Mikrotikバックアップチャネルへの切り替え。 mikrotik。 2人のプロバイダー。 ゲートウェイ間の自動切り替え（スクリプトなし）

この記事では最も説明します 完全な命令2つのプロバイダに対してMikrotikルータを設定する方法。

2つのインターネットプロバイダへの同時接続は、プロバイダの1つとの接続がある場合に備えてバックアップ通信チャネルを整理するために使用されます。 この場合、ルータは自動的に2番目のプロバイダに切り替わり、インターネット上で動作し続けることができます。 2つのプロバイダへの接続は、インターネットへの従業員の一定のアクセスを確実にするために必要な組織で使用されています。

フォールトトレラントインターネットチャネルを確保するために、複数のプロバイダの設定をサポートするルータが必要になります。 Mikrotikルーターはこのタスクに完全に適しています。

接続の説明

この例では、Mikrotik RB951UI-2HNDルータを使用します。

第1プロバイダからのケーブルはルータの第1ポートに接続されているので、2番目のプロバイダからのケーブル、ポート3~5、およびWi-FiがLANコンピュータの接続に接続されています。

1番目のポートは、DHCPプロバイダからネットワーク設定を動的に受信するように設定されます。 プロバイダはルータの動的IPアドレス10.10.10.10を提供します

2番目のポートは静的IPアドレス20.20.20.20、ゲートウェイ20.20.20.1とマスク255.255.255.0に手動で設定されます。

デフォルト設定リセット

Winboxプログラムを使用すると、デフォルトのファクトリ構成をリセットして、Mikrotikルーターを最初から2つのプロバイダに設定します。

WinBoxで再起動したら、Macリストのデバイスアドレスを選択し、ユーザーに接続します。 管理者 パスワードなしで。

1日目のWANポートを設定する

DHCPプロバイダからのネットワーク設定の動的受信に1番目のポートを設定します。

1. 開くメニュー IP - DHCPクライアント;
2. リストに表示されるウィンドウで インターフェース。 インターフェースを選択してください ether1;
3. デフォルトルートを追加します。 選ぶ 番号。;
4. ボタンを押す OK。.

これで、列に表示されるプロバイダからIPアドレスを受け取りました IPアドレス.

インターネット接続があることを確認してください。 開くメニュー 新しい端末 そしてコマンドを入力してください ping ya.ru.。 あなたが見ることができるように、pingはです。

2番目のWANポートを設定する

2番目のポートは静的IPアドレス20.20.20.20、ゲートウェイ20.20.20.1とマスク255.255.255.0に設定されています。

1. 開くメニュー IPアドレス;
2. 追加ボタン（青い十字）をクリックしてください。
3. フィールドに表示されるウィンドウで 住所 静的IPアドレス/サブネットマスクを押します 20.20.20.20/24 ;
4. リスト内に インターフェース。 インターフェースを選択してください ether2。;
5. ボタンを押す OK。.

インターネットゲートウェイの推論IPアドレス：

1. 開くメニュー IP。 - ルート;
2. 追加ボタン（青い十字）をクリックしてください。
3. フィールドに表示されるウィンドウで ゲートウェイ。 ゲートウェイのIPアドレスを押します 20.20.20.1 ;
4. ボタンを押す OK。.

IPアドレスを追加します DNSサーバー:

1. 開くメニュー IP。 - DNS。;
2. フィールドで サーバ たとえば、サーバーDNSのIPアドレスを押します。 8.8.8.8 ;
3. ダニを削除します リモート要求を許可します。;
4. ボタンを押す OK。.

インターネット接続があることを確認してください。 最初のプロバイダのケーブルを外し、メニューを開く 新しい端末 そしてコマンドを入力してください ping ya.ru..

Ping Go、それはすべてが正しく構成されていることを意味します。 最初のプロバイダのケーブルを接続することができます。

LANポート3-5とWi-Fiの設定

LANポート 3-5は単一のWi-Fiインタフェースと組み合わされます 地元のネットワークどのコンピュータが接続します。

LANポート3-5をスイッチに組み合わせます

1. 開くメニュー インターフェース。;
2. インタフェースをダブルマウスクリックしてください ether4;
3. リスト内に マスターポート。 選ぶ ether3。 (メインポート。 私たちのスイッチ）;
4. ボタンを押す OK.

インタフェースで同じものを繰り返します ether5。.

Ether4とEther5ポートが文字S（スレーブスレーブ）の反対側に表示されます。

インターフェースを作成します 橋のローカル そしてそれをLANポートとWi-Fiを持ってくる

Wi-Fiから1つのネットワークへのマージにLANポート3-5を与えるためには、ブリッジインタフェースを作成し、それにSVitchMasterのウィザードを追加する必要があります。 ether3。 そしてWi-Fiインターフェース wlan1.

インターフェースを作成します 橋のローカル:

1. 開くメニュー ブリッジ;
2. ボタンを押す 追加。 （青い十字）。
3. フィールドで 名前。 インターフェイスの名前を押します 橋のローカル;
4. ボタンを押す OK。.

SVitcheのメインポートを追加してください ether3。 に 橋のローカル:

1. タブをクリックしてください ポート そしてクリックします 追加。 （青い十字）。
2. リスト内に インターフェース。 メインイーサネットポート汗を選択します ether3。;
3. リスト内に ブリッジインターフェースを選択してください 橋のローカル;
4. ボタンを押す OK。.

追加 Wi-Fi インターフェースB. 橋のローカル:

1. タブに ポート ボタンを押す 追加。 （青い十字）。
2. リスト内に インターフェース。 ワイヤレスインターフェイスを選択してください wlan1;
3. リスト内に ブリッジインターフェースを選択してください 橋のローカル;
4. ボタンを押す OK。.

IPアドレスインタフェースを割り当てます 橋のローカル:

1. 開くメニュー IP -アドレス;
2. ボタンを押す 追加。 （青い十字）。
3. フィールドで 住所 IPアドレスとLANマスクを入力してください 192.168.88.1/24 ;
4. リスト内に インターフェース。 LANインターフェイスを選択してください 橋のローカル;
5. ボタンを押す OK。.

セットアップ DHCPサーバー 地元のネットワーク。

受信したルータに接続されているコンピュータに ネットワーク設定 自動的に、DHCPサーバーを構成します。

Wi-Fiの設定

まずWi-Fiをオンにします。

1. 開くメニュー 無線。;
2. インターフェイス上のマウスの左ボタンを押します wlan1 そしてクリックします 有効にする （青いティック）。

Mikrotikアクセスポイントに接続するためのパスワードを作成します。

1. 開く セキュリティプロファイル そして、マウスの左ボタンをダブルクリックします デフォルト。;
2. リストに表示されるウィンドウで モード。選ぶ 動的キー;
3. プロトコルによる登録の反対側のチェックマークを確認してください WPA2 PSK。;
4. フィールドで WPA2事前共有キー Wi-Fiポイントに接続するためのパスワードを入力してください。
5. ボタンを押す OK。.

Wi-Fiパラメータを設定するMikrotik：

1. 開く インターフェイス Wi-Fiインターフェイスのマウスの左ボタンをダブルクリックします。 wlan1その設定に進む。
2. タブをクリックしてください 無線。;
3. リスト内に モード。 操作モードを選択してください aP橋;
4. リスト内に バンド 選ぶ 2GHz-B / G / N. （どのような規格がWi-Fiドットを働きます）。
5. リスト内に チャネル幅。 運河の幅を指定してください 上記20/40MHz HTに ワイヤレスデバイス 40 MHzのチャネル幅で最大速度で接続することができました。
6. リスト内に 周波数 Wi-Fiが機能する頻度を指定します。
7. フィールドで SSID. Wi-Fiネットワークの名前を指定してください。
8. ボタンを押す OK。.

NATを設定します。

コンピュータにインターネットアクセスを取得するには、NATを設定する必要があります。

最初のプロバイダのNATルールを追加します。

2番目のプロバイダのNATルールを追加します。

これで、インターネットはルータに接続されているコンピュータに表示されます。 これをチェックして。

2つのプロバイダ間のインターネットチャネルを設定する

2つのプロバイダ間のインターネットチャネルの切り替えを設定するには、使用します。 ルート （ルート）と組み込みユーティリティ NetWatch..

インターネットトラフィックが行くことができる2つのルートがあります。 すべてのトラフィックはデフォルトで最初のプロバイダを介して移動します。

1回目のプロバイダとの接続が突然消えた場合は、2番目のルートを有効にし、すべてのトラフィックは2番目のプロバイダを通過します。

通信が1回目のプロバイダを介して復元されるとすぐに、2番目のルートを無効にし、すべてのトラフィックは1番目のプロバイダを通過します。

NetWatchユーティリティは、インターネット上のIPアドレスをpingし、IPアドレスがピッチングまたは再度開始された場合にスクリプトを実行するのに役立ちます。 ルートの起動と無効化を実行します。

まず、そのプロパティを編集できないので、最初のプロバイダを介してルートを削除します。

1. 開くメニュー IP - ルート;
2. ゲートウェイで最初のプロバイダのマウスの左ボタンをクリックします 10.10.10.1未読の;
3. 削除ボタン（赤マイナス）をクリックしてください。

次に、2番目のプロバイダルートのパラメータを変更します。

1. 開くメニュー IP - DHCPクライアント;
2. インターフェイスの左ボタンをダブルクリックしてください。 ether1;
3. タブをクリックしてください 状態。;
4. フィールドからゲートウェイのIPアドレスを書き込む ゲートウェイ。。 最初のプロバイダを介してルートを作成するときに必要になります。

最初のプロバイダを介してルートを追加します。

3番目のルートは、Google ServerがデフォルトのPINGでのみ、1stプロバイダを介してのみ必要となります。

また、2nd Providerを介してPenign IPアドレス8.8.4.4を無効にするファイアウォールにルールを追加します。 それ以外の場合、NetWatchユーティリティは、最初のプロバイダとの接続が回復し、常にラウスを円に切り替えます。

NetWatchはPingによってインターネットとの接続を確認します googleサーバー IPアドレス8.8.4.4で。 サーバーがピッチを停止するとすぐに、スクリプトが実行され、2番目のルートがアクティブになり、トラフィックは2番目のプロバイダを通過します。 1stプロバイダを介した接続が復元されると、別のスクリプトが完了し、2番目のルートが非アクティブ化され、トラフィックは1番目のプロバイダを通過します。

2つのプロバイダ間のインターネット切り替えをチェックする

2つのプロバイダ間で切り替えがどのように実行されているかを確認してください。

2つのプロバイダのMikrotikルータの設定が正しく機能します。 これで、Googleサーバーのペインシング間隔を拡大することができます。

この設定では、マイクロティックルータを2つのプロバイダに完了します。

前書き

この記事では、予約モードの2つのインターネットチャンネルの作業について説明します。 つまり、1つのプロバイダが常に動作します（メインチャネル）、インターネットが最初のチャネル（バックアップチャネル）を通して使用できない場合、2番目はオンになります。

予約モードで2つのプロバイダを操作するように顕微なデバイスの動作を設定するための主な方法は2つあります。 簡単に言うと、それらは「」と表現することができます 高速道"と"統合方法 "。最初の方法は急速に構成されています。名前から明らかに続くものは、セットアップではより複雑ですが、最初の方法では固有の欠陥を欠いています。

ネットワークスキーム

外部ネットワーク：
インターネットチャンネル番号1.
ルーターIPアドレス：10.1.100.1
プロバイダのIPアドレス：10.1.100.254
マスク：255.255.255.0。

インターネットチャンネル番号2.
ルーターIPアドレス：10.1.200.1
プロバイダのIPアドレス：10.1.200.254
マスク：255.255.255.0。

内部ネットワーク：
ルーターIPアドレス：192.168.15.1
マスク：255.255.255.0。

高速道

グラフィックインタフェースを介して

以下の操作は、2つの外部インターフェイス、規定のルート、およびマスカーレードルールにIPアドレスを設定していることを意味します。

両方のプロバイダから静的IPアドレスがある場合は、 最も簡単な設定 予約は、第1および第2のプロバイダでの経路優先順位のインストールに減少します。

IP \u003d\u003eルートとプロバイダ-1へのルートに移動し、Check Gateway \u003d PINGと距離\u003d 5を指定します。 プロバイダ2のルートの設定で、Check Gateway \u003d pingと距離\u003d 10を指定します。 パラメータ値 距離 必ずしもそうしないでください。 Provider-1の値がProvider-2より小さいことが重要です。 原則として、静的ルートは優先されます（ 距離）等単位。 たとえば、別の値につながりました。 このような方式では、すべてのトラフィックがProvider-1を通過すると、Provider-2からのパスは冗長になります。 両方のプロバイダのゲートウェイは定期的にピックされ、プロバイダのゲートウェイが利用できない場合、ルートはそれをオフにし、トラフィックはプロバイダ2へのルートに進みます。 プロバイダ1ゲートウェイが利用可能になった後、トラフィックは再びそれを通過します。

この方式の不利な点は、インターネット、すなわち次のノードの可用性を解決しないことです。 プロバイダの機器（次のノード）が利用可能な場合には、多くの場合、インターネットなしの状況があります。 非常に鮮やかな例はADSLモデムを介したインターネットです。 隣接ノード（ADSLモデム）は手頃な価格であり、インターネットはそうではありません。

最初のインターネットチャンネルの場合：

2番目のインターネットチャンネルの場合：

コンソールを通して

最初のルータ：

/ IPルート
チェックゲートウェイ\u003d ping距離\u003d 5ゲートウェイ\u003d 10.1.100.254

2番目のルーター：

/ IPルート
チェックゲートウェイの追加\u003d ping距離\u003d 10ゲートウェイ\u003d 10.1.200.254

包括的な方法

グラフィックインタフェースを介して

次の操作は、2つの外部インターフェイス、規定のルート、およびNATルールにIPアドレスを設定していることを意味します。

「統合」メソッドは、組み込みのNetWatchユーティリティを使用しているという事実に基づいています。 2番目のインターネットチャンネルを介したこのノードへのアクセスは常に閉じられます。 したがって、PINGがパスを渡す場合 - これは最初のチャネルが動作状態にあることを意味し、それはオンにされなければならず、そして2番目のチャンネルをオフにする必要があります。 そしてそれどころか：pingが渡されない場合 - 最初のチャネルが機能しないことを意味し、それはオフにされて第2のチャネル上にある必要があります。 PINGがスイッチに戻り始めるとすぐに。 希望するルートユーティリティは、指定するコメントによって決定されます。 この方法を見ることができるように、最初の方法を欠いてください。

ルートにコメントを追加します。 最初のプロバイダを介したルートにコメントISP1を追加すると、2番目のプロバイダを介したルートにコメントISP2を追加します。 最初のプロバイダの例を挙げましょう。 2番目の場合、アクションも同様に行われます。

8.8.4.4に静的ルートを作成します。 IP \u003d\u003eルートでは、1番目のインターネットプロバイダのゲートウェイを介してアドレス8.8.4.4へのルートを作成します。

2番目のWANインターフェイスを介して8.8.4.4にルールブロックを追加します。

シフト条件を追加します。 [ホスト]タブの[ツール] \u003d\u003e [NetWatch]で、[NetWatch Host]という新しい「NetWatch Host」を作成します。 グラフで "ホスト" 監視対象IPアドレスを指定します "間隔" - 検査頻度、In "タイムアウト" - トリガーが機能するホストのアクセス不能の時間。

注意： この例はアドレス8.8.8.8を示しています。 それは能動です。 アドレス8.8.4.4でなければなりません

「アップ」タブで、スクリプトを次のコンテンツに追加します。
/ IPルートセットDisabled \u003d NO
/ IPルートセットDisabled \u003d YES

[ダウン]タブで、スクリプトを次のコンテンツに追加します。
/ IPルートセットDisabled \u003d YES
/ IPルートセットDisabled \u003d NO

コンソールを通して

/ IPルート
comment \u003d isp1を設定します
comment \u003d isp2を設定します

/ IPルート
距離を追加\u003d 1 dst-address \u003d 8.8.4.4 / 32ゲートウェイ\u003d 10.1.100.254

/ IPファイアウォールフィルタ
ADD ACTION \u003d DROP CHAIN \u003d出力DST-ADDRADED \u003d 8.8.4.4 OUT-INFERTIONS \u003d ETHER4-WAN2プロトコル\u003d ICMP COMMENT \u003d "Reserved Internet-Channelを介して8.8.4.4"

/ツールNetWatch.
add down-script \u003d "/ IPルートセットDisabled \u003d yes \\ R \\
\\ N / IPルートセットDisabled \u003d NO "HOST \u003d 8.8.4.4 \\
UP-Script \u003d "/ IPルートセットDisabled \u003d no \\ r \\
\\ N / IPルートセットDisabled \u003d YES "

小切手

Mikrotikのビデオコース

ビデオコースを使用してMikrotik設定を探索できます。 このコースには、公式のトレーニングコースMTCNA +実際に役立つ多くの追加の素材のすべてのテーマが含まれています。

dobogoの日。 私はそのCCR1036-8G-2S +のフォールトトレランスの組織によって先日修正されました。 インターネット上の多くの素材を包んだが、それらのほとんどは私には合いませんでした。 それから私は便利なものに出会い、私の仕事を解決するのに十分に適しています。 以下の設定は100％作業オプションです。

私たちはすでに2つのインターネットプロバイダを1つのルーターに接続して実行しています。 オペレーティング・システム Mikrotik ReREROS。 しかし、それは最も簡単な選択肢でした。 特定の条件には必ずしも適していません。 したがって、今日は、2つのプロバイダに接続するための条件を持つルータを設定する具体的な例をいくつか取り、ファイアウォール、NAT、ルーティング、負荷分散のいくつかのニュアンス、または2番目のチャンネルを使用して停止させましょう。バックアップ。

そしてさらなる物語は特定の例を抱えているので、特定の条件でそれを起動しましょう。 私たちには2人のプロバイダがあります。 両方との通信はPPPoEプロトコルによってインストールされています。 この記事で詳しく説明されているプロバイダへの接続を設定する方法で、このプロセスを見逃します。 プロバイダ番号1がEther1ポートに接続されているという事実のみを説明し、そのPPPoE接続の名前はISP1です。 プロバイダ番号2は、Ether2のポートに接続され、PPPoE接続を持つ - ISP2という名前を持ちます。

唯一の瞬間は将来的にルーティングルールを作成します。そのため、プロバイダへの接続を作成するときは、PPPoE接続のダイヤルアウトタブの[デフォルトルートの追加]ポイントからチェックを削除する必要があります。

Nat。

ネットワークが正しく機能し、インターネットにアクセスできるように、NATを設定する必要があります。 これを行うには、IP-\u003e Firewallセクションを開き、[NAT]タブと[+]ボタンに移動し、新しいルールを追加します。

一般的なタブで、チェーンはSCRNATを選択します。 アウトフィールドの値。 インターフェース、この場合は、2つのプロバイダ、および2つの異なるインタフェースがあるため、いっぱいはいません。

その後、[アクション]タブで、[アクション]フィールドのパラメータとして、マスカーレード値を設定します。

OKボタンでルールを保存します。 NATを設定すると、完了と見なすことができます。

ファイアウォール

次のステップは、ローカルネットワークを保護するように設計されているファイアウォール機能を構成することです。

どのパッケージをルータを介して編成されるかに合わせて、[フィルタルール]タブに移動します。

このセクションにルールがある場合は、まずそれらを削除する必要があります。

「+」ボタンを押すと、「+」ボタンを押すことで、例えばPING-CHAIN \u003d INPUT Protocol \u003d ICMP Action \u003d Accept \u003d Accept、Chain-Input、およびProtocol Protocolを選択します。 - ICMP。

その後、[アクション]タブで、[アクション]フィールドのパラメータとして[Accept]を選択します。

この動作は、14の異なる規則のために、約14回繰り返されなければなりません。
Pingを許可しましょう

cHAIN \u003d入力プロトコル\u003d ICMP Action \u003d Accept.

cHAIN \u003d FORWORD PROTOCOL \u003d ICMP ACTION \u003d受け入れます

確立された化合物を許可しましょう

chain \u003d入力接続状態\u003d確立されたaction \u003d承認

chain \u003d worward connection-state \u003d確立されたアクション\u003d accept

関連化合物を解決しましょう私

chain \u003d入力接続状態\u003d関連アクション\u003d承認

chain \u003d worward connection-state \u003d関連アクション\u003d承認

成功していない接続を禁止します

CHAIN \u003d入力接続状態\u003d無効なaction \u003d drop

chain \u003d worward connection-state \u003d無効なaction \u003d drop

UDPプロトコルでの接続を許可します

chain \u003d入力プロトコル\u003d UDP Action \u003d appect

chain \u003d forward protocol \u003d UDP Action \u003d Accept.

私たちのローカルネットワークのためにインターネットへのアクセスを開く。 ローカルネットワークプレフィックスを持っている人のために、192.168.0.0/24とは異なりますが、その場所に配置されます。

chain \u003d forward src-address \u003d 192.168.0.0 / 24アクション\u003d承認

上記のように、ローカルネットワークからのみルータにアクセスしましょう - 192.168.0.0/24そのアドレスに置き換える必要があります。

chain \u003d入力SRC-Address \u003d 192.168.0.0 / 24 action \u003d承認

そして最後に、他のすべてを禁止します

chain \u003d入力action \u003d drop

chain \u003d forward action \u003d drop.

新しいウィンドウを開く毎回新しいウィンドウを開き、必要なすべてのフィールドを埋めることは非常に面倒ですので、新しい端末と下記のコマンドを設定することをお勧めします。 それははるかに少ない時間がかかります。

iPファイアウォールフィルタ追加チェーン\u003d入力プロトコル\u003d ICMP Action \u003d承認

iPファイアウォールフィルタ追加Chain \u003d Forward Protocol \u003d ICMP Action \u003d Accept

iPファイアウォールフィルタ追加チェーン\u003d入力接続状態\u003d確立されたaction \u003d承認

iPファイアウォールフィルタ追加Chain \u003d worward connection-state \u003d確立されたアクション\u003d accept

iPファイアウォールフィルタ追加チェーン\u003d入力接続状態\u003d関連アクション\u003d承認

iPファイアウォールフィルタ追加チェーン\u003d順方向接続状態\u003d関連処置\u003d承認

iPファイアウォールフィルタ追加チェーン\u003d入力接続状態\u003d無効なaction \u003d drop

iPファイアウォールフィルタ追加Chain \u003d worward connection-state \u003d無効なaction \u003d drop

iPファイアウォールフィルタ追加チェーン\u003d入力プロトコル\u003d UDP Action \u003d Accept

iPファイアウォールフィルタ追加Chain \u003d Forward Protocol \u003d UDP Action \u003d Accept

iPファイアウォールフィルタ追加チェーン\u003d FORWORD SRC-ADDRESS \u003d 192.168.0.0 / 24アクション\u003d承認

iPファイアウォールフィルタ追加チェーン\u003d入力SRCアドレス\u003d 192.168.0.0 / 24 action \u003d承認

iPファイアウォールフィルタ追加チェーン\u003d入力action \u003d drop

iPファイアウォールフィルタ追加Chain \u003d Forward Action \u003d Drop

しかし、いかなる方法でもこれを行わなかったのですが、結果として以下を取得しなければなりません。

ルーティング
後者は、最も重要な行動の1つは依然としてルートの作成です。 プロバイダとの接続をマークするという事実から始めましょう。 これは、プロバイダのインタフェースに到達し、そのインターフェースを残しているすべての要求が必要です。 NATのために持っている場合、これは非常に重要です、アクセスを提供する必要があるリソースがあります。 グローバルネットワーク インターネット。 たとえば、Webサーバーやメールサーバーなどです。 そのようなサービスの作業を整理する方法、私たちはすでに記事Advanced Mikrotik RouterOS設定で検討しています。ポートリダイレクト - DSTNAt。

これを行うには、[MANGLE]タブの[IP]セクション - \u003e [ファイアウォール]の各プロバイダに対して、2つの別々のルールを作成する必要があります。

[全般]タブで、Forward As Forward As、In.Interfaceとして「チェーンチェーン」を選択し、最初のISP1プロバイダの接続のPPPoEインターフェイスを選択します。

そして[アクション]タブの[アクション]パラメータとして、[接続のマークと]を選択し、[接続マーク]フィールドに表示されている[新しい接続マーク]フィールドに、この接続のラベル名を入力します。たとえば、ISP1-Con。

同じことが、2番目のプロバイダに繰り返します。 In.Interfaceとしてのみ、ISP2を選択し、[新しい接続マーク]フィールドに、2番目のISP2-Con接続のラベルを入力します。

現在、同じプロバイダのインタフェースを経て応答を返信するためには、ルートをマークするもう1つのルールを作成する必要があります。

ここでは、チェーンチェーンとして新しいルールを作成し、Pretorouting値をSCR.Addressフィールドに選択し、ローカルネットワーク192.168.0.0/24の接頭辞を入力し、CJnNexectionマークを入力します。最初のISP1の接続ラベルを選択します。 -conプロバイダ。

[アクション]タブと[アクション]フィールドに移動し、[ルーティングのマーク]を選択し、[ルーティングマーク]フィールドに表示され、[新しいルーティングマーク]フィールドに表示され、[ISP1-RT]など、このプロバイダのルートに割り当てます。

正確に恥ずかしい、私たちは2番目の接続のために作成します。 接続マークとしてのみ、ISP2-CONを選択し、新しいルーティングマークを選択し、ISP2-RTを適合させます。

そして今、リソースがある場合、プロバイダのインタフェースを単独で提供する必要がある場合は、これらのリソースのリストを作成し、さらに正しいルーティングのためにこのリストからすべての接続をマークする必要があります。

例えば、プロバイダ2 - ISP2は、181.132.84.0/22の範囲のアドレスを有するローカルリソースを有する。 そしてプロバイダ番号1を通して、ping to ゲームサーバー オンラインゲーム、 はるかに少ない。 そして、これらのサーバーのIPアドレス90.231.6.37と142.0.93.168のIPアドレスがわかります。

IPセクション - \u003eファイアウォールのアドレス一覧タブに移動します。 そして、1つずつ、これらのリソースに対処する必要があるプロバイダに応じて、これらのIPアドレスまたはサブネット全体を追加して、TO-ISP1またはTO-ISP2の名前を付けます。

また、ほとんどのプロバイダーは他のネットワークから禁止されていることが多いための独自のDNSサーバーを使用しているため、これらのリストでは、ドメイン名要求を要求するために各プロバイダーのDNSサーバーのアドレスを追加することが非常に重要です。特定のプロバイダのインターフェースを通してそれらに行きます。。

そして[アクション]タブの[アクション]タブで、ルーティングマーク、新しいルーティングマーク - ISP1-RT。

2番目のプロバイダのアドレスのリストについては同じことを繰り返します。 しかし、DST.Addressリストとして、2番目のTO-ISP2プロバイダのアドレスのリストを指定します。 そして新しいルーティングマークのラベルとして - ISP2-RTルート。

そして、ルーティング設定のほとんどの部分に進みます - IPセクション - \u003e routesの静的ルーティング規則の作成。

両方のプロバイダのチャンネルがほぼ等しい場合は、このようなルートを追加してください。ただし、[全般]タブ、[ルート作成]ウィンドウであるDST.Addressは0.0.0.0/0を書き込み、ASP1とISP2インタフェースのインターフェイスを選択します。ゲットウェイ。 他のすべてのパラメータは変更されません。

そのような変形では、両方のプロバイダの負荷が均等に分布します。

2番目のプロバイダが予約されるようにしたい場合は、利用できない場合、または最初のロードがロードされている場合にのみ「含まれています」と「含まれています」と、2つのルートを作成します。

最初のdst.address - 0.0.0.0/0、ゲートウェイ - ISP1。

そして2番目のdst.address - 0.0.0.0/0、ゲートウェイ - ISP2、距離 - 2。

それでも、以前にマークされたルートが失われるプロバイダごとに、2つの別々のルートを作成する必要があります。 それらは、ルーティングマークフィールドが特定のプロバイダの以前に割り当てられたラベルを示すという事実によって異なります。

最初にDST.ADDRESS - 0.0.0.0/0、ゲートウェイ - ISP1、ルーティングマーク - ISP1-RT、および2番目のDST.ADDRESS - 0.0.0.0/0、ゲートウェイ - ISP2、ルーティングマーク - ISP2 -RT

2つのプロバイダを操作するようになっています。 すべての着信接続はマークされ、それらに対する回答は、要求が来たインターフェースを通過します。 1つまたは別のリソースに訴えるものが配布され、両方のチャンネルの負荷がバランスが取れています。

\u003eスクリプトなしのMikrotikのチャンネルの予約

mikrotik。 フェイルオーバー。 負荷分散

私が世界に2つ以上のチャンネルを持つフェイルオーバーまたは負荷分散の作り方を理解する必要があるとき、私は作業構成を説明した多くの記事と指示を見つけました。 しかし、ほとんどどこにでも、すべてがうまくいき、さまざまなオプションの違いを説明するように、明確化が見られませんでした。 この不正を修正し、フェイルオーバーを構築するための最も簡単なオプションを収集し、1つの記事でバランスの低下設定を収集します。

そのため、ローカルネットワークとインターネット上の2つのチャンネルを接続するルーター（Main ISP1とBackup ISP2）があります。

私たちができることを見てみましょう。

バックアップチャネルがあり、メインキーを拒否するとトラフィックを送信できます。 しかし、Mikrotikがチャネルが落ちたことを理解する方法は？

チャンネルの最も簡単な予約

最も簡単なフェールオーバーは、ルート優先順位（Linux / WindowsのMetric、Linux / Windowsのメトリックの距離）とゲートウェイの可用性チェックメカニズム - チェックゲートウェイを使用して設定できます。

以下の構成では、インターネットトラフィック全体がデフォルトで10.100.1.254（ISP1）で行われます。 しかし、住所10.100.1.254がアクセスできない（そして経路が非アクティブな） - トラフィックは10.200.1.254（ISP2）の後に移動します。

設定：最も簡単なフェイルオーバー

＃ネットワークプロバイダを設定します。





###従来の方法でチャネルバックアップを提供する###
＃ポイント2デフォルトの優先度を持つデフォルトゲートウェイ
/ IPルート追加DST-Address \u003d 0.0.0.0 / 0ゲートウェイ\u003d 10.100.1.254距離\u003d 1チェックゲートウェイ\u003d ping
/ IPルート追加DST-Address \u003d 0.0.0.0 / 0ゲートウェイ\u003d 10.200.1.254距離\u003d 2チェックゲートウェイ\u003d ping

mikrotikのpingは次のように処理されます。
定期的に（10秒ごとに）ゲートウェイはICMPパッケージ（ping）を参照してチェックされます。 失われたパケットは10秒間返されなかった場合と考慮されます。 2つの紛失したパッケージの後、ゲートウェイはアクセスできないと見なされます。 ゲートウェイからの応答を受信した後、それが利用可能になり、パケットカウンタがリセットされます。

より深いチャネル分析でフェイルオーバーを提供する。

最後の例では、プロバイダのゲートウェイが見えてピンがある場合は、状況に加えてすべてが素晴らしいですが、インターネットはありません。 それはプロバイダの実行可能性を決定することが可能であったならば、それは私たちを素晴らしいことであるでしょう、pingangangはゲートウェイ自体ではありませんが、その背後にある何か。

このエンジニアリングタスクを解決するための2つのオプションを知っています。 最初と最も一般的なスクリプトを使用することですが、この記事ではスクリプトに触れないので、2番目の中でもっと停止します。 スコープパラメータを使用して完全に正しく修正されないが、ゲートウェイよりも深いプロバイダのチャネルを試してみるのに役立ちます。
原則は簡単です：
デフォルトゲートウェイ\u003dプロバイダのゲートウェイの従来の命令の代わりに、デフォルトゲートウェイが常にabilate_uses（たとえば8.8.8.8または8.8.4.4）の一部であり、プロバイダのゲートウェイを介して利用可能です。

構成：より深いチャネル分析によるフェイルオーバー

＃ネットワークプロバイダを設定します。
/ IPアドレス追加アドレス\u003d 10.100.1.1 / 24インターフェイス\u003d ISP1
/ IPアドレス追加アドレス\u003d 10.200.1.1 / 24インターフェイス\u003d ISP2
＃ローカルインタフェースを設定します
/ IPアドレス追加アドレス\u003d 10.1.1.1 / 24インターフェイス\u003d LAN
＃NATのヘルプすべてがローカルネットワークから出てきます
/ IPファイアウォールNAT ADD SRC-Address \u003d 10.1.1.0 / 24アクション\u003d MASQUERADE CHARE \u003d SRCNAT
###より深いチャネル分析でフェイルオーバーを提供する###
＃スコープパラメータを使用すると、ノード8.8.8.8と8.8.4.4への再帰パスを指定します。
/ IPルート追加DST-Address \u003d 8.8.8.8 Gateway \u003d 10.100.1.254 scope \u003d 10
/ IPルート追加DST-Address \u003d 8.8.4.4 Gateway \u003d 10.200.1.254 scope \u003d 10
＃ポイント2ノードを介したデフォルトゲートウェイ再帰的に指定されたパス
/ IPルート追加DST-Address \u003d 0.0.0.0 / 0 Gateway \u003d 8.8.8.8距離\u003d 1チェックゲートウェイ\u003d ping
/ IPルート追加DST-Address \u003d 0.0.0.0 / 0ゲートウェイ\u003d 8.8.4.4距離\u003d 2チェックゲートウェイ\u003d ping

今度はもう少し何が起こるのか分析します。
クーニングは、プロバイダーのゲートウェイが8.8.8.8または8.8.4.4がルーターであることを知らず、通常の方法でトラフィックを送信することがわかっていません。
私たちのMikrotikはデフォルトでは、トラフィック全体を8.8.8.8.8に送信できます。これは直接表示されていませんが、10.100.1.254が利用可能です。 そして、8.8.8.8.8あたりのPINGが消えている場合（I Modep1からのゲートウェイを介して厳密にリストされていることを思い出させる）、Mikrotikはインターネットトラフィック全体を8.8.4.4で、またはむしろ再帰的に定義された10.200で送信し始めます。 1.254（ISP2）。

配布フォーラムでは、ニックネームの下のユーザー バービノク 書き始めました
蓄積された基地を組み合わせて体系化しようとする記事のサイクル
一般的なミクロティクの知識、そして特に2人のプロバイダーのトピックについて。 それと
私のページにすべてをコピーすることを許可されています。 望む人たちに行くことができる人たち
最初のソースhttp://mikrotik.ru/forum/viewtopic.php?f\u003d1 5＆t \u003d 3280
ルータをスクラッチから設定します。
このセクションでは、適用部分の不足を埋めます。
トピックのタイトルによると、私は2つのプロバイダにルータを設定しました。 ルータモデルIはRB7xxシリーズを意味します。
情報源：
インターネットへの接続を備えた無線ルータモードでのMikrotik RB751U-2HNDの概要と構成。
Sergey Lagovsky：Mikrotik - 初期設定

ソース
確かに読んでください。 私はガイドを書いていない」
「ケーブルを右手に取り込む」ように、主婦」。ここで示す
マイルストーンのみ、ステップ。 そしてそれを正確にそれをやるのか
ソース
私が使う コマンドライン WinBoxを介した端末とすべての例はこの形式で正確に与えられます。
1.初期設定をリセットします。

/システムリセットコンフィギュレーション

2.アップグレードパッケージをダウンロードし、Winboxでマウスをドラッグします。 さらに：

/システムの再起動

そして再起動後 :

/システムルータボードのアップグレード

3.から橋を作ります 最後の3 ポート：

/インターフェースブリッジ。
名前\u003d local_net
add bridge \u003d local_net interface \u003d ether3.
追加Bridge \u003d local_net interface \u003d ether4.
add bridge \u003d local_net interface \u003d ether5.

4.このブリッジにIPアドレスを割り当てます。

/ IPアドレスアドレス\u003d 192.168.1.1 / 24 interface \u003d local_net

5. IT DHCPサーバーを構成します。

/ IP DHCP-Serverのセットアップ

DNSサーバを顕微鏡的：192.168.1.1のアドレスに与えてください。 もう少し後で私はなぜそんなに説明します。

6.ルータがDNS要求に応答できるようにします。

/ IP DNSセットallow-remote-requests \u003d yes

精神を転送する：今、D-Linkボックスの機能を達成しました:)

7. Sergey Lagovskyのアドバイスについて、私は常にスーパーユーザーの名前を変更します。

/ユーザー追加Name \u003d SuperName Password \u003d Superpass Group \u003d Full
/ 終了する。

私たちは新しいユーザーの下に行き、古い人をオフにします：

/ユーザーはadminを無効にします

8.タイムサーバーとタイムゾーンを割り当てます。

/ System NTPクライアントセットEnabled \u003d Yes Mode \u003d Unicast Primary-NTP \u003d 83.229.137.52セカンダリ-NTP \u003d 213.141.146.135
/システムクロックセットタイムゾーン名\u003dヨーロッパ/モスクワ

9.インターネット接続を構成します。
私は2つの不平等なプロバイダーの難しいケースを取ります。

• 最初
  プロバイダはADSL上のPPPOE経由でインターネットを提供します.8Mbpsの入って/ 0.8 Mbps
  発信。 IPアドレスとその他のネットワーク設定はプロバイダによって発行されます
  動的に。


• 2つ目は非常に高品質ですが、光学系：1 Mbpsの対称チャネルです。 IPアドレスと設定静的（定数）

ADSLを介して主要なユーザーベースのユーザーストリーム、およびオプティクスによるお気に入りのリアルタイムサービス（VoIP）が必要です。

9.1。 最初のプロバイダをカスタマイズします。
ADSLモデムをブリッジモード（ブリッジ）に翻訳します。 ケーブルを最初のポート（Ether1）に差し込みます。
PPPoEインタフェースを作成して設定します。

/ interface pppoe-client Add name \u003d utk utk utk \u003d ppp_user password \u003d ppp_pasw use-peer-dns \u003d yes interface \u003d ether1

プロバイダが唯一のものであった場合は、追加することが可能です。 add-default-route \u003d yes「。しかし、私たちは別の仕事をしています。
"使用ピア - DNSこの接続でプロバイダによって割り当てられたDNSサーバーを使用することを意味します。

/ IPアドレス印刷
/ ping mail.ru.

接続が機能することを確認します。

9.2。 2番目のプロバイダを設定します。
ケーブルを環境変換器から2番目のポートに固定して手動で設定します。

IPアドレスADDアドレス\u003d 80.45.21.34 / 30 INTERVENT \u003d ETHER2

プロバイダがDNSサーバーを提供する場合は、明示的にそれらを設定できます。

/ IP DNS SET SERVERS \u003d IP_SERVER1、IP_SERVER2

そして、私たちはGoogleのように公的に利用可能なものを割り当てることができます：8.8.8.8.8.8.4.4。

私はあなたを思い出させます
p。6私たちのルーターは地元のためのDNSサーバーです
通信網。 しかし、彼自身は穏やかな体として - 2つの事柄は任意です
あらゆるプロバイダのDNSサーバーに停止します。

10.アドレス変換をオンにします。
プロバイダ1の場合：

/ IPファイアウォールNAT Add Chain \u003d srcnat action \u003d Masquerade Protocol \u003d TCP OUT-Interface \u003d UTK

あなたも2番目のために行くことができますが、私たちは指定しています。 私たちが恒久的な住所として、私たちはマスカレードではなく、Snat：

/ IPファイアウォールNAT Add Chain \u003d SRCNAT Action \u003d SRC-NATプロトコル\u003d TCP SRC-Address \u003d 192.168.1.0 / 24からアドレス\u003d 80.45.21.34

私たちのプロバイダが同等であるならば、これを実行することが可能でしょう。

/ IPルート追加DST-Address \u003d 0.0.0.0 / 0 Gateway \u003d UTK、Ether2チェックゲートウェイ\u003d ping

私たちはすぐにフォールトトレランスと均一な負荷分散（公平な経路）を受け取ります。
私はあなたにそれをすることを助言して、LANコンピュータからプレイします。
"tracert mail.ru"、その後別の外部インターフェース -
ちょうどそれがチェックされるでしょう。
プロバイダがチャネルの厚さにのみ等しくない場合は、これを実行できます。

/ IPルート追加DST-Address \u003d 0.0.0.0 / 0 Gateway \u003d UTK、UTK、ETHER2チェックゲートウェイ\u003d ping

さて、最初のプロバイダを介して、2倍以上のストリームが2倍になるでしょう。

しかし、プロバイダーは定量的には等しくないので、私たちのタスクはもう少し難しいですが、 必ず.
11.したがって、それらには別々にルートを任命し、異なる設定（距離）を与えます。
最初のプロバイダーのためにこれを行うのが最も簡単です。

/インタフェースPPPoE - クライアントセット0 add-default-roet \u003d yes

私たちはP.9.1でそれをすることができましたが、私は注文のために割り当てることにしました。
2番目のプロバイダの場合は、

/ IPルート追加DST-Address \u003d 0.0.0.0 / 0ゲートウェイ\u003d 80.45.21.34距離\u003d 2チェックゲートウェイ\u003d ping

今度は私達のネットワーク全体がプロバイダー1を通過し、それが落ちるならば - プロバイダー2を介して。

12.プロバイダ2を介してネットワークに送信する必要がある重要なストリーム（Skype、SIP）を選択します。

ここでは、このトピックが非常に興味があるため、パッケージや接続のラベリング（マーク）に捧げられた後退をします。

後退4。
マーキング

中古
特定のパッケージのラベルを設定するには。 この行動のあるもの
mangeテーブル内でのみ実行されます。 通常タグをインストールする
さまざまなルートでパケットをルーチン化するために使用されます
より多くの情報については、交通制限などがあります
linuxの詳細なルーティングとトラフィック制御の運用方法を参照してください。 じゃあ
「ラベル」パッケージが期間中だけに存在することを忘れてください。
パッケージはファイアウォールを残さなかった、すなわち ラベルはネットワークを介して送信されません。 もし
どういうわけかマーキングを使用するためにパッケージをマークする必要があります。
別のマシン、TOSフィールドのビットを操作しようとすることができます。

マニュアル：Mikrotik WikiのIP /ファイアウォール/マングル。

にとって
読書と執筆の規則は、私たちがここで明確に理解することが重要です
ストリームからパッケージを割り当てる符号を示し、どこで
私たちはパッケージを作り出します（受け入れられ、投げる、またはそのようなスタンプ
サイン）。
PCCについての記事から2つの規則を検討してください。
/ IPファイアウォールのマングル

追加。

in-interface \u003d ether2 new-connection-mark \u003d l2tp-out1_conn passthrough \u003dはい
接続ごとのクラスチャ\u003d SRCアドレス：2/0 SRC-Address \u003d 172.16.0.0 / 16
追加。
aCTION \u003d MARK-CONNECTION CHAIN \u003d PREROUT DST-ADDRESS-TYPE \u003d！ローカル
in-interface \u003d ether2 new-connection-mark \u003d l2tp-out2_conn passthrough \u003dはい
接続ごとのクラスチャ\u003d SRCアドレス：2/1 SRC-Address \u003d 172.16.0.0 / 16

追加。
aCTION \u003dマークルーティングチェーン\u003d PRERERING接続マーク\u003d L2TP-OUT1_CONN
in-interface \u003d ether2 new-routing-mark \u003d to_l2tp-out1 passthrough \u003dはい
追加。
aCTION \u003dマークルーティングチェーン\u003d PREROUT接続-MAR \u003d L2TP-OUT2_CONN
in-interface \u003d ether2 new-routing-mark \u003d to_l2tp-out2 passthrough \u003dはい

最初の規則We 私たちは接続をマークします （ACTION \u003d MARK-CONNECTION）前兆チェーン。 次のフォロー 看板,
ラベル付けされているため、化合物を定義します。
宛先アドレス - ルータ自体のアドレスを除く誰でも
（dst-address-type \u003d！local）、着信インタフェース - Ether2
（In Interface \u003d Ether2）、送信元アドレス - サブネットからの任意のコンピュータ
172.16.0.0/16。 次に素晴らしいチームに従う：
接続ごとの分類器\u003d SRCアドレス：2/0。 だから私たちはストリームを粉砕します
これらの機能に対応するパッケージ。
その後、フローの一部がL2TP-OUT1_CONNラベルを割り当て、2番目のL2TP-OUT2_CONNを割り当てます。
パースルーグ
「通過」として翻訳されています。 実際には、各パッケージは順次です
最初の一致まで各ルールへのコンプライアンスを確認しました。 どうやって
一致するだけ - それは直ちに次の表に送信されます（これでは）
pSNAT）はDNATです。ドロップアクションの場合は破棄されます。 しかし指定されている場合
passthrough \u003dはい、パッケージは同じ内のルールのリストに送信されます
テーブル。

次の規則私たちは好みのマークを付けます
さらに続く方法（アクション\u003dマークルーティング）。 すべての接続
マークされたL2TP-OUT1_CONN（接続マーク）ブランドラベルに加えて
tO_L2TP-OUT1（新規ルーティングマーク）。 そして流れの後半で
それぞれやります。

このシーケンシャルブランドの深い意味は何ですか、そしてそれが新しいルーティングマークを直ちにインストールすることが不可能である理由は何ですか。まだ理解していません。 しかし、顕微なWikiの公式ガイドでも行われています。
誰かが説明できますか？

一般的に、それが把握するのに傷つけないような類似の名前を持つ3つのアクションがあります。

• マーク接続。


• マークパケット


• マークルーティング

簡単で始めましょう。

マークルーティング
- 新しいルーティングマークパラメータで指定されたマークをパケットに配置します。
この種のマークは、ポリシールーティング目的のみを行いました

このアクションは、さらに転送のパスを選択するときに排他的に使用されるラベルを置きます。 例えば：

/ IPルート
add dst-add \u003d 0.0.0.0 0ゲートウェイ\u003d 10.111.0.1ルーティング - mark \u003d to_isp1チェックゲートウェイ\u003d ping
dST-Address \u003d 0.0.0.0 0 Gateway \u003d 10.112.0.1 Routing-Mark \u003d TO_ISP2チェックゲートウェイ\u003d ping

しかし、経路の1つの内訳の場合、さらに行われるべきです 一般的なルール タグに束縛されずに：

dst-address \u003d 0.0.0.0 / 0 gateway \u003d 10.111.0.1距離\u003d 1チェックゲートウェイ\u003d ping
dst-address \u003d 0.0.0.0 0ゲートウェイ\u003d 10.112.0.1距離\u003d 2チェックゲートウェイ\u003d ping

しかし、マークパケットはマーク接続とどのように異なりますか？
明らかに、パッケージと同じことが接続と同じです。
私たちは読んだ：

マーキング。
特にルールが一致しなければならない場合、各パケットは非常にリソース高価です。
iPヘッダーまたはアドレス一覧からの多くのゼラマを含む多くのゼラ
何百ものエントリ

ブランドすべてのパッケージは非常に高価です
特にルールに多くの兆候が含まれている場合は、喜び
iPパケットのヘッダーまたは数百を含むアドレスシートからの比較
記録。
さらに、ルータの不気味なものを参照する
100 Megabitで各パッケージをチェックするための複雑な規則に負担をかけて
ネットワーク プロセッサの計算負荷は急速に成長しています
実際、このマーキング方法を使用することが不可能につながる
大きなデータストリームを制御するとき。

見積もり：

幸いなことに、Connection Trackingが有効になっている場合は、接続マークを使用してセットアップを最適化できます。

幸いなことに、Connections Trackingが有効になっていると、それほど良いつながりと結婚することができます！
ここに
imageを使って作業するという利点です 高いレベル。 より高いです
一般化のレベル、あなたが過ごさなければならない労働が少ない
目標を達成する！

/ IPファイアウォールのマングル
chain \u003d forward protocol \u003d tcp port \u003d！80 dst-address-list \u003d first connection-state \u003d new action \u003d mark-connection \\
新接続マーク\u003d 1
ADD CHAIN \u003d FORWORD CONNECTION-MAR \u003d FIRST ACTION \u003d MARKパケットNEW-PACKET-MARK \u003d最初のPASSTHROUGH \u003d NO

追加Chain \u003d Forward Protocol \u003d UDP dst-address-list \u003d second connection-state \u003d new action \u003d mark-connection \\
新しい接続マーク\u003d秒
ADD CHAIN \u003d FORWORD接続マーク\u003d 2秒のアクション\u003dマークパケット新しいパケットマーク\u003d 2番目のPASSTHROUGH \u003d NO

見積もり：

今
最初のルールは最初のパケットからのみIPヘッダーからのデータを一致させようとします。
新しい接続と接続マークを追加します。 次のルールはもうありません
各パケットごとにIPヘッダーを確認すると、接続マークを比較するだけです。
cPU消費量が少ない。 さらにパススストロウ\u003dいいえでした
cPU消費量をさらに削減するのに役立つ追加しました。

ロジスティクスでは、最初のルールは新しい接続の最初のパッケージのヘッダーでのみデータをチェックし、この接続内のすべてが他のすべてのものがそれと一致すると考えています。 各パッケージのタイトルを確認する代わりに、次の規則は、接続ラベルのみを調べます。これにより、CPUの負荷が大幅に削減されます。 さらに、「PASSTHROUGH \u003d NO」規則はすぐにこのテーブルのパケットの通過を次のように転送します。これはCPUをアンロードします。

おお...狡猾なレセプション！ 今度は、最初に接続を大きくしたPCCの例では、このラベルに基づいて2番目のルーティングを入力してください。
しかし問題が発生します。
最初：その見出しを見ずにパッケージがある種の接続に属することをどのように理解できますか？ 明らかに - 方法はありません。 いずれの場合も各パッケージが別々に処理されますが、IPTablesの外で起こり、特別な負担を引き起こさない cPUiptables内のルールのリストに関する処理とは異なります。

そして2番目の質問：接続をどのようにマークするにはどうすればいいですか？
すべてのパッケージで比較的明確な場合：彼は私たちが変更を加える見出しを持っています、私たちが少なくともどういうわけか仕事をすることができる「化合物」の概念の実表現は何ですか？ 私たちは何をマークしますか？