d 0.0.0.0 0 Gateway \u003d 10.112.0.1 Απόσταση \u003d 2 check-gateway \u003d ping

Αλλά πώς διαφέρουν το σήμα-πακέτο από τη σύνδεση σήμανσης;
Προφανώς, το ίδιο με το πακέτο διαφέρει από τη σύνδεση.
Διαβάζουμε:

Βαθμολόγηση.
Κάθε πακέτο είναι αρκετά πόρος ακριβό, ειδικά αν ο κανόνας πρέπει να ταιριάζει
Ενάντια σε πολλούς παραμέτες από την κεφαλίδα IP ή τον κατάλογο διευθύνσεων που περιέχουν
Εκατοντάδες καταχωρίσεις.

Μάρκα κάθε συσκευασία είναι πολύ ακριβό
Ευχαρίστηση, ειδικά αν ο κανόνας περιέχει πολλά σημάδια για
Συγκρίσεις από την κεφαλίδα του πακέτου IP ή του φύλλου διευθύνσεων που περιέχει εκατοντάδες
αρχεία.
Παραπομπή στον αφερέγγυο των δρομολογητών,
επιβαρύνονται με πολύπλοους κανόνες για τον έλεγχο κάθε πακέτου σε 100 megabit
δίκτυα. Το υπολογιστικό φορτίο στον επεξεργαστή αυξάνεται γρήγορα
Στην πραγματικότητα, οδηγεί στην αδυναμία χρήσης αυτής της μεθόδου σήμανσης
Κατά τον έλεγχο μεγάλων ροών δεδομένων.

Παραθέτω, αναφορά:

Ευτυχώς, εάν η παρακολούθηση σύνδεσης είναι ενεργοποιημένη, μπορούμε να χρησιμοποιήσουμε σήματα σύνδεσης για να βελτιστοποιήσετε τη ρύθμισή μας.

Ευτυχώς, εάν είναι ενεργοποιημένα η παρακολούθηση των συνδέσεων, μπορούμε να παντρευτούμε τις συνδέσεις που πολύ καλύτερα!
Εδώ
Είναι το πλεονέκτημα της εργασίας με την εικόνα υψηλό επίπεδο. Το υψηλότερο
Το επίπεδο γενίκευσης, τόσο λιγότερη εργασία πρέπει να ξοδέψετε
Πέτυχε το στόχο σου!

/ Mangle του τείχους προστασίας IP
Προσθήκη αλλαγής \u003d Προώθηση πρωτοκόλλου \u003d TCP PORT \u003d! 80 Διεύθυνση-διευθύνσεων-διευθύνσεων \u003d πρώτη σύνδεση-κατάσταση \u003d νέα ενέργεια \u003d σύνδεση \\
ΝΕΑ-Σύνδεση-Mark \u003d Πρώτη
Προσθήκη αλλαγής \u003d Προώθηση σύνδεσης-Mark \u003d Πρώτη ενέργεια \u003d Mark-Packet New-Packet-Mark \u003d Πρώτη Passthough \u003d Όχι

Προσθήκη αλλαγής \u003d Πρωτόκολλο προώθησης \u003d UDP DST-list-list \u003d δεύτερη σύνδεση-κατάσταση \u003d νέα ενέργεια \u003d σήμανση \\
Νέα σύνδεση-Mark \u003d δεύτερη
Προσθήκη αλλαγής \u003d Προώθηση Σύνδεση-Mark \u003d Δεύτερη Δράση \u003d Packet New-Packet-Mark \u003d δεύτερη PassThrough \u003d Όχι

Παραθέτω, αναφορά:

Τώρα
Ο πρώτος κανόνας θα προσπαθήσει να ταιριάζει με τα δεδομένα από την κεφαλίδα IP μόνο από το πρώτο πακέτο
Νέας σύνδεσης και προσθήκη σημείου σύνδεσης. Ο επόμενος κανόνας δεν θα είναι πλέον
Ελέγξτε την κεφαλίδα IP για κάθε πακέτο, θα συγκρίνει μόνο τα σημάδια σύνδεσης
Με αποτέλεσμα τη χαμηλότερη κατανάλωση CPU. Επιπλέον passthroough \u003d όχι ήταν
Προστέθηκε ότι συμβάλλει στη μείωση της κατανάλωσης CPU ακόμη περισσότερο.

Logistics, ο πρώτος κανόνας ελέγχει τα δεδομένα μόνο στην επικεφαλίδα της πρώτης συσκευασίας της νέας σύνδεσης, πιστεύοντας ότι μέσα σε αυτή τη σύνδεση, όλοι οι άλλοι θα συμπίπτουν με αυτό. Ο ακόλουθος κανόνας, αντί να ελέγχει τον τίτλο κάθε συσκευασίας, φαίνεται μόνο στην ετικέτα σύνδεσης, η οποία μειώνει σημαντικά το φορτίο στην CPU. Επιπλέον, ο κανόνας "passthrough \u003d no" διακόπτει αμέσως τη διέλευση των πακέτων σε αυτόν τον πίνακα μεταφέρεται στα εξής, η οποία επίσης εκφορτώνει την CPU!

Oo ... Πονιστική δεξίωση! Τώρα είναι σαφές γιατί στο παράδειγμα με το PCC προωθήσαμε για πρώτη φορά τη σύνδεση και στη συνέχεια με βάση αυτή την ετικέτα έβαλε τη δεύτερη - για τη δρομολόγηση.
Αλλά προκύπτουν ερωτήσεις.
Ο πρώτος: Πώς μπορώ να καταλάβω ότι το πακέτο ανήκει σε κάποιο είδος σύνδεσης χωρίς να εξετάσει το κλάδο της; Προφανώς - δεν υπάρχει τρόπος. Σημαίνει ότι κάθε συσκευασία σε κάθε περίπτωση επεξεργάζεται χωριστά, αλλά συμβαίνει έξω από τα iptables και δεν προκαλεί ειδική επιβάρυνση ΕΠΕΞΕΡΓΑΣΤΗΣΣε αντίθεση με την επεξεργασία στον κατάλογο των κανόνων μέσα σε iptables.

Και το δεύτερο ερώτημα: Πώς μπορώ να επισημάνω τη σύνδεση;
Εάν όλα είναι σχετικά σαφή με το πακέτο: έχει μια επικεφαλίδα στην οποία κάνουμε αλλαγές, ποια είναι η πραγματική έκφραση της έννοιας της "ένωσης" με την οποία μπορούμε τουλάχιστον κάπως δουλειά; Τι σηματοδοτούμε;